摘要:2025年3月13日,国家互联网信息办公室(以下简称“国家网信办”)、公安部联合发布了《人脸识别技术应用安全管理办法》(以下简称《办法》),自2025年6月1日起正式施行。《办法》是首部规范人脸识别技术应用的部门规章,为应用人脸识别技术处理人脸信息活动、保护个
2025年3月13日,国家互联网信息办公室(以下简称“国家网信办”)、公安部联合发布了《人脸识别技术应用安全管理办法》(以下简称《办法》),自2025年6月1日起正式施行。《办法》是首部规范人脸识别技术应用的部门规章,为应用人脸识别技术处理人脸信息活动、保护个人信息权益提供了规范。
2025年3月28日,中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展2025年个人信息保护系列专项行动的公告》,其中第四条提到“公共场所违法违规收集使用人脸识别信息”,聚焦交通运输、住宿旅游、教育培训、文化体育、物流商贸、休闲娱乐等公共场所使用人脸识别技术处理人脸信息,但未履行单独或书面告知同意等法律义务,未设置显著提示标识,未采取加密等严格保护措施,以及未依法开展个人信息保护影响评估等问题开展治理。如何落实《办法》关于人脸识别技术应用的相关规则成为相关主体需要考量并采取措施落地实施的重要问题,本文将在对《办法》的核心规则进行解读的基础上,结合实务操作经验,为相关主体提供合规落地的分析与建议。
一、《办法》的出台背景
人脸识别作为人工智能技术的一种,在金融、交通、人社、医疗等行业均得到广泛应用,创造了巨大的社会和经济价值。然而,作为典型的敏感个人信息,人脸信息具有终身唯一性和不可替代性等特殊属性,一旦遭到泄露或滥用,危害尤为严重。实践中,未经用户明确授权或超范围使用人脸信息的情况普遍存在,2024年“3·15”晚会曝光了多起利用人工智能换脸技术实施诈骗的案例,凸显了从源头治理人脸信息处理的必要性和紧迫性。
近年来,我国逐步完善了规范人脸信息处理活动的相关规则:
2021年6月,最高人民法院专门出台了《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,明确了典型场景下处理人脸信息的侵权认定规则。
2021年11月,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式实施。其中,第二十六条[1]从“公共场所安装图像采集设备”和“公共场所安装个人身份识别设备”两个角度对人脸信息处理进行了初步规定;同时,其第六十二条[2]规定了国家网信部门统筹协调有关部门针对人脸识别等新技术、新应用制定专门的个人信息保护规则。
2022年3月,《中共中央 国务院关于加快建设全国统一大市场的意见》提出“加快制定面部识别、指静脉、虹膜等智能化识别系统的全国统一标准”。
此外,由全国网络安全标准化技术委员会(TC260)归口、国家标准委主管的《信息安全技术 生物特征识别信息保护基本要求》(GB/T 40660—2021)、《信息安全技术 人脸识别数据安全要求》(GB/T 41819—2022)、《信息技术 生物特征识别 人脸识别系统技术要求》(GB/T 41772-2022)、《信息技术 生物特征识别 人脸识别系统应用要求》(GB/T 44248-2024)等国家标准相继出台,对处理人脸识别信息提出了全生命周期的规范要求。
为从法规层面落实《个人信息保护法》第二十六条的规定,国家网信办于2023年8月发布《人脸识别技术应用安全管理办法(征求意见稿)》(以下简称《征求意见稿》),对外公开征求意见。
2025年1月,国务院出台了《公共安全视频图像信息系统管理条例》(以下简称《条例》),自2025年4月1日起施行,其规定了公共安全视频的建设和管理要求,强调在维护公共安全的同时保护个人隐私和个人信息权益。
2025年3月21日,国家网信办正式发布《办法》,明确了处理人脸信息的基本要求、处理规则、安全规范等具体细则。
兹此,《办法》和《条例》作为驱动《个人信息保护法》第二十六条落地的“双轮”,与《中华人民共和国民法典》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《网络数据安全管理条例》《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》以及前述系列国家标准共同构建了人脸信息应用监管的规则体系。
二、《办法》的适用范围
(一)适用活动
1. 适用类型
根据《办法》第二条,在中华人民共和国境内应用人脸识别技术处理人脸信息的活动,适用《办法》;在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的,不适用《办法》的规定,如下图所示:
由此可见,《办法》的适用对“应用”与“开发”场景进行了区分,旨在保护个人信息权益的同时鼓励人脸识别技术的应用和创新。换言之,应关注人脸识别技术应用层面的安全风险,也需要为开展人脸识别技术研发、算法训练等活动预留充分的发展空间。需要注意的是,技术研发、算法训练虽然未被纳入《办法》的适用范围,但是仍要遵守网络安全、个人信息保护等领域的相关法律法规。
2. 内涵界定
《办法》第十九条第二款采取了《个人信息保护法》对个人信息的定义方法,将“人脸信息”界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的面部特征生物识别信息,不包括匿名化处理后的信息”。同时,其第十九条第三款明确了“人脸识别技术”是指“以人脸信息作为识别个体身份的个体生物特征识别技术”。
在此,依据国家标准《信息安全技术 人脸识别数据安全要求》(GB/T 41819-2022)第3.3条,人脸识别数据[3]包括可识别自然人身份的人脸图像或人脸特征,其中:(1)人脸图像(face image):是指自然人脸部信息的模拟或数字表示。人脸图像可从设备收集或通过视频、数字照片等获取,主要类型包括可见光图像、非可见光图像(如红外图像)、三维图像等。(2)人脸特征(face feature):是指从人脸图像提取的反映自然人脸部信息特征的参数。
(二)适用场景
《办法》第十一条[4]明确了人脸识别技术的两大应用场景:“验证个人身份”和“辨识特定个人”。
1. 验证个人身份
根据《办法》第十九条第五款,“验证个人身份”是指通过将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行1:1比对,确认特定自然人是否为其所声明的身份。典型应用包括“刷脸进站”“刷脸取钱”“刷脸支付”以及移动智能终端的人脸解锁功能等。
2. 辨识特定个人
根据《办法》第十九条第六款,“辨识特定个人”是指通过将采集的人脸识别数据与已存储的指定范围内的人脸识别数据进行1:N比对,识别特定自然人。典型应用包括大学校园入园、公园入园、居民小区门禁等。
两者的对比参见下表:
近年来,人脸识别技术被尝试应用于情绪计算和生物特征分类。例如,通过分析个人面部表情变化来窥探个人精神世界,利用人脸信息特征对群体进行分类。此类应用无疑属于高风险实践,若不加以严格限制,将可能严重侵犯人权,导致歧视或不公正对待。因此,当前实践中,域外已有相关法律法规对人脸识别技术的应用场景进行划定,如2024年3月欧盟议会审议通过的《人工智能法案》及 2025年2月欧盟委员会正式发布的《欧盟委员会关于禁止的人工智能实践指南》明确将“非定向抓取面部图像来创建或扩展面部识别数据库”“情绪识别”“生物特征分类”归类为禁止实施的人工智能实践,除非符合国家安全、医疗目的等例外情形。
需要注意的是,《办法》并未将“人脸分析”场景纳入适用范围。所谓人脸分析,是指不开展人脸验证或人脸辨识,仅对采集的人脸图像进行统计、检测或特征分析,其典型应用包括公共场所人流量统计、体温检测、图片美化等。因此,为满足数据处理的合规性,此类应用场景应按照国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2020)和《信息安全技术 网络数据处理安全要求》(GB/T 41479-2022)的要求处理人脸图像。
三、《办法》的核心规则
(一)处理信息的前提
1. 目的限定
《个人信息保护法》第六条[5]规定了目的限定原则(the principle of purpose limitation),而人脸信息作为个人信息的一个重要分支,当然要遵循个人信息处理的“帝王原则”。目的限定原则主要包括:第一,目的明确,即目的不能是秘密、隐匿或含糊不清的,也不能毫无限制、漫无目标,应当有明确的限定范围;第二,目的合理,即目的应当具备合法性要求,符合惯常的生活逻辑。
2. 必要性
(1)既有标准对“必要原则”的要求
国家标准《信息安全技术 人脸识别数据安全要求》(GB/T 41819-2022)第五条明确了,实现相同目的或达到同等安全要求可采用非人脸识别方式的,应优先选择使用非人脸识别方式;应仅在人脸识别方式更具安全性或便捷性时,才能采用人脸识别方式进行身份识别。
(2)《办法》对于“必要原则”的延伸
基于前述标准,《办法》第十条进一步规定了,实现相同目的或者达到同等业务要求存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。同时,《办法》第十一条[6]明确了应当减少人脸信息的收集和存储,第十二条[7]规范了让个人接受人脸识别技术验证个人身份的方式,第十三条[8]限定了在公共场所安装人脸识别设备的使用目的。
因此,以上系列规定实际是对杭州“人脸识别第一案”拒绝刷脸入园案件[9]、小区物业强制业主使用人脸识别技术作为唯一出入方式、银行APP强制人脸验证登录、健身房强制会员刷脸入场等社会关切问题作出了回应,通过要求谨慎处理和严格保护生物识别信息,为公民保留密码、指纹等替代路径。
(二)告知义务的履行
1. 一般告知义务
《办法》第五条规定了个人信息处理者应用人脸识别技术处理人脸信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人履行告知义务。告知事项包括:(1)个人信息处理者的名称或者姓名和联系方式;(2)人脸信息的处理目的、处理方式,处理的人脸信息保存期限;(3)处理人脸信息的必要性以及对个人权益的影响;(4)个人依法行使权利的方式和程序;(5)法律、行政法规规定应当告知的其他事项。同时,若前述事项发生变更的,应当将变更部分告知个人。
实际上,该条款是对《个人信息保护法》第十七条[10]及第三十条[11]的重述,其中,第三款的规定是由于人脸信息属于敏感个人信息而需要“额外”增加告知的事项。
2. 特殊告知义务
《办法》第五条明确了处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定。而根据《中华人民共和国无障碍环境建设法》第三十三条规定,符合相应条件的互联网网站、服务平台、移动互联网应用程序,应当采取语音、大字、盲文、手语等无障碍信息交流方式,以帮助残疾人、老年人获取相应的信息。
因此,涉及处理残疾人、老年人人脸信息的,应该通过提供良好的使用引导和交互界面的方式,确保人脸识别系统易学、易用、易操作,充分保障特殊群体(包括不同年龄人群、残障人士等)使用需求。
3. 告知义务的例外
结合《办法》第五条和《个人信息保护法》第三十条规定,法律、行政法规规定可以不向个人告知的,从其规定。其中,无需告知的情形如下表所示:
(三)取得个人的单独同意
1. 个人同意的取得
在《个人信息保护法》第二十九条[12]和第三十一条[13]、国家标准《信息安全技术 人脸识别数据安全要求》(GB/T 41819-2022)第五条[14]的基础上,《办法》第六条和第七条重述了关于处理敏感个人信息、处理不满十四周岁以下未成年人信息时取得单独同意的规则。
其中,《办法》第六条规定了基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意;法律、行政法规规定处理人脸信息应当取得个人书面同意的,从其规定。《办法》第七条则规定了基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意,并要求个人信息处理者应当在存储、使用、转移、披露等方面制定专门的处理规则,依法保护未成年人个人信息安全。
具体而言,取得同意的相关实践操作包括:
(1)明示同意与默示同意
根据国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2020)相关规定,授权同意包括了明示同意与默示同意,而明示同意涵盖了书面、口头方式的同意。
(2)明示同意与单独授权
对于取得明示同意与单独授权的形式,国家标准《信息技术 生物特征识别 人脸识别系统应用要求》(GB/T 44248-2024)予以明确,其判断方式具体包括:第一,是否签署纸质授权文件或电子授权文件(纸质授权文件包括合同书、信件、传真等,电子授权文件包括电子邮件、通知文件等);第二,在具有人脸识别系统的公共场合的明显位置是否设置显著提示标识;第三,不应以默认选择同意的方式,应采取做出肯定性动作的方式征求授权同意(肯定性动作包括主动勾选“同意”、主动点击“下一步”“注册”等方式);第四,人脸识别标识应符合国家标准《信息技术 用于生物特征识别系统的图示、图标和符号 第5部分:人脸应用》( GB/T 40694.5-2022)的相关规定。
(3)基于同意的应用场景
国家标准《信息安全技术 人脸识别数据安全要求》(GB/T 41819-2022)第五条第i款特别规定了基于个人单独同意的人脸识别数据应用场景,即除非经数据主体单独同意或书面同意,不应将人脸识别数据用于数据主体的评估或预测,包括但不限于评估或预测数据主体的工作表现、经济状况、健康状况、偏好、兴趣、消费行为和活动轨迹等。
2. 个人同意的撤回
相较于《征求意见稿》,《办法》第六条第二款进一步明确了个人撤回同意的权利,即个人信息处理者应当向个人提供便捷的撤回同意的方式,同时个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。由此,《办法》第六条重述了《个人信息保护法》第十五条[15]关于单独同意场景下撤回同意的规则。
同时,对于个人撤回授权同意后的处理行为,国家标准《信息安全技术 个人信息安全规范》(GB/T 35273-2020)要求在个人撤回授权同意后,个人信息控制者后续不应再处理相应的个人信息。
(四)开展个人信息保护影响评估
《办法》第九条规定了个人信息处理者应用人脸识别技术处理人脸信息,应当事前进行个人信息保护影响评估[16](PIA),并对处理情况进行记录,个人信息保护影响评估报告和处理情况记录应当至少保存3年。
因此,该条款实际沿袭了《个人信息保护法》第五十五条[17]和第五十六条[18]关于个人信息保护影响评估的规定,但是相较于《个人信息保护法》,《办法》细化了评估内容[19],将原第(二)项分拆为两项,拆分为:第一,对个人权益带来的影响,以及降低不利影响的措施是否有效;第二,发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害。
此外,《办法》还明确了个人信息保护影响评估的限制性适用,即若处理人脸信息的目的、方式发生变化,或者发生重大安全事件的,应当重新进行个人信息保护影响评估。
(五)信息的存储要求
1. 本地化存储
相较于《征求意见稿》,《办法》第八条新增了关于人脸信息在设备内存储的原则性要求,即除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。需要注意的是,人脸信息存储于人脸识别设备内而不得通过互联网对外传输的两种例外情况:(1)法律、行政法规另有规定;(2)取得个人单独同意。
结合国家标准《信息安全技术 人脸识别数据安全要求》(GB/T 41819—2022)相关规定,数据处理者应采用物理或逻辑隔离方式分别存储人脸识别数据和个人身份信息等,应采取加密存储等安全措施存储人脸识别数据;同时,在本地人脸识别[20]和远程人脸识别[21]方式均适用时,应优先使用本地人脸识别。
因此,考虑到数据主体个人的信息技术产品能够有效保障数据主体对人脸识别数据的删除权[22],人脸信息应当存储于人脸识别终端设备内(例如用户终端,或者识别系统的本地采集终端、存储终端等),不得通过互联网对外传输(包括向云端传输)。
2. 最短保存期限
《办法》第八条规定了,除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。
需要注意的是,这里的“最短时间”应当结合具体场景进行判断,意味着当前实践中一些无限期存储的客户人脸信息将迎来清理潮。同时,由于人脸信息保存期限也是人脸信息处理规则的重要组成部分,数据处理者应当事先告知数据主体。结合国家标准《信息安全技术 人脸识别数据安全要求》(GB/T 41819-2022)第十一条的要求,人脸识别数据存储时间达到数据主体单独同意或书面同意的存储期限后,数据处理者应在15日内删除人脸识别数据并确保不可恢复;或者也可按照《个人信息保护法》第七十三条的要求,采用人脸匿名化技术对人脸信息进行匿名化处理。
3. 限制出境
《办法》第十条明确了国家对应用人脸识别技术验证个人身份另有规定的,从其规定。因此,在中华人民共和国境内收集或产生的人脸识别数据应在境内存储,因业务需要确需出境的,应按照《数据出境安全评估办法》相关规定进行安全评估。
(六)信息的安全防护要求
《办法》第十四条沿袭了《征求意见稿》对于数据处理者采取技术保护措施的要求,但是删除了《征求意见稿》对于网络安全等级保护第三级及以上保护的规定;同时,明确了涉及网络安全等级保护、关键信息基础设施的,应当按照国家有关规定履行网络安全等级保护、关键信息基础设施保护义务。需要注意的是,根据国家标准《信息技术 生物特征识别 人脸识别系统应用要求》(GB/T 44248-2024),相关技术系统建设完成后应符合网络安全等级保护第三级及以上保护要求。
此外,与《征求意见稿》相比,《办法》减轻了人脸识别技术使用者的义务[23],即删除了检测评估、改进安全策略、调整置信度阈值等采取保护措施的义务。
(七)信息处理的备案要求
《办法》第十五条从信息存储数量、备案时间限制、备案提交材料、备案变更和注销四个方面对应用人脸识别技术处理人脸信息备案提出了具体要求。其中,备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续;终止应用人脸识别技术的,应当在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息。
就备案阈值而言,《征求意见稿》第十六条规定存储超过1万人脸信息需进行备案,而正式发布的《办法》第十五条则将备案门槛提升至10万人,这一预设门槛的调整有助于降低中小企业的合规成本,在监管效率和企业负担之间实现更好的平衡。关于备案的细化规则列示如下:
四、《办法》的合规落地指引
(一)人脸识别信息的限制性采集
当存在其他非人脸识别方式且不影响目的实现的情形下,应当同时提供非人脸识别方式和人脸识别方式,且优先使用国家公共服务渠道实施人脸识别技术,减少人脸信息的收集和存储。
特别地,对于在公共场所安装人脸识别设备的,应当以维护公共安全为目的,依法合理确定并显著标识人脸信息采集区域。
(二)告知同意义务的全面履行
个人信息处理者在应用人脸识别技术处理人脸信息前,应当以显著方式、清晰易懂的语言向个人履行告知义务。基于个人的单独同意,个人信息处理者方可收集并处理人脸信息;同时,若个人不同意通过人脸信息进行身份验证的,个人信息处理者应当提供其他合理、便捷的方式。
特别地,个人信息处理者应当为特殊群体予以专门保护。一方面,涉及处理残疾人、老年人人脸信息的,应提供明确的使用引导和容易操作的交互界面,满足特殊使用需求;另一方面,基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意,并为之制定专门的存储、使用、转移、披露等方面的处理规则,依法保护未成年人个人信息安全。
(三)个人信息保护影响评估的动态开展
在应用人脸识别技术处理人脸信息之前,个人信息处理者应当开展个人信息保护影响评估,同时基于实际情况变化而动态地进行个人信息保护影响评估工作,个人信息保护影响评估报告和处理情况记录应当至少保存3年。
其中,评估工作需要着重关注人脸信息处理对个人权益带来的影响,以及在发生安全事件时对个人可能造成的危害。
(四)人脸信息的本地存储与安全防护
一方面,在没有法律、行政法规另行规定或者未取得个人单独同意的情况下,人脸信息应当存储于人脸识别设备内,保存期限以实现处理目的所必需的最短时间为限,不得通过互联网对外传输,有效保障数据主体对人脸识别数据的删除权。
另一方面,个人信息处理者应当采取技术保护措施。其中,对于涉及网络安全等级保护、关键信息基础设施的,应当按照国家有关规定履行网络安全等级保护、关键信息基础设施保护义务。
(五)处理信息的及时性备案
对于涉及存储超过10万人脸信息的个人信息处理者,应当就信息存储情况进行备案。若备案信息(如处理目的、处理方式等)发生实质性变更或终止应用人脸识别技术的,应在变更/终止之日起30个工作日内办理相关的备案变更/注销备案手续。需要注意的是,个人信息保护影响评估报告也属于需递交的备案材料范畴。
附件:
《人脸识别技术应用安全管理办法》新旧对照表
说明:xx为删减,xx为新增,xx为征求意见稿表述调整部分,xx为正式稿表述调整或细化部分。
●注释:
[1]中国网络视听大会《中国网络视听发展研究报告(2025)》九大主要发现发布
[2]中国网络视听大会《中国网络视听发展研究报告(2025)》九大主要发现发布
[3]《中华人民共和国消费者权益保护法》第五十五条第一款,经营者提供商品或者服务有欺诈行为的,应当按照消费者的要求增加赔偿其受到的损失,增加赔偿的金额为消费者购买商品的价款或者接受服务的费用的三倍;增加赔偿的金额不足五百元的,为五百元。法律另有规定的,依照其规定。
[4]“江西法院”《江西高院发布2023年度全省法院贯彻实施民法典十大典型案例》,
[5]“四川法治报”《揭秘四川首例“系列网红直播带货案” | 2024年度全省法院十大典型案例系列报道(三)》,
[6]四川省凉山彝族自治州中级人民(2017)川34刑终266号刑事判决书
[7]“中央政法委长安剑”《虚假摆拍、制造对立、挑动情绪,网警处罚4人!》,
[8]浙江省绍兴市上虞区人民法院(2023)浙 0604 刑初 735 号刑事判决书
[9]杭州互联网法院(2023)浙 0192 民初 4563 号民事判决书
[10]法治日报;《虚假摆拍赚了流量岂能“一删了之”》,
[11]“中国审判”《守住短视频的法治底线》,
[12]央视网:《“网红”用无人机直播跟踪女性回家,警方回应》,
https://content-static.cctvnews.cctv.com/snow-book/index.html?item_id=6067661694851465677&toc_style_id=feeds_default&share_to=qq&track_id=173b0f02-b9f2-4bc9-9b54-baf8b974dd6e
[13]某食品有限公司诉某文化科技有限公司商业诋毁纠纷案——最高法发布涉民营企业、民营企业家人格权保护典型案例之五,审理法院:陕西省高级人民法院(2021)陕民终392号
[14]上海市市场监督管理局:《2024年守护行动第一批典型案例》,
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。
本文作者
来源:大成律动
