人脸识别技术在产品设备、公共安全、金融交通等领域广泛应用,为人民带来便利的同时,也带来了严重的隐私和数据安全风险。为应对技术的快速发展和广泛应用,面对人脸识别的广泛应用及潜在风险,出台约束力的专项法规迫在眉睫,以确保技术规范使用、个人信息安全以及社会治理的平衡发展。
在此背景下,2025年3月20日,国家互联网信息办公室与公安部联合发布《人脸识别技术应用安全管理办法》(以下简称《办法》),并于6月1日正式实施。2025年5月28日《关于开展人脸识别技术应用备案工作的公告》(以下简称《公告》)接连发布,在《办法》基础上进一步明确了人脸识别技术应用备案的对象、时间、方式等。作为我国首部针对人脸识别技术的专项监管规则,该办法从技术应用全流程、场景分级、责任主体等维度构建了系统性治理框架。本文将结合立法背景与核心条款,解析其对企业的合规影响。
一、新规适用于什么场景?
《办法》适用于在中华人民共和国境内应用人脸识别技术处理人脸信息的活动。为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的,不适用本办法的规定。
可以看出《办法》适用的范围非常聚焦和明确——应用人脸识别技术处理人脸信息的活动,即以人脸信息作为识别个体身份的个体生物特征识别技术,更具体的来说包括:
1.“一对一”,通过对收集的人脸信息与信息系统库中已存储的特定人脸信息进行对比,以验证个人身份(“一对一”比对以确认和核对两者是否为同一人)。例如机场和高铁站采用"一对一"比对进行实名核验,确保旅客身份与证件一致;手机支付和网银登录利用"一对一"人脸识别进行用户身份验证,提升交易安全性。
2.“一对多”,辨识特定个人(“一对多”对比,发现和识别具有特定身份的个人)。这也是目前最普遍和常见的人脸信息使用的场景。"一对多"比对常用于公安系统,帮助追踪犯罪嫌疑人或寻找失踪人员;商场和办公楼的安防系统也利用"一对多"识别检测重点关注人员,提高安全防范能力。此外,学校考勤、酒店自助入住、社交平台身份认证等也依赖人脸识别进行身份确认和管理。
其他场景比如技术研发、算法训练等过程中涉及的人脸信息处理活动不适用于本《办法》,但仍需遵循其他相关适用的数据合规法律法规。
二、新规有哪些关注要点?
1.《办法》新增人脸信息的监管备案义务。个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。
人脸信息的监管备案义务是目前继个人信息出境、大模型算法备案之外的监管直接参与监督的合规义务,凸显了人脸信息作为敏感个人数据的特殊监管地位和重要性,延续了我国在高风险场景的强监管思路,进一步强化了企业在生物识别数据管理中的主体责任。
2.《办法》明确了人脸识别技术应用安全规范。
一是实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。国家另有规定的,从其规定。
二是应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施。
三是任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
四是在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。
五是人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。
六是除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。
以上要求在已发布的国家标准、司法解释等有不同程度的规定,如《GB/T 44248-2024 信息技术 生物特征识别 人脸识别系统应用要求》规定了人脸识别系统应用从规划与评估、施工与验收、系统运维与终止、应用管理等方面的要求,《GB/T 41819-2022 信息安全技术 人脸识别数据安全要求》从人脸识别数据的全生命周期明确了数据收集、存储、使用、传输、提供、公开、删除等各环节的具体处理活动的安全要求,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的解释》列明了八项违规处理人脸识别信息的行为,并明确了滥用人脸识别信息应当承担侵害自然人人格权益的民事责任等,相关要求也在业界得到广泛认可和实践落地,此次《办法》发布使这些要求得以“转正”和进一步明确,为企业在人脸识别技术应用方面提供了更明确的合规建设依据和更系统清晰的合规指引。
3.《办法》在《个人信息保护法》上位法规定的基础上进一步强调了应用人脸识别技术处理的处理规则。
一是应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。
二是应当履行告知义务。
三是基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。
四是应当事前进行个人信息保护影响评估,并对处理情况进行记录。
以上目的限制、最小必要、单独同意、未成年人保护、个人信息保护影响评估等合规义务在《个人信息保护法》中第六条、第二十九条、第三十一条、第五十五条等均有明确规定,《办法》进一步强调了相关合规义务的重要性。
三、新规为何在此时发布?
(一)立法沿革:从原则性规范到场景化治理的进阶
《办法》的出台标志着我国个人信息保护体系从《个人信息保护法》的综合性规则向垂直领域专项立法的深化。2019年《个人信息保护法》首次将生物识别信息纳入敏感数据范畴,但实践中人脸识别技术的滥用仍屡禁不止。例如,2024年舟山某房地产企业未经许可采集看房客户人脸信息用于佣金结算,2025年上海某游泳馆在更衣室违规安装人脸设备等案件,凸显出传统立法在技术场景适配性上的不足。《办法》的制定,既是落实《个人信息保护法》第六十二条“制定人脸识别新技术、新应用专项规则”的要求,也是针对人脸信息泄露、胁迫性使用等问题的精准回应。
(二)现实动因:技术滥用风险倒逼监管升级
近年人脸识别技术泛化应用引发多重争议:一是公共领域过度采集,如部分小区将人脸识别作为唯一出入方式,侵犯公民选择权;二是私密空间违规部署,如酒店客房、公共浴室安装设备威胁隐私安全;三是未成年人保护缺位,如在线教育平台通过表情分析收集学生生物信息。《办法》通过典型案例导向的规则设计,将社会关切的痛点问题转化为可操作的合规要求。
四、从新规看监管趋势?
(一)动态平衡:促发展,保安全
在2023年8月8日国家网信办发布的《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称“《征求意见稿》”)中,曾将向监管备案义务的“门槛”设置为“在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者”,而此次《办法》发布对这一合规义务适当放松为“存储人脸信息数量达到10万人”。此外相较于《征求意见稿》“应当优先选择非生物特征识别技术方案”的导向性要求,《办法》允许保留人脸识别技术选项供个人信息主体选择,且与其他非人脸识别技术不设置选项的优先级差异。均体现了在安全的前提下监管对数据合规要求的动态优化和发展适配。
(二)监管范式:全生命周期管理叠加场景分级管控
《办法》创新性地构建了“技术应用全流程+场景风险分级”的双轨监管模型。一方面,要求企业对数据采集、存储、传输、销毁等环节实施闭环管理,例如人脸信息原则上须本地化存储,禁止互联网传输;另一方面,根据场景敏感度差异设定分级规则,如公共场所设备安装需以公共安全为必要前提,且严格禁止在私密空间部署。这种“纵向穿透+横向分层”的监管框架,体现了精细化治理思路。
五、新规对企业有哪些影响?
企业在部分业务场景中已经或可能应用人脸识别技术,例如手机终端设备解锁,为用户提供更智能和便捷的使用体验;再例如外场工作身份核验或实验室智能门禁管理,以确保身份真实性和操作可追溯,提升工作的安全性与便捷性。因此基于企业业务场景特性,企业需关注和落地《办法》相关合规义务和监管要求,具体包括以下要点:
(一)目的限制和最小化原则:开展人脸识别应用技术替代性审查
1.多方式验证身份的产品隐私保护设计:涉及身份验证的业务流程(如 APP 登录、线下服务核验身份)需同步提供至少一种非人脸识别方式(如短信验证码、实体证件核验),且技术上需避免 “默认勾选” 或 “跳过按钮隐藏” 等设计诱导用户偏向人脸识别方式,以满足其他验证方式“合理、便捷”的要求。
2.技术替代性论证:如人脸识别技术需作为唯一验证方式,企业需针对具体业务场景形成多模态验证方式的对比分析报告,充分论证人脸识别技术在目的达成或业务要求达成的不可替代性,如论证其他验证方式在验证准确性、验证效率存在明显差距、采用其他验证方式将使得企业额外承担明显不合理的商业成本等。
(二)存储与传输安全:从 “云端管控” 到 “端侧闭环”
《办法》第八条将“端侧存储”的推荐性国家标准要求升级为强制性合规义务,要求人脸信息应当存储于人脸识别终端设备内(如用户终端,或者数据采集系统的本地终端),在未经个人单独同意(如弹窗、勾选框勾选同意等)或者法律另有规定的情况下,不得通过互联网对外传输(例如向云端传输)。相较于传统数据存储规则,该条款通过物理隔离手段大幅降低数据泄露风险,关于人脸信息存储策略,企业需注意以下要点:
1.人脸识别数据实现“非必要不存储”,确保“用完即删”或匿名化处理;
2.人脸识别数据如需存储应实现端侧存储,如需云端存储或对外传输,在产品设计上需设置弹窗或者勾选框获取个人单独同意,在技术上需针对数据存储和传输进行加密。
3.人脸识别进行云端存储,需对存储数据规模进行动态监测,如达备案阈值需及时进行备案。
(三)监管备案新规:从 “事后监管” 到 “规模触发式动态管控”
《办法》第十五条创设10万人脸信息存储量备案触发机制,要求企业在符合条件的情况下应向省级以上网信部门提交包含处理规则、安全措施及评估报告等内容的备案材料,并要求备案信息发生实质性变更时需履行备案变更,终止应用人脸识别技术的需履行备案注销。企业需注意以下要点:
1.数据规模监测机制:
1)针对存量的应用人脸识别技术处理的人脸信息存储,建议企业盘点存储的系统分布及存储量,如企业应用人脸识别技术处理的人脸信息存储数量达到10万人以上,企业应根据《公告》中的要求和流程向所在地省级网信部门履行备案手续。
2)针对新增的应用人脸识别技术处理的人脸信息存储,建议建立人脸信息采集量动态统计系统,设置阈值预警功能,如人脸信息存储数量级发生实质性变更或数据处理方式发送实质性改变时,需提交或变更监管备案信息。
2.数据规模统计口径:
1)从数量统计维度,建议数量统计按照是否达到“10万人”人脸信息的自然人维度统计;统计周期上建议以企业历史存量进行累积统计;一般认为“用后即删”的缓存数据、企业无法远程访问的端侧存储数据不属于统计范围。
2)从数据处理目的维度,根据《办法》第三条规定境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的情况不适用《办法》规定,因此人脸识别技术研发、算法训练(如采购人脸识别数据进行模型训练)场景下的数据存储不纳入统计范围。
3.监管备案时间和方式:
1)备案时间方面:
如在《办法》生效后,即自2025年6月1日起,企业的应用人脸识别技术处理的人脸信息存储数量达到10万人的,应当自数量达到之日起30个工作日内履行备案手续。
如在《办法》生效前,即2025年6月1日前,企业的应用人脸识别技术处理的人脸信息存储数量已经达到10万人的,应当在2025年7月14日前履行备案手续.
备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。实质性变更包括:个人信息处理者基本信息、法定代表人信息、经办人信息等发生变化的;相关主营业务场景、涉及行业/领域、人脸信息处理目的、方式、涉及自然人数量级、人脸信息存储数量级、采取的安全保护措施、处理规则、操作规程等发生变化的;个人信息保护影响评估报告中评估工作情况、人脸识别技术应用整体情况、人脸识别技术应用的影响评估情况、人脸识别技术应用影响评估结论等发生变化的。
2)备案方式方面,人脸识别技术应用备案采用线上方式。可直接访问“个人信息保护业务系统”(https://grxxbh.cacdtsc.cn),按照系统首页提供的《人脸识别技术应用备案系统填报说明(第一版)》,准备相关材料并履行备案手续,也可从中国网信网(https://www.cac.gov.cn)首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。
3)备案实体方面,如以集团公司等形式运营、有多个分支机构,可以由总部统一履行备案手续;如多个个人信息处理者存在关联关系(多个子公司、办公区、连锁店、第三方服务企业等),且人脸识别技术应用的目的、必要性以及人脸信息处理方式、范围一致的,可以合并履行备案手续。
本文作者:F.Y,Y.YX,L.YSh
免责声明
本文所述信息均来自合法公开渠道,我们不对信息的真实性、完整性或准确性作出任何形式的明示或暗示的保证。本文内容仅供分享、交流和学习之用,任何人不应将本文的全部或部分内容作为决策依据。因依赖本文内容所造成的任何后果,由行为人自行承担全部责任。本免责声明不构成法律、财务、医疗或其他专业建议,建议在做出任何决定前咨询相关专业人士。
声明:本文来自合规小叨客,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
