虹膜识别技术应用管理实施办法

虹膜识别技术应用管理实施办法第一章总则第一条目的与依据为规范虹膜识别技术的应用与管理，保障公民个人信息安全，促进虹膜识别技术在公共服务、商业领域的合法、有序应用，依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等法律法规，制定本办法。第二条适用范围本办法适用于在中华人民共和国境内开展虹膜识别技术研发、采集、存储、使用、传输、销毁等活动的组织和个人（以下统称“责任主体”）。第三条定义虹膜识别技术：指通过采集人眼虹膜纹理特征信息，进行特征提取、比对与识别，以实现身份验证的生物识别技术。虹膜信息：指包含虹膜纹理特征的数据，属于《个人信息保护法》规定的“敏感个人信息”。责任主体：指依法开展虹膜识别技术相关活动的企业、事业单位、社会团体及其他组织。第四条基本原则合法合规原则：所有虹膜识别技术应用活动需符合国家法律法规及本办法规定。最小必要原则：采集虹膜信息应限于实现特定目的的最小范围，不得过度采集。安全保障原则：责任主体需采取技术与管理措施，保障虹膜信息的保密性、完整性和可用性。知情同意原则：采集虹膜信息前，需明确告知信息主体采集目的、用途及存储期限，并获得其明示同意。第二章虹膜信息采集管理第五条采集主体资质公共服务领域：公安、金融、交通等公共服务部门需经上级主管部门审批，明确采集范围与用途后方可开展虹膜信息采集。商业领域：企业需具备与虹膜识别技术应用相适应的技术能力、安全保障体系，并向所在地省级网信部门备案。第六条采集规范告知义务：采集前需以清晰、易懂的方式向信息主体告知以下内容：虹膜信息的采集目的、用途及存储期限；信息主体享有的查询、更正、删除虹膜信息的权利；安全保障措施及可能存在的风险。同意方式：信息主体需通过书面签字、电子签名或主动勾选等明示方式同意，禁止通过默认勾选、捆绑服务等方式强制获取同意。采集限制：不得采集与服务无关的虹膜信息；不得向未成年人采集虹膜信息，除非获得其监护人的书面同意且用于保护未成年人安全（如校园安全管理）；禁止在公共场所未经同意擅自采集他人虹膜信息。第七条采集技术要求采集设备需符合国家相关技术标准（如GB/T35273《信息安全技术个人信息安全规范》），具备防篡改、防伪造功能。采集过程需采用加密传输方式，确保虹膜信息在采集端到存储端的传输安全。第三章虹膜信息存储与传输管理第八条存储要求存储期限：虹膜信息存储期限不得超过实现目的所需的最短时间，到期后需立即销毁或匿名化处理。存储方式：禁止将虹膜信息存储在互联网可直接访问的系统中；需采用加密存储技术（如AES-256加密），密钥需单独管理并定期更换；重要虹膜信息（如公安系统的身份验证信息）需采用离线存储或物理隔离存储。备份与恢复：需建立虹膜信息备份机制，备份数据需与主数据采用同等安全保护措施，定期开展恢复测试。第九条传输要求虹膜信息传输需采用加密协议（如TLS1.3），禁止明文传输。跨机构传输虹膜信息需签订数据共享协议，明确双方的安全责任与用途限制，禁止向无资质的第三方传输。第四章虹膜信息使用与共享管理第十条使用限制虹膜信息的使用需与采集目的一致，不得用于约定范围外的其他用途，除非获得信息主体的再次同意。禁止将虹膜信息用于商业营销、用户画像或其他可能侵犯个人隐私的活动。公共服务部门使用虹膜信息时，需遵守“一事一用”原则，不得跨部门、跨场景复用。第十一条共享与转让共享条件：跨机构共享虹膜信息需满足以下条件：获得信息主体的明示同意；共享双方签订安全协议，明确信息保护责任；共享目的需符合法律法规规定。禁止转让：禁止将虹膜信息作为资产转让给其他组织或个人，除非因合并、分立等法定情形，并经主管部门审批。第十二条脱敏处理如需对外提供虹膜信息用于科研、统计等活动，需对信息进行匿名化或脱敏处理，确保无法识别到具体个人。第五章安全保障措施第十三条技术保障访问控制：建立基于角色的访问控制体系，仅授权人员可访问虹膜信息，且需记录访问日志。安全监测：部署入侵检测系统（IDS）、数据泄露防护系统（DLP），实时监测虹膜信息的访问与使用情况，发现异常立即预警。应急处置：制定虹膜信息安全事件应急预案，定期开展演练。发生数据泄露、篡改等事件时，需立即采取补救措施，并在72小时内向所在地网信部门、公安部门报告。第十四条管理保障人员管理：对接触虹膜信息的人员进行背景审查与安全培训，签订保密协议，明确保密责任。审计监督：定期开展虹膜信息安全审计，评估安全措施的有效性，及时整改发现的问题。第三方评估：每年至少委托一次具备资质的第三方机构对虹膜信息安全管理体系进行评估，并向主管部门提交评估报告。第六章监督管理与法律责任第十五条监督管理职责网信部门：负责统筹协调虹膜识别技术应用的个人信息保护工作，查处违法违规行为。公安部门：负责打击非法采集、窃取、买卖虹膜信息等违法犯罪活动。行业主管部门：金融、交通、教育等行业主管部门需制定本行业虹膜识别技术应用的具体规范，加强行业监管。第十六条法律责任行政责任：违反本办法规定的，由网信部门、公安部门等责令限期整改，并处以5万元以上50万元以下罚款；情节严重的，责令暂停相关业务，并处以50万元以上100万元以下罚款，对直接负责的主管人员和其他直接责任人员处以1万元以上10万元以下罚款。民事责任：因虹膜信息泄露、滥用等造成信息主体损害的，责任主体需依法承担赔偿责任。刑事责任：违反国家规定，非法采集、出售或提供虹膜信息，情节严重的，依照《中华人民共和国刑法》第二百五十三条之一，处三年以下有期徒刑或拘役，并处或单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。第七章附则第十七条解释权本办法由国家互联网