|
在数字化浪潮的席卷下,人脸识别技术凭借其高效、便捷的特性,广泛融入社会生活的各个角落,从安防监控到金融支付,从交通出行到商业服务,给人们的生活带来了极大便利。然而,随着技术的迅猛发展,人脸信息泄露、滥用等安全问题也日益凸显,引发了社会各界的广泛关注和担忧。为了规范应用人脸识别技术处理人脸信息的活动,切实保护个人信息的权益,国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全 管理办法》(以下简称《办法》),自2025年6月1日起正式施行。这部法规的出台,犹如一场“及时雨”,为解决人脸识别技术应用带来的安全隐患提供了有力的法律依据和制度保障,对推动人脸识别技术健康、有序发展具有深远意义。
一、出台背景与重要意义
随着云计算、大数据、物联网、人工智能等互联网技术的飞速发展,人脸识别技术在消费、金融、出行等社会各领域快速普及。在促进数字经济发展、方便人民生活的同时,也引发了公众侵犯隐私、泄露个人信息的担忧。人脸信息作为一种敏感个人信息,一旦泄露、滥用,可能会对个人的人身和财产安全造成重大危害,甚至威胁到公共安全。此前,虽然《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理 条例》等法律、行政法规对个人信息处理规则作出了规定,但针对人脸识别技术这一新兴技术应用的专门规范仍存在缺失。在此背景下,《办法》的出台显得尤为重要,它不仅是落实上位法规定的重要举措,也回应了社会关切,填补了人脸识别技术应用安全管理领域的规则空白,为个人信息权益保护撑起了“保护伞”,为相关产业健康发展划定了“安全线”
二、主要内容解读
1.明确基本要求,坚守法律与道德底线
《办法》规定,应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,城市守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。这一要求从法律、道德和社会责任多个层面,为应用人脸识别技术划定了行为边界,强调在追求技术便利的同时,绝不能以牺牲安全和个人权益为代价。
2.规范处理规则,保障个人信息主题权利
●目的特定与必要性原则:处理人脸信息应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。这意味着人脸识别技术的应用不能盲目扩张,必须基于明确、合理的目的,并且在众多实现方式中选择对个人权益影响最小的途径。
●告知义务:个人信息处理者应用人脸识别技术处理人脸信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关事项,包括处理者的名称或姓名、联系方式、处理目的、方式、保存期限、必要性及对个人权益的影响、个人行使权利的方式和程序等。处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定,充分考虑特殊群体的权益和需求。
●同意规则:基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意;处理不满十四周岁未成年人人脸信息的,应当取得其父母或其他监护人的同意。同时,个人有权撤回同意,且撤回同意不影响撤回前已进行的处理活动效力,保障了个人对自己人脸信息的控制权。
●存储要求:除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输,以减少信息泄露风险;保存期限不得超过实现处理目的的所必需的最短时间,避免信息过度留存。
●评估与记录:应当事前进行个人信息保护影响评估,并对处理情况进行记录。评估内容涵盖处理目的、方式的合法性、正当性、必要性,对个人权益的影响及降低影响的措施有效性,信息泄露风险及危害,以及保护措施的适应性等。评估报告和处理记录需至少保存3年,目的、方式变化或发生重大安全事件时应重新评估,为后续监管和责任追溯提供依据。
3.强化安全规范,全方位守护信息安全
●非唯一验证方式:实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。这有效遏制了人脸识别及时应用场景的泛化和强制使用,充分尊重个人意愿。
●优先使用公共渠道:应用人脸识别技术验证个人身份、辨识特定个人的,鼓励有限使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施,减少人脸信息收集、存储,进一步降低信息安全风险。
●禁止误导胁迫:任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份,切实保障个人的自主选择权。
●系统安全措施:人脸识别及时应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。涉及网络安全等级保护。关键信息基础设施的,应当按照国家有关规定履行相应保护义务,从技术和管理层面构建全方位安全防护体系。
4.完善监督管理,加强违规行为惩治力度
●备案管理:个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续,并提交包括处理者基本情况、处理目的和方式、存储数量和安全保护措施、处理规则和操作规程、个人信息保护影响评估报告等材料。备案信息发生实质性变更的,应在变更之日起30个工作日内办理变更手续;终止应用人脸识别技术的,应在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息,以便监管部门掌握情况,实施有效监管。
●协同监管:网信部门会同公安机关和其他履行个人信息保护职责的部门,建立健全信息共享和通报工作机制,协同开展相关工作,形成监管合力,提升监督效能。
●投诉举报:任何组织、个人有权对违法应用人脸识别技术处理人脸信息的活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉人、举报人,畅通公众监管渠道,激发社会共治力量。
●法律责任:违反本办法规定的,依照有关法律、行政法规的规定处理;构成犯罪的,依法追究刑事责任,通过严厉的法律制裁,形成有力威慑,确保《办法》得到有效执行。
《人脸识别技术应用安全管理办法》的出台,标志着我国在人脸识别技术应用安全管理方面迈出了坚实一步。它通过明确规则、加强监管、保障权益,在促进人脸识别技术创新发展与保护个人信息安全之间找到了平衡点。在未来,随着《办法》的深入实施,各相关主体应严格遵守规定,切实履行责任,共同营造安全、有序、健康的人脸识别技术应用环境,让技术更好地服务社会、造福人民。 |
