措施用于人脸识别技术应用的安全管理
AI智能总结
中国互联网信息办公室 公安部门 订单号:19 The面部识别技术应用安全管理的测量方法经审查并于2024年9月30日在中国国家互联网信息办公室(CAC)第23次执行会议上通过,并由公安部批准。《措施》现予以发布并自发布之日起生效。 对2025年6月1日的影响。 中国网信办主任 庄荣文(庄荣文) 公安部部长 王晓洪(王洪) 2025年3月13日 关于面部识别技术安全管理措施 应用 文章1这些措施旨在根据规定,规范使用人脸识别技术处理面部信息,以保护个人信息权利和利益。中华人民共和国网络安全法,1the中华人民共和国数据安全法,2the中华人民共和国个人信息保护法,3the网络安全数据管理法规(网络数据安全管理条例),以及其他法律法规和行政法规。 文章2这些措施适用于在中国(中华人民共和国)使用面部识别技术处理面部信息的活动。4 这些措施不适用于在中国境内使用面部识别技术处理面部信息进行研发或算法训练的目的。 第3条使用人脸识别技术处理人脸信息的活动应当遵守法律法规,尊重社会公德和伦理,遵守商业和专业伦理,诚实守信,履行保护个人信息的义务,对社会承担责任,不得危害国家安全或公共利益,不得损害个人的合法权益。 文章4使用人脸识别技术处理面部信息应具有特定的目的和充分必要性,采用影响个人权利和利益最小的方法,并实施严格保护措施。 第五条在使用人脸识别技术处理面部信息之前,个人信息处理器应以醒目的方式,用清晰、易于理解的语言,真实、准确、全面地向个人告知以下内容: (1)个人信息处理者的名称和联系信息; (2) 处理面部信息的目的和方法,以及保留期限; (3)处理所述面部信息之必要性及其对个人权利和利益的潜在影响; (4)个人行使法律权利的方法和程序; (5) 法律和行政法规要求的其他事项。 如果上述任何事项发生变化,必须通知个人更新后的内容。 在法律法规或行政规章规定无需通知的情况下,此类规定应予优先适用。 处理残疾人或老年人的面部信息也必须遵守关于无障碍环境的national regulations。 第六条在基于个人同意处理面部信息的情况下,必须分别且自愿地在完全知情的情况下获得此类同意。在法律法规或行政规章规定必须获得书面同意方可处理面部信息时,此类规定优先适用。 在基于个人同意处理面部信息的情况下,个人有权撤回该同意。个人信息处理器应提供方便快捷的撤回同意的方式。个人撤回同意不影响基于个人同意在撤回之前进行的个人信息处理活动的有效性。 第七条在基于个人同意处理 14 岁以下未成年人面部信息的情况下,必须从该未成年人的父母或其他监护人处获得同意。 在使用人脸识别技术处理14周岁以下未成年人的面部信息时,个人信息处理器应制定专门的处理规则,包括此类信息的存储、使用、转移和披露,并依法保护未成年人的个人信息。 第八条除非法律或行政法规另有规定,或者已获得单独的个体同意,面部信息应存储在面部识别设备内,不得通过互联网向外传输。 除非法律或行政法规另有规定,面部信息的保留期限不得超过实现处理目的所需的最短时间。 第9条个人信息处理者在使用面部识别技术处理面部信息时,应事先进行个人信息保护影响评估并记录处理活动。个人信息保护影响评估应主要包含以下内容: (1)处理面部信息的目的是否合法、正当以及必要。 (2) 个人权利和利益的影响,以及缓解不利影响的措施的有效性; (3) 面部信息泄露、篡改、丢失、损坏或非法获取、出售或使用的风险,以及可能由此产生的潜在危害; (4)所采取的保护措施是否合法、有效,以及是否与风险水平成比例。 个人信息安全影响评估报告及处理记录应保存至少三年。如果发生处理面部信息的目的或方法变更,或者发生重大安全事故,应重新开展个人信息保护影响评估。 第10条在存在其他可实现同样目的或满足等效业务要求的非面部识别技术方法的情况下,面部识别技术不应作为唯一身份验证手段。如果个人不同意通过面部信息进行身份验证,应提供其他合理、便捷和快速的替代方案。 在其他国家规定关于面部识别的使用有其他规定的情况下 身份验证的识别技术,此类规定应优先适用。 第十一条在使用面部识别技术验证个人身份或识别特定个体时,鼓励优先使用国家人口基础信息库(国家人口基础信息库)和国家网络身份认证公共服务等渠道,以减少面部信息的收集和存储,并保障其安全。 第12条任何组织或个人均不得以业务处理或提升服务质量为由,误导、欺诈或胁迫个人接受通过人脸识别技术进行身份验证。 第十三条公共空间中安装面部识别设备必须为维护公共安全所必需。面部信息采集区域应当合法、合理地界定,并需展示清晰的标识。 任何组织或个人不得在公共场所的私人区域,如酒店客房、公共浴室、公共更衣室或公共洗手间内安装人脸识别设备。 第十四条系统应用人脸识别技术应采取诸如数据加密、安全审计、访问控制、授权管理、入侵检测和入侵预防等措施来保护人脸信息安全。对于涉及网络安全或关键信息基础设施等级保护的系统,应按照相关国家规定履行网络安全和关键信息基础设施保护的相关义务。 第十五条当通过面部识别技术应用存储的面部信息数量达到100,000人时,个人信息处理者在自该日期起30个营业日内,应当向省级行政或以上级别的当地网信部门完成备案手续。备案申请应包括以下材料: (2) 面部信息处理的目的和方法;(1) 个人信息处理器的基本信息; (3) 存储的人脸信息数量和相应的安全保护措施; (5) 个人信息保护影响评估报告。(4) 面部信息处理规则和操作规程 在飞行的信息发生实质性变更时,应当自变更之日起30个营业日内完成飞行变更程序。在面部识别技术应用终止后,应当自终止之日起30个营业日内完成飞行取消程序,并依法处理面部信息。 第十六条网络管理部门应与公安部门和负责个人信息保护的其他部门协调,建立和完善信息共享和通知机制,并共同开展相关工作。 网络空间管理机构、公安部门和负责个人信息保护的其他部门,应当依法对涉及人脸识别技术的个人信息处理活动进行监督和检查。个人信息处理者应当依法予以配合。 第十七条任何组织或个人均有权向负责个人信息保护的部门投诉或报告关于非法使用人脸识别技术处理人脸信息的案件。接收此类投诉或报告的部门应立即依法处理,并应通知投诉人或举报人处理结果。 第18条违反这些措施应按照相关法律法规处理。若构成犯罪,应依法追究刑事责任。 第19条关于这些措施,以下术语定义如下: (1)个人信息处理器:独立决定个人信息处理活动目的和方法的组织或个人。 (2) 面部信息:与被识别或可识别的自然人的面部特征相关的生物识别信息,以电子方式或其他方式记录;不包括匿名信息。 (3) 面部识别技术:利用面部信息进行生物特征识别的技术,用以区分个人的身份。 (4) 人脸识别设备:一种使用人脸识别技术来区分个人身份的终端设备。 身份验证:将收集到的面部信息与信息系统存储的面部信息进行一对一比较,以确认两者是否匹配并指向同一人。 (6)特定个体的识别:通过将收集到的面部信息与信息系统中特定范围内的存储面部信息进行“一对多”比较,用于发现和识别具有特定身份的个体。 第二十条 这些措施将于2025年6月1日起生效。
