近日,國家網際網路資訊辦公室、公安部聯合公佈《人臉識別技術應用安全管理辦法》(以下簡稱《辦法》),自2025年6月1日起施行。(《辦法》原文)
《辦法》明確了應用人臉識別技術處理人臉資訊的基本要求。
應用人臉識別技術處理人臉資訊活動,應當遵守法律法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實守信,履行個人資訊保護義務,承擔社會責任,不得危害國家安全、損害公共利益、侵害個人合法權益。
《辦法》明確了應用人臉識別技術處理人臉資訊的處理規則。
一是應當具有特定的目的和充分的必要性,採取對個人權益影響最小的方式,並實施嚴格保護措施。
二是應當履行告知義務。
三是基於個人同意處理人臉資訊的,應當取得個人在充分知情的前提下自願、明確作出的單獨同意。基於個人同意處理不滿十四周歲未成年人人臉資訊的,應當取得未成年人的父母或者其他監護人的同意。
四是除法律、行政法規另有規定或者取得個人單獨同意外,人臉資訊應當儲存於人臉識別裝置內,不得透過網際網路對外傳輸。除法律、行政法規另有規定外,人臉資訊的儲存期限不得超過實現處理目的所必需的最短時間。
五是應當事前進行個人資訊保護影響評估,並對處理情況進行記錄。
《辦法》明確了人臉識別技術應用安全規範。
一是實現相同目的或者達到同等業務要求,存在其他非人臉識別技術方式的,不得將人臉識別技術作為唯一驗證方式。國家另有規定的,從其規定。
二是應用人臉識別技術驗證個人身份、辨識特定個人的,鼓勵優先使用國家人口基礎資訊庫、國家網路身份認證公共服務等渠道實施。
三是任何組織和個人不得以辦理業務、提升服務質量等為由,誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。
四是在公共場所安裝人臉識別裝置,應當為維護公共安全所必需,依法合理確定人臉資訊採集區域,並設定顯著提示標識。任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛生間等公共場所中的私密空間內部安裝人臉識別裝置。
五是人臉識別技術應用系統應當採取資料加密、安全審計、訪問控制、授權管理、入侵檢測和防禦等措施保護人臉資訊安全。
《辦法》明確了監督管理職責。
個人資訊處理者應當在應用人臉識別技術處理的人臉資訊儲存數量達到10萬人之日起30個工作日內向所在地省級以上網信部門履行備案手續。網信部門會同公安機關和其他履行個人資訊保護職責的部門,建立健全資訊共享和通報工作機制,協同開展相關工作。
《辦法》同時對違反《辦法》規定的法律責任、相關術語的含義等作出了規定。
國家網際網路資訊辦公室有關負責人就《辦法》相關問題回答了記者提問。
問1:請介紹一下《辦法》的出臺背景?
答:隨著雲計算、大資料、物聯網、人工智慧等網際網路技術飛速發展,人臉識別技術應用在消費、金融、出行等社會各領域快速普及,在促進數字經濟發展、方便人民生活的同時,也引發了公眾對侵犯隱私、洩露個人資訊的擔憂,受到社會各方高度關注。《中華人民共和國網路安全法》《中華人民共和國資料安全法》《中華人民共和國個人資訊保護法》《網路資料安全管理條例》等法律、行政法規對個人資訊處理規則作出了規定。同時,《中華人民共和國個人資訊保護法》第六十二條規定,國家網信部門統籌協調有關部門針對人臉識別等新技術、新應用制定專門的個人資訊保護規則。制定出臺《辦法》是落實法律、行政法規規定的重要舉措,目的是規範應用人臉識別技術處理人臉資訊活動,保護個人資訊權益。
問2:《辦法》如何處理發展與安全的關係,在保護個人資訊權益的同時促進人臉識別技術發展?
答:《辦法》堅持發展與安全並重,妥善處理促進創新和依法治理之間的關係,在保護個人資訊權益的同時鼓勵人臉識別技術的應用和創新。一方面,《辦法》規定應用人臉識別技術處理人臉資訊的基本要求和具體規則,建立人臉識別技術應用監督管理制度,規範人臉識別技術應用,切實保護廣大人民群眾的個人資訊權益。另一方面,《辦法》明確在中華人民共和國境內為從事人臉識別技術研發、演算法訓練活動應用人臉識別技術處理人臉資訊的,不適用本辦法的規定,為開展人臉識別技術的攻關研究和應用創新預留空間,有利於推動相關產業安全健康發展。
問3:《辦法》的主要內容是什麼?
答:《辦法》主要對下列內容進行了規定:一是明確應用人臉識別技術處理人臉資訊的基本要求,規定應用人臉識別技術處理人臉資訊活動,應當遵守法律法規,尊重社會公德和倫理,遵守商業道德和職業道德等。二是明確應用人臉識別技術處理人臉資訊的處理規則,規定應用人臉識別技術處理人臉資訊,應當具有特定的目的和充分的必要性,個人資訊處理者應當履行告知、進行個人資訊保護影響評估等義務。三是明確人臉識別技術應用安全規範,規定實現相同目的或者達到同等業務要求,存在其他非人臉識別技術方式的,不得將人臉識別技術作為唯一驗證方式,明確在公共場所安裝人臉識別裝置的具體要求。四是明確監督管理職責和法律責任,規定個人資訊處理者應當在應用人臉識別技術處理的人臉資訊儲存數量達到10萬人之日起30個工作日內向所在地省級以上網信部門履行備案手續,明確違反本辦法規定的法律責任。
問4:《辦法》對應用人臉識別技術處理人臉資訊活動提出了哪些基本要求?
答:《辦法》規定,應用人臉識別技術處理人臉資訊活動,應當遵守法律法規,尊重社會公德和倫理,遵守商業道德和職業道德,誠實守信,履行個人資訊保護義務,承擔社會責任,不得危害國家安全、損害公共利益、侵害個人合法權益。
問5:《辦法》對應用人臉識別技術處理人臉資訊規定了哪些處理規則?
答:《辦法》對應用人臉識別技術處理人臉資訊規定了以下處理規則:一是應當具有特定的目的和充分的必要性,採取對個人權益影響最小的方式,並實施嚴格保護措施。二是應當履行告知義務,處理殘疾人、老年人人臉資訊的,還應當符合國家有關無障礙環境建設的規定。三是基於個人同意處理人臉資訊的,應當取得個人在充分知情的前提下自願、明確作出的單獨同意。基於個人同意處理不滿十四周歲未成年人人臉資訊的,應當取得未成年人的父母或者其他監護人的同意。四是除法律、行政法規另有規定或者取得個人單獨同意外,人臉資訊應當儲存於人臉識別裝置內,不得透過網際網路對外傳輸。除法律、行政法規另有規定外,人臉資訊的儲存期限不得超過實現處理目的所必需的最短時間。五是應當事前進行個人資訊保護影響評估,並對處理情況進行記錄。
問6:《辦法》對人臉識別技術應用規定了哪些安全規範?
答:《辦法》對人臉識別技術應用規定了以下安全規範:一是實現相同目的或者達到同等業務要求,存在其他非人臉識別技術方式的,不得將人臉識別技術作為唯一驗證方式。國家另有規定的,從其規定。二是應用人臉識別技術驗證個人身份、辨識特定個人的,鼓勵優先使用國家人口基礎資訊庫、國家網路身份認證公共服務等渠道實施。三是任何組織和個人不得以辦理業務、提升服務質量等為由,誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。四是在公共場所安裝人臉識別裝置,應當為維護公共安全所必需,依法合理確定人臉資訊採集區域,並設定顯著提示標識。任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛生間等公共場所中的私密空間內部安裝人臉識別裝置。五是人臉識別技術應用系統應當採取資料加密、安全審計、訪問控制、授權管理、入侵檢測和防禦等措施保護人臉資訊安全。
問7:針對群眾普遍關心的強制刷臉問題,《辦法》作出了哪些規定?
答:人臉資訊是敏感個人資訊,一旦洩露,容易對個人的人身和財產安全造成重大危害,甚至威脅公共安全。針對“刷臉”住宿、“刷臉”進小區等人臉識別技術應用場景泛化、強制使用等問題,《辦法》明確了人臉識別技術應用的非強制原則,規定實現相同目的或者達到同等業務要求,存在其他非人臉識別技術方式的,不得將人臉識別技術作為唯一驗證方式。個人不同意透過人臉資訊進行身份驗證的,應當提供其他合理、便捷的方式。國家對應用人臉識別技術驗證個人身份另有規定的,從其規定。
問8:《辦法》對個人資訊處理者應用人臉識別技術處理人臉資訊備案提出了哪些要求?
答:《辦法》從資訊數量、備案時間、備案部門、備案材料、備案變更和登出五個方面對個人資訊處理者應用人臉識別技術處理人臉資訊備案提出了具體要求。一是資訊數量方面,以“應用人臉識別技術處理的人臉資訊儲存數量達到10萬人”為備案起始數量。二是備案時間方面,規定應當在應用人臉識別技術處理的人臉資訊儲存數量達到10萬人之日起30個工作日內進行備案。三是備案部門方面,明確向所在地省級以上網信部門履行備案手續。四是備案材料方面,明確應當提交個人資訊處理者的基本情況、人臉資訊處理目的和處理方式、人臉資訊儲存數量和安全保護措施、人臉資訊的處理規則和操作規程、個人資訊保護影響評估報告五項材料。五是備案變更和登出方面,明確備案資訊發生實質性變更的,應當在變更之日起30個工作日內辦理備案變更手續。終止應用人臉識別技術的,應當在終止之日起30個工作日內辦理登出備案手續,並依法處理人臉資訊。
編輯|程鵬 杜波
校對|何小桃
每日經濟新聞綜合自央視新聞、網信中國
感謝關注每日經濟新聞,每天都有精彩資訊
推薦閱讀↓