摘要：继2025年1月26日《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》（以下简称《实践指南》）发布后，3月21日《人脸识别技术应用安全管理办法》（以下简称《办法》）发布。《办法》共二十条，于2025年6月1日施行，明确规定了人脸识别技术处理人脸

继2025年1月26日《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》（以下简称《实践指南》）发布后，3月21日《人脸识别技术应用安全管理办法》（以下简称《办法》）发布。《办法》共二十条，于2025年6月1日施行，明确规定了人脸识别技术处理人脸信息的基本要求、处理规则及应用安全规范和监督管理责任等，旨在规范应用人脸识别技术处理人脸信息活动，保护个人信息权益。本文从《办法》的政策背景、现实意义、核心条款、合规要点等方面对《办法》进行全面解读，并结合实务经验为企业提出合规建议。

一、《办法》出台的法律政策背景与现实意义

（一）《办法》出台的法律政策背景

《办法》出台前，我国针对人脸识别技术仅有规范性文件《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》，其余相关规定散见于《中华人民共和国民法典》（以下简称《民法典》）《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）《中华人民共和国网络安全法》《中华人民共和国数据安全法》《网络数据安全管理条例》《公共安全视频图像信息系统管理条例》（以下简称《管理条例》）及司法解释《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。虽然《信息技术 生物特征识别 人脸识别系统应用要求》（GB/T44248—2024）《信息技术 生物特征识别 人脸识别系统测试方法》（GB/T42981—2023）等一系列国家标准对人脸识别信息处理提出了全生命周期各个环节的要求，但相关标准均为推荐性国家标准，并不具有法律约束力。

《办法》作为一项针对人脸识别技术的部门规章，将《民法典》《个人信息保护法》等上位法中的原则性规定落实为人脸识别技术应用的具体规范，并将一系列相关国家标准提炼、上升为法律规定，是完善我国人脸识别技术法律规范体系的重要内容，标志着我国人脸识别技术监管进入新的阶段。

（二）《办法》出台的现实意义

人脸信息是敏感个人信息，一旦泄露，容易对个人的人身和财产安全造成重大危害，甚至威胁公共安全。近年来，人脸识别技术凭借其高效便捷的特性，已渗透至社会生活的各个角落：从公司门禁的“刷脸通行”、金融支付的“面容核验”，到公共场所的安防监控，人脸识别技术应用场景不断扩展。然而，技术的快速落地与监管的滞后性，使得风险隐患日益凸显。一方面，企业过度收集、违规存储人脸信息的现象屡见不鲜，数据泄露事件频发；另一方面，公众面临“无感抓拍”“强制授权”等侵权困境，甚至衍生出利用深度伪造（Deepfake）技术实施的诈骗、诽谤等新型犯罪。人脸识别技术第一案[1]后，首例涉人脸识别民事公益诉讼案[2]产生，涉案人员利用人工智能将人脸照片生成视频，伪造人脸识别认证，从而非法牟利。因人脸识别技术引发的民事纠纷、行政处罚、刑事案件数不胜数，现实生活的需要对人脸识别技术的监管提出了更高要求。

二、《办法》核心条款解读与合规要点

（一）适用范围

《办法》第二条明确其适用范围，即仅适用于在中华人民共和国境内应用人脸识别技术处理人脸信息的活动，将人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的情形排除在外。这是因为《办法》核心目标是人脸识别技术的规范应用以及个人信息权益的保护，同时也为开展人脸识别技术的攻关研究和应用创新预留空间，是技术创新与信息安全的兼顾与平衡。

（二）基本要求与基本原则

《办法》第三条明确应用人脸识别技术处理人脸信息活动的基本要求，即应当遵守法律法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行个人信息保护义务，承担社会责任，不得危害国家安全、损害公共利益、侵害个人合法权益。《办法》在合法的基础上为个人信息处理者提出了商业道德、职业道德、诚实守信、社会责任等更高的要求。

《办法》第四条明确了应用人脸识别技术处理人脸信息的正当原则与必要原则，规定应用人脸识别技术处理人脸信息应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格保护措施。正当原则和必要原则是我国个人信息处理一贯坚持的基本原则，在我国包括《个人信息保护法》在内的所有个人信息处理相关的法律规范中均有体现。必要原则指个人信息的处理限于实现处理目的所必要的最小范围且应采取对个人权益影响最小的方式进行。正当原则要求个人信息处理必须出于特定、明确、合理的目的[3]，禁止为了不正当目的处理个人信息。《办法》中的各项具体规范中也坚持这一基本原则，比如《办法》规定人脸信息的保存期限不得超过实现处理目的所必需的最短时间等。

（三）人脸识别技术处理人脸信息活动的合规要点

1. 知情—单独同意制度

以信息自决权为理论基础的“知情—同意”原则是世界各国法律规定的处理个人信息的通用原则，我国《个人信息保护法》[4]等相关法律中也对该原则予以明确规定。“知情—同意”原则是指信息业者在收集、处理个人信息之时，应当对信息主体就有关个人信息被收集、处理和利用的情况进行充分告知，并征得信息主体明确同意的原则。[5]《个人信息保护法》中对于包括人脸识别在内的敏感个人信息规定了更为严格的“单独同意”原则。《办法》重申这一原则，明确个人信息处理者应用人脸识别技术处理人脸信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式、人脸信息的处理目的和处理方式、处理的人脸信息保存期限等事项，确保其知悉对其权益产生影响的相关事项，并且应当在相关事项变更时尽到告知义务。

《办法》明确，基于个人同意处理人脸信息的，应当取得个人在充分知情的前提下自愿、明确作出的单独同意（不满十四周岁的未成年人，应当取得未成年人的父母或者其他监护人的同意），个人有权撤回该同意，而且个人信息处理者应当提供便捷的撤回同意的方式。

《办法》还针对未成年人的个人信息保护作了特别规定，要求个人信息处理者应用人脸识别技术处理不满十四周岁未成年人人脸信息的，应当在存储、使用、转移、披露等方面制定专门的处理规则，依法保护未成年人个人信息安全。

2. 个人信息保护影响评估制度

《个人信息保护法》第五十五条确立了个人信息处理者处理敏感个人信息应当进行个人信息保护影响评估的原则。个人信息保护影响评估属于受强制的自我规制，数字时代的个人信息处理频繁且复杂，由监管机构进行风险评估已不具备现实可能性，因此法律规定由更具有信息、技术、效率等优势的个人信息处理者进行自我风险评估。

《办法》在《个人信息保护法》的基础上对人脸识别信息个人信息保护影响评估的内容进行了明确，主要包括：（一）人脸信息的处理目的、处理方式是否合法、正当、必要；（二）对个人权益带来的影响，以及降低不利影响的措施是否有效；（三）发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害；（四）所采取的保护措施是否合法、有效并与风险程度相适应。《办法》对于个人信息保护影响评估报告和处理情况记录的留存时间与《个人信息保护法》规定一致，均为至少三年；同时明确了重新进行个人信息保护影响评估的情形是：处理人脸信息的目的、方式发生变化，或者发生重大安全事件。

3. 人脸识别技术应用的选择

《办法》要求个人信息处理者充分保障个人对人脸识别技术应用的选择权，如实告知并提供其他可选择的替代方式。《办法》第十条规定，实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式；个人不同意通过人脸信息进行身份验证的，应当提供其他合理、便捷的方式。《办法》第十二条规定，任何组织和个人不得以办理业务、提升服务质量等为由，误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。

《办法》以必要原则为指导鼓励通过公共渠道实现身份验证，以尽可能降低人脸识别信息处理的安全风险。《办法》第十一条规定，应用人脸识别技术验证个人身份、辨识特定个人的，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施，减少人脸信息收集、存储，保护人脸信息安全。

4. 技术保护措施

《办法》第十三条规定了人脸识别设备的安装要求，与《管理条例》立法原则相一致，在公共场所安装人脸识别设备，应当为维护公共安全所必需，依法合理确定人脸信息采集区域，并设置显著提示标识；任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。

《办法》同时要求个人信息处理者通过技术措施保护个人信息。《办法》第十四条规定，人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全；涉及网络安全等级保护、关键信息基础设施的，应当按照国家有关规定履行网络安全等级保护、关键信息基础设施保护义务。

5. 备案制度

《办法》的一大亮点是确立了个人信息处理备案制度。根据《办法》，个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。申请备案应当提交的材料包括：（一）个人信息处理者的基本情况；（二）人脸信息处理目的和处理方式；（三）人脸信息存储数量和安全保护措施；（四）人脸信息的处理规则和操作规程；（五）个人信息保护影响评估报告。

《办法》对于备案的变更和注销也做了相应规定。备案信息发生实质性变更的，应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的，应当在终止之日起30个工作日内办理注销备案手续，并依法处理人脸信息。

6. 法律责任

《办法》明确网信部门应用人脸识别技术处理个人信息活动的监管主体是：网信部门、公安机关和其他履行个人信息保护职责的部门。

而对于个人信息处理者违法应用人脸识别技术处理个人信息的法律责任，《办法》明确按照相关法律法规处理。依据《个人信息保护法》，违法处理人脸识别信息可能面临责令改正、警告、没收违法所得、罚款、信用惩戒等法律责任；此外，个人信息处理者违法处理个人信息造成个人权益损害的，还应当承担民事侵权责任；如向他人出售或者提供人脸信息构成侵犯个人信息罪的，应当承担刑事责任。

三、企业应对策略与实务建议

（一）事前：个人信息保护影响评估

事前通过个人信息保护影响评估检验个人信息处理是否合规，评估人脸识别信息处理目的及处理方式是否合法正当且必要、对个人信息保护的影响及相关风险、所采取的保护措施是否有效应对风险等，可以使企业事前发现违法违规问题，从而达到未雨绸缪的风险预防作用，利于企业提升个人信息处理合规水平，降低声誉受损、高额罚款等风险与成本。

个人信息保护影响评估报告和处理记录，是证明个人信息处理者合规处理个人信息的重要证据。在发生纠纷或损害时，如果通过调取记录，发现个人信息处理者进行了有效的个人信息保护影响评估，对识别的风险采取了相应的保护措施，可能证明个人信息处理者没有过错从而达到减轻或免除个人信息处理者责任的效果。

（二）事中：企业内部合规管理与技术保障措施

企业在应用人脸识别技术时应当确保信息从收集、存储、使用、传输到最终删除全流程合规。在充分告知相关情况并得到个人的单独同意后再处理人脸识别信息；不得在有其他非人脸识别技术方式可实现相同目的或达到同等业务要求的情况下将人脸识别技术作为唯一的验证方式；除法律法规另有规定或者取得个人单独同意外，不得通过互联网对外传输人脸信息。

从技术角度而言，企业应采取数据加密、访问控制、入侵检测和防御等技术保障措施保护个人信息安全，持续优化人脸识别系统的安全性能，提升技术水平，以技术革新推动合规治理。

此外，我国针对人脸识别技术的各项推荐性国家标准，虽不具有强制性，但可以为企业开展人脸识别数据处理活动提供合规参考，企业遵循相关标准，不仅可以确保其人脸识别数据处理活动的合规性、保护个人信息安全，还能提升自身的社会形象和市场竞争力。

（三）积极应对监管：个人信息保护备案与合规审计

随着一系列人脸识别技术相关法律规范的相继出台，个人信息保护和数据安全监管的力度不断加强，相关法律规范也在持续动态更新中。这要求企业必须保持对监管动态的高度关注，积极主动地配合监管措施，并根据最新监管要求及时调整自身行为，确保合规运营。

《办法》实施后，企业应用人脸识别技术处理的人脸信息存储数量达到10万人时应该履行备案手续，而至于备案具体如何施行，《办法》并未做详尽规定，企业仍应持续关注。此外，2025年5月1日即将施行的《个人信息保护合规审计管理办法》对《个人信息保护法》《网络数据安全管理条例》下的合规审计要求进一步提供了系统性、针对性、可操作性的指引。根据《个人信息保护合规审计管理办法》，处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计；处理100万人以上个人信息的个人信息处理者应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作，并进一步明确了开展合规审计的个人信息处理者应当履行的义务。据此，企业应当关注处理人脸识别信息数量的标志性节点，并及时履行对应的备案及合规审计义务。

四、结语

作为数字化转型中的关键技术，人脸识别技术已广泛融入公共安全、商业服务以及社会民生等多个领域。在技术便利与信息安全的博弈中，《办法》为企业划定合规红线，为公众权益筑牢防护屏障，标志着我国对人脸识别技术应用的监管从原则性约束迈入精细化治理阶段。随着《办法》于6月1日起正式施行，未来的关键在于将制度规定转化为实际治理效能，推动技术创新与信息安全的同步发展。面对数据监管的不断强化，企业也应当在经营发展中融入数据合规理念，构建完善的数据合规管理体系，实现经济效益与社会效益的双赢。

●注释：

[1]（2020）浙01民终10940号郭兵、杭州野生动物世界有限公司服务合同纠纷案，杭州市中级人民法院认为：野生动物世界在涉指纹识别的“年卡办理流程”中规定“至年卡中心拍照”，郭兵亦同意在办卡时拍摄照片，但提供照片仅系为了配合指纹年卡的使用，不应视为其已授权同意野生动物世界将照片用于人脸识别。野生动物世界虽自述其并未将收集的照片激活处理为人脸识别信息，但其欲利用收集的照片扩大信息处理范围，超出事前收集目的，违反了正当性原则。

[2]参见《全国首例！涉“人脸识别”民事公益诉讼案背后 如何保护好个人敏感信息？》https://news.cctv.com/2023/12/15/ARTIHrqBjqaTrKEtRERP7nQ3231215.shtml

[3]刘权.论个人信息处理的合法、正当、必要原则[J].法学家,2021,(05):192-206.

[4]《个人信息保护法》第14条：基于个人同意处理个人信息的，该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的，从其规定。个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。

[5]参见齐爱民：《信息法原论》，武汉大学出版社2010年版，第76页。

特别声明：

大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源。未经授权，不得转载或使用该等文章中的任何内容。

本文作者

来源：大成律动