為規範人臉識別技術應用����,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規����,國家互聯網信息辦公室起草了《人臉識別技術應用安全管理規定(試行)(征求意見稿)》���,現向社會公開征求意見。公眾可以通過以下途徑和方式提出反饋意見:
1.登錄中華人民共和國司法部 中國政府法製信息網(www.moj.gov.cn��、www.chinalaw.gov.cn)�,進入首頁主菜單的“立法意見征集”欄目提出意見。
2.通過電子郵件方式發送至:shujuju@cac.gov.cn。
3.通過信函方式將意見寄至:北京市海澱區阜成路15號國家互聯網信息辦公室網絡數據管理局���,郵編100048����,並在信封上注明“人臉識別技術應用安全管理規定(試行)征求意見”。
意見反饋截止時間為2023年9月7日。
附件:人臉識別技術應用安全管理規定(試行)(征求意見稿)
國家互聯網信息辦公室
2023年8月8日
人臉識別技術應用安全管理規定(試行)
(征求意見稿)
第一條 為規範人臉識別技術應用�,保護個人信息權益及其他人身和財產權益�,維護社會秩序和公共安全����,根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律��,製定本規定。
第二條 在中華人民共和國境內利用人臉識別技術處理人臉信息����,提供人臉識別技術產品或者服務�,應當遵守本規定。法律�����、行政法規另有規定的從其規定。
第三條 使shi用yong人ren臉lian識shi別bie技ji術shu應ying當dang遵zun守shou法fa律lv法fa規gui���,遵zun守shou公gong共gong秩zhi序xu�,尊zun重zhong社she會hui公gong德de�,承cheng擔dan社she會hui責ze任ren�,履lv行xing個ge人ren信xin息xi保bao護hu義yi務wu��,不bu得de利li用yong人ren臉lian識shi別bie技ji術shu從cong事shi危wei害hai國guo家jia安an全quan���、損害公共利益����、擾亂社會秩序��、侵害個人和組織合法權益等法律法規禁止的活動。
第四條 隻zhi有you在zai具ju有you特te定ding的de目mu的de和he充chong分fen的de必bi要yao性xing���,並bing采cai取qu嚴yan格ge保bao護hu措cuo施shi的de情qing形xing下xia��,方fang可ke使shi用yong人ren臉lian識shi別bie技ji術shu處chu理li人ren臉lian信xin息xi。實shi現xian相xiang同tong目mu的de或huo者zhe達da到dao同tong等deng業ye務wu要yao求qiu�����,存cun在zai其qi他ta非fei生sheng物wu特te征zheng識shi別bie技ji術shu方fang案an的de����,應ying當dang優you先xian選xuan擇ze非fei生sheng物wu特te征zheng識shi別bie技ji術shu方fang案an。
使用人臉識別技術驗證個人身份���、辨識特定自然人的��,鼓勵優先使用國家人口基礎信息庫�、國家網絡身份認證公共服務等權威渠道。
第五條 使用人臉識別技術處理人臉信息應當取得個人的單獨同意或者依法取得書麵同意。法律�、行政法規規定不需取得個人同意的除外。
第六條 旅館客房�、公共浴室��、更衣室����、衛生間及其他可能侵害他人隱私的場所不得安裝圖像采集���、個人身份識別設備。
第七條 在公共場所安裝圖像采集�、個人身份識別設備�,應當為維護公共安全所必需���,遵守國家有關規定�,設置顯著提示標識。
在公共場所安裝圖像采集�、個人身份識別設備的建設�����、使用��、運行維護單位��,對獲取的個人圖像�、身份識別信息負有保密義務��,不得非法泄露或者對外提供。所收集的個人圖像�、身份識別信息隻能用於維護公共安全的目的�����,不得用於其他目的�����;取得個人單獨同意的除外。
第八條 組織機構為實施內部管理安裝圖像采集����、個人身份識別設備的�����,應當根據實際需求合理確定圖像信息采集區域����,采取嚴格保護措施�����,防止違規查閱�����、複製��、公開�����、對外提供���、傳播個人圖像等行為����,防止個人信息泄露���、篡改�、丟失或者被非法獲取�、非法利用。
第九條 賓館���、銀行��、車站���、機場����、體育場館�����、展覽館�����、博物館��、美術館�����、圖書館等經營場所���,除法律�、行政法規規定應當使用人臉識別技術驗證個人身份的�,不得以辦理業務��、提升服務質量等為由強製�、誤導����、欺詐��、脅迫個人接受人臉識別技術驗證個人身份。
個(ge)人(ren)自(zi)願(yuan)選(xuan)擇(ze)使(shi)用(yong)人(ren)臉(lian)識(shi)別(bie)技(ji)術(shu)驗(yan)證(zheng)個(ge)人(ren)身(shen)份(fen)的(de)���,應(ying)當(dang)確(que)保(bao)個(ge)人(ren)充(chong)分(fen)知(zhi)情(qing)並(bing)在(zai)個(ge)人(ren)主(zhu)動(dong)參(can)與(yu)的(de)情(qing)況(kuang)下(xia)進(jin)行(xing)���,驗(yan)證(zheng)過(guo)程(cheng)中(zhong)應(ying)當(dang)以(yi)清(qing)晰(xi)易(yi)懂(dong)的(de)語(yu)音(yin)或(huo)者(zhe)文(wen)字(zi)等(deng)方(fang)式(shi)即(ji)時(shi)明(ming)確(que)提(ti)示(shi)身(shen)份(fen)驗(yan)證(zheng)的(de)目(mu)的(de)。
第十條 在公共場所���、經營場所使用人臉識別技術遠距離�����、無感式辨識特定自然人��,應當為維護國家安全�����、公共安全或者為緊急情況下保護自然人生命健康和財產安全所必需���,並由個人或者利害關係人主動提出。
人臉識別技術使用者應個人或者利害關係人請求使用人臉識別技術遠距離�、無感式辨識特定個人或者利害關係人的���,應當將相關服務限定在最小必要的時間���、地點或者人群範圍內�,不得關聯與個人請求事項無直接必然相關的個人信息。
第十一條 除維護國家安全��、公(gong)共(gong)安(an)全(quan)或(huo)者(zhe)為(wei)緊(jin)急(ji)情(qing)況(kuang)下(xia)保(bao)護(hu)自(zi)然(ran)人(ren)生(sheng)命(ming)健(jian)康(kang)和(he)財(cai)產(chan)安(an)全(quan)所(suo)必(bi)需(xu)�����,或(huo)者(zhe)取(qu)得(de)個(ge)人(ren)單(dan)獨(du)同(tong)意(yi)外(wai)����,任(ren)何(he)組(zu)織(zhi)或(huo)者(zhe)個(ge)人(ren)不(bu)得(de)利(li)用(yong)人(ren)臉(lian)識(shi)別(bie)技(ji)術(shu)分(fen)析(xi)個(ge)人(ren)種(zhong)族(zu)��、民族���、宗教信仰�����、健康狀況��、社會階層等敏感個人信息。
第十二條 涉及社會救助�����、不動產處分等個人重大利益的���,不得使用人臉識別技術替代人工審核個人身份���,人臉識別技術可以作為驗證個人身份的輔助手段。
第十三條 人臉識別技術使用者處理不滿十四周歲未成年人人臉信息的����,應當取得未成年人的父母或者其他監護人的單獨同意或者書麵同意。
未成年人的父母或者其他監護人應當正確履行監護職責���,教育引導不滿十四周歲未成年人增強個人信息保護意識和能力。
第十四條 wuyefuwuqiyedengjianzhuwuguanlirenbudejiangshiyongrenlianshibiejishuyanzhenggerenshenfenzuoweichuruwuyeguanliquyudeweiyifangshi���,gerenbutongyitongguorenlianxinxijinxingshenfenyanzhengde�,wuyefuwuqiyedengjianzhuwuguanlirenyingdangtigongqitaheli�����、便捷的身份驗證方式。
第十五條 人臉識別技術使用者處理人臉信息��,應當事前進行個人信息保護影響評估���,並對處理情況進行記錄。
個人信息保護影響評估主要包括下列內容:
(一)是否符合法律���、行政法規的規定和國家標準的強製性要求�����,是否符合倫理道德����;
(二)處理人臉信息是否具有特定的目的和充分的必要性�;
(三)是否限於實現目的所必需的準度�����、精度及距離要求����;
(四)采取的保護措施是否合法有效並與風險程度相適應��;
(五)發生或者可能發生人臉信息泄露��、篡改���、丟失�、毀損或者被非法獲取��、非法利用的風險以及可能造成的危害��;
(六)可能對個人權益帶來的損害和影響����,以及降低不利影響的措施是否有效。
個人信息保護影響評估報告應當至少保存三年。處理人臉信息的目的�����、方式發生變化�����,或者發生重大安全事件的�����,人臉識別技術使用者應當重新進行個人信息保護影響評估。
第十六條 在公共場所使用人臉識別技術�����,或者存儲超過1萬人人臉信息的人臉識別技術使用者��,應當在30個工作日內向所屬地市級以上網信部門備案。申請備案應當提交下列材料:
(一)人臉識別技術使用者及其個人信息保護負責人的基本情況����;
(二)處理人臉信息的必要性說明���;
(三)人臉信息的處理目的���、處理方式和安全保護措施��;
(四)人臉信息的處理規則和操作規程���;
(五)個人信息保護影響評估報告��;
(六)網信部門認為需要提供的其他材料。
人臉識別技術使用者處理人臉信息�,有法律�����、行政法規規定應當保密的�,按有關規定執行。
備案信息發生實質性變更的���,應在變更之日起20個工作日內辦理備案變更手續。終止人臉識別技術使用的���,應在終止之日起30個工作日內辦理備案注銷手續。
第十七條 除法定條件或者取得個人單獨同意外�����,人臉識別技術使用者不得保存人臉原始圖像���、圖片���、視頻����,經過匿名化處理的人臉信息除外。
麵向社會公眾提供人臉識別技術服務的��,相關技術係統應當符合網絡安全等級保護第三級以上保護要求����,並采取數據加密��、安全審計��、訪問控製�、授權管理�、入侵檢測和防禦等措施保護人臉信息安全。屬於關鍵信息基礎設施的�����,還應當符合關鍵信息基礎設施安全保護的相關要求。
第十八條 使用人臉識別技術處理人臉信息應當盡量避免采集與提供服務無關的人臉信息���,無法避免的����,應當及時刪除或者進行匿名化處理。
第十九條 人臉識別技術使用者應當每年對圖像采集設備����、個(ge)人(ren)身(shen)份(fen)識(shi)別(bie)設(she)備(bei)的(de)安(an)全(quan)性(xing)和(he)可(ke)能(neng)存(cun)在(zai)的(de)風(feng)險(xian)進(jin)行(xing)檢(jian)測(ce)評(ping)估(gu)����,並(bing)根(gen)據(ju)檢(jian)測(ce)評(ping)估(gu)情(qing)況(kuang)改(gai)進(jin)安(an)全(quan)策(ce)略(lve)�����,調(tiao)整(zheng)置(zhi)信(xin)度(du)閾(yu)值(zhi)�,采(cai)取(qu)有(you)效(xiao)措(cuo)施(shi)保(bao)護(hu)圖(tu)像(xiang)采(cai)集(ji)設(she)備(bei)��、個人身份識別設備免受攻擊���、侵入���、幹擾和破壞。
第二十條 按照國家有關規定列入網絡關鍵設備和網絡安全專用產品目錄的圖像采集設備����、個人身份識別設備��,應當按照相關國家標準的強製性要求��,由具備資格的機構認證合格或者檢測符合要求後����,方可銷售或者提供。
第二十一條 網信部門會同電信主管部門�����、公安機關����、shichangjianguanbumendengyouguanbumenyijuzhize�����,jiaqiangduirenlianshibiejishushiyongdejiandujianzha�,zhidaoducurenlianshibiejishushiyongzhelvxingbeianshouxu��,jishifaxiananquanyinhuanbingducuxianqizhenggai。
人臉識別技術使用者���、產品或者服務提供者應當對有關部門依法開展的監督檢查予以配合。
第二十二條 任何組織和個人發現有違反本規定行為的��,可以向網信��、電信�����、公安���、市場監管等有關部門投訴�����、舉報。
網信��、電信�、公安����、市場監管等有關部門收到相關投訴�����、舉報的�����,應當依據職責依法作出處理。
第二十三條 人臉識別技術使用者或者相關產品�、服務提供者違反本規定的��,由網信��、電信��、公安�����、市場監管等有關部門在職責範圍內依照《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規進行處罰。違反《治安管理處罰法》的���,依法給予治安管理處罰���;構成犯罪的�����,依法追究刑事責任。
違反本規定��,給他人造成損害的���,依法承擔民事責任。
第二十四條 本規定由國家互聯網信息辦公室會同工業和信息化部�����、公安部����、國家市場監督管理總局負責解釋。
第二十五條 本規定自×年×月×日起施行。
