人脸识别技术应用安全管理规定(试行)(征求意见稿)

人脸识别技术应用安全管理规定(试行)(征求意见稿)第一章总则第一条（立法目的）为规范人脸识别技术应用，保护个人信息安全和合法权益，促进人脸识别技术健康有序发展，维护社会公共利益，根据《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规，结合实际情况，制定本规定。第二条（适用范围）中华人民共和国境内利用人脸识别技术对自然人面部特征进行采集、存储、使用、加工、传输、提供、公开等处理活动（以下简称“人脸识别技术应用”），适用本规定。法律、行政法规另有规定的，从其规定。第三条（基本原则）人脸识别技术应用应当遵循以下原则：（一）最小必要原则。应用场景、采集范围、处理方式应当与实现应用目的直接相关，不得超出必要限度；（二）知情同意原则。处理个人面部信息前，应当以显著方式、清晰易懂的语言真实、准确、完整告知信息主体处理规则，并取得其明确同意；（三）公开透明原则。应用规则、处理方式、责任主体等信息应当依法公开，接受社会监督；（四）安全可控原则。采取必要技术和管理措施，防范面部信息泄露、篡改、滥用等风险；（五）权益保障原则。充分尊重信息主体的查阅、复制、更正、删除等权利，不得因信息主体拒绝提供面部信息而限制其合法权益。第二章应用规范第四条（一般场景应用要求）任何组织或个人（以下简称“应用者”）使用人脸识别技术处理个人面部信息，应当符合以下要求：（一）制定明确、具体、可操作的应用方案，包括应用目的、处理方式、信息类型、存储期限、安全措施等内容；（二）在应用场景的显著位置（如入口处、服务终端、网页首页等）设置标识或提示，说明人脸识别技术的使用目的、范围、方式，以及拒绝使用的替代方案；（三）信息主体拒绝提供面部信息时，不得限制其接受基本服务（如进入公共场所、购买商品等），但法律、行政法规规定应当提供的除外；（四）不得将人脸识别技术应用于歧视性场景（如基于面部特征对特定群体进行区别对待）或非法目的（如跟踪、骚扰他人）。第五条（公共区域应用特别规定）在车站、机场、港口、景区、公园等公共区域使用人脸识别技术的，除遵守第四条规定外，还应当符合以下要求：（一）仅限用于维护公共安全、预防违法犯罪、应急处置等法定公共利益目的，不得用于商业营销、用户画像等非公共利益场景；（二）应用前应当进行必要性、合法性、安全性评估，形成书面报告并留存备查；评估内容包括：是否存在非生物识别技术的替代方案、对个人权益的影响程度、技术措施的有效性等；（三）明确采集范围（如具体区域、时段）和存储期限（原则上不超过6个月，因公共安全需要延长的需经评估并告知信息主体）；（四）通过官方网站、公告栏等渠道公开应用方案，接受社会监督。第六条（经营场所应用特别规定）在商场、超市、酒店、健身房等经营场所使用人脸识别技术的，除遵守第四条规定外，还应当区分以下情形：（一）用于顾客身份核验（如会员登录、支付确认）的，应当提供密码、扫码等非生物识别的替代验证方式；（二）用于客流统计、安防监控的，应当在入口处或服务台以书面或电子形式告知信息主体，不得隐藏采集设备；（三）用于个性化营销的，应当取得信息主体的单独同意，并允许其随时撤回同意；撤回同意后，不得继续基于其面部信息提供个性化服务；（四）禁止将顾客面部信息与其他个人信息（如消费记录、联系方式）进行关联分析用于歧视性定价或过度营销。第七条（特殊群体保护）对未成年人、老年人、残疾人等特殊群体使用人脸识别技术的，应当采取额外保护措施：（一）处理未成年人面部信息的，应当取得其监护人的同意；存储期限原则上不超过1年，且不得用于用户画像、商业推广等场景；（二）对老年人使用人脸识别技术的，应当同步提供人工核验、证件验证等传统方式，避免因技术障碍影响其正常权益；（三）对残疾人使用人脸识别技术的，应当充分考虑其身体特征（如面部缺陷、行动不便），不得因技术限制导致其权益受损。第八条（政务服务应用规定）行政机关、法律法规授权的组织在政务服务中使用人脸识别技术的，应当符合以下要求：（一）仅限用于身份认证、业务办理等法定职责范围，不得扩大至其他用途；（二）处理面部信息前，应当通过政务服务平台、办事窗口等渠道告知信息主体处理规则，不得强制要求使用人脸识别技术替代传统身份核验方式；（三）建立严格的信息使用审批机制，禁止将政务服务中采集的面部信息用于商业合作、数据交易等非政务场景。第三章安全保障第九条（技术安全要求）应用者应当按照国家网络安全、数据安全标准，采取以下技术措施保障面部信息安全：（一）采集设备应当符合国家标准，具备防篡改、防伪造功能，禁止使用未通过安全认证的设备；（二）面部信息存储应当采用加密技术（如符合国密标准的加密算法），存储介质应当设置访问控制，禁止明文存储；（三）传输面部信息时应当使用安全通道（如HTTPS、VPN），并对传输过程进行加密和完整性校验；（四）处理面部信息的系统应当具备日志记录功能，记录访问时间、操作内容、操作人员等信息，日志留存期限不少于1年；（五）定期进行安全检测和漏洞修复，委托第三方专业机构每年至少开展1次安全评估，评估报告留存备查。第十条（管理安全要求）应用者应当建立健全内部管理制度，落实以下管理责任：（一）明确安全责任主体（如数据安全负责人、技术主管），制定人脸识别技术应用操作规范和应急预案；（二）对接触面部信息的工作人员进行安全培训，签订保密协议，限定其访问和处理权限（遵循最小权限原则）；（三）建立面部信息生命周期管理制度，明确采集、存储、使用、共享、删除等各环节的操作流程和责任；（四）发生面部信息泄露、篡改、丢失等安全事件时，应当立即采取补救措施，在24小时内向属地网信、公安部门报告，并通知受影响的信息主体。第十一条（第三方合作规范）应用者委托第三方处理面部信息的，应当与受托方签订书面协议，明确以下内容：（一）处理目的、范围、方式；（二）安全保障义务（包括技术措施、管理责任）；（三）信息保密责任（禁止受托方擅自使用或向其他方提供面部信息）；（四）数据返还或删除要求（合作终止后，受托方应当及时返还或删除相关信息）。受托方应当具备相应的数据安全能力，应用者应当对其安全保障措施进行评估，评估不合格的不得委托。第四章监督管理第十二条（监管职责）国家网信部门负责统筹协调人脸识别技术应用安全监督管理工作；公安、市场监管、工业和信息化等部门在各自职责范围内履行监督管理职责，建立协同机制，形成监管合力。第十三条（投诉与举报）任何组织或个人发现违反本规定的行为，可以向属地网信、公安部门或行业主管部门投诉举报。受理部门应当在收到投诉举报后15个工作日内进行核查，情况属实的依法处理，并将处理结果反馈投诉举报人。第十四条（日常监管）监管部门可以采取以下方式实施监督：（一）定期或不定期开展现场检查，查阅、复制与人脸识别技术应用相关的记录、日志、评估报告等资料；（二）要求应用者提供技术检测报告、安全评估报告等材料；（三）对重点领域（如公共安全、政务服务、未成年人保护）开展专项检查；（四）建立应用者信用档案，将违反本规定的行为纳入信用记录，依法实施联合惩戒。第十五条（风险评估与引导）国家建立人脸识别技术应用风险评估机制，对高风险应用场景（如大规模公共区域采集、与敏感信息关联处理）进行动态评估，及时发布风险提示。鼓励行业组织制定团体标准，引导应用者规范使用人脸识别技术。第五章法律责任第十六条（应用者责任）应用者违反本规定的，由监管部门责令限期改正；逾期不改正的，按照以下规定处理：（一）违反第四条、第五条、第六条、第七条、第八条规定，未履行告知义务、超范围采集或限制信息主体权益的，处5万元以上50万元以下罚款；对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；（二）违反第九条、第十条规定，未采取必要安全措施导致面部信息泄露、篡改、丢失的，处20万元以上200万元以下罚款；情节严重的，处上一年度营业额5%以下罚款（最高不超过5000万元）；对直接负责的主管人员和其他直接责任人员处5万元以上50万元以下罚款；（三）违反第十一条规定，委托不具备安全能力的第三方处理面部信息或未履行监督责任的，处10万元以上100万元以下罚款；（四）违反法律、行政法规规定，构成犯罪的，依法追究刑事责任。第十七条（监管部门责任）监管部门工作人员在履行职责中滥用职权、玩忽职守、徇私舞弊的，依法给予处分；构成犯罪的，依法追究刑事责任。第十八条（救济途径）信息主体认为其合法权益因人脸识别技术应用受到侵害的，可以依法向人民法院提起诉讼。第六章附则第十九条（术语解释）本规定中下列术语的含义：（一）人脸识别技术：指通过计算机或其他电子设备对自然人面部特征进行特征提取、比对、分析等处理，以识别或验证身份的技术；（二）面部信息：指通过人脸识别技术采集的自然人面部图像、特征数据等能够单独或与其