人脸识别技术应用安全管理办法

Translation下列法规定义了中国面部识别技术的可接受使用。其保护面部数据隐私的措施包括规定此类数据必须保持在原始收集设备上，而不是通过互联网传输，并且个人必须拥有除人脸识别之外的另一个身份验证选项才能登录应用程序。网站。该法规存在一个漏洞，允许对脸书的看似不受限制的使用。研发和AI模型训练的识别技术。标题面部识别技术应用安全管理的措施人脸识别技术应用安全管理办法作者 CyberspaceAdministrationofChina(CAC;国家互联网信息办公室;国家网信办)andMinistryofPubSleiccurity(Ministryof PublicSecurity)来源CAC网站。这些措施日期为2025年3月13日，并于3月上传至网站。21,2025.中文源文本可在网上获取： https://www.cac.gov.cn/2025-03/21/c_1744174262156096.htm 一个在线上可用的中文源文本的非归档版本是： https://perma.cc/RKF7-GL2Q 翻译日期Translator编辑2025年4月1日Etcetera语言集团，股份有限公司BenMurphy,CSET翻译经理 面部识别技术应用安全管理的措施 中国网络空间管理局公安部 订单号19 The面部识别技术应用的安全管理措施经中国网络安全和信息化委员会（CAC）第23次ExecutiveMeeting于2024年9月30日审议通过并获批，现发布《措施》并自发布之日起施行。 于2025年6月1日生效。 中国国家互联网信息办公室主任庄荣文(ZhuangRongwen) 公安部部长王小洪(WangXiaohong) 人脸识别技术的安全管理措施 应用 2025年3月13日 Article1这些措施旨在规范人脸识别技术在处理人脸信息方面的使用，并保护个人信息 权利和利益，根据《中华人民共和国网络安全法》,1the《中华人民共和国数据安全 法》,2 the《中华人民共和国个人信息保护法》,3 the 关于网络数据安全管理的监管：(网络数据安全管理条例),和其他法律法规。 文章2TheseMeasuresapplytoactivitiesusingfacialrecognitiontechnologytoprocessfacialinformationwithinthePeople'sRepublicofChina(PRC).4 这些措施不适用于在中华人民共和国境内将人脸识别技术用于处理人脸信息以进行研发或算法训练之目的。 Article3使用面部识别技术处理面部信息的活动应当遵守法律法规，尊重社会道德和伦理，遵守商业和专业伦理，诚实守信，履行保护个人信息的义务，对社会承担责任，不得危害国家安全或公共利益，或者侵害个人的合法权利和利益。 1译注：英文翻译网络安全法在线提供： https://digichina.stanford.edu/work/translation-cybersecurity-law-of-the-peoples-republic-of-china-effective-june-1-2017/ . 2译注：英文翻译数据安全法isavailableonlineat:. https://www.chinalawtranslate.com/en/datasecuritylaw/ 3译注：英文翻译个人信息保护法在线提供： https://digichina.stanford.edu/work/translation-personal-information-protection-law-of-the-peoples-republic-of-china-effective-nov-1-2021/ . 4译注：中文词语“境內”jìngnèi，全文译为“在中国境内”，字面意思是“在大陆边界之内”。中国视香港、澳门和台湾为中国的组成部分，但并非视为“在中国境内”。 第四条使用面部识别技术处理面部信息应当具有明确的目的和充分的必要性，采取对个人权利和利益影响最小化的方法，并实施严格的保护措施。 第五条在使用人脸识别技术处理人脸信息之前，个人信息处理者应当以显著方式，使用清晰易懂的语言，真实、准确、全面地告知个人下列信息： (1)个人信息处理者的名称和联系方式； (2)处理面部信息的目的和方法，以及保留期限； (3)处理所述面部信息的必要性及其对个人权利和利益的潜在影响； (4)个人行使其法定权利的方法和程序； (5)其他依照法律和行政法规规定需要办理的事项。 如果上述任何事项发生变化，个人必须收到有关更新内容的通知。 若法律或行政规章规定无需通知，则该等规定应优先适用。 处理残疾人或老年人的面部信息必须遵守有关无障碍环境的国家法规。 第六条在基于个人同意进行处理的面部信息情况下，必须以完全知情的方式单独自愿获取该同意。如法律法规或行政规章规定处理面部信息必须取得书面同意，则相关规定优先适用。 基于个人同意处理面部信息时，个人有权撤销该同意。个人信息处理者应提供便捷快速的同意撤回方式。个人撤销同意不影响其撤销前基于个人同意已进行的个人信息处理活动的有效性。 第七条根据个人同意处理14岁以下未成年人面部信息的，必须从该未成年人的父母或其他监护人处获得同意。 在使用人脸识别技术处理14岁以下未成年人面部信息时，个人信息处理者应制定专门的处理规则，对存储、使用、传输和披露此类信息进行规范，并依法保护未成年人的个人信息。 第八条除非法律或行政法规另有规定，或已获得单独的个人同意，面部信息应存储在面部识别设备中，并不得通过互联网传输外部。 除非法律或行政规章另有规定，人脸信息的保存期限不得超过实现处理目的所必需的最短时间。 第九条应用面部识别技术处理面部信息的个人信息处理器，应当在事先进行个人信息保护影响评估，并记录处理活动。个人信息保护影响评估主要应包括以下内容： (1)处理面部信息的目的和方法是否合法、正当且必要； (2)对个人权利和利益的影响，以及减轻不利影响措施的有效性； (3)人脸信息泄露、被篡改、丢失、损坏，或被非法获取、出售或使用所存在的风险，以及可能由此造成的潜在损害； (4)所采取的保护措施是否合法、有效且与风险程度相称。 个人信息保护影响评估报告和处理记录应至少保留三年。如果面部信息的处理目的或方法发生变更，或发生重大安全事件，则需开展新的个人信息保护影响评估。 第10条在存在其他非面部识别技术方法能够实现相同目的或满足同等业务需求的情况下，面部识别技术不得作为身份验证的唯一手段。如果个人不通过面部信息同意进行身份验证，则应提供其他合理、便捷且快速的替代方案。 Whereothernationalregulationsprovideotherwiseregardingtheuseoffacial 身份验证用的识别技术，此类规定应优先适用。 第11条在使用人脸识别技术验证个人身份或识别特定个体时，建议优先采用国家人口基础信息库（国家人口基础信息库）和国家网络身份认证公共服务（国家网络身份认证公共服务）等渠道，以减少人脸信息的收集和存储并保障其安全。 第十二条任何组织或个人均不得以业务处理或提升服务质量为由，误导、欺诈或胁迫个人接受面部识别技术进行身份验证。 第十三条在公共场所安装人脸识别设备对于维护公共安全而言是必要的。人脸信息采集区域必须依法、合理界定，并必须设置清晰的标识。 任何组织或个人不得在公共场所的私人区域安装人脸识别设备，例如酒店客房、公共浴室、公共更衣室或公共卫生间。 第14条应用人脸识别技术的系统应当采取数据加密、安全审计、访问控制、授权管理 、入侵检测和入侵防御等措施，以保护人脸信息安全。若此类系统涉及网络安全或关键信息基础设施的分级保护（等级保护），则应依照相关国家法规履行网络安全分级保护和关键信息基础设施保护义务。 第十五条当通过人脸识别技术应用存储的人脸信息数量达到10万人时，个人信息处理器应自该日起30个工作日内，完成向省级以上地方网信部门的人脸信息注销手续。注销申请应包括以下材料： (1)个人信息处理器的基础信息； (2)面部信息处理的宗旨和方法； (3)存储的面部信息的数量及相应的安全保护措施； (4)处理面部信息的规则和操作程序；(5)个人信息保护影响评估报告。 当主体信息发生实质性变更时，应自变更之日起30个工作日内完成对主体信息的变更程序。面部识别技术应用终止时，应自终止之日起30个工作日内完成对主体信息的注销程序，并对面部信息依法进行处理。 第十六条网络主管部门，在协调公安机关和其他负责个人信息保护部门的配合下，应建立和完善信息共享和通知机制，并联合开展相关工作。 网络空间管理部门、公安机关以及其他负责个人信息保护的部门，应当依法对涉及人脸识别技术的个人信息处理活动进行监督管理。个人信息处理者应当依法配合。 第十七条任何组织或个人都有权向个人信息保护主管部门投诉或举报非法使用人脸识别技术处理人脸信息的行为。收到相关投诉或举报的主管部门应当及时依法处理，并通知投诉人或者举报人处理结果。 第18条违反这些条例的处理应依照相关法律和行政法规。如构成犯罪，则依法追究刑事责任。 第十九条根据这些措施的宗旨，以下术语定义如下： (1)个人信息处理器：独立决定个人信息处理活动目的和方法的组织或个人。 (2)面部信息：与已识别或可识别的自然人的面部特征相关的生物识别信息，以电子方式或其他方式记录；不包括匿名化信息。 (3)人脸识别技术：利用人脸信息来识别个人身份的生物特征识别技术。 (4)人脸识别设备：一种使用人脸识别技术来区分个人身份的终端设备。 (5)身份验证：将收集到的面部信息与信息系统中的存储面部信息进行一对一比较，以确认两者是否匹配并指向同一个人。 (6)识别特定个体：将收集到的面部信息与信息系统中特定范围内存储的面部信息进行“一对多”比较，用于发现和识别具有特定身份的个体。 第20条本《措施》将于2025年6月1日生效。