國家網際網路信息辦公室關於《人臉識別技術應用安全管理規定(試行)(徵求意見稿)》公開徵求意見的通知
為規範人臉識別技術應用,根據《中華人民共和國網路安全法》《中華人民共和國數據安全法》《中華人民共和國個人資訊保護法》等法律法規,國家網際網路信息辦公室起草了《人臉識別技術應用安全管理規定(試行)(徵求意見稿)》,現向社會公開徵求意見。公眾可以通過以下途徑和方式提出反饋意見:
1.登錄中華人民共和國司法部 中國政府法制資訊網(www.moj.gov.cn、www.chinalaw.gov.cn),進入首頁主功能表的“立法意見徵集”欄目提出意見。
2.通過電子郵件方式發送至:shujuju@cac.gov.cn。
3.通過信函方式將意見寄至:北京市海澱區阜成路15號國家網際網路信息辦公室網路數據管理局,郵編100048,並在信封上註明“人臉識別技術應用安全管理規定(試行)徵求意見”。
意見反饋截止時間為2023年9月7日。
附件:人臉識別技術應用安全管理規定(試行)(徵求意見稿)
國家網際網路信息辦公室
2023年8月8日
人臉識別技術應用安全管理規定(試行)
(徵求意見稿)
第一條為規範人臉識別技術應用,保護個人資訊權益及其他人身和財産權益,維護社會秩序和公共安全,根據《中華人民共和國網路安全法》《中華人民共和國數據安全法》《中華人民共和國個人資訊保護法》等法律,制定本規定。
第二條在中華人民共和國境內利用人臉識別技術處理人臉資訊,提供人臉識別技術産品或者服務,應當遵守本規定。法律、行政法規另有規定的從其規定。
第三條使用人臉識別技術應當遵守法律法規,遵守公共秩序,尊重社會公德,承擔社會責任,履行個人資訊保護義務,不得利用人臉識別技術從事危害國家安全、損害公共利益、擾亂社會秩序、侵害個人和組織合法權益等法律法規禁止的活動。
第四條只有在具有特定的目的和充分的必要性,並採取嚴格保護措施的情形下,方可使用人臉識別技術處理人臉資訊。實現相同目的或者達到同等業務要求,存在其他非生物特徵識別技術方案的,應當優先選擇非生物特徵識別技術方案。
使用人臉識別技術驗證個人身份、辨識特定自然人的,鼓勵優先使用國家人口基礎資訊庫、國家網路身份認證公共服務等權威渠道。
第五條使用人臉識別技術處理人臉資訊應當取得個人的單獨同意或者依法取得書面同意。法律、行政法規規定不需取得個人同意的除外。
第六條旅館客房、公共浴室、更衣室、衛生間及其他可能侵害他人隱私的場所不得安裝圖像採集、個人身份識別設備。
第七條在公共場所安裝圖像採集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,設置顯著提示標識。
在公共場所安裝圖像採集、個人身份識別設備的建設、使用、運作維護單位,對獲取的個人圖像、身份識別資訊負有保密義務,不得非法洩露或者對外提供。所收集的個人圖像、身份識別資訊只能用於維護公共安全的目的,不得用於其他目的;取得個人單獨同意的除外。
第八條組織機構為實施內部管理安裝圖像採集、個人身份識別設備的,應當根據實際需求合理確定圖像資訊採集區域,採取嚴格保護措施,防止違規查閱、複製、公開、對外提供、傳播個人圖像等行為,防止個人資訊洩露、篡改、丟失或者被非法獲取、非法利用。
第九條賓館、銀行、車站、機場、體育場館、展覽館、博物館、美術館、圖書館等經營場所,除法律、行政法規規定應當使用人臉識別技術驗證個人身份的,不得以辦理業務、提升服務品質等為由強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。
個人自願選擇使用人臉識別技術驗證個人身份的,應當確保個人充分知情並在個人主動參與的情況下進行,驗證過程中應當以清晰易懂的語音或者文字等方式即時明確提示身份驗證的目的。
第十條在公共場所、經營場所使用人臉識別技術遠距離、無感式辨識特定自然人,應當為維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財産安全所必需,並由個人或者利害關係人主動提出。
人臉識別技術使用者應個人或者利害關係人請求使用人臉識別技術遠距離、無感式辨識特定個人或者利害關係人的,應當將相關服務限定在最小必要的時間、地點或者人群範圍內,不得關聯與個人請求事項無直接必然相關的個人資訊。
第十一條除維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財産安全所必需,或者取得個人單獨同意外,任何組織或者個人不得利用人臉識別技術分析個人種族、民族、宗教信仰、健康狀況、社會階層等敏感個人資訊。
第十二條涉及社會救助、不動産處分等個人重大利益的,不得使用人臉識別技術替代人工審核個人身份,人臉識別技術可以作為驗證個人身份的輔助手段。
第十三條人臉識別技術使用者處理不滿十四週歲未成年人人臉資訊的,應當取得未成年人的父母或者其他監護人的單獨同意或者書面同意。
未成年人的父母或者其他監護人應當正確履行監護職責,教育引導不滿十四週歲未成年人增強個人資訊保護意識和能力。
第十四條物業服務企業等建築物管理人不得將使用人臉識別技術驗證個人身份作為出入物業管理區域的唯一方式,個人不同意通過人臉資訊進行身份驗證的,物業服務企業等建築物管理人應當提供其他合理、便捷的身份驗證方式。
第十五條人臉識別技術使用者處理人臉資訊,應當事前進行個人資訊保護影響評估,並對處理情況進行記錄。
個人資訊保護影響評估主要包括下列內容:
(一)是否符合法律、行政法規的規定和國家標準的強制性要求,是否符合倫理道德;
(二)處理人臉資訊是否具有特定的目的和充分的必要性;
(三)是否限于實現目的所必需的準度、精度及距離要求;
(四)採取的保護措施是否合法有效並與風險程度相適應;
(五)發生或者可能發生人臉資訊洩露、篡改、丟失、毀損或者被非法獲取、非法利用的風險以及可能造成的危害;
(六)可能對個人權益帶來的損害和影響,以及降低不利影響的措施是否有效。
個人資訊保護影響評估報告應當至少保存三年。處理人臉資訊的目的、方式發生變化,或者發生重大安全事件的,人臉識別技術使用者應當重新進行個人資訊保護影響評估。
第十六條在公共場所使用人臉識別技術,或者存儲超過1萬人人臉資訊的人臉識別技術使用者,應當在30個工作日內向所屬地市級以上網信部門備案。申請備案應當提交下列材料:
(一)人臉識別技術使用者及其個人資訊保護負責人的基本情況;
(二)處理人臉資訊的必要性説明;
(三)人臉資訊的處理目的、處理方式和安全保護措施;
(四)人臉資訊的處理規則和操作規程;
(五)個人資訊保護影響評估報告;
(六)網信部門認為需要提供的其他材料。
人臉識別技術使用者處理人臉資訊,有法律、行政法規規定應當保密的,按有關規定執行。
備案資訊發生實質性變更的,應在變更之日起20個工作日內辦理備案變更手續。終止人臉識別技術使用的,應在終止之日起30個工作日內辦理備案登出手續。
第十七條除法定條件或者取得個人單獨同意外,人臉識別技術使用者不得保存人臉原始圖像、圖片、視頻,經過匿名化處理的人臉資訊除外。
面向社會公眾提供人臉識別技術服務的,相關技術系統應當符合網路安全等級保護第三級以上保護要求,並採取數據加密、安全審計、訪問控制、授權管理、入侵檢測和防禦等措施保護人臉資訊安全。屬於關鍵資訊基礎設施的,還應當符合關鍵資訊基礎設施安全保護的相關要求。
第十八條使用人臉識別技術處理人臉資訊應當儘量避免採集與提供服務無關的人臉資訊,無法避免的,應當及時刪除或者進行匿名化處理。
第十九條 人臉識別技術使用者應當每年對圖像採集設備、個人身份識別設備的安全性和可能存在的風險進行檢測評估,並根據檢測評估情況改進安全策略,調整置信度閾值,採取有效措施保護圖像採集設備、個人身份識別設備免受攻擊、侵入、干擾和破壞。
第二十條按照國家有關規定列入網路關鍵設備和網路安全專用産品目錄的圖像採集設備、個人身份識別設備,應當按照相關國家標準的強制性要求,由具備資格的機構認證合格或者檢測符合要求後,方可銷售或者提供。
第二十一條網信部門會同電信主管部門、公安機關、市場監管部門等有關部門依據職責,加強對人臉識別技術使用的監督檢查,指導督促人臉識別技術使用者履行備案手續,及時發現安全隱患並督促限期整改。
人臉識別技術使用者、産品或者服務提供者應當對有關部門依法開展的監督檢查予以配合。
第二十二條任何組織和個人發現有違反本規定行為的,可以向網信、電信、公安、市場監管等有關部門投訴、舉報。
網信、電信、公安、市場監管等有關部門收到相關投訴、舉報的,應當依據職責依法作出處理。
第二十三條人臉識別技術使用者或者相關産品、服務提供者違反本規定的,由網信、電信、公安、市場監管等有關部門在職責範圍內依照《中華人民共和國網路安全法》《中華人民共和國數據安全法》《中華人民共和國個人資訊保護法》等法律法規進行處罰。違反《治安管理處罰法》的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
違反本規定,給他人造成損害的,依法承擔民事責任。
第二十四條本規定由國家網際網路信息辦公室會同工業和資訊化部、公安部、國家市場監督管理總局負責解釋。
第二十五條本規定自 年 月 日起施行。