【
智慧城市网 政策法规】近日,国家互联网信息办公室与公安部联合发布了《
人脸识别技术应用安全管理办法》(以下简称《办法》),这是我国首部专门针对人脸识别技术应用的部门规章,将于2025年6月1日起正式施行。该《办法》的出台标志着我国对人脸识别技术的监管进入精细化阶段,在促进技术合理应用的同时,进一步强化了个人信息保护,特别是敏感的
生物识别信息安全。
《办法》首先明确了适用范围,规定在中华人民共和国境内应用人脸识别技术处理人脸信息的活动需遵守相关规定,但不包括纯技术研发和算法训练场景。这一界定既考虑了技术发展的需要,又对实际应用中的数据处理行为进行了严格规范。值得注意的是,《办法》特别强调,经过匿名化处理的人脸信息不属于监管范围,这与《个人信息保护法》对生物识别信息的定义保持一致,为企业合规提供了清晰指引。
在基本原则方面,《办法》确立了“最小必要”“知情同意”“权益保障”三大核心要求。具体而言,人脸识别技术的应用必须具有特定目的和充分必要性,不得无差别采集人脸信息。个人信息处理者需以显著方式向用户告知处理目的、保存期限等关键信息,并取得单独同意。对于未成年人,还需获得监护人的明确授权。此外,个人有权随时撤回同意,且企业必须提供便捷的撤回渠道。这些规定充分体现了对个人隐私权的尊重,同时也对企业的数据治理能力提出了更高要求。
在数据安全管理上,《办法》提出了严格的存储和传输限制。原则上,人脸信息应当存储于人脸识别设备本地,不得通过互联网对外传输,除非法律另有规定或取得个人单独同意。同时,信息的保存期限不得超过实现处理目的所需的最短时间,超期后需及时删除或匿名化处理。这些规定旨在从源头降低数据泄露风险,防止人脸信息被滥用或非法交易。
针对技术应用的具体场景,《办法》作出了细致规定。例如,在公共场所安装人脸识别设备必须出于维护公共安全的需要,并设置显著提示标识,而宾馆客房、公共浴室等私密空间则明确禁止安装。在身份验证场景中,企业不得将人脸识别作为唯一验证方式,必须提供其他合理、便捷的替代方案。这些条款直击社会关注的“强制刷脸”等问题,有效平衡了技术便利与个人权益保护。
为确保合规落地,《办法》建立了备案与监管机制。存储人脸信息达到10万人的企业需向省级以上网信部门备案,提交处理目的、安全措施、评估报告等材料。网信部门和公安机关将协同开展监督检查,公众也可对违法行为进行投诉举报。这种“企业自律+行政监管+社会监督”的多维机制,有助于形成长效治理格局。
对于企业而言,《办法》的实施意味着合规门槛的显著提高。相关主体需尽快开展业务自查,优化数据采集、存储和销毁流程,同时加强技术防护措施,如部署数据脱敏工具和反欺诈系统。在法律责任方面,违规行为可能面临行政处罚,甚至刑事责任,企业应高度重视,避免因合规疏漏导致重大风险。
总体来看,《办法》的出台是我国数字治理领域的重要进展。它既为人脸识别技术的合理应用保留了空间,又通过清晰的规则边界防范技术滥用,为行业健康有序发展提供了制度保障。随着2025年6月施行日期的临近,相关企业和机构应提前布局,确保业务模式与监管要求相匹配,在合规前提下推动技术创新与社会价值共赢。
