通信世界网消息(CWW)人脸识别是视联网智能化演进的关键技术,其安全性至关重要。3月21日,国家互联网信息办公室与公安部联合发布《人脸识别技术应用安全管理办法》(以下简称《办法》),明确自2025年6月1日起施行。该《办法》作为我国首部针对人脸识别技术的专项管理办法,以“安全可控”为核心,全面规范人脸信息使用,回应社会对隐私保护与技术创新平衡的关切。本文结合政策文本,分析《办法》如何为技术应用划定边界,构建生物识别信息治理的“中国方案”。
技术规范:构建安全与便利的平衡
《办法》通过以下安全规范,首次系统界定人脸识别技术的合法使用场景与技术要求,推动技术从“野蛮生长”转向“有序发展”:
(一)非唯一验证原则
明确当存在其他非人脸识别验证方式时,不得将人脸识别作为唯一验证手段。例如社区门禁需同步保留刷卡、密码等替代方案,保障用户选择权。特殊行业(如金融、安防)可依据国家规定例外执行,但需严格履行审批程序。
(二)数据采集与存储限制
公共场所安装设备需以维护公共安全为前提,禁止在宾馆客房、公共浴室等私密空间部署。人脸信息原则上应存储于本地设备,未经单独同意不得互联网传输,且保存期限不得超过实现处理目的的最短时间。
(三)国家基础数据库优先调用
鼓励身份验证场景优先对接国家人口基础信息库、国家网络身份认证公共服务平台,减少重复采集带来的数据泄露风险。此举将推动政务、金融等领域建立统一认证体系,提升安全性与效率。
(四)技术安全防护体系
要求系统部署数据加密、访问控制、入侵检测等防护措施,关键信息基础设施还需符合网络安全等级保护要求,形成“技术+管理”双保险。
(五)未成年人特殊保护
处理未成年人面部信息需取得监护人单独同意,并在存储、传输等环节制定专门规则,体现对敏感群体的差异化保护。
处理规则:从“告知同意”到“影响评估”
《办法》细化《个人信息保护法》框架,建立覆盖全生命周期的处理规则闭环:
(一)透明化告知
需以显著方式告知处理目的、保存期限、权利行使方式等五项内容,残疾人、老年人群体还需适配无障碍沟通形式。动态更新告知信息,确保用户知情权实时有效。
(二)严格同意机制
基于个人同意的处理需满足“充分知情+自愿明确”的单独同意标准,禁止捆绑授权或默认勾选。用户可随时撤回同意,企业需提供便捷撤回渠道。
(三)风险评估前置
强制要求事前开展个人信息保护影响评估,涵盖合法性审查、风险预测、防护措施有效性等维度,评估报告需保存至少3年。重大安全事件或处理方式变更时需重新评估,形成动态风险管理。
监管机制:备案与协作双管齐下
《办法》创新性构建分级分类监管体系,破解生物识别技术跨域治理难题:
(一)10万人备案阈值
企业存储人脸信息超10万需30个工作日内向省级以上网信部门备案,提交处理规则、安全措施等核心信息。备案制既降低中小微企业合规成本,又为重点机构设置监管“红线”。
(二)多部门协同治理
网信部门联合公安、行业主管单位建立信息共享机制,开展联合执法。例如公共场所违规设备由公安查处,企业数据滥用则由网信部门介入,实现监管无死角。
(三)社会监督激励
明确公众可对违法行为投诉举报,部门需公示处理结果。此举将激活公众参与,形成政府主导、企业自律、社会共治的三维治理格局。
挑战与展望:安全与创新的共生之道
《办法》的出台标志着我国生物识别信息治理进入精细化阶段,但平衡技术进步与隐私保护仍存挑战:技术迭代带来的合规适配,如深度学习算法对匿名化处理的突破可能需动态调整存储规则;跨境数据传输矛盾,全球化企业面临欧盟GDPR等域外法规与国内规定的协调难题;中小微企业落地成本:安全防护系统改造、评估流程专业化或增加经营负担。
对此,国家网信办在答记者问中强调,研发端与应用端实行差异化管理:技术研发、算法训练活动不适用本办法的规定,为科技创新预留试验空间。未来需通过标准制定、技术攻关降低合规成本,推动人脸识别在视联网等领域的深度赋能。
该《办法》的核心理念是“用规范促发展”,在筑牢安全底线的基础上,让人脸识别技术真正成为服务社会、造福民生的“科技向善”典范。数字时代的治理智慧,正悄然书写于每一张被安全守护的面庞之上。
