國家互聯(lián)網(wǎng)信息辦公室關(guān)于《人臉識別技術(shù)應用安全管理規定(試行)(征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)的通知

2023年08月08日 16:44  中國網(wǎng)信網(wǎng)

  為規范人臉識別技術(shù)應用,根據《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國數據安全法》《中華人民共和國個(gè)人信息保護法》等法律法規,國家互聯(lián)網(wǎng)信息辦公室起草了《人臉識別技術(shù)應用安全管理規定(試行)(征求意見(jiàn)稿)》,現向社會(huì )公開(kāi)征求意見(jiàn)。公眾可以通過(guò)以下途徑和方式提出反饋意見(jiàn):

  1.登錄中華人民共和國司法部 中國政府法制信息網(wǎng)(www.moj.gov.cn、www.chinalaw.gov.cn),進(jìn)入首頁(yè)主菜單的“立法意見(jiàn)征集”欄目提出意見(jiàn)。

  2.通過(guò)電子郵件方式發(fā)送至:shujuju@cac.gov.cn。

  3.通過(guò)信函方式將意見(jiàn)寄至:北京市海淀區阜成路15號國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò )數據管理局,郵編100048,并在信封上注明“人臉識別技術(shù)應用安全管理規定(試行)征求意見(jiàn)”。

  意見(jiàn)反饋截止時(shí)間為2023年9月7日。

  附件:人臉識別技術(shù)應用安全管理規定(試行)(征求意見(jiàn)稿) 

國家互聯(lián)網(wǎng)信息辦公室

2023年8月8日

人臉識別技術(shù)應用安全管理規定(試行) 

(征求意見(jiàn)稿) 

  第一條 為規范人臉識別技術(shù)應用,保護個(gè)人信息權益及其他人身和財產(chǎn)權益,維護社會(huì )秩序和公共安全,根據《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國數據安全法》《中華人民共和國個(gè)人信息保護法》等法律,制定本規定。

  第二條 在中華人民共和國境內利用人臉識別技術(shù)處理人臉信息,提供人臉識別技術(shù)產(chǎn)品或者服務(wù),應當遵守本規定。法律、行政法規另有規定的從其規定。

  第三條 使用人臉識別技術(shù)應當遵守法律法規,遵守公共秩序,尊重社會(huì )公德,承擔社會(huì )責任,履行個(gè)人信息保護義務(wù),不得利用人臉識別技術(shù)從事危害國家安全、損害公共利益、擾亂社會(huì )秩序、侵害個(gè)人和組織合法權益等法律法規禁止的活動(dòng)。

  第四條 只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可使用人臉識別技術(shù)處理人臉信息。實(shí)現相同目的或者達到同等業(yè)務(wù)要求,存在其他非生物特征識別技術(shù)方案的,應當優(yōu)先選擇非生物特征識別技術(shù)方案。

  使用人臉識別技術(shù)驗證個(gè)人身份、辨識特定自然人的,鼓勵優(yōu)先使用國家人口基礎信息庫、國家網(wǎng)絡(luò )身份認證公共服務(wù)等權威渠道。

  第五條 使用人臉識別技術(shù)處理人臉信息應當取得個(gè)人的單獨同意或者依法取得書(shū)面同意。法律、行政法規規定不需取得個(gè)人同意的除外。

  第六條 旅館客房、公共浴室、更衣室、衛生間及其他可能侵害他人隱私的場(chǎng)所不得安裝圖像采集、個(gè)人身份識別設備。

  第七條 在公共場(chǎng)所安裝圖像采集、個(gè)人身份識別設備,應當為維護公共安全所必需,遵守國家有關(guān)規定,設置顯著(zhù)提示標識。

  在公共場(chǎng)所安裝圖像采集、個(gè)人身份識別設備的建設、使用、運行維護單位,對獲取的個(gè)人圖像、身份識別信息負有保密義務(wù),不得非法泄露或者對外提供。所收集的個(gè)人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個(gè)人單獨同意的除外。

  第八條 組織機構為實(shí)施內部管理安裝圖像采集、個(gè)人身份識別設備的,應當根據實(shí)際需求合理確定圖像信息采集區域,采取嚴格保護措施,防止違規查閱、復制、公開(kāi)、對外提供、傳播個(gè)人圖像等行為,防止個(gè)人信息泄露、篡改、丟失或者被非法獲取、非法利用。

  第九條 賓館、銀行、車(chē)站、機場(chǎng)、體育場(chǎng)館、展覽館、博物館、美術(shù)館、圖書(shū)館等經(jīng)營(yíng)場(chǎng)所,除法律、行政法規規定應當使用人臉識別技術(shù)驗證個(gè)人身份的,不得以辦理業(yè)務(wù)、提升服務(wù)質(zhì)量等為由強制、誤導、欺詐、脅迫個(gè)人接受人臉識別技術(shù)驗證個(gè)人身份。

  個(gè)人自愿選擇使用人臉識別技術(shù)驗證個(gè)人身份的,應當確保個(gè)人充分知情并在個(gè)人主動(dòng)參與的情況下進(jìn)行,驗證過(guò)程中應當以清晰易懂的語(yǔ)音或者文字等方式即時(shí)明確提示身份驗證的目的。

  第十條 在公共場(chǎng)所、經(jīng)營(yíng)場(chǎng)所使用人臉識別技術(shù)遠距離、無(wú)感式辨識特定自然人,應當為維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產(chǎn)安全所必需,并由個(gè)人或者利害關(guān)系人主動(dòng)提出。

  人臉識別技術(shù)使用者應個(gè)人或者利害關(guān)系人請求使用人臉識別技術(shù)遠距離、無(wú)感式辨識特定個(gè)人或者利害關(guān)系人的,應當將相關(guān)服務(wù)限定在最小必要的時(shí)間、地點(diǎn)或者人群范圍內,不得關(guān)聯(lián)與個(gè)人請求事項無(wú)直接必然相關(guān)的個(gè)人信息。

  第十一條 除維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產(chǎn)安全所必需,或者取得個(gè)人單獨同意外,任何組織或者個(gè)人不得利用人臉識別技術(shù)分析個(gè)人種族、民族、宗教信仰、健康狀況、社會(huì )階層等敏感個(gè)人信息。

  第十二條 涉及社會(huì )救助、不動(dòng)產(chǎn)處分等個(gè)人重大利益的,不得使用人臉識別技術(shù)替代人工審核個(gè)人身份,人臉識別技術(shù)可以作為驗證個(gè)人身份的輔助手段。

  第十三條 人臉識別技術(shù)使用者處理不滿(mǎn)十四周歲未成年人人臉信息的,應當取得未成年人的父母或者其他監護人的單獨同意或者書(shū)面同意。

  未成年人的父母或者其他監護人應當正確履行監護職責,教育引導不滿(mǎn)十四周歲未成年人增強個(gè)人信息保護意識和能力。

  第十四條 物業(yè)服務(wù)企業(yè)等建筑物管理人不得將使用人臉識別技術(shù)驗證個(gè)人身份作為出入物業(yè)管理區域的唯一方式,個(gè)人不同意通過(guò)人臉信息進(jìn)行身份驗證的,物業(yè)服務(wù)企業(yè)等建筑物管理人應當提供其他合理、便捷的身份驗證方式。

  第十五條 人臉識別技術(shù)使用者處理人臉信息,應當事前進(jìn)行個(gè)人信息保護影響評估,并對處理情況進(jìn)行記錄。

  個(gè)人信息保護影響評估主要包括下列內容:

 。ㄒ唬┦欠穹戏、行政法規的規定和國家標準的強制性要求,是否符合倫理道德;

 。ǘ┨幚砣四樞畔⑹欠窬哂刑囟ǖ哪康暮统浞值谋匾;

 。ㄈ┦欠裣抻趯(shí)現目的所必需的準度、精度及距離要求;

 。ㄋ模┎扇〉谋Wo措施是否合法有效并與風(fēng)險程度相適應;

 。ㄎ澹┌l(fā)生或者可能發(fā)生人臉信息泄露、篡改、丟失、毀損或者被非法獲取、非法利用的風(fēng)險以及可能造成的危害;

 。┛赡軐(gè)人權益帶來(lái)的損害和影響,以及降低不利影響的措施是否有效。

  個(gè)人信息保護影響評估報告應當至少保存三年。處理人臉信息的目的、方式發(fā)生變化,或者發(fā)生重大安全事件的,人臉識別技術(shù)使用者應當重新進(jìn)行個(gè)人信息保護影響評估。

  第十六條 在公共場(chǎng)所使用人臉識別技術(shù),或者存儲超過(guò)1萬(wàn)人人臉信息的人臉識別技術(shù)使用者,應當在30個(gè)工作日內向所屬地市級以上網(wǎng)信部門(mén)備案。申請備案應當提交下列材料:

 。ㄒ唬┤四樧R別技術(shù)使用者及其個(gè)人信息保護負責人的基本情況;

 。ǘ┨幚砣四樞畔⒌谋匾哉f(shuō)明;

 。ㄈ┤四樞畔⒌奶幚砟康、處理方式和安全保護措施;

 。ㄋ模┤四樞畔⒌奶幚硪巹t和操作規程;

 。ㄎ澹﹤(gè)人信息保護影響評估報告;

 。┚W(wǎng)信部門(mén)認為需要提供的其他材料。

  人臉識別技術(shù)使用者處理人臉信息,有法律、行政法規規定應當保密的,按有關(guān)規定執行。

  備案信息發(fā)生實(shí)質(zhì)性變更的,應在變更之日起20個(gè)工作日內辦理備案變更手續。終止人臉識別技術(shù)使用的,應在終止之日起30個(gè)工作日內辦理備案注銷(xiāo)手續。

  第十七條 除法定條件或者取得個(gè)人單獨同意外,人臉識別技術(shù)使用者不得保存人臉原始圖像、圖片、視頻,經(jīng)過(guò)匿名化處理的人臉信息除外。

  面向社會(huì )公眾提供人臉識別技術(shù)服務(wù)的,相關(guān)技術(shù)系統應當符合網(wǎng)絡(luò )安全等級保護第三級以上保護要求,并采取數據加密、安全審計、訪(fǎng)問(wèn)控制、授權管理、入侵檢測和防御等措施保護人臉信息安全。屬于關(guān)鍵信息基礎設施的,還應當符合關(guān)鍵信息基礎設施安全保護的相關(guān)要求。

  第十八條 使用人臉識別技術(shù)處理人臉信息應當盡量避免采集與提供服務(wù)無(wú)關(guān)的人臉信息,無(wú)法避免的,應當及時(shí)刪除或者進(jìn)行匿名化處理。

  第十九條 人臉識別技術(shù)使用者應當每年對圖像采集設備、個(gè)人身份識別設備的安全性和可能存在的風(fēng)險進(jìn)行檢測評估,并根據檢測評估情況改進(jìn)安全策略,調整置信度閾值,采取有效措施保護圖像采集設備、個(gè)人身份識別設備免受攻擊、侵入、干擾和破壞。

  第二十條 按照國家有關(guān)規定列入網(wǎng)絡(luò )關(guān)鍵設備和網(wǎng)絡(luò )安全專(zhuān)用產(chǎn)品目錄的圖像采集設備、個(gè)人身份識別設備,應當按照相關(guān)國家標準的強制性要求,由具備資格的機構認證合格或者檢測符合要求后,方可銷(xiāo)售或者提供。

  第二十一條 網(wǎng)信部門(mén)會(huì )同電信主管部門(mén)、公安機關(guān)、市場(chǎng)監管部門(mén)等有關(guān)部門(mén)依據職責,加強對人臉識別技術(shù)使用的監督檢查,指導督促人臉識別技術(shù)使用者履行備案手續,及時(shí)發(fā)現安全隱患并督促限期整改。

  人臉識別技術(shù)使用者、產(chǎn)品或者服務(wù)提供者應當對有關(guān)部門(mén)依法開(kāi)展的監督檢查予以配合。

  第二十二條 任何組織和個(gè)人發(fā)現有違反本規定行為的,可以向網(wǎng)信、電信、公安、市場(chǎng)監管等有關(guān)部門(mén)投訴、舉報。

  網(wǎng)信、電信、公安、市場(chǎng)監管等有關(guān)部門(mén)收到相關(guān)投訴、舉報的,應當依據職責依法作出處理。

  第二十三條 人臉識別技術(shù)使用者或者相關(guān)產(chǎn)品、服務(wù)提供者違反本規定的,由網(wǎng)信、電信、公安、市場(chǎng)監管等有關(guān)部門(mén)在職責范圍內依照《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國數據安全法》《中華人民共和國個(gè)人信息保護法》等法律法規進(jìn)行處罰。違反《治安管理處罰法》的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。

  違反本規定,給他人造成損害的,依法承擔民事責任。

  第二十四條 本規定由國家互聯(lián)網(wǎng)信息辦公室會(huì )同工業(yè)和信息化部、公安部、國家市場(chǎng)監督管理總局負責解釋。

  第二十五條 本規定自×年×月×日起施行。