國家互聯網信息辦公室關(guan) 於(yu) 《人臉識別技術應用安全管理規定(試行)(征求意見稿)》公開征求意見的通知

　　為(wei) 規範人臉識別技術應用，根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個(ge) 人信息保護法》等法律法規，國家互聯網信息辦公室起草了《人臉識別技術應用安全管理規定(試行)(征求意見稿)》，現向社會(hui) 公開征求意見。公眾(zhong) 可以通過以下途徑和方式提出反饋意見：

　　1.登錄中華人民共和國司法部 中國政府法製信息網(www.moj.gov.cn、www.chinalaw.gov.cn)，進入首頁主菜單的“立法意見征集”欄目提出意見。

　　2.通過電子郵件方式發送至：shujuju@cac.gov.cn。

　　3.通過信函方式將意見寄至：北京市海澱區阜成路15號國家互聯網信息辦公室網絡數據管理局，郵編100048，並在信封上注明“人臉識別技術應用安全管理規定(試行)征求意見”。

　　意見反饋截止時間為(wei) 2023年9月7日。

　　附件：人臉識別技術應用安全管理規定(試行)(征求意見稿)

　　人臉識別技術應用安全管理規定(試行)

　　(征求意見稿)

　　第一條 為(wei) 規範人臉識別技術應用，保護個(ge) 人信息權益及其他人身和財產(chan) 權益，維護社會(hui) 秩序和公共安全，根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個(ge) 人信息保護法》等法律，製定本規定。

　　第二條 在中華人民共和國境內(nei) 利用人臉識別技術處理人臉信息，提供人臉識別技術產(chan) 品或者服務，應當遵守本規定。法律、行政法規另有規定的從(cong) 其規定。

　　第三條 使用人臉識別技術應當遵守法律法規，遵守公共秩序，尊重社會(hui) 公德，承擔社會(hui) 責任，履行個(ge) 人信息保護義(yi) 務，不得利用人臉識別技術從(cong) 事危害國家安全、損害公共利益、擾亂(luan) 社會(hui) 秩序、侵害個(ge) 人和組織合法權益等法律法規禁止的活動。

　　第四條 隻有在具有特定的目的和充分的必要性，並采取嚴(yan) 格保護措施的情形下，方可使用人臉識別技術處理人臉信息。實現相同目的或者達到同等業(ye) 務要求，存在其他非生物特征識別技術方案的，應當優(you) 先選擇非生物特征識別技術方案。

　　使用人臉識別技術驗證個(ge) 人身份、辨識特定自然人的，鼓勵優(you) 先使用國家人口基礎信息庫、國家網絡身份認證公共服務等權威渠道。

　　第五條 使用人臉識別技術處理人臉信息應當取得個(ge) 人的單獨同意或者依法取得書(shu) 麵同意。法律、行政法規規定不需取得個(ge) 人同意的除外。

　　第六條 旅館客房、公共浴室、更衣室、衛生間及其他可能侵害他人隱私的場所不得安裝圖像采集、個(ge) 人身份識別設備。

　　第七條 在公共場所安裝圖像采集、個(ge) 人身份識別設備，應當為(wei) 維護公共安全所必需，遵守國家有關(guan) 規定，設置顯著提示標識。

　　在公共場所安裝圖像采集、個(ge) 人身份識別設備的建設、使用、運行維護單位，對獲取的個(ge) 人圖像、身份識別信息負有保密義(yi) 務，不得非法泄露或者對外提供。所收集的個(ge) 人圖像、身份識別信息隻能用於(yu) 維護公共安全的目的，不得用於(yu) 其他目的；取得個(ge) 人單獨同意的除外。

　　第八條 組織機構為(wei) 實施內(nei) 部管理安裝圖像采集、個(ge) 人身份識別設備的，應當根據實際需求合理確定圖像信息采集區域，采取嚴(yan) 格保護措施，防止違規查閱、複製、公開、對外提供、傳(chuan) 播個(ge) 人圖像等行為(wei) ，防止個(ge) 人信息泄露、篡改、丟(diu) 失或者被非法獲取、非法利用。

　　第九條 賓館、銀行、車站、機場、體(ti) 育場館、展覽館、博物館、美術館、圖書(shu) 館等經營場所，除法律、行政法規規定應當使用人臉識別技術驗證個(ge) 人身份的，不得以辦理業(ye) 務、提升服務質量等為(wei) 由強製、誤導、欺詐、脅迫個(ge) 人接受人臉識別技術驗證個(ge) 人身份。

　　個(ge) 人自願選擇使用人臉識別技術驗證個(ge) 人身份的，應當確保個(ge) 人充分知情並在個(ge) 人主動參與(yu) 的情況下進行，驗證過程中應當以清晰易懂的語音或者文字等方式即時明確提示身份驗證的目的。

　　第十條 在公共場所、經營場所使用人臉識別技術遠距離、無感式辨識特定自然人，應當為(wei) 維護國家安全、公共安全或者為(wei) 緊急情況下保護自然人生命健康和財產(chan) 安全所必需，並由個(ge) 人或者利害關(guan) 係人主動提出。

　　人臉識別技術使用者應個(ge) 人或者利害關(guan) 係人請求使用人臉識別技術遠距離、無感式辨識特定個(ge) 人或者利害關(guan) 係人的，應當將相關(guan) 服務限定在最小必要的時間、地點或者人群範圍內(nei) ，不得關(guan) 聯與(yu) 個(ge) 人請求事項無直接必然相關(guan) 的個(ge) 人信息。

　　第十一條 除維護國家安全、公共安全或者為(wei) 緊急情況下保護自然人生命健康和財產(chan) 安全所必需，或者取得個(ge) 人單獨同意外，任何組織或者個(ge) 人不得利用人臉識別技術分析個(ge) 人種族、民族、宗教信仰、健康狀況、社會(hui) 階層等敏感個(ge) 人信息。

　　第十二條 涉及社會(hui) 救助、不動產(chan) 處分等個(ge) 人重大利益的，不得使用人臉識別技術替代人工審核個(ge) 人身份，人臉識別技術可以作為(wei) 驗證個(ge) 人身份的輔助手段。

　　第十三條 人臉識別技術使用者處理不滿十四周歲未成年人人臉信息的，應當取得未成年人的父母或者其他監護人的單獨同意或者書(shu) 麵同意。

　　未成年人的父母或者其他監護人應當正確履行監護職責，教育引導不滿十四周歲未成年人增強個(ge) 人信息保護意識和能力。

　　第十四條 物業(ye) 服務企業(ye) 等建築物管理人不得將使用人臉識別技術驗證個(ge) 人身份作為(wei) 出入物業(ye) 管理區域的唯一方式，個(ge) 人不同意通過人臉信息進行身份驗證的，物業(ye) 服務企業(ye) 等建築物管理人應當提供其他合理、便捷的身份驗證方式。

　　第十五條 人臉識別技術使用者處理人臉信息，應當事前進行個(ge) 人信息保護影響評估，並對處理情況進行記錄。

　　個(ge) 人信息保護影響評估主要包括下列內(nei) 容：

　　(一)是否符合法律、行政法規的規定和國家標準的強製性要求，是否符合倫(lun) 理道德；

　　(二)處理人臉信息是否具有特定的目的和充分的必要性；

　　(三)是否限於(yu) 實現目的所必需的準度、精度及距離要求；

　　(四)采取的保護措施是否合法有效並與(yu) 風險程度相適應；

　　(五)發生或者可能發生人臉信息泄露、篡改、丟(diu) 失、毀損或者被非法獲取、非法利用的風險以及可能造成的危害；

　　(六)可能對個(ge) 人權益帶來的損害和影響，以及降低不利影響的措施是否有效。

　　個(ge) 人信息保護影響評估報告應當至少保存三年。處理人臉信息的目的、方式發生變化，或者發生重大安全事件的，人臉識別技術使用者應當重新進行個(ge) 人信息保護影響評估。

　　第十六條 在公共場所使用人臉識別技術，或者存儲(chu) 超過1萬(wan) 人人臉信息的人臉識別技術使用者，應當在30個(ge) 工作日內(nei) 向所屬地市級以上網信部門備案。申請備案應當提交下列材料：

　　(一)人臉識別技術使用者及其個(ge) 人信息保護負責人的基本情況；

　　(二)處理人臉信息的必要性說明；

　　(三)人臉信息的處理目的、處理方式和安全保護措施；

　　(四)人臉信息的處理規則和操作規程；

　　(五)個(ge) 人信息保護影響評估報告；

　　(六)網信部門認為(wei) 需要提供的其他材料。

　　人臉識別技術使用者處理人臉信息，有法律、行政法規規定應當保密的，按有關(guan) 規定執行。

　　備案信息發生實質性變更的，應在變更之日起20個(ge) 工作日內(nei) 辦理備案變更手續。終止人臉識別技術使用的，應在終止之日起30個(ge) 工作日內(nei) 辦理備案注銷手續。

　　第十七條 除法定條件或者取得個(ge) 人單獨同意外，人臉識別技術使用者不得保存人臉原始圖像、圖片、視頻，經過匿名化處理的人臉信息除外。

　　麵向社會(hui) 公眾(zhong) 提供人臉識別技術服務的，相關(guan) 技術係統應當符合網絡安全等級保護第三級以上保護要求，並采取數據加密、安全審計、訪問控製、授權管理、入侵檢測和防禦等措施保護人臉信息安全。屬於(yu) 關(guan) 鍵信息基礎設施的，還應當符合關(guan) 鍵信息基礎設施安全保護的相關(guan) 要求。

　　第十八條 使用人臉識別技術處理人臉信息應當盡量避免采集與(yu) 提供服務無關(guan) 的人臉信息，無法避免的，應當及時刪除或者進行匿名化處理。

　　第十九條 人臉識別技術使用者應當每年對圖像采集設備、個(ge) 人身份識別設備的安全性和可能存在的風險進行檢測評估，並根據檢測評估情況改進安全策略，調整置信度閾值，采取有效措施保護圖像采集設備、個(ge) 人身份識別設備免受攻擊、侵入、幹擾和破壞。

　　第二十條 按照國家有關(guan) 規定列入網絡關(guan) 鍵設備和網絡安全專(zhuan) 用產(chan) 品目錄的圖像采集設備、個(ge) 人身份識別設備，應當按照相關(guan) 國家標準的強製性要求，由具備資格的機構認證合格或者檢測符合要求後，方可銷售或者提供。

　　第二十一條 網信部門會(hui) 同電信主管部門、公安機關(guan) 、市場監管部門等有關(guan) 部門依據職責，加強對人臉識別技術使用的監督檢查，指導督促人臉識別技術使用者履行備案手續，及時發現安全隱患並督促限期整改。

　　人臉識別技術使用者、產(chan) 品或者服務提供者應當對有關(guan) 部門依法開展的監督檢查予以配合。

　　第二十二條 任何組織和個(ge) 人發現有違反本規定行為(wei) 的，可以向網信、電信、公安、市場監管等有關(guan) 部門投訴、舉(ju) 報。

　　網信、電信、公安、市場監管等有關(guan) 部門收到相關(guan) 投訴、舉(ju) 報的，應當依據職責依法作出處理。

　　第二十三條 人臉識別技術使用者或者相關(guan) 產(chan) 品、服務提供者違反本規定的，由網信、電信、公安、市場監管等有關(guan) 部門在職責範圍內(nei) 依照《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個(ge) 人信息保護法》等法律法規進行處罰。違反《治安管理處罰法》的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。

　　違反本規定，給他人造成損害的，依法承擔民事責任。

　　第二十四條 本規定由國家互聯網信息辦公室會(hui) 同工業(ye) 和信息化部、公安部、國家市場監督管理總局負責解釋。

　　第二十五條 本規定自×年×月×日起施行。