摘要:国家互联网信息办公室、公安部联合公布的《人脸识别技术应用安全管理办法》(以下简称“办法”)将于2025年6月1日起施行,该办法对应用人脸识别技术处理人脸信息的基本要求和处理规则、人脸识别技术应用安全规范、监督管理职责等作出了规定。
走出去智库(CGGT)观察
国家互联网信息办公室、公安部联合公布的《人脸识别技术应用安全管理办法》(以下简称“办法”)将于2025年6月1日起施行,该办法对应用人脸识别技术处理人脸信息的基本要求和处理规则、人脸识别技术应用安全规范、监督管理职责等作出了规定。
走出去智库 (CGGT) 特约法律专家、北京德恒律师事务所合伙人王一楠认为,《办法》的出台标志着我国在特定场景下个人信息保护法律体系的进一步完善,细化了上位法对人脸识别技术应用的规范要求,更在关键环节进行了针对性创新,体现了"促进发展与保护安全并重"的立法理念。
应用人脸识别技术可以采取哪些合规措施?今天,走出去智库(CGGT)刊发王一楠、贾伟杰律师的文章,供关注AI合规的读者参考。
要点
1、在存在其他非人脸识别技术方式时,处理者也可以将人脸识别技术作为验证方式,但是必须提供非人脸识别技术的替代验证方式。
2、在个人首次使用应用人脸识别技术的产品或服务前,应通过《人脸信息处理规则》以显著方式(如字体加粗、颜色醒目、增大字号等)、清晰易懂的语言真实、准确、完整地向个人告知《办法》第五条要求告知的事项。
3、《办法》以“存储量”而非“累计存储量”作为备案触发基准,赋予人脸信息处理者灵活空间,允许处理者通过数据生命周期管理控制存储规模,定期清理冗余数据,将存储量动态控制在10万人以下,从而无需进行备案。
正文
引言
随着人脸识别技术在各行业的广泛应用,人脸信息的安全保护已成为社会各界关注的焦点。2025年4月,国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》(“办法”),该《办法》将于2025年6月1日起施行。作为个人信息保护法律体系的重要组成部分,《办法》针对人脸识别技术应用过程中的数据安全、个人隐私保护以及技术规范等方面提出了具体要求。
人脸信息作为敏感个人信息中的生物识别信息,具有唯一性、终身性和不可变更性等天然属性,一旦泄露或被非法使用,将对个人的人身和财产安全带来重大风险。近年来,人脸识别技术滥用、数据泄露、"刷脸"强制等问题时有发生,严重威胁公民个人信息安全。《办法》的出台,旨在规范人脸识别技术的应用,平衡技术创新与个人信息保护的关系,构建负责任的人脸识别应用生态环境。
本文将从目的明确和最小必要原则、强制刷脸的限制性规定、人脸信息处理规则、公共场所应用特别要求以及处理者义务等多个维度,对《办法》的核心条款进行解读,并结合实务经验,为企业提供切实可行的合规实施路径。
一、目的明确和最小必要原则
《办法》第四条开宗明义,明确了在处理者应用人脸识别技术处理人脸信息时,贯彻和落实“目的明确”和“最小必要”原则是降低安全风险最有效的途径。同时,鼓励处理者采取非人脸识别技术、国家网络身份认证公共服务等渠道、离线人脸识别技术等措施,尽量避免收集、传输和存储人脸信息,从风险源头进行杜绝和防范。
(一)对强制刷脸的限制性规定
1. 不得强制刷脸的情形
《办法》第十条规定:“实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。”《办法》的征求意见稿第四条曾提到:“存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。”相较之下可见,《办法》放宽了对处理者的要求——在存在其他非人脸识别技术方式时,处理者也可以将人脸识别技术作为验证方式,但是必须提供非人脸识别技术的替代验证方式。
这样一来,存在多种验证方式时,是否使用人脸识别技术的选择权就被交给了个人,而非处理者。例如,某会员制超市如需确认到场的客户是否会员卡持有者本人,此时使用人脸识别技术和人工现场判断均可实现该目的,则不得强制要求客户刷脸。另外,根据GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》,不应因个人不同意通过人脸识别技术进行身份验证而拒绝个人使用其他与身份验证无关的业务功能,亦不应频繁提示以获取用户对人脸识别技术的同意(例如在48小时内提示次数超过1次)。
至于是否构成“实现相同目的或者达到同等业务要求”,这个问题将在实践中成为个人与处理者之间的争议焦点。因为如果这个前提条件不满足,处理者则无需提供个人验证方式的选择权,而直接强制人脸识别技术。而现实中业务或场景千差万别,为了帮助大家理解在哪些情况下“实现相同目的或者达到同等业务要求”这个前提条件已满足,处理者应当提供个人验证方式的选择权,下文列举了一些行业监管规定:
●《医疗卫生机构网络安全管理办法》:各医疗卫生机构开展人脸识别或人脸辨识时,应同时提供非人脸识别的身份识别方式,不得因数据主体不同意收集人脸识别数据而拒绝数据主体使用其基本业务功能……
●《证券期货业网络和信息安全管理办法》:核心机构和经营机构……不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的客户身份认证方式,强制客户同意收集其个人生物特征信息。
●《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》:物业服务企业或者其他建筑物管理人以人脸识别作为业主或者物业使用人出入物业服务区域的唯一验证方式,不同意的业主或者物业使用人请求其提供其他合理验证方式的,人民法院依法予以支持。
可见,各行业监管规定对于禁止强制刷脸形成了统一趋势。处理者在落实《办法》要求时,应当同步关注行业特殊规定,并根据不同应用场景设计多元验证机制,从而更全面地保障用户选择权。
在实践中,有的处理者基于简化操作流程、降低运营成本等目的,会不当诱导个人选择人脸识别技术作为验证方式,例如默认勾选人脸识别技术方式、隐藏非人脸识别技术方式的入口、在用户拒绝人脸识别技术后直接退出App等。对此,《办法》第十二条明确要求:“任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。”
2.可以强制刷脸的例外
如上文所述,《办法》并未完全禁止强制刷脸。只有其他非人脸识别技术方式无法与人脸识别技术实现相同目的或者达到同等业务要求时,处理者是可以将人脸识别技术作为唯一验证方式的。根据GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》,应仅在人脸识别方式比非人脸识别方式更具安全性或便捷性时,采用人脸识别方式进行身份识别。
基于对目的明确和最小必要原则的理解,我们认为其他非人脸识别技术方式只要在安全性、便捷性等方面与人脸识别技术达到相近水平,即使用非人脸识别技术方式不会导致安全性、便捷性显著下降,即可视为达到“同等业务要求”。之所以要限制对“同等业务要求”的解释,是因为实践中有的处理者会打着“业务必需”的幌子,刻意强调仅能通过人脸识别实现的非必要需求。这种将非必要需求包装成“业务必需”的做法,实质上构成了对本条规定的不正当规避。例如,某社区门禁系统在IC卡、密码等传统验证方式已完全满足安全管理需求的情况下,物业公司提出“只有人脸识别才能实现无接触通行的业务要求”,这显然是不合理的。
当然,如果业务确实需要使用人脸识别技术作为唯一验证方式时,处理者应建立内部评估机制,客观记录人脸识别与其他可替代方案的效率、安全性和用户体验比较结果,并将评估结果作为支持强制使用人脸识别的证据保存,应对可能的监管问询或用户投诉。
(二)鼓励优先使用国家渠道
当个人不得不刷脸(只有人脸识别技术可以实现目的或者达到业务要求),或者个人在多种验证方式中自愿选择刷脸时,《办法》第十一条明确“鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施”。本条旨在改变以往需要个人在各个互联网平台分别进行人脸识别验证的模式,最大限度减少互联网平台以落实“实名制”为由超范围收集、使用公民人脸信息。
《国家网络身份认证公共服务管理办法(征求意见稿)》第七条提到:“互联网平台接入公共服务后,用户选择使用网号、网证登记、核验真实身份信息并通过验证的,互联网平台不得要求用户另行提供明文身份信息,法律、行政法规另有规定或者用户同意提供的除外。”这意味着用户如果选择通过国家网络身份认证公共服务渠道完成人脸识别验证,服务平台将仅向其他互联网平台传输验证结果,而非人脸信息本身。
不过上述规定为鼓励性条款,并非国家强制要求用户使用上述国家渠道。用户亦有权选择在诸如微信、支付宝等其信任的互联网平台进行人脸识别验证,由这些互联网平台将验证结果传输至其他互联网平台,同样达到避免多个互联网平台重复收集用户人脸信息的效果。同时,处理者还可通过以下方式积极响应该鼓励性条款:(1)在人脸识别验证页面显著位置优先展示国家渠道入口;(2)在产品迭代中逐步增强与国家渠道的集成度;(3)主动向用户科普国家渠道的安全优势。通过这些措施,既响应了监管导向,又能提升用户信任度。
(三)引导本地存储人脸信息
《办法》第八条规定:“除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。”本条实质上将本地化处理作为原则,将线上化处理作为例外。其立法意图在于引导组织和个人将人脸信息尽量存储在设备本地,从而减少人脸信息在传输、云端存储的过程中的安全风险。在操作层面来说,使用离线人脸识别技术(如苹果系统中的面容ID)可以实现这一需求,即将人脸照片和身份证件中的人脸图像或设备本地存储的人脸特征进行对比,从而判断是否为本人操作。
需要说明的是,如果人脸信息存储于人脸识别设备内,但是处理者可以在线下借助特定数据传输工具获得人脸识别设备内的人脸信息,也需要满足“法律、行政法规规定或者取得个人单独同意”才可执行该操作。
根据《个人信息保护法》(“个保法”),处理人脸信息本来就需要取得个人单独同意,而《办法》第八条专门规定通过互联网对外传输人脸信息也需要取得个人单独同意——这是否意味着在“我已阅读并同意《人脸信息处理规则》”的勾选框下必须再增加一个“我同意通过互联网对外传输人脸信息”的勾选框?我们认为,这个问题应根据向设备外传输人脸信息是否为实现人脸识别功能所必需来判断。如果向设备外传输人脸信息是用于与权威数据库进行比对所必需,则在《人脸信息处理规则》中告知向设备外传输人脸信息的相关事项即可,而无需再增加一个单独同意环节;反之,如果处理者留存人脸信息仅为应对投诉等非必要目的,则需要另行取得个人的单独同意。
根据GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》,处理者在存储人脸信息时还需要注意以下事项:
●应采用物理或逻辑隔离方式分别存储人脸信息和个人身份信息等;
●应采取加密存储等安全措施存储人脸信息;
●在个人所有的人脸识别设备(如个人的手机、电脑)中存储人脸信息的,应向个人提供直接删除本地人脸信息的功能。
二、人脸信息的处理规则
(一)告知
《办法》第五条实质上是将《个保法》和《网络数据安全管理条例》(“网数条例”)中原有的告知义务适用至人脸识别场景,未增加任何新内容,本节则将重点介绍该条款在实践中的落地实施。
1.一般告知
在个人首次使用应用人脸识别技术的产品或服务前,应通过《人脸信息处理规则》以显著方式(如字体加粗、颜色醒目、增大字号等)、清晰易懂的语言真实、准确、完整地向个人告知《办法》第五条要求告知的事项,包括:
●处理者的名称或者姓名和联系方式;
●人脸信息的处理目的、处理方式,处理的人脸信息保存期限;
●处理人脸信息的必要性以及对个人权益的影响;
●个人依法行使权利的方式和程序;
●法律、行政法规规定应当告知的其他事项。
2.增强告知
在个人触发涉及人脸识别的具体功能(如刷脸登录、刷脸支付、门禁通行、美颜特效等)时,应通过设置专门界面或单独步骤等个人无法绕过的方式向个人告知人脸信息的处理目的、处理方式、保存期限,处理人脸信息的必要性以及对个人权益的影响等关键规则,并同步展示《人脸信息处理规则》全文或链接供个人查阅。
增强告知的方式需凸显与一般告知方式的差异,其告知内容更加容易被个人所理解和获取。例如,一般告知采用要求个人勾选、点击等方式以达到提醒阅读的目的,而增强告知采用弹窗等方式向个人直接展示或送达关键内容。
3.即时提示
在收集人脸信息的过程中,如果需要个人予以配合(例如直视收集设备并做出特定姿势或表情),宜通过浮窗、提示音、状态栏提示等方式向个人提示收集的具体时机、注意点等,例如:“正在进行人脸识别,请正视摄像头。”
(二)同意
同上,《办法》第六条实质上是将《个保法》和《网数条例》中原有的同意规定适用至人脸识别场景,未增加任何新内容,本节则将重点介绍该条款在实践中的落地实施。
1.单独同意
《办法》第六条第一款规定:“基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。”根据《网数条例》第六十二条,单独同意是指个人针对其个人信息进行特定处理而专门作出具体、明确的同意。
第一,原则上禁止“一揽子”取得单独同意。单独同意所针对的人脸信息处理活动需针对具体且独立的目的或业务功能,不与具备其他处理目的、采取其他处理方式的个人信息处理活动相捆绑或混同在其他同意事项中,以避免一揽子取得个人同意。涉及多个需要单独同意的情形时,可向个人提供可分项选择同意(如勾选、点亮等)的机制,分项选择同意的选项各自独立互不影响。例如,某婚恋相亲类App既会将用户的人脸信息用于真人认证(处理敏感个人信息),也会将用户的人脸信息用作头像(公开个人信息),则此时不能要求用户勾选“我同意将人脸信息用于真人认证并作为我的头像”的勾选框,而是应该设置两个勾选框供用户自主选择。
第二,可以“一揽子”取得单独同意的例外情况。如果为实现实名认证等目的需要同时处理人脸信息和其他敏感个人信息,可一并告知并一次性取得个人单独同意。如果处理人脸信息时涉及收集、使用、提供等多个处理环节或涉及多个主体,且多个处理环节或多个主体拆分后无法达成该特定目的的,可一并告知并一次性取得个人单独同意。例如,处理者为进行身份鉴别需收集个人的人脸信息,并根据有关法律的要求将其提供给公安机关等其他处理者,此时可一并告知并一次性取得个人单独同意。
2.撤回同意
《办法》第六条第二款规定:“基于个人同意处理人脸信息的,个人有权撤回同意,处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”
据我们调研,目前实践中绝大部分处理者都没有提供便捷的撤回同意处理人脸信息的方式,有的处理者根本就不支持同意的撤回,有的仅提供一揽子的撤回方式,有的撤回方式非常繁琐。对此,我们建议处理者对撤回同意的机制设计需充分考虑个人操作的便捷性,明确个人的何种操作意味着撤回同意,采取与取得同意过程类似的方法设置撤回同意的机制。例如,处理者可以在开通人脸识别功能的区域直接设置“撤回同意处理人脸信息”的按钮,并在《人脸识别处理规则》中向个人说明该等操作方法。
另外,个人通过撤回某个处理人脸信息的业务功能来行使撤回同意权利的,处理者不能拒绝提供其他业务功能,或降低其他业务功能的服务质量,除非撤回同意的人脸信息是其他业务功能所必需。例如,业主撤回刷脸入园的同意后,物业不得一并停止业主门禁卡的使用权限。
(三)在公共场所安装人脸识别设备的特别要求
1.严格限制在公共场所安装人脸识别设备
《办法》第十三条规定:“在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。”本条与今年4月1日起施行的《公共安全视频图像信息系统管理条例》(“条例”)第七、八、九条的立法思路相一致。
《条例》第八条列举的“禁止安装图像采集设备及相关设施的公共场所区域、部位”(如学生宿舍的房间内部、饭店的包间内部)要多于《办法》列举的场景。鉴于人脸识别设备属于图像采集设备中的一种,因此我们认为凡是禁止安装图像采集设备及相关设施的公共场所区域、部位均应禁止安装人脸识别设备。
2.在公共场所如何向个人进行告知
根据GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》,在公共场所通过设备采集人脸信息时,处理者需以显著方式向用户展示人脸信息处理规则。显著方式通常是指在醒目位置张贴、播放简短易懂的告知内容,同时告知获取更多相关信息的途径。例如,在店铺入口、摄像头安装处、购物柜台显著处张贴告示或在大屏幕播放人脸信息处理规则。
3.在公共场所如何取得个人单独同意
在实践中,很多开发商认为在显著位置向客户展示人脸信息处理规则后,如果客户仍进入售楼处则视为取得了客户推定的单独同意。从市场监管部门的大量行政处罚决定书来看,这种说法是站不住脚的,例如,杭江市督局市监罚处〔2021〕32105151号行政处罚决定书中指出:“该告知并非征求同意的过程,当事人无法提供其获得消费者同意的相关证明。执法人员随机抽取询问的购房消费者,均表示对个人信息被采集的情况不知情。”
对此,我们建议公共场所经营者可以考虑通过要求进店客户签署《人脸信息处理同意书》的方式,取得用户单独同意。如果客户拒绝签署的,不应阻止客户进入该公共场所内,并应停止收集客户的人脸信息。如果因使用自动化人脸识别设备导致无法避免采集到非必要人脸信息或者未依法取得个人单独同意的人脸信息,应立即删除人脸信息或者进行匿名化处理。
三、处理者的义务
(一)采取安全保护措施
《办法》第十四条规定:“人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。”
除此之外,根据《个保法》第五十一条和《信息安全技术 人脸识别数据安全要求》,处理者应采取下列措施确保人脸信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
●制定内部管理制度和操作规程;
●采取相应的加密、去标识化等安全技术措施;
●合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
●制定并组织实施个人信息安全事件应急预案;
●法律、行政法规规定的其他措施。
(二)个人信息保护影响评估
《个保法》要求在处理敏感个人信息前,应当进行个人信息保护影响评估。因为人脸信息属于敏感个人信息的一种,《办法》第九条明确要求处理者应用人脸识别技术对其处理时,应当事前进行个人信息保护影响评估。
1.评估内容
《办法》第九条第一款对《个保法》第五十六条的规定进行了细化,主要体现在两个方面:
一方面,在评估对个人权益带来的影响时,要求同时评估降低不利影响的措施是否有效。在实践中应注意区分“降低不利影响的措施”和“所采取的保护措施”,前者聚焦于对处理目的、方式等进行调整,例如将人脸识别设备的安装范围从全办公室调整到入口可有效降低对员工隐私权的不利影响;而后者则侧重具体的管理和技术措施。
另一方面,《办法》将《个保法》第五十六条中的“安全风险”进行了扩展,除了原本的安全风险外,还包括人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险。
《个保法》第五十六条要求对个人信息处理活动的合法性、正当性、必要性进行评估。《办法》的征求意见稿曾对此进行扩展,包括:(1)是否符合法律、行政法规的规定和国家标准的强制性要求,以及是否符合伦理道德;(2)处理人脸信息是否具有特定的目的和充分的必要性;(3)是否限于实现目的所必需的准度、精度及距离要求。虽然这些扩展内容最终未被保留,但我们认为,在实际评估过程中,仍可将这三项内容作为参考。然而,需要明确的是,这三项内容并非评估的全部要求。在进行个人信息保护影响评估时,除了参考上述三项内容外,还应综合考虑其他相关因素,以确保评估的全面性和准确性。
2.重新评估
《办法》第九条第二款规定:“处理人脸信息的目的、方式发生变化,或者发生重大安全事件的,应当重新进行个人信息保护影响评估。”
在实践中,变更处理目的例子是某学校原本是利用人脸识别技术仅用于课堂点名,但实际操作中还用来跟踪学生课堂表现。而如果该学校为了提升人脸识别系统的稳定性和可扩展性,将学生人脸信息从本地存储改为云存储,则属于处理人脸信息的方式变化。这些变化有可能导致安全风险也随之变动,因此本条款要求处理者对人脸识别技术的应用进行全生命周期的管理,动态地开展个人信息保护影响评估,确保在不同阶段都能精准地把握安全风险,采取相应的措施加以应对。
3.合规指引
我们将从如下三个方面为个人信息保护影响评估工作提供相关的合规指引。
(1) 参考资料
在开展个人信息保护影响评估时,可参考GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》。该国家标准为评估工作提供了详细的框架和方法论指导。此前,国家网信办在《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》中提供了具体的评估模板,可以参考适用。考虑到人脸识别技术的广泛应用及其潜在的安全风险,监管部门未来可能也会推出专门针对人脸识别技术的类似模板。
(2) 评估流程
在开展人脸识别信息保护评估流程前,需对待评估的对象进行全面、系统的调研,详细梳理人脸数据的类型、来源、存储位置及流转路径,并形成清晰的数据清单及数据映射图表(data flowcharts),同时明确待评估的具体的个人信息处理活动,包括但不限于人脸信息的收集、存储、使用、加工、传输、提供、公开、删除等环节。
(3) 涉第三方情景下的评估工作
在实际操作中,绝大多数处理者均采用第三方服务商所供应的人脸识别技术。在此情境下,评估工作仍必须由处理者主导并执行,不能简单地用服务商自身的评估报告来代替处理者应尽的评估义务。
不过,处理者确实可以委托服务商来具体实施评估工作。基于此,我们倡议行业内的头部服务商能够积极发挥作用,制定详细的评估指南和标准化的制度模板,同时开发专业的评估平台以及自动化评估工具等,以此来切实帮助企业高效完成人脸识别技术应用的个人信息保护影响评估工作。此外,服务商还应提供相应的技术支持和咨询服务,帮助企业在评估过程中解决遇到的问题,确保评估工作的顺利进行。
(三)备案手续
《办法》第十五条规定:“处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。
1. 备案触发:聚焦存储规模与备案主体限缩
《办法》第十五条将备案的触发标准由征求意见稿的“在公共场所使用人脸识别技术”或“存储超过1万人人脸信息”统一调整为单一量化标准——“人脸信息存储数量达到10万人”。我们认为,该备案标准的确立内含以下三重立法逻辑:
第一,首次以“存储”作为单一处理环节设定备案义务。《网数条例》第二十八条以“处理1000万人以上个人信息”为基准要求设立数据安全负责人,《促进和规范数据跨境流动规定》第七条以“向境外提供100万人以上个人信息”为标准触发安全评估申报义务。与以往规范不同,《办法》创新性地从“收集、存储、使用、加工、传输、提供、公开、删除”等全流程处理行为中,单独提取“存储”环节作为量化标准,直指人脸信息集中存储引发的系统性风险。这一创新不仅为评估不同处理环节对个人信息安全的影响提供判断思路,还与《办法》第十一条“鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施,减少人脸信息收集、存储”形成呼应,实质推动“最小必要原则”的落地。
第二,通过标准调整实质限缩备案主体范围。此次调整既释放中小规模人脸信息处理者的合规压力,又有助于监管部门集中资源管控高风险主体,具体包括以下两重豁免:
●场景豁免:删除“公共场所使用”的强制备案要求,改为通过第十三条“公共场所使用特别规则”进行场景化约束;
●规模豁免:将存储门槛从1万人提升至10万人,使中小规模处理者(存储量低于10万人脸信息的主体)无需履行备案义务。
第三,鼓励处理者积极删除人脸信息,从而降低安全风险。《办法》以“存储量”而非“累计存储量”作为备案触发基准,赋予人脸信息处理者灵活空间,允许处理者通过数据生命周期管理控制存储规模,定期清理冗余数据,将存储量动态控制在10万人以下,从而无需进行备案。此举不仅减轻了处理者的备案负担,更激励其主动构建常态化的数据清理机制,减少信息过度留存带来的安全隐患。
2.备案材料:精简与明确材料清单
《办法》规定,人脸信息处理者履行备案手续,需要提交:处理者的基本情况、人脸信息处理目的和处理方式、人脸信息存储数量和安全保护措施、人脸信息的处理规则和操作规程、个人信息保护影响评估报告。相较于《办法》征求意见稿,《办法》就备案材料的调整集中体现了“减负”与“提质”的双重导向。
3.未备案的罚则:暂未明确
《办法》未直接设定具体罚则,仅通过第十八条“违反本办法规定的,依照有关法律、行政法规处理;构成犯罪的,依法追究刑事责任”将罚则确定留给了其他法律法规来明确。即使如此,不履行备案义务仍可能引发以下双重风险:
第一,非处罚性监管措施。监管部门可通过违规公示、约谈、合规审计等方式对需履行备案手续的人脸信息处理者间接施压。若人脸信息处理者未按照规定履行备案手续被认定为“存在较大风险”,可能触发《个保法》第六十四条,受到监管部门的约谈或者被要求委托专业机构对其个人信息处理活动进行合规审计。合规审计报告一般需提交监管部门,处理者的违规行为可能被公示,从而导致用户信任危机与企业商誉损失。
第二,行政处罚风险。未来可能通过配套规则对人脸信息处理者未履行备案义务增设行政处罚。参考《互联网信息服务算法推荐管理规定》第三十一条,未备案主体或面临:警告、通报批评等直接处罚措施;对拒不改正者按照情节严重程度处以幅度罚款;对涉嫌违反治安管理行为的依法给予治安管理处罚。
结语
《办法》的出台标志着我国在特定场景下个人信息保护法律体系的进一步完善,细化了上位法对人脸识别技术应用的规范要求,更在关键环节进行了针对性创新,体现了"促进发展与保护安全并重"的立法理念。
展望未来,随着《办法》的正式实施及配套细则的出台,人脸识别技术的应用将逐步走向规范化、合理化。企业应当未雨绸缪,主动评估自身人脸识别技术应用的合规状况,完善内部管理制度,调整技术实施方案,确保在《办法》正式实施前完成合规调整,避免因违规操作带来的法律风险和声誉损失。唯有如此,才能在保障个人信息安全与促进技术创新应用之间找到平衡点,实现人脸识别技术的可持续健康发展。
来源:走出去智库
