問(wèn)：請(qǐng)介紹一下《辦法》的出臺(tái)背景？

答：隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等互聯(lián)網(wǎng)技術(shù)飛速發(fā)展，人臉識(shí)別技術(shù)應(yīng)用在消費(fèi)、金融、出行等社會(huì)各領(lǐng)域快速普及，在促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展、方便人民生活的同時(shí)，也引發(fā)了公眾對(duì)侵犯隱私、泄露個(gè)人信息的擔(dān)憂，受到社會(huì)各方高度關(guān)注?！吨腥A人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律、行政法規(guī)對(duì)個(gè)人信息處理規(guī)則作出了規(guī)定。同時(shí)，《中華人民共和國(guó)個(gè)人信息保護(hù)法》第六十二條規(guī)定，國(guó)家網(wǎng)信部門(mén)統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)針對(duì)人臉識(shí)別等新技術(shù)、新應(yīng)用制定專門(mén)的個(gè)人信息保護(hù)規(guī)則。制定出臺(tái)《辦法》是落實(shí)法律、行政法規(guī)規(guī)定的重要舉措，目的是規(guī)范應(yīng)用人臉識(shí)別技術(shù)處理人臉信息活動(dòng)，保護(hù)個(gè)人信息權(quán)益。

問(wèn)：《辦法》如何處理發(fā)展與安全的關(guān)系，在保護(hù)個(gè)人信息權(quán)益的同時(shí)促進(jìn)人臉識(shí)別技術(shù)發(fā)展？

答：《辦法》堅(jiān)持發(fā)展與安全并重，妥善處理促進(jìn)創(chuàng)新和依法治理之間的關(guān)系，在保護(hù)個(gè)人信息權(quán)益的同時(shí)鼓勵(lì)人臉識(shí)別技術(shù)的應(yīng)用和創(chuàng)新。一方面，《辦法》規(guī)定應(yīng)用人臉識(shí)別技術(shù)處理人臉信息的基本要求和具體規(guī)則，建立人臉識(shí)別技術(shù)應(yīng)用監(jiān)督管理制度，規(guī)范人臉識(shí)別技術(shù)應(yīng)用，切實(shí)保護(hù)廣大人民群眾的個(gè)人信息權(quán)益。另一方面，《辦法》明確在中華人民共和國(guó)境內(nèi)為從事人臉識(shí)別技術(shù)研發(fā)、算法訓(xùn)練活動(dòng)應(yīng)用人臉識(shí)別技術(shù)處理人臉信息的，不適用本辦法的規(guī)定，為開(kāi)展人臉識(shí)別技術(shù)的攻關(guān)研究和應(yīng)用創(chuàng)新預(yù)留空間，有利于推動(dòng)相關(guān)產(chǎn)業(yè)安全健康發(fā)展。

問(wèn)：《辦法》的主要內(nèi)容是什么？

答：《辦法》主要對(duì)下列內(nèi)容進(jìn)行了規(guī)定：一是明確應(yīng)用人臉識(shí)別技術(shù)處理人臉信息的基本要求，規(guī)定應(yīng)用人臉識(shí)別技術(shù)處理人臉信息活動(dòng)，應(yīng)當(dāng)遵守法律法規(guī)，尊重社會(huì)公德和倫理，遵守商業(yè)道德和職業(yè)道德等。二是明確應(yīng)用人臉識(shí)別技術(shù)處理人臉信息的處理規(guī)則，規(guī)定應(yīng)用人臉識(shí)別技術(shù)處理人臉信息，應(yīng)當(dāng)具有特定的目的和充分的必要性，個(gè)人信息處理者應(yīng)當(dāng)履行告知、進(jìn)行個(gè)人信息保護(hù)影響評(píng)估等義務(wù)。三是明確人臉識(shí)別技術(shù)應(yīng)用安全規(guī)范，規(guī)定實(shí)現(xiàn)相同目的或者達(dá)到同等業(yè)務(wù)要求，存在其他非人臉識(shí)別技術(shù)方式的，不得將人臉識(shí)別技術(shù)作為唯一驗(yàn)證方式，明確在公共場(chǎng)所安裝人臉識(shí)別設(shè)備的具體要求。四是明確監(jiān)督管理職責(zé)和法律責(zé)任，規(guī)定個(gè)人信息處理者應(yīng)當(dāng)在應(yīng)用人臉識(shí)別技術(shù)處理的人臉信息存儲(chǔ)數(shù)量達(dá)到10萬(wàn)人之日起30個(gè)工作日內(nèi)向所在地省級(jí)以上網(wǎng)信部門(mén)履行備案手續(xù)，明確違反本辦法規(guī)定的法律責(zé)任。

問(wèn)：《辦法》對(duì)應(yīng)用人臉識(shí)別技術(shù)處理人臉信息活動(dòng)提出了哪些基本要求？

答：《辦法》規(guī)定，應(yīng)用人臉識(shí)別技術(shù)處理人臉信息活動(dòng)，應(yīng)當(dāng)遵守法律法規(guī)，尊重社會(huì)公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠(chéng)實(shí)守信，履行個(gè)人信息保護(hù)義務(wù)，承擔(dān)社會(huì)責(zé)任，不得危害國(guó)家安全、損害公共利益、侵害個(gè)人合法權(quán)益。

問(wèn)：《辦法》對(duì)應(yīng)用人臉識(shí)別技術(shù)處理人臉信息規(guī)定了哪些處理規(guī)則？

答：《辦法》對(duì)應(yīng)用人臉識(shí)別技術(shù)處理人臉信息規(guī)定了以下處理規(guī)則：一是應(yīng)當(dāng)具有特定的目的和充分的必要性，采取對(duì)個(gè)人權(quán)益影響最小的方式，并實(shí)施嚴(yán)格保護(hù)措施。二是應(yīng)當(dāng)履行告知義務(wù)，處理殘疾人、老年人人臉信息的，還應(yīng)當(dāng)符合國(guó)家有關(guān)無(wú)障礙環(huán)境建設(shè)的規(guī)定。三是基于個(gè)人同意處理人臉信息的，應(yīng)當(dāng)取得個(gè)人在充分知情的前提下自愿、明確作出的單獨(dú)同意。基于個(gè)人同意處理不滿十四周歲未成年人人臉信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。四是除法律、行政法規(guī)另有規(guī)定或者取得個(gè)人單獨(dú)同意外，人臉信息應(yīng)當(dāng)存儲(chǔ)于人臉識(shí)別設(shè)備內(nèi)，不得通過(guò)互聯(lián)網(wǎng)對(duì)外傳輸。除法律、行政法規(guī)另有規(guī)定外，人臉信息的保存期限不得超過(guò)實(shí)現(xiàn)處理目的所必需的最短時(shí)間。五是應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄。

問(wèn)：《辦法》對(duì)人臉識(shí)別技術(shù)應(yīng)用規(guī)定了哪些安全規(guī)范？

答：《辦法》對(duì)人臉識(shí)別技術(shù)應(yīng)用規(guī)定了以下安全規(guī)范：一是實(shí)現(xiàn)相同目的或者達(dá)到同等業(yè)務(wù)要求，存在其他非人臉識(shí)別技術(shù)方式的，不得將人臉識(shí)別技術(shù)作為唯一驗(yàn)證方式。國(guó)家另有規(guī)定的，從其規(guī)定。二是應(yīng)用人臉識(shí)別技術(shù)驗(yàn)證個(gè)人身份、辨識(shí)特定個(gè)人的，鼓勵(lì)優(yōu)先使用國(guó)家人口基礎(chǔ)信息庫(kù)、國(guó)家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)等渠道實(shí)施。三是任何組織和個(gè)人不得以辦理業(yè)務(wù)、提升服務(wù)質(zhì)量等為由，誤導(dǎo)、欺詐、脅迫個(gè)人接受人臉識(shí)別技術(shù)驗(yàn)證個(gè)人身份。四是在公共場(chǎng)所安裝人臉識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，依法合理確定人臉信息采集區(qū)域，并設(shè)置顯著提示標(biāo)識(shí)。任何組織和個(gè)人不得在賓館客房、公共浴室、公共更衣室、公共衛(wèi)生間等公共場(chǎng)所中的私密空間內(nèi)部安裝人臉識(shí)別設(shè)備。五是人臉識(shí)別技術(shù)應(yīng)用系統(tǒng)應(yīng)當(dāng)采取數(shù)據(jù)加密、安全審計(jì)、訪問(wèn)控制、授權(quán)管理、入侵檢測(cè)和防御等措施保護(hù)人臉信息安全。

問(wèn)：針對(duì)群眾普遍關(guān)心的強(qiáng)制刷臉問(wèn)題，《辦法》作出了哪些規(guī)定？

答：人臉信息是敏感個(gè)人信息，一旦泄露，容易對(duì)個(gè)人的人身和財(cái)產(chǎn)安全造成重大危害，甚至威脅公共安全。針對(duì)“刷臉”住宿、“刷臉”進(jìn)小區(qū)等人臉識(shí)別技術(shù)應(yīng)用場(chǎng)景泛化、強(qiáng)制使用等問(wèn)題，《辦法》明確了人臉識(shí)別技術(shù)應(yīng)用的非強(qiáng)制原則，規(guī)定實(shí)現(xiàn)相同目的或者達(dá)到同等業(yè)務(wù)要求，存在其他非人臉識(shí)別技術(shù)方式的，不得將人臉識(shí)別技術(shù)作為唯一驗(yàn)證方式。個(gè)人不同意通過(guò)人臉信息進(jìn)行身份驗(yàn)證的，應(yīng)當(dāng)提供其他合理、便捷的方式。國(guó)家對(duì)應(yīng)用人臉識(shí)別技術(shù)驗(yàn)證個(gè)人身份另有規(guī)定的，從其規(guī)定。

問(wèn)：《辦法》對(duì)個(gè)人信息處理者應(yīng)用人臉識(shí)別技術(shù)處理人臉信息備案提出了哪些要求？

答：《辦法》從信息數(shù)量、備案時(shí)間、備案部門(mén)、備案材料、備案變更和注銷(xiāo)五個(gè)方面對(duì)個(gè)人信息處理者應(yīng)用人臉識(shí)別技術(shù)處理人臉信息備案提出了具體要求。一是信息數(shù)量方面，以“應(yīng)用人臉識(shí)別技術(shù)處理的人臉信息存儲(chǔ)數(shù)量達(dá)到10萬(wàn)人”為備案起始數(shù)量。二是備案時(shí)間方面，規(guī)定應(yīng)當(dāng)在應(yīng)用人臉識(shí)別技術(shù)處理的人臉信息存儲(chǔ)數(shù)量達(dá)到10萬(wàn)人之日起30個(gè)工作日內(nèi)進(jìn)行備案。三是備案部門(mén)方面，明確向所在地省級(jí)以上網(wǎng)信部門(mén)履行備案手續(xù)。四是備案材料方面，明確應(yīng)當(dāng)提交個(gè)人信息處理者的基本情況、人臉信息處理目的和處理方式、人臉信息存儲(chǔ)數(shù)量和安全保護(hù)措施、人臉信息的處理規(guī)則和操作規(guī)程、個(gè)人信息保護(hù)影響評(píng)估報(bào)告五項(xiàng)材料。五是備案變更和注銷(xiāo)方面，明確備案信息發(fā)生實(shí)質(zhì)性變更的，應(yīng)當(dāng)在變更之日起30個(gè)工作日內(nèi)辦理備案變更手續(xù)。終止應(yīng)用人臉識(shí)別技術(shù)的，應(yīng)當(dāng)在終止之日起30個(gè)工作日內(nèi)辦理注銷(xiāo)備案手續(xù)，并依法處理人臉信息。

人臉識(shí)別技術(shù)應(yīng)用安全管理辦法

第一條 為了規(guī)范應(yīng)用人臉識(shí)別技術(shù)處理人臉信息活動(dòng)，保護(hù)個(gè)人信息權(quán)益，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》、《中華人民共和國(guó)個(gè)人信息保護(hù)法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律、行政法規(guī)，制定本辦法。

第二條 在中華人民共和國(guó)境內(nèi)應(yīng)用人臉識(shí)別技術(shù)處理人臉信息的活動(dòng)，適用本辦法。

在中華人民共和國(guó)境內(nèi)為從事人臉識(shí)別技術(shù)研發(fā)、算法訓(xùn)練活動(dòng)應(yīng)用人臉識(shí)別技術(shù)處理人臉信息的，不適用本辦法的規(guī)定。

第三條 應(yīng)用人臉識(shí)別技術(shù)處理人臉信息活動(dòng)，應(yīng)當(dāng)遵守法律法規(guī)，尊重社會(huì)公德和倫理，遵守商業(yè)道德和職業(yè)道德，誠(chéng)實(shí)守信，履行個(gè)人信息保護(hù)義務(wù)，承擔(dān)社會(huì)責(zé)任，不得危害國(guó)家安全、損害公共利益、侵害個(gè)人合法權(quán)益。

第四條 應(yīng)用人臉識(shí)別技術(shù)處理人臉信息，應(yīng)當(dāng)具有特定的目的和充分的必要性，采取對(duì)個(gè)人權(quán)益影響最小的方式，并實(shí)施嚴(yán)格保護(hù)措施。

第五條 個(gè)人信息處理者應(yīng)用人臉識(shí)別技術(shù)處理人臉信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知下列事項(xiàng)：

（一）個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式；

（二）人臉信息的處理目的、處理方式，處理的人臉信息保存期限；

（三）處理人臉信息的必要性以及對(duì)個(gè)人權(quán)益的影響；

（四）個(gè)人依法行使權(quán)利的方式和程序；

（五）法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項(xiàng)。

前款規(guī)定事項(xiàng)發(fā)生變更的，應(yīng)當(dāng)將變更部分告知個(gè)人。

法律、行政法規(guī)規(guī)定可以不向個(gè)人告知的，從其規(guī)定。

處理殘疾人、老年人人臉信息的，還應(yīng)當(dāng)符合國(guó)家有關(guān)無(wú)障礙環(huán)境建設(shè)的規(guī)定。

第六條 基于個(gè)人同意處理人臉信息的，應(yīng)當(dāng)取得個(gè)人在充分知情的前提下自愿、明確作出的單獨(dú)同意。法律、行政法規(guī)規(guī)定處理人臉信息應(yīng)當(dāng)取得個(gè)人書(shū)面同意的，從其規(guī)定。

基于個(gè)人同意處理人臉信息的，個(gè)人有權(quán)撤回同意，個(gè)人信息處理者應(yīng)當(dāng)提供便捷的撤回同意的方式。個(gè)人撤回同意，不影響撤回前基于個(gè)人同意已進(jìn)行的個(gè)人信息處理活動(dòng)的效力。

第七條 基于個(gè)人同意處理不滿十四周歲未成年人人臉信息的，應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意。

個(gè)人信息處理者應(yīng)用人臉識(shí)別技術(shù)處理不滿十四周歲未成年人人臉信息的，應(yīng)當(dāng)在存儲(chǔ)、使用、轉(zhuǎn)移、披露等方面制定專門(mén)的處理規(guī)則，依法保護(hù)未成年人個(gè)人信息安全。

第八條 除法律、行政法規(guī)另有規(guī)定或者取得個(gè)人單獨(dú)同意外，人臉信息應(yīng)當(dāng)存儲(chǔ)于人臉識(shí)別設(shè)備內(nèi)，不得通過(guò)互聯(lián)網(wǎng)對(duì)外傳輸。

除法律、行政法規(guī)另有規(guī)定外，人臉信息的保存期限不得超過(guò)實(shí)現(xiàn)處理目的所必需的最短時(shí)間。

第九條 個(gè)人信息處理者應(yīng)用人臉識(shí)別技術(shù)處理人臉信息，應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估，并對(duì)處理情況進(jìn)行記錄。個(gè)人信息保護(hù)影響評(píng)估主要包括下列內(nèi)容：

（一）人臉信息的處理目的、處理方式是否合法、正當(dāng)、必要；

（二）對(duì)個(gè)人權(quán)益帶來(lái)的影響，以及降低不利影響的措施是否有效；

（三）發(fā)生人臉信息泄露、篡改、丟失、毀損或者被非法獲取、出售、使用的風(fēng)險(xiǎn)以及可能造成的危害；

（四）所采取的保護(hù)措施是否合法、有效并與風(fēng)險(xiǎn)程度相適應(yīng)。

個(gè)人信息保護(hù)影響評(píng)估報(bào)告和處理情況記錄應(yīng)當(dāng)至少保存3年。處理人臉信息的目的、方式發(fā)生變化，或者發(fā)生重大安全事件的，應(yīng)當(dāng)重新進(jìn)行個(gè)人信息保護(hù)影響評(píng)估。

第十條 實(shí)現(xiàn)相同目的或者達(dá)到同等業(yè)務(wù)要求，存在其他非人臉識(shí)別技術(shù)方式的，不得將人臉識(shí)別技術(shù)作為唯一驗(yàn)證方式。個(gè)人不同意通過(guò)人臉信息進(jìn)行身份驗(yàn)證的，應(yīng)當(dāng)提供其他合理、便捷的方式。

國(guó)家對(duì)應(yīng)用人臉識(shí)別技術(shù)驗(yàn)證個(gè)人身份另有規(guī)定的，從其規(guī)定。

第十一條 應(yīng)用人臉識(shí)別技術(shù)驗(yàn)證個(gè)人身份、辨識(shí)特定個(gè)人的，鼓勵(lì)優(yōu)先使用國(guó)家人口基礎(chǔ)信息庫(kù)、國(guó)家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)等渠道實(shí)施，減少人臉信息收集、存儲(chǔ)，保護(hù)人臉信息安全。

第十二條 任何組織和個(gè)人不得以辦理業(yè)務(wù)、提升服務(wù)質(zhì)量等為由，誤導(dǎo)、欺詐、脅迫個(gè)人接受人臉識(shí)別技術(shù)驗(yàn)證個(gè)人身份。

第十三條 在公共場(chǎng)所安裝人臉識(shí)別設(shè)備，應(yīng)當(dāng)為維護(hù)公共安全所必需，依法合理確定人臉信息采集區(qū)域，并設(shè)置顯著提示標(biāo)識(shí)。

任何組織和個(gè)人不得在賓館客房、公共浴室、公共更衣室、公共衛(wèi)生間等公共場(chǎng)所中的私密空間內(nèi)部安裝人臉識(shí)別設(shè)備。

第十四條 人臉識(shí)別技術(shù)應(yīng)用系統(tǒng)應(yīng)當(dāng)采取數(shù)據(jù)加密、安全審計(jì)、訪問(wèn)控制、授權(quán)管理、入侵檢測(cè)和防御等措施保護(hù)人臉信息安全。涉及網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施的，應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定履行網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)義務(wù)。

第十五條 個(gè)人信息處理者應(yīng)當(dāng)在應(yīng)用人臉識(shí)別技術(shù)處理的人臉信息存儲(chǔ)數(shù)量達(dá)到10萬(wàn)人之日起30個(gè)工作日內(nèi)向所在地省級(jí)以上網(wǎng)信部門(mén)履行備案手續(xù)。申請(qǐng)備案應(yīng)當(dāng)提交下列材料：

（一）個(gè)人信息處理者的基本情況；

（二）人臉信息處理目的和處理方式；

（三）人臉信息存儲(chǔ)數(shù)量和安全保護(hù)措施；

（四）人臉信息的處理規(guī)則和操作規(guī)程；

（五）個(gè)人信息保護(hù)影響評(píng)估報(bào)告。

備案信息發(fā)生實(shí)質(zhì)性變更的，應(yīng)當(dāng)在變更之日起30個(gè)工作日內(nèi)辦理備案變更手續(xù)。終止應(yīng)用人臉識(shí)別技術(shù)的，應(yīng)當(dāng)在終止之日起30個(gè)工作日內(nèi)辦理注銷(xiāo)備案手續(xù)，并依法處理人臉信息。

第十六條 網(wǎng)信部門(mén)會(huì)同公安機(jī)關(guān)和其他履行個(gè)人信息保護(hù)職責(zé)的部門(mén)，建立健全信息共享和通報(bào)工作機(jī)制，協(xié)同開(kāi)展相關(guān)工作。

網(wǎng)信部門(mén)、公安機(jī)關(guān)和其他履行個(gè)人信息保護(hù)職責(zé)的部門(mén)依法對(duì)應(yīng)用人臉識(shí)別技術(shù)處理個(gè)人信息活動(dòng)實(shí)施監(jiān)督檢查，個(gè)人信息處理者應(yīng)當(dāng)依法予以配合。

第十七條 任何組織、個(gè)人有權(quán)對(duì)違法應(yīng)用人臉識(shí)別技術(shù)處理人臉信息的活動(dòng)向履行個(gè)人信息保護(hù)職責(zé)的部門(mén)進(jìn)行投訴、舉報(bào)。收到投訴、舉報(bào)的部門(mén)應(yīng)當(dāng)依法及時(shí)處理，并將處理結(jié)果告知投訴人、舉報(bào)人。

第十八條 違反本辦法規(guī)定的，依照有關(guān)法律、行政法規(guī)的規(guī)定處理；構(gòu)成犯罪的，依法追究刑事責(zé)任。

第十九條 本辦法下列術(shù)語(yǔ)的含義：

（一）個(gè)人信息處理者，是指在個(gè)人信息處理活動(dòng)中自主決定處理目的、處理方式的組織、個(gè)人。

（二）人臉信息，是指以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的面部特征生物識(shí)別信息，不包括匿名化處理后的信息。

（三）人臉識(shí)別技術(shù)，是指以人臉信息作為識(shí)別個(gè)體身份的個(gè)體生物特征識(shí)別技術(shù)。

（四）人臉識(shí)別設(shè)備，是指應(yīng)用人臉識(shí)別技術(shù)識(shí)別個(gè)體身份的終端設(shè)備。

（五）驗(yàn)證個(gè)人身份，是指通過(guò)收集獲得的人臉信息與信息系統(tǒng)存儲(chǔ)的特定人臉信息進(jìn)行“一對(duì)一”比對(duì)，確認(rèn)和核對(duì)兩者是否為同一人。

（六）辨識(shí)特定個(gè)人，是指通過(guò)收集獲得的人臉信息與信息系統(tǒng)存儲(chǔ)的特定范圍內(nèi)人臉信息進(jìn)行“一對(duì)多”比對(duì)，發(fā)現(xiàn)和識(shí)別具有特定身份的個(gè)人。

第二十條 本辦法自2025年6月1日起施行。