网信办：存储超过万人人脸信息的人脸识别技术使用者应备案

C114新闻8月8日讯(宜颜)为规范人脸识别技术应用，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，国家互联网信息办公室起草了《人脸识别技术应用安全管理规定(试行)》(征求意见稿)，现向社会公开征求意见。

《意见稿》提出，人脸识别技术的使用者应当事先进行个人信息保护影响评估，并记录处理情况。人脸识别技术使用者在公共场所使用人脸识别技术，或者存储1万人以上人脸信息的，应当在30个工作日内向所在地市级以上网信部门备案。

以下是意见稿全文:

人脸识别技术安全管理规定(试行)

(征求意见稿)

第一条为了规范人脸识别技术的应用，保护个人信息等人身财产权益，维护社会秩序和公共安全，根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》，制定本规定。

第二条在中华人民共和国境内使用人脸识别技术处理人脸信息，提供人脸识别技术产品或服务，应当遵守本规定。法律、行政法规另有规定的，从其规定。

第三条使用人脸识别技术应当遵守法律法规，遵守公共秩序，尊重社会公德，承担社会责任，履行个人信息保护义务，不得利用人脸识别技术从事危害国家安全、损害公共利益、扰乱社会秩序、侵犯个人和组织合法权益等法律法规禁止的活动。

第四条人脸识别技术只有在有特定目的、有充分必要性并采取严格保护措施的情况下，才能用于处理人脸信息。为达到相同的目的或满足相同的业务需求，如果有其他非生物特征识别技术方案，应优先采用非生物特征识别技术方案。

采用人脸识别技术验证个人身份、识别特定自然人的，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。

第五条利用人脸识别技术处理人脸信息，应当依法取得个人同意或者书面同意。除非法律、行政法规规定不需要本人同意。

第六条酒店客房、公共浴室、更衣室、浴室等可能侵犯他人隐私的场所不得配备图像采集和个人识别设备。

第七条在公共场所安装图像采集和个人识别设备，应当维护公共安全，遵守国家有关规定，并设置明显标志。

在公共场所安装图像采集和个人识别设备的建设、使用、运营、维护单位，对获取的个人图像和个人识别信息负有保密义务，不得非法向外界泄露或者提供。所收集的个人图像和身份信息只能用于维护公共安全的目的，不得用于其他目的；除非得到个人同意。

第八条组织内部管理安装图像采集和个人识别设备的，应当根据实际需要合理确定图像信息采集区域，采取严格的保护措施，防止个人图像被非法获取、复制、泄露、对外提供和传播，防止个人信息被泄露、篡改、丢失或者被非法获取、使用。

第九条酒店、银行、火车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所不得以办理业务、提高服务质量为由，强制、误导、欺骗或者胁迫个人接受人脸识别技术验证个人身份，法律、行政法规规定的除外。

个人自愿选择使用人脸识别技术验证个人身份的，应当确保充分知情并主动参与。在验证过程中，应立即用清晰的语音或文字清楚地表明身份验证的目的。

第十条在公共场所、经营场所使用人脸识别技术，以远距离、无感方式识别特定自然人，为维护国家安全、公共安全或者在紧急情况下保护自然人生命健康和财产安全所必需，由个人或者利害关系人主动提出。

使用人脸识别技术的用户，应个人或利害关系人的请求，远距离、无意识地使用人脸识别技术识别特定个人或利害关系人的，应当将相关服务限制在最低限度的必要时间、地点或人群，不得关联与个人请求无直接、必然联系的个人信息。

第十一条任何组织或者个人不得利用人脸识别技术分析种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息。，但为维护国家安全、公共安全或者在紧急情况下保护自然人的生命、健康和财产安全，或者征得个人自主同意的除外。

第十二条涉及社会救助、不动产处置等个人切身利益的，不得使用人脸识别技术代替人工验证个人身份，人脸识别技术可以作为验证个人身份的辅助手段。

第十三条人脸识别技术的使用者在处理未满14周岁未成年人的人脸信息时，应当征得未成年人父母或者其他监护人的个人同意或者书面同意。

未成年人的父母或者其他监护人应当正确履行监护职责，教育引导未满14周岁的未成年人增强个人信息保护意识和能力。

第十四条物业服务企业等楼宇管理人不得将人脸识别技术验证个人身份作为进出物业管理区域的唯一途径。个人不同意通过人脸信息进行身份验证的，物业服务企业等楼宇管理人应当提供其他合理便捷的身份验证方式。

第十五条人脸识别技术的使用者应当事先评估个人信息保护的影响，并记录处理情况。

个人信息保护影响评估主要包括以下内容:

(一)是否符合法律、行政法规的规定和国家标准的强制性要求，是否符合伦理；

(2)面孔信息的加工是否有特定的目的和充分的必要性；

(三)是否限于达到目的所必需的精度、准确度和距离要求；

(4)所采取的防护措施是否合法有效，是否与风险程度相适应；

(五)人脸信息被泄露、篡改、丢失、损毁或者被非法获取、使用的风险及可能造成的危害；

(六)对个人权益可能造成的损害和影响，以及减少不利影响的措施是否有效。

个人信息保护影响评估报告应当至少保存三年。如果处理人脸信息的目的和方式发生变化，或者发生重大安全事件，人脸识别技术的使用者应当重新评估个人信息保护的影响。

第十六条人脸识别技术使用者在公共场所使用人脸识别技术或者存储1万人以上人脸信息的，应当在30个工作日内向所在地市级以上网信部门备案。备案应当提交下列材料:

(一)人脸识别技术使用者和个人信息保护负责人的基本情况；

(二)人脸信息处理的必要性；

(3)人脸信息的处理目的、处理方式和安全保护措施；

(4)人脸信息的处理规则和操作流程；

(五)个人信息保护影响评估报告；

(六)网信部门认为必要的其他材料。

有法律、行政法规要求人脸识别技术使用者对人脸信息保密的，适用相关规定。

备案信息发生实质性变更的，应当自变更之日起20个工作日内办理备案变更手续。终止使用人脸识别技术的，应当自终止之日起30个工作日内办理备案和注销手续。

第十七条除法定条件或者个人同意外，人脸识别技术的使用者不得保存人脸的原始图像、图片和视频，但匿名人脸信息除外。

向公众提供人脸识别技术服务，相关技术系统应当满足三级以上网络安全等级保护的保护要求，采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。属于关键信息基础设施的，还应当符合关键信息基础设施安全保护的相关要求。

第十八条使用人脸识别技术处理人脸信息应当尽量避免收集与提供服务无关的人脸信息，如不可避免，应当及时删除或者匿名。

第十九条人脸识别技术的使用者应当对图像采集设备和个人识别设备的安全性和可能存在的风险进行年度检查和评估，并根据检查和评估完善安全策略，调整置信度阈值，采取有效措施保护图像采集设备和个人识别设备免受攻击、入侵、干扰和破坏。

第二十条根据国家有关规定列入《网络关键设备和网络安全专用产品目录》的图像采集设备和个人识别设备，应当按照国家有关标准的强制性要求，经有资质的机构认证或者检测符合要求后，方可销售或者提供。

第二十一条网信部门应当会同电信主管部门、公安机关、市场监管部门等有关部门，加强对人脸识别技术使用情况的监督检查，指导督促人脸识别技术使用者履行备案手续，及时发现安全隐患并督促其限期整改。

人脸识别技术的用户、产品或者服务提供者应当配合有关部门依法实施的监督检查。

第二十二条任何组织或者个人发现违反本规定的行为，可以向网信、电信、公安、市场监管等有关部门投诉和举报。

网信、电信、公安、市场监管等相关部门接到相关投诉举报的，应当按照职责进行处理。

第二十三条人脸识别技术的使用者或者相关产品、服务提供者违反本规定的，由互联网信息、电信、公安、市场监管等有关部门在职责范围内，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规进行处罚。违反《治安管理处罚法》的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

违反本规定，给他人造成损害的，应当依法承担民事责任。

第二十四条本规定由国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局负责解释。

第二十五条本规定自* * * *年起施行。