為(wei)規(gui)(gui)范人臉識別技術應(ying)用,根據《中(zhong)華(hua)(hua)人民共(gong)和(he)(he)國(guo)網絡安全(quan)法(fa)》《中(������zhong)華(hua)(hua)人民共(gong)和(he)(he)國(guo)數據安全(quan)法(fa)》《中(zhong)華(hua)(hua)人民共(gong)和(he)(he)國(guo)個(ge)人信息(xi)保護(hu)法(fa)》等(deng)法(fa)律法(fa)規(gui)(gui),國(guo)家互聯網信息(xi)辦公(gong)室起草了《人臉識別技術應(ying)用安全(quan)管理�����(li)規(gui)(gui)定(試(shi)行)(征求意(yi)(yi)見稿)》,現(xian)向社(she)會公(gong)開征求意(yi)(yi)見。公(gong)眾可以(yi)通過以(yi)下(xia)途徑和(he)(he)方式(shi)提出反饋意(yi)(yi)見:
1.登錄中(zhong)華人民共和國司法(fa)部 中(zhong)國政(zheng)府(fu)法(fa)制信(xin)息(xi)網(www.moj.gov.cn、www.chinalaw.gov.cn),進入首頁(ye����)主菜(cai)單的“立(li)法(fa)意見征集”欄(lan)目提出意見。
2.通過電(dian)子郵件方式(shi)發送至:shujuju@cac.gov.cn。
��������3.通過(guo)信(xin)函方(fang)式(shi)將意見(jian)寄至:北京市海淀區阜成(cheng)路15號(hao)國家(jia)互(hu������)聯(lian)網信(xin)息(xi)辦公室網絡數據管理(li)局,郵(you)編(bian)100048,并在信(xin)封上注明“人臉識別技(ji)術應用安全管理(li)規定(試行)征(zheng)求意見(jian)”。
意(yi)見(jian)反饋截止時間為2023年(nian)9月7日。
附件:人臉識(shi)別技術應用安全管理規(gui)定(試行)(征求意見稿)
國家互聯網信息辦公室
2023年8月8日
人臉識別技術應用安全管理規定(試行)
(征求意見稿)
第一條 為規(gui)范人(ren)(ren)(ren)臉識別技術(shu)應用,保護個人����(ren)(ren)(ren)信息權(quan)益及其(qi)他(ta)人(ren)(ren)(ren)身和(he)財產權(quan)益,維(wei)護社會秩序和(he)公(gong)共(gong)安(an)全(quan),根(gen)據(ju)《中(zhong)華(hua)人(ren)(ren)(ren)民共(gong)和(he)國網(wang)絡安(an)全(quan)法(fa)(fa)(fa)》《中(zhong)華(hua)人(ren)(ren)(ren)民共(gong)和(he)國數(s�����hu)據(ju)安(an)全(quan)法(fa)(fa)(fa)》《中(zhong)華(hua)人(ren)(ren)(ren)民共(gong)和(he)國個人(ren)(ren)(ren)信息保護法(fa)(fa)(fa)》等法(fa)(fa)(fa)律,制定(ding)本(ben)規(gui)定(ding)。
第二(er)條 在中華人(ren)民共和國境內利用(yong)人(ren)臉(lian)(lian)識(shi)別(bie)技術處理人(ren)臉(lian)(lian)信(xin)息,提供人(ren)臉(lian)(lia������n)識(shi)別(bie)技術產品(pin)或(huo)者服務,應當遵守本規定。法律、行政(zheng)法規另(��������ling)有規定的從其規定。
第三條 使用(yong)人(ren)臉(������lian)識別技術(shu)應當遵守(shou)法律(lv)法規(gui),遵守(shou)公共秩序,尊重社(she)會公德(de),承擔社(she)會責任,履行個人(ren)信息保護義務,不得(de)利用(yong)人(ren)臉(lian)識別技術(shu)從事危(wei)害國家(jia)安全、損害公共利益、�����擾亂社(she)會秩序、侵(qin)害個人(ren)和組織(zhi)合法權益等法律(lv)法規(gui)禁止的活(huo)動。
第四條(tiao) 只有在(zai)具有特定的(de)目(mu)的(de)和充分的(de)必要性,并(bing)采取嚴格(ge)保(bao)護(hu)措(cuo)施的(de)情形下(xia),方可使用人(ren)臉(lian)識(shi)別(bie)技(ji)術處理人(ren)臉(lian)信(xin)息(xi)。實現相同(tong)目(mu)的(de)或者(zhe)達到同(tong)等業(ye)務要求(qiu),存在(zai)其他非(fei)生物特征(zheng)識(shi)別(bie)技(ji)術方案的(de),應(ying)當優(y���ou)先選擇非(fei)生物特征(zheng)識(shi)別(bie)技(ji)術方案。
使用(yong)人臉識別技術驗證個人身份、辨識特定自然(ran)人的,鼓(gu)勵優(you)先使用(yong)國家人口基(j������i������)礎信息(xi)庫、國家網絡身份認證公共服務等權威渠道。
第五條 使用人(ren)臉識別技術處理人(ren)臉信(xin)息應當取(qu)得(de)(de)個人(ren)的單獨同意或者依法(fa)取(qu)�������得(de)(de)書(shu)面同意。法(fa)律、行政法(fa)規規定不需取(qu)得(de)(de)個人(ren)同意的除外。
第六條(tiao) 旅館客房(fang)、公共(gong)浴室、更衣室、衛生間及其他可能侵�������(qin)害他人隱(yin)私的(de)場所不(bu)得安(an)裝圖像采集、個人身份識別設備。
第七條 在公(�����������gong)共(gong)場(chang)所安裝(zhuang)圖像采集、個人身份識別設備,應當為維護公(gong)共(gong)安全所必需,遵守(shou)國家有關規定,設置顯(xian)著提(ti)示標識。
在公共場所(suo)安裝圖像(xiang)(xiang)采(cai)集(ji)、個人������身份(fen)識(shi)別設(she)備的(de)建(jian)設(she)、使用、運行維護單位(wei),對(dui)獲(huo)取的(de)個人圖像(xiang)(xiang)、身份(fen)識(shi)別信息負(fu)有保密義務,不得非法泄露或(huo)者對(dui)外(wai)提供。所(suo)收(shou)集(ji)的(de)個人圖像(xiang)(xiang)、身份(fen)識(shi)別信息只能用于維護公共安全的(de)目(mu)的(de),不得用于其他目(mu)的(de);取得個人單獨同意的(de)除外(wai)。
第八條 組(zu)織機(ji)構為實(shi)施內(nei)部管理安(an)裝圖(tu)像采(cai)集、個(ge)(ge)人身(shen)份(fen)識別設備(bei)的,應當根據實(shi)際需求合理確定圖(tu)像信息采(cai)集區(qu)域(yu),采(cai)取(qu)嚴(yan)格保(bao)護措(cu�����o)施,防止違規(gui)查閱、復制、公開、對(dui)外(wai)提供、傳播個(ge)(ge)人圖(tu)像等行為,防止個(ge)(ge)人信息泄露、篡改、丟失或者被非法獲取(qu)、非法利用。
第九條 賓館(guan)(guan)(guan)、銀行(xing)、車站(zhan)、機場、體育(yu)場館(guan)(guan)(guan)、展覽(lan)館(guan)(guan)(guan)、博物館(guan)(guan)(guan)、美術(shu)館(guan)(guan)(guan)、圖書館(guan)(guan)(guan)等經(jing)營場所,除法(fa)律、行(xing)政法(fa)規規定應(ying)當使用人(ren)臉識別(bie)技(j������i)術(shu)驗證(zheng)個人(ren)身份的,不得以辦理(li)業務(wu)、提升服務(wu)質量等為由強制、誤導(dao)、欺詐(zha)、脅迫個人(ren)接受人(ren)臉識別(bie)技(ji�����)術(shu)驗證(zheng)個人(ren)身份。
個(ge)(ge)人自愿選擇使用人臉識別技術驗(yan)證(zheng)(zheng)個(ge)(ge)人身(shen)份的,應當(dang)確保個(ge)(ge)人充分知(zhi)情并在個(ge)(ge)人主動參與(yu)的情況下進行(xing),驗(yan)證(zheng)(zhen�����g)過程(cheng)中應當(dang)以(yi)清晰易懂(dong)的語音或者(zhe)文(wen)字等(deng)方(fang)式即時明確提示身(shen)份驗(yan)證(zheng)(zheng)的目的。
第十條 在(zai)公(gong)共場(chang)所(suo)、經營場(chang)所(suo)使用人(ren)臉識別技術遠距離、無感式辨識特(te)定自然(ran)人(ren),應(ying)當(dang)為維(wei)護國(guo)家安(an)全(quan)、公(gong)共安(an)全(quan)或(huo)者(zhe)(zhe)為緊急情況(kuang)下(xia)保護自然(ran)人(ren)生命健康和������財(cai)產(chan)安(an)全(quan)所(suo)必需,并由個(ge)人(ren)或(huo)者(zhe)(zhe)利害關系人(ren�����)主動提出。
人(ren)(ren)(ren)(ren)臉識別技術使(shi)(shi)用者應個人(ren)(ren)(ren)(ren)或者利(li������)(li)害(hai)關(guan)系(xi)人(ren)(ren)(ren)(ren)請求使(shi)(shi)用人(ren)(ren)(ren)(ren)臉識別技術遠距(ju)離、無感(gan)式(shi)辨(bian)識特定(ding)個人(ren)(ren)(ren)(ren)或者利(li)(li)害(hai)關(guan)系(xi)人(ren)(ren)(ren)(ren)的,應當將相(xiang)關(guan)服務限定(ding)在最小必要的時間、地(di)點����(dian)或者人(ren)(ren)(ren)(ren)群范圍內,不(bu)得關(guan)聯與個人(ren)(ren)(ren)(ren)請求事項無直接必然相(xiang)關(guan)的個人(ren)(ren)(ren)(ren)信息。
第十一條 除維護(hu)(hu)國家安全、公共安全或者為(wei)緊(jin)急情(qing)況下保護(hu)(hu)自然人(ren)生命(ming)健康(kang)和(he)財產安全所必需,或者取得個(ge)人(ren)單獨同意外(wai),任何(he)組織或者個(ge)人(ren)不得利用人(ren)臉(lian)識別技(ji)術分(fen)析個(ge)人(ren)種族(zu)、民族(zu)、宗教信(xin)仰、健康(kang)狀況������、社會階層等敏感個�������(ge)人(ren)信(xin)息。
第(di)十二條 ��������涉及(ji)社(she)會救(jiu)助、不(bu)動產處分等個人(ren)重大(da)利益(yi)的,不(bu)得(de)使用人(ren)臉識(shi)別技(ji)術(shu)替代人(ren)工審核個人(ren)身(shen)份,人�����(ren)臉識(shi)別技(ji)術(shu)可以(yi)作為驗證個人(ren)身(shen)份的輔助手段。
第十三條 人臉識別�������技術使(shi)用者處理(li)不滿十四周(zhou)歲未成年人人臉信息(xi)的,應當取得(de)未成年人的父母或者其他監護(hu)人的單(dan)獨同意或者書面同意。
未(wei)成年人(ren)的父母或者其他監護(hu)(hu)人(ren)應當正(zheng)確履(lv)行監護(hu)(hu)職責,教育引導不�����(bu)滿十(shi)四周(zhou)歲未(wei)成年人(ren)增(zeng)強個人(ren)信息保護(hu)(hu)意識和能力。
第十(shi)四條 物(wu)(wu)業(ye)服務企業(ye)等建�������筑(zhu)物(wu�����)(wu)管(guan)(guan)理(li)人(ren)不(bu)得將使(shi)用人(ren)臉識別技術驗證(zheng)(zheng)個(ge)人(ren)身份作為出入物(wu)(wu)業(ye)管(guan)(guan)理(li)區域的(de)(de)唯一方式,個(ge)人(ren)不(bu)同意通過人(ren)臉信息進行身份驗證(zheng)(zheng)的(de)(de),物(wu)(wu)業(ye)服務企業(ye)等建筑(zhu)物(wu)(wu)管(guan)(guan)理(li)人(ren)應當提(ti)供其他合(he)理(li)、便捷的(de)(de)身份驗證(zheng)(zheng)方式。
第(di)十五條 人臉識(shi)別技(ji)術使用者處理(li)人臉信息(xi),應當事前進������行(xing)個人信息(xi)保護影響評估(gu),并對處理(li)情(qing)況進行(xing)記錄。
個人(ren)信(xin)息保護影響評估(gu)主要(yao)包括下列內容:
(一)是否(fou)符合法律、行政法規的(de)規定和國(guo)家標準的(de)強制性要求,是否(fou)������符合倫理道(dao)德(de);
(二)處理(li)人臉信息是否具有特定(ding)的目(mu)的和������充(chong)分的必(bi)要性;
(三(san))是否限于實現目的所必需的準度、精度及距離要(yao)求;
(四)采(cai)取的(de)保護措施是(shi)否合(he)法有效并與風險程(chen������g)度相適(shi)應;
(五)發生或者可(ke)能發生人(ren)臉信息泄露、篡改、丟失、毀損(sun)或者被非法獲取、非法利(l�������i)用的風險以及可(ke)能造(zao)成的危(wei)害�����;
(六)可能(neng)對個人(ren)權益帶來的損害和影響,以(y�����i)及降低(di)不利影響的措施(shi)是否有效(xiao)。
個人(ren)信息(xi)(xi)保護(hu)影響評(ping)估(gu)報告應當至少保存三(san)年。處理人(ren)臉(lian)(lian)信息(xi)(xi)的(de)(de)目(mu)的(de)(de)、方式發生(sheng)變化,或者發生(sheng)重(zhong)大安全事(shi)件的(de)(de),人(ren)臉(lian)(lian)識別技術使用者應當重(zhong)新進行個人(ren)信息������(xi)(xi)保護(hu)影響評(ping)估(gu)。
第(di)十六條 在公共場(chang)所使用(yong)人臉(lian)識別技(ji)術,或(huo)者存(cun)儲超過1萬人人臉(lian)信(xin)(xin)息的人臉(lian)識別技(ji)術使用(yong)者,應當在3���������0個工作日內向所屬地(di)市(shi)級以上(shang)網信(xin)(xin)部(bu)門(men)備(bei)案。申請備(bei)案應當提交下列(lie)材(c����ai)料:
(一)人臉識別技(�����ji)術(shu)使用者及(ji)其個人信息(xi)保護�����負責(ze)人的基本(ben)情況(kuang);
(二)處理人臉信息(xi)的必要性說明;
������� (三(san))人(ren)臉信息(xi)的處理(li)(li)目的、處理(li)(li)方式和(he)安全保護措施(shi);
(四(si))人臉信息的(de)處理規則(ze)和操作規程;
(五(wu))個人信息保護(hu)影響評估報告(gao);
(六)網信部門(men)認為需要提供(gong)的其他材料。
人臉識別(bie)技術(shu)使(shi)用者(zhe)處理(li)人臉信息,有法律、行(xing)政法規(gui���������)規(gui)定應當保密的,按有關規(gui)定執行(xing)。
備案信(xin)息(xi)發生實(shi)質(zhi)性(xing)變(bian)更的(de),應在變(bian)更之日起20個工作日內(nei)辦(ban)理(li�����)備案變(bian)更手(shou)續。終止人(ren)臉識(shi)別技術使用的(de),應在終止之日起30個工作日內(nei)辦(ban)理(li)備案注銷手(shou)續。
第十七條 除(chu)法定條件或者(zhe)取得個人(ren)單獨同(tong)意外(������wai),人(ren)臉(lian)識別技術使(shi)用者(zhe)不�����(bu)得保存(cun)人(ren)臉(lian)原始圖(tu)像(xiang)、圖(tu)片(pian)、視頻,經過匿名化(hua)處理的人(ren)臉(lian)信息(xi)除(chu)外(wai)。
面向(xiang)社(she)會公眾提供人臉識別技術(shu)(shu)服務(wu)的,相關技術(shu�������)(shu)系(xi)統(tong)應當符(fu)合網(wang)絡安(an)全(quan)等(deng)(deng)級(ji)保(bao)護第三級(ji)以(yi)上保(bao)護要求(qiu),并采取數(shu)據加密、安(an)全(quan)審計、訪問控制、授(shou)權管理、入侵檢測和防御等(deng)(deng)措施(shi)保(bao)護人臉信(xin)息(xi)安(an)全(quan)。屬于關鍵信(xin)息(xi)基礎設施(shi)的,還應當符(fu)合關鍵信(xin)息(xi)基�������礎設施(shi)安(an)全(quan)保(bao)護的相關要求(qiu)。
第十八條 使用(yong)人(ren)臉������(lian)識(shi)別技術(shu)處(chu)理(li)人(ren)臉(lian)信息應當盡量避免采集(ji)與提供(gong)服務(wu)無關的(de)(de)人(ren)臉(lian)信息,無法避免的(de)(de),應當及時刪除或者(zhe)進(jin)行匿名化處(chu)理(li)。
第十九條 人(ren)臉(lian)識別(bie)技(ji)術使(shi)用者應當每年對圖像采集(ji)設(she)(she)(she)備(bei)(bei)、個人(ren)身份識別(bie)設(she)(she)(she)備(bei)(bei)的(de)安全性和可能存在的(de)風險進行檢測(ce)評(ping)估,并根據檢測(ce)評(ping)估情(qing)況改進安全策(ce)略,調整置信度閾值,采取有效措施保護圖像采集(ji)設(she)(she)(she)備(bei)(bei)、個人(ren)身份識別(bie)設(she)(she)(she)備(bei)(b������ei)免受攻(gong)擊、侵(qin)入�������(ru)、干(gan)擾和破壞。
第(di)二十條(tiao) 按照(zhao)國家有(you)關規定列入網絡(luo)關鍵設(she)備和網絡(luo)安(an)全專用產品(pin)目錄(lu)的圖(tu)像采集設(she)備、個人身(shen)�����������份識別設(she)備,應當(dang)按照(zhao)相關國家標(biao)準的強制性(xing)要求,由具備資格的機構(gou)認證合格或者檢測符合要求后,方可(ke)銷售或者提供。
第二十一條(tiao) 網信部門會同電信主管(guan)部門、公安機關、市場監管(guan)部門等��������有關部門依������據職責(ze),加強對(dui)人臉(lian)識別(bie)技術使用(yong)的監督(du)(du)檢查,指(zhi)導督(du)(du)促(cu)(cu)人臉(lian)識別(bie)技術使用(yong)者履行備案手續,及(ji)時發現安全(quan)隱患并督(du)(du)促(cu)(cu)限期整改。
人臉識別技(ji)術使用者、產品或者服務(wu)提�����供(gong)者������應當對有關部(bu)門依法開展的監督檢(jian)查予以配合。
第二(er)十二(er)條 任何(he)組(zu)織和個�����人(ren)發現有(you)違反本規定行為的,可以(yi����)向(xiang)網信、電信、公(gong)安、市場監管等有(you)關部(bu)門(men)投訴、舉報。
網(wang)信、電信、公安、市場監管等(d��������eng)有(you)關部門收到相(xiang)關投訴、舉報的,應(ying)當依據職責依法�������作(zuo)出處理。
第二(er)十(shi)三條 人(ren)臉識別技術使用(yong)者(zhe)或者(zhe)相關產品、服務提供者(zhe)違(wei)反(fan)本規(gui)定的(de),由網信(xin)、電信(xin)、公安、市場監管等(deng)有關部門在職責(ze)范圍(wei)內依(yi)照《中華人(ren)民(min)共(gong)和國網絡(luo)安全法(fa)》《中華人(ren)民(min)共(gong)和國數據安全法(fa)》《中華人(ren)民(min)共(gong)和國個(ge)人(ren)信(xin)息保護法(fa)》等(de���������ng)法(fa)律法(fa)規(gui)進(jin)行處罰(fa)。違(wei)反(fan)《治(zhi)安管理(li)處罰(fa)法(fa)》的(de),依(yi)法(fa)給予治(zhi)安管理(li)處罰(fa);構成犯罪的(de),依(yi)法(fa)追究刑(xing)事(shi)責(ze)任。
違(wei)反本規������(gui)定,給(gei)他人造(zao)成損(sun)害(hai)的,依法(fa)承擔(dan)民事責任(ren)。
第二(er)十四(si)條(tiao) 本規定由國(guo)家互聯網信息辦公室會同工業和������信息化部、公安部、國(guo)家市場(chang)監督管(guan)理(li)總局負責解釋。
第二十(shi)五條 本規定自×年×月×日起施行。(&ld�����quo;網信中國”微信公眾號)
