《人臉識別技術應用安全管理辦法》6月1日起實施

6月1日起，《人臉識別技術應用安全管理辦法》（以下簡稱《辦法》）正式施行，引發公眾廣泛關注。此前，我國尚未出臺專門針對人臉識別技術的法律規范，該《辦法》的出臺，意味著人臉識別步入系統性治理新階段，帶來了可操作性與可執行性的有效指導，有利于推動人臉識別技術在合法合規軌道上持續健康發展。

小區門禁必須“刷臉”才能解鎖，門店私自收集顧客人臉信息用于分析營銷策略，被非法收集的人臉信息在網上售賣用于詐騙等犯罪……針對這些人臉識別技術引發的“痛點”，《辦法》直指公眾關切，以“紅線”劃定技術邊界。

??《辦法》確立了非唯一驗證原則，打破“強制刷臉”的困局。第十條明確規定“實現相同目的或者達到同等業務要求，存在其他非人臉識別技術方式的，不得將人臉識別技術作為唯一驗證方式”。

??對于社會廣泛關注的公共場所、私密空間濫用人臉識別技術的問題，《辦法》第十三條明確規定“在公共場所安裝人臉識別設備，應當為維護公共安全所必需，依法合理確定人臉信息采集區域，并設置顯著提示標識。任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛生間等公共場所中的私密空間內部安裝人臉識別設備”。

??針對部分特殊群體的人臉信息權益受損問題，《辦法》第五條明確規定“處理殘疾人、老年人人臉信息的，還應當符合國家有關無障礙環境建設的規定”，第七條明確要求“基于個人同意處理不滿十四周歲未成年人人臉信息的，應當取得未成年人的父母或者其他監護人的同意”。

??細數人臉識別的法律“箍”：法律規范體系愈加完善

??近年來，《中華人民共和國民法典》、《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》和《中華人民共和國個人信息保護法》等相繼出臺，為人臉識別法律治理提供了依據：

??2021年1月起正式施行的民法典規定，自然人的個人信息受法律保護，并新增內容，明確自然人的生物識別信息等屬于個人信息；

??2021年7月，《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》發布，明確了典型場景下處理人臉信息的侵權認定規則；

??2021年11月，《中華人民共和國個人信息保護法》正式實施。其中，第二十六條從“公共場所安裝圖像采集設備”和“公共場所安裝個人身份識別設備”兩個角度對人臉信息處理進行了初步規定；

??2022年3月，《中共中央國務院關于加快建設全國統一大市場的意見》提出“加快制定面部識別、指靜脈、虹膜等智能化識別系統的全國統一標準”。此外，《信息安全技術生物特征識別信息保護基本要求》（GB/T40660—2021）、《信息安全技術人臉識別數據安全要求》（GB/T41819—2022）、《信息技術生物特征識別人臉識別系統技術要求》（GB/T41772-2022）、《信息技術生物特征識別人臉識別系統應用要求》（GB/T44248-2024）等國家標準相繼出臺，對處理人臉識別信息提出了全生命周期的規范要求；

??2025年1月，國務院出臺了《公共安全視頻圖像信息系統管理條例》，自2025年4月1日起施行，其規定了公共安全視頻的建設和管理要求，強調在維護公共安全的同時保護個人隱私和個人信息權益。

??濫用人臉識別技術：可能承擔這些法律責任

??人臉信息在商業化中被利用，一旦泄露，對人身與財產均會構成威脅。在法律層面上，如果企業擅自收集和處理人臉信息，有可能會承擔民事、行政乃至刑事方面的法律責任。

??在民事責任層面上，如果企業未獲同意就處理個人信息，侵害個人權益的，根據消費者權益保護法第五十條規定，經營者侵害消費者的人格尊嚴、侵犯消費者人身自由或者侵害消費者個人信息依法得到保護的權利的，應當停止侵害、恢復名譽、消除影響、賠禮道歉，并賠償損失。

??在行政處罰層面上，如果企業未經同意就處理個人信息，侵害消費者的個人信息權益，根據消費者權益保護法第五十六條規定，經營者有下列情形之一，除承擔相應的民事責任外，其他有關法律、法規對處罰機關和處罰方式有規定的，依照法律、法規的規定執行；法律、法規未作規定的，由工商行政管理部門或者其他有關行政部門責令改正，可以根據情節單處或者并處警告、沒收違法所得、處以違法所得一倍以上十倍以下的罰款，沒有違法所得的，處以五十萬元以下的罰款；情節嚴重的，責令停業整頓、吊銷營業執照：......(九)侵害消費者人格尊嚴、侵犯消費者人身自由或者侵害消費者個人信息依法得到保護的權利的。

??在刑事處罰層面上，如果企業違反國家有關規定，竊取或以其他方法非法獲取公民個人信息，將可能構成刑法第二百五十三條之一規定的“侵犯公民個人信息罪”。

??觸犯“侵犯公民個人信息罪”，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

??遭遇強制刷臉怎么辦？三步教你維權

??第一步：明確拒絕，要求替代方式

??若對方聲稱“不刷臉無法辦理”，可直接援引《辦法》回應：“根據《人臉識別技術應用安全管理辦法》，請提供其他驗證方式，否則涉嫌違法?！?/span>

??注意保留證據：拍攝現場標識、錄音或錄像，記錄對方強制要求的過程。

??第二步：投訴舉報，多渠道維權

??向監管部門舉報：通過國家網信辦、地方公安機關或消費者協會投訴。

??企業備案核查：若涉及大規模人臉信息處理（存儲超10萬人），可要求對方出示備案證明。

??第三步：提起訴訟，主張損害賠償

??若因拒絕“刷臉”導致權益受損（如無法入住、被限制出入），可依據個人信息保護法向法院起訴，要求停止侵害并賠償損失。

附：《人臉識別技術應用安全管理辦法》全文

人臉識別技術應用安全管理辦法

第一條 為了規范應用人臉識別技術處理人臉信息活動，保護個人信息權益，根據《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《網絡數據安全管理條例》等法律、行政法規，制定本辦法。

第二條 在中華人民共和國境內應用人臉識別技術處理人臉信息的活動，適用本辦法。

在中華人民共和國境內為從事人臉識別技術研發、算法訓練活動應用人臉識別技術處理人臉信息的，不適用本辦法的規定。

第三條 應用人臉識別技術處理人臉信息活動，應當遵守法律法規，尊重社會公德和倫理，遵守商業道德和職業道德，誠實守信，履行個人信息保護義務，承擔社會責任，不得危害國家安全、損害公共利益、侵害個人合法權益。

第四條 應用人臉識別技術處理人臉信息，應當具有特定的目的和充分的必要性，采取對個人權益影響最小的方式，并實施嚴格保護措施。

第五條 個人信息處理者應用人臉識別技術處理人臉信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：

（一）個人信息處理者的名稱或者姓名和聯系方式；

（二）人臉信息的處理目的、處理方式，處理的人臉信息保存期限；

（三）處理人臉信息的必要性以及對個人權益的影響；

（四）個人依法行使權利的方式和程序；

（五）法律、行政法規規定應當告知的其他事項。

前款規定事項發生變更的，應當將變更部分告知個人。

法律、行政法規規定可以不向個人告知的，從其規定。

處理殘疾人、老年人人臉信息的，還應當符合國家有關無障礙環境建設的規定。

第六條 基于個人同意處理人臉信息的，應當取得個人在充分知情的前提下自愿、明確作出的單獨同意。法律、行政法規規定處理人臉信息應當取得個人書面同意的，從其規定。

基于個人同意處理人臉信息的，個人有權撤回同意，個人信息處理者應當提供便捷的撤回同意的方式。個人撤回同意，不影響撤回前基于個人同意已進行的個人信息處理活動的效力。

第七條 基于個人同意處理不滿十四周歲未成年人人臉信息的，應當取得未成年人的父母或者其他監護人的同意。

個人信息處理者應用人臉識別技術處理不滿十四周歲未成年人人臉信息的，應當在存儲、使用、轉移、披露等方面制定專門的處理規則，依法保護未成年人個人信息安全。

第八條 除法律、行政法規另有規定或者取得個人單獨同意外，人臉信息應當存儲于人臉識別設備內，不得通過互聯網對外傳輸。

除法律、行政法規另有規定外，人臉信息的保存期限不得超過實現處理目的所必需的最短時間。

第九條 個人信息處理者應用人臉識別技術處理人臉信息，應當事前進行個人信息保護影響評估，并對處理情況進行記錄。個人信息保護影響評估主要包括下列內容：

（一）人臉信息的處理目的、處理方式是否合法、正當、必要；

（二）對個人權益帶來的影響，以及降低不利影響的措施是否有效；

（三）發生人臉信息泄露、篡改、丟失、毀損或者被非法獲取、出售、使用的風險以及可能造成的危害；

（四）所采取的保護措施是否合法、有效并與風險程度相適應。

個人信息保護影響評估報告和處理情況記錄應當至少保存3年。處理人臉信息的目的、方式發生變化，或者發生重大安全事件的，應當重新進行個人信息保護影響評估。

第十條 實現相同目的或者達到同等業務要求，存在其他非人臉識別技術方式的，不得將人臉識別技術作為唯一驗證方式。個人不同意通過人臉信息進行身份驗證的，應當提供其他合理、便捷的方式。

國家對應用人臉識別技術驗證個人身份另有規定的，從其規定。

第十一條 應用人臉識別技術驗證個人身份、辨識特定個人的，鼓勵優先使用國家人口基礎信息庫、國家網絡身份認證公共服務等渠道實施，減少人臉信息收集、存儲，保護人臉信息安全。

第十二條 任何組織和個人不得以辦理業務、提升服務質量等為由，誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。

第十三條 在公共場所安裝人臉識別設備，應當為維護公共安全所必需，依法合理確定人臉信息采集區域，并設置顯著提示標識。

任何組織和個人不得在賓館客房、公共浴室、公共更衣室、公共衛生間等公共場所中的私密空間內部安裝人臉識別設備。

第十四條 人臉識別技術應用系統應當采取數據加密、安全審計、訪問控制、授權管理、入侵檢測和防御等措施保護人臉信息安全。涉及網絡安全等級保護、關鍵信息基礎設施的，應當按照國家有關規定履行網絡安全等級保護、關鍵信息基礎設施保護義務。

第十五條 個人信息處理者應當在應用人臉識別技術處理的人臉信息存儲數量達到10萬人之日起30個工作日內向所在地省級以上網信部門履行備案手續。申請備案應當提交下列材料：

（一）個人信息處理者的基本情況；

（二）人臉信息處理目的和處理方式；

（三）人臉信息存儲數量和安全保護措施；

（四）人臉信息的處理規則和操作規程；

（五）個人信息保護影響評估報告。

備案信息發生實質性變更的，應當在變更之日起30個工作日內辦理備案變更手續。終止應用人臉識別技術的，應當在終止之日起30個工作日內辦理注銷備案手續，并依法處理人臉信息。

第十六條 網信部門會同公安機關和其他履行個人信息保護職責的部門，建立健全信息共享和通報工作機制，協同開展相關工作。

網信部門、公安機關和其他履行個人信息保護職責的部門依法對應用人臉識別技術處理個人信息活動實施監督檢查，個人信息處理者應當依法予以配合。

第十七條 任何組織、個人有權對違法應用人臉識別技術處理人臉信息的活動向履行個人信息保護職責的部門進行投訴、舉報。收到投訴、舉報的部門應當依法及時處理，并將處理結果告知投訴人、舉報人。

第十八條 違反本辦法規定的，依照有關法律、行政法規的規定處理；構成犯罪的，依法追究刑事責任。

第十九條 本辦法下列術語的含義：

（一）個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。

（二）人臉信息，是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的面部特征生物識別信息，不包括匿名化處理后的信息。

（三）人臉識別技術，是指以人臉信息作為識別個體身份的個體生物特征識別技術。

（四）人臉識別設備，是指應用人臉識別技術識別個體身份的終端設備。

（五）驗證個人身份，是指通過收集獲得的人臉信息與信息系統存儲的特定人臉信息進行“一對一”比對，確認和核對兩者是否為同一人。

（六）辨識特定個人，是指通過收集獲得的人臉信息與信息系統存儲的特定范圍內人臉信息進行“一對多”比對，發現和識別具有特定身份的個人。

第二十條 本辦法自2025年6月1日起施行。