為規范(fan)人(ren)(ren)臉識別技(ji)(ji)術(shu)應(ying)用,根據《中(zh�����ong)華人(ren)(ren)民(min)共和(he)國(guo)(guo)網(wang)絡安全法(fa)(fa)(fa)》《中(zhong)華人(ren)(ren)民(min)共和(he)國(guo)(guo)數(shu)據安全法(fa)(fa)(fa)》《中(zhong)華人(ren)(ren)民(min)共和(he)國(guo)(guo)個人(ren)(ren)信息(xi)(xi)保(bao)護(hu)法(fa)(fa)(fa)》等法(fa)(fa)(fa)律法(fa)(fa)(fa)規,國(guo)(guo)家互聯網(wang)信息(xi)(xi)辦公(gong)室起草了《人(ren)(ren)臉識別技(ji)(ji)術(shu)應(ying)用安全管理規定(試行)(征求意(yi)(yi)見(jian)(jian)稿)》,現(xian)向社會(hui)公(gong)開(kai)征求意(yi)(yi)見(jian)(jian)。公(gong)眾(zhong)可(ke)以通過(guo)以下(xia)途徑和(he)方式提(ti)出反(fan)饋(kui)意(yi)(yi)見(jian)(jian):
1.登�������錄(lu)中(zhong)(zhong)華人民共和(he)國司法部�������� 中(zhong)(zhong)國政府法制信息網(www.moj.gov.cn、www.chinalaw.gov.cn),進入首(shou)頁主菜單的“立法意見征集”欄(lan)目提出(chu)意見。
2.通過電子郵件方(fang)式發送至(zhi):shujuju@cac.gov.cn。
3.通(tong)過信函方(fang)式(shi)將意(yi)見寄至:北京市海淀區阜(fu)成路15號國家������互聯網(wang)信息辦公(gong)室(shi)網(wang)絡數據管(guan)理局,郵(you)編100048,并�������在信封上注(zhu)明“人臉識(shi)別技術應用安全管(guan)理規定(試行)征求意(yi)見”。
意見反饋(kui)截止時間為2023年9月7日。
附件:人(ren)臉識別技術應用安(an)全(quan)管�����理(li)規定(試行)(征求(qiu)意見(jian)稿)
國家互聯網信息辦公室
2023年8月8日
人臉識別技術應用安全管理規定(試行)
(征求意見稿)
第一條 為規范(fan)人(ren)(ren)臉(lian)識別技術應用,保護個人(ren)(ren)信息權益(yi)及其他人(ren)(ren)身(shen)和(��������he)財(cai)產權益(yi),維護社會秩序和(he)公共(gong)安(an)全,根據《中(zhong)華人(ren)(ren)民共(gong)和(he)國網(wang)絡安(an)全法(fa)》《中(zhong)華人(ren)(ren)民共(gong)和(he)國數據安(an)全法(fa)》《中(zhong)華人(ren)(ren)民共(gong)和(he)國個人(ren)(ren)信息保護法(fa)》等法(fa)律,制定本規定。
第(di)二(er)條�������� 在中華(hua)人(ren)民共和國(guo)境內利用(yong)人(ren)臉識別技(ji)術(shu)處(chu)理人(ren)臉信(xin)息,提供人(ren)臉識別技(ji)術(shu)產品或(huo)者服務(wu),應當遵守本規定。法(fa)律(lv)、行政法(fa)規另(ling)有規定的從(cong)其規定。
第三條 使用(yong)人(ren)(ren)臉識別技(ji)術應當遵(zun)守(shou)法律法規,遵(zun)守(shou)公(gong)共秩序(xu),尊重社會公(gong)德,承擔社會責任,履行(xing)個人(ren)(ren)信息保護義務,不(bu)得(de)利(li)用(yong�������)人(ren)(ren)臉識別技(ji)術從(cong)事危害(hai)國家安全、損害(hai)公(gong)共利(li)益、擾亂社會秩序(xu)、侵害(hai)個人(ren)(ren)和組織合法權(quan)益等法律法規禁止(zhi)的活動。
第四條 只有(you)在具有(you)特(te)定的(de)(de)目的(de)(de)和充分的(de)(de)必要(yao)性(xing),并(bing)采(cai)取(qu)嚴格保護措(cuo)施的(de)(de)情(qing)形下,方(fang)可使用(yong)人(r�����en)臉識別(bie)技(ji)術處(chu)理人(ren)臉信息(xi)。實現相同(tong)目的(de)(de)或者達(da)到同(tong)等業務要(yao)求,存(cun)在其他非(fei)生物特(te)征識別(bie)技(ji)術方(fang)案的(de)(de),應當優先選擇非(fei)生物特(te)征識別(bie)技(ji)術方(fang)案。
使(shi)用(yong)人臉(lian)識別技術驗(yan)證(zheng)個�������人身份(fen)(fen)、辨識特定自然人的(de),鼓(gu)勵(������li)優(you)先使(shi)用(yong)國(guo)家(jia)人口基(ji)礎信(xin)息(xi)庫、國(guo)家(jia)網絡(luo)身份(fen)(fen)認證(zheng)公(gong)共服務等權威渠道(dao)。
第五條 使(shi)用人(ren)臉(lian)識別技術處理人(ren)臉(lian)信息應當取(qu)得(de)個人(ren)的單獨同(tong)意或(hu�������o)者依法(fa)取(qu)得(de)書面同(tong)意。法(fa)律、行(xing)政法(fa)規(gui)規(gui)定不需取(qu)得(de)個人(ren)同(tong)意的除外(wai)。
第六條 旅(lv)館客房、公共浴室、更衣室、衛生間及其他(ta)(������ta)可能侵(qin)害他(ta)(ta)人隱私的(de)場(chang)所不得安裝圖像采集、個人身份識別設備(bei)。
第七條 在公共場所(suo)安(an)裝圖像采集、個人身份識(shi)別設備,應(ying)當為維護公共安(an)全所(suo)必(bi)需,遵�������守(shou)國家有關規定,設置(zhi)顯著(zhu)提(ti)示標識(shi)。
在公共(gong)(gong)場所安裝圖像采集(ji)、個(ge)(ge)人(ren)身(shen)份識(shi)別(bie)設備的(de)建設、使用(yong)、運(yun)行維護單位,對獲取(qu)的(de)個(ge)(ge)人(ren)圖像、身(shen)份識(shi)別(bie)信息(xi)負(fu)有保密義務,不得非法泄露或者對外提(ti)供。所收集(�����ji)的(de)個(ge)(ge)人(ren)圖像、身(shen)份識(shi)別(bie)信息(xi)只(zhi)能(neng)用(yong)于(yu)維護公共(gong)(gong)安全的(d��������e)目(mu)的(de),不得用(yong)于(yu)其他目(mu)的(de);取(qu)得個(ge)(ge)人(ren)單獨同(tong)意的(de)除外。
第八條(tiao) 組(zu)織機(ji)構為(wei)實施內部管理安裝圖(tu)像采(cai)集、個(ge)人身份識(shi)別(bie)設備的,應(ying)當根(gen)據實際需(xu)求合理確(que)定圖(tu)像信息(xi)(xi)采(������cai)集區域,采(cai)取嚴(yan)格保護措施,防止(zhi)違規查閱、復制、公開、對(dui)外提供、傳播個(ge)人圖(tu)像等行為(wei),防止(zhi)個(ge)人信息(xi)����(xi)泄露、篡(cuan)改、丟失或者被非法獲取、非法利用(yong)。
第九條 賓館(guan)(guan)、銀行、車站、機場、體(ti)育(yu)場館(guan)(guan)、展覽館(guan)(guan)、博物館(guan)(guan)、美術館(guan)(guan)、圖書館(guan)(guan)等�����經營場所,除�����法律、行政法規規定(ding)應(ying)當(dang)使用人臉識(shi)(shi)別(bie)(bie)技術驗證(zheng)個(ge)人身份(fen)的,不得以辦理業務(wu)、提升服(fu)務(wu)質量等為由強制、誤導(dao)、欺詐(zha)、脅迫個(ge)人接受(shou)人臉識(shi)(shi)別(bie)(bie)技術驗證(zheng)個(ge)人身份(fen)。
個人自(zi)愿選擇使用人臉識別技術驗證個人身(shen)份(fen)的(de)(de),應當確保(bao)個人充分(fen)知情并在個人主動(dong)參與(yu)的(de)(de)情況下進(jin)行,驗證過程中應當以清(qing)晰(xi)易懂的(de)(de)語音或者文字等方(fang)式(shi)即(ji)時(shi)明確提示身(she�������n)份(fen������)驗證的(de)(de)目(mu)的(de)(de)。
第(di)十條(tiao) 在(zai)公共(gong)場(chang)所、經營場(chang)所使用人(ren)臉(lian)識(shi)別(bie)技術(shu)遠距離、無感式辨(bian)識(shi)特(te)定自然(ran)人(ren),應當為(wei)維護國家安全(quan)(quan)、公共(gong)安全(quan)(quan)或(huo)者(zhe)為(wei)�����緊(jin)急情況下保護自然(ran)人(ren)生命健康(kang)和財產安全(quan)(quan)所必需,并由個(ge)人(ren)或(huo)者(zhe)利害(hai)關系人(ren)主動提出。
人(ren)(ren)臉(lian)識(shi)(shi)別技術使用者(zhe)應(ying)個人(ren)(ren)或(hu�����o)者(zhe)利害關(guan)(guan)系(xi)人(ren)(ren)請求(qiu)使用人(ren)(ren)臉(lian)識(shi)(shi)別技術遠(yuan)距離(li)、無感式辨(����bian)識(shi)(shi)特(te)定(ding)個人(ren)(ren)或(huo)者(zhe)利害關(guan)(guan)系(xi)人(ren)(ren)的,應(ying)當將相(xiang)關(guan)(guan)服務限定(ding)在最小(xiao)必要的時間、地點或(huo)者(zhe)人(ren)(ren)群范(fan)圍內,不得(de)關(guan)(guan)聯與個人(ren)(ren)請求(qiu)事項無直接必然相(xiang)關(guan)(guan)的個人(ren)(ren)信息。
第十一條(tiao) 除維護國家安全(quan)、公(gong)共安全(quan)或者(zhe)為(wei)緊急情況下保護自然人(ren)(ren)生命健康和財(cai)產安全(quan)所必需,或者(zhe)取得個人(ren)(ren)單獨同意外,任(ren)何(he)組織(zhi)������或者(zhe)個人(ren)(ren)不得利(li)用(yong)人(ren)(ren)臉識別技術分析個人(����ren)(ren)種族(zu)、民族(zu)、宗(zong)教信(xin)仰、健康狀況、社會階(jie)層等敏感個人(ren)(ren)信(xin)息。
第十二條 涉及社會救助(zhu)、不(bu)動產處(chu)分�����(fen)等個(ge)人重(zhong)大利(li)益的,不(bu)得使用人臉(lian)識(shi)別(bie)技術替代人工(gong)審(shen)核個(ge)人身(shen)份(fen),人臉(lian)識(shi)別(bie)技術可以作為驗證個(ge)人身(shen)份(fen)的輔������助(zhu)手段。
第十(shi)三條 人(ren)臉識別(bie)技術使用者(zhe)(zhe)處理不滿十(shi)四周歲未成年人(ren)人(ren)臉信息的,應當取得未成年人(ren)的父(fu)母或(huo)者(zhe)(zhe)其他監護(hu)人(ren)的單獨同(tong)意或������(huo)者(zhe)(zhe)書(shu)面(mian)同(tong)意。
未成年(nian)人(ren)的父母或(huo)�����者其他監(jian)護人(ren)應當正確履行監(jian)護職責(ze),教育引導(dao)不滿十四�������周歲未成年(nian)人(ren)增強(qiang)個人(ren)信(xin)息(xi)保護意識和能力。
第十四條 物(wu)業(ye)(ye)(ye)服(fu)務企業(ye)(ye)(ye)等(deng)建(jian)筑(zhu)物(wu)管理(li)人(ren)不得將使用人(ren)臉識別技術驗證個(ge)人(ren)身(shen)(shen)份(fen)作為出(chu)入物(wu)業(ye)(ye)(ye)管理(li)區域的(de)唯一(yi)方式,個(ge)人(ren)不同意通過人(ren)臉信息進行身(shen)(shen)份(fen)驗證的(d�����e),物(wu)業(ye)(ye)(ye)服(fu)務企業(ye)(ye)(ye)等(deng)建(jian)筑(zhu)物(wu)管理(li)人(ren)應當提供其他(ta)合理(li)、便捷的(de)身(shen)(shen)份(fen)驗證方式。
第十五條 人臉(lian)識������別技術使用者處理人臉(lian)信息(xi),應當(dang)事前進行個(ge)人信息(xi)保護影響評估(������gu),并(bing)對處理情(qing)況進行記錄。
個人信息保(bao)護(hu)影(ying)響評(ping)估主要包括(kuo)下列內容:
(一)是否符(fu)合法律(lv)、行������(xing)政法規的規定和國家標準的強制性要求(qiu),是否符(fu)合倫理道德;
(二)處理(li)人臉(lian)信息是否具有特定(ding)的目的和充分的必要(yao)性;
����(三)是(shi)否限于實現目的(de)所必需的(de)準度(du)、精度(du)及距離要求(qiu);
(四(si))采取(qu)的保護措施是(shi)否(fou)合�����法有(you)������效并(bing)與風險程(cheng)度相(xiang)適應(ying);
(五)發生或者可(ke)能(neng)發生人(ren)臉(lian)信息泄露、篡改(gai)、丟�����失(shi)、毀損或者被非(fei)法(fa)獲取、非(fei)法(fa)利用(yong)的風(feng)險(xian)以及(ji)可(ke)能(neng)造成的危害;
(六)可能(neng)對個(ge)人(r�������en)權益帶來的(de)損害和(he)影響,以及降低不利影響的(de)措(cuo)施是(shi)否有效。
����個(ge)人(ren)(ren)信息保護影響評估(gu)報(bao)告應當至少保存三年。處(chu)理(li)人(ren)(ren)臉信息的(de)目的(de)、方(fang)式發生變化,或者發生重大安全事件的(de),人(ren)(ren)臉識(shi)別技(ji�������)術使用者應當重新(xin)進行(xing)個(ge)人(ren)(ren)信息保護影響評估(gu)。
第十六條 在公共(gong)場所(suo)使用(yong)人(ren)(ren)臉(lian)(lian)識(shi)別技術,或者存儲超過(guo)1萬人(ren)����(ren)人(ren)(ren)臉(lian)(lian)信息的(de)人(ren)(ren)臉(lian)(lian)識(shi)別����技術使用(yong)者,應當在30個工作日內向所(suo)屬地市級以上(shang)網信部門備案(an)。申請備案(an)應當提交下列材(cai)料:
(一)人臉識別技術使用者及其個人信(xin)息(xi)保護負責(ze)人的基本情況;
(二)處理人臉信息的必(bi)要(yao)性(xing)說明;
(三)人臉(lian)信息的處理目的、處理方式和安全保護措施;
(四)人臉信息的處理(li)規(gui)則和操作規(gui)程;
(五)個人(ren)信息保護影響評估報告;
(六)網信部門(men)認為需要提供的其他(ta)材(cai)料。
人臉識別技(ji)術使用者處理人臉信(xin)息(xi),有法(fa)律(lv)������、行政法(fa)規(gui)規(gui)定應(�������ying)當保密的,按(an)有關規(gui)定執行。
備(bei)(bei)案信息發生實質性變(bian)(bian)更(geng)的,應在變(bian)(bian)更(geng)之(zhi)日(ri)(ri)起20個(ge)工(gong)作日(ri)(ri)內辦理備(bei)(bei)案變(bian)(bian)更(geng)手(shou)(shou)續。終(zhong)止人臉識別技術使(shi)用(yong)的,應在終(zhong)止之(zhi)日(ri)(ri)起30個(ge)工(gong)作日(ri)(r��������i)內辦理備(bei)(bei)案��������注銷手(shou)(shou)續。
第(di)十七條(tiao) 除法定條(tiao)件或者(zhe)取得(de)個人單獨同意(yi)外,人臉識(shi)別技術使用者(zhe)不(�����bu)得(de)保(bao)存人臉原始(shi)圖(tu)像、圖(t��������u)片、視頻(pin),經過匿(ni)名(ming)化處(chu)理(li)的人臉信(xin)息除外。
面向(xiang)社會公(gong)眾提供人(ren)臉������識別技術服務的(de),相關技術系(xi)統(tong)應當(dang)符合網絡安全等級(ji)保護(hu)(hu)第(di)三級(ji)以上保護(hu)(hu)要求(qiu),并采取數據加密(mi)、安全審計、訪問控制、授權(quan)管理、入侵(qin)檢測和防(fang)御等措(cuo)施(shi)保護(hu)(hu)人(ren)臉信息安全。�������屬于關鍵信息基(ji)礎(chu)設施(shi)的(de),還應當(dang)符合關鍵信息基(ji)礎(chu)設施(shi)安全保護(hu)(hu)的(de)相關要求(qiu)。
第十八條 使用人(ren)(ren)臉(lian)識別技術(shu)處理(li)人(ren)(ren)臉(lian)信(xin)息(xi)應當盡量避免采�������集與提(ti)供(gong)服務無(wu)關(guan)的人(ren)(ren)臉(lian)信(xin)息(xi),無(wu)法避免的,應當及時刪除(chu)或者進行匿名(ming)化處理(li)。
第十九條 人(ren)�����(ren)臉識別(bie)技術使用者應當(dang)每(mei)年對(dui)圖(tu)像采集設備(bei)、個(ge)人(ren)(ren)身份識別(bie)設備(bei)的安(an)全性(xing)和(he)可能存在的風險進行(xing)檢測評估(gu),并根據檢測評估(gu)情況改進安(an)全策略,調整置信度閾值,采取有(you)效(xiao)措施(shi)保(bao)護圖(tu)像采集設備(bei)、個(ge)人(ren)(ren)身份識別(bie)設備(bei)免受(shou)攻擊、侵入、干(gan)擾和(he)破壞。
第二十條(tiao) 按照國家(jia)有關(guan)規定列入網(wang)絡關(guan)鍵設(she)備(bei)(bei)和網(wang)絡安全專用(yong)產品目(mu)錄的圖像采(cai)集設(she)備(bei)(bei)、個人身份識別設(she)備(bei)(bei),應(ying)當按照相關(guan)國家(jia)標準(zhun)的強制性要(yao)求,由具備(bei)(bei)資格的機構認證合(he)格或(huo)者檢(jian)測��������符合(he)要(yao)求后(hou),方可(ke)銷售或(huo)者提供。
第二十一條(tiao) 網信������部門(men)會同(tong)電信主(zhu)管部門(men)、公安機關(guan)、市場監(jian)管部門(men)等(deng)有關(guan)部門(men)依據職責,加強對人臉(lian)識(shi)別技(ji)(ji)術使用的(de)監(jian)督檢查(cha),指導督促人臉(lian)識(shi)別技(ji)(ji)術使用者履行備案手續(xu),及(ji)時發現安全隱患并(bing)督促限期整改。
人臉識別技術使用者(zh��������e)、產品(pin)或者(zhe)服�����(fu)務(wu)提(ti)供者(zhe)應當(dang)對有關部門依法(fa)開(kai)展(zhan)的監督檢查予以配合。
第二(er)十二(er)條 任何(h�������e)組織和個(ge)人發現(xian)有違(wei)反本(ben)規(gui)定行(xing)為(wei)的,可以向網信、電信、公安(an)、市(shi)場監管等有關部門投訴、舉報。
網信、電信、公安、市場監管等有關部門(men)收到相(xiang)關投訴(su)、舉報�����的,應當依據職責依法作出處(chu)理。
第二十(shi)三(san)條 人(ren)(ren)臉識別(bie)技術(shu)使用者(zhe)或(huo)者(zhe)相關產品、服務(wu)提(ti)供者(zhe)違反本規定的(de),由網信、電信、公(gong)安(an)、市(shi)場監(jian)管等有關部門在(zai)職(zhi)責(ze)范圍(wei)內(nei)依照(zhao)《中(zhong)華(hua)人(ren)(ren)民(min)(min)共和國網絡安(an)全法(fa)(fa)(fa)(fa)(fa)》《中(zhong)華(hua)人(ren)(ren)民(min)(min)共和國數據(ju)安(an)全法(fa)(fa)(fa)(fa������)(fa)》《中(zhong)華(hua)人(ren)(ren)民(min)(min)共和國個人(ren)(ren)信息保護(hu)法(fa)(fa)(fa)(fa)(fa)》等法(fa)(fa)(fa)(fa)(fa)律法(fa)(fa)(fa)(fa)(fa)規進行處(chu)(chu)罰(fa)(fa)。違反《治(zhi)安(an)管理處(chu)(chu)罰(fa)(fa)法(fa)(fa)(fa)(fa)(fa)》的(de),依法(fa)(fa)(fa)(fa)(fa)給(gei)予治(zhi)安(an)管理處(chu)(chu)罰(fa)(fa);構(gou)成(cheng)犯罪的(de),依法(fa)(fa)(fa)(fa)(fa)追究刑(xing)事責(ze)任。
違(��������wei)反本(ben)規(gui)定,給他(ta)人造成損害的,依法承(cheng)擔民事(shi)責任。
第二十(shi)四條 本規定(ding)由(you)國(guo)家互聯網信息辦(ban)公室(shi)會(hui)同工業(ye)和信息化(hua)部������(bu)、公安部(bu)、國(guo)家市場監督管理總局負責解(jie)釋(shi)。
第二十五條 本規定(ding)自(zi)×年×月×日起施行。(“網(wang)信中�������(zhong)國”微信公眾號)
