6月1日起,《人脸识别技术应用安全管理办法》(以下简称《办法》)正式施行,引发公众广泛关注。此前,我国尚未出台专门针对人脸识别技术的法律规范,该《办法》的出台,意味着人脸识别步入系统性治理新阶段,带来了可操作性与可执行性的有效指导,有利于推动人脸识别技术在合法合规轨道上持续健康发展。
小区门禁必须“刷脸”才能解锁,门店私自收集顾客人脸信息用于分析营销策略,被非法收集的人脸信息在网上售卖用于诈骗等犯罪……针对这些人脸识别技术引发的“痛点”,《办法》直指公众关切,以“红线”划定技术边界。
《办法》确立了非唯一验证原则,打破“强制刷脸”的困局。第十条明确规定“实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式”。
对于社会广泛关注的公共场所、私密空间滥用人脸识别技术的问题,《办法》第十三条明确规定“在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备”。
针对部分特殊群体的人脸信息权益受损问题,《办法》第五条明确规定“处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定”,第七条明确要求“基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意”。
细数人脸识别的法律“箍”:法律规范体系愈加完善
近年来,《中华人民共和国民法典》、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》和《中华人民共和国个人信息保护法》等相继出台,为人脸识别法律治理提供了依据:
2021年1月起正式施行的民法典规定,自然人的个人信息受法律保护,并新增内容,明确自然人的生物识别信息等属于个人信息;
2021年7月,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》发布,明确了典型场景下处理人脸信息的侵权认定规则;
2021年11月,《中华人民共和国个人信息保护法》正式实施。其中,第二十六条从“公共场所安装图像采集设备”和“公共场所安装个人身份识别设备”两个角度对人脸信息处理进行了初步规定;
2022年3月,《中共中央国务院关于加快建设全国统一大市场的意见》提出“加快制定面部识别、指静脉、虹膜等智能化识别系统的全国统一标准”。此外,《信息安全技术生物特征识别信息保护基本要求》(GB/T40660—2021)、《信息安全技术人脸识别数据安全要求》(GB/T41819—2022)、《信息技术生物特征识别人脸识别系统技术要求》(GB/T41772-2022)、《信息技术生物特征识别人脸识别系统应用要求》(GB/T44248-2024)等国家标准相继出台,对处理人脸识别信息提出了全生命周期的规范要求;
2025年1月,国务院出台了《公共安全视频图像信息系统管理条例》,自2025年4月1日起施行,其规定了公共安全视频的建设和管理要求,强调在维护公共安全的同时保护个人隐私和个人信息权益。
滥用人脸识别技术:可能承担这些法律责任
人脸信息在商业化中被利用,一旦泄露,对人身与财产均会构成威胁。在法律层面上,如果企业擅自收集和处理人脸信息,有可能会承担民事、行政乃至刑事方面的法律责任。
在民事责任层面上,如果企业未获同意就处理个人信息,侵害个人权益的,根据消费者权益保护法第五十条规定,经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。
在行政处罚层面上,如果企业未经同意就处理个人信息,侵害消费者的个人信息权益,根据消费者权益保护法第五十六条规定,经营者有下列情形之一,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行;法律、法规未作规定的,由工商行政管理部门或者其他有关行政部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处以违法所得一倍以上十倍以下的罚款,没有违法所得的,处以五十万元以下的罚款;情节严重的,责令停业整顿、吊销营业执照:......(九)侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的。
在刑事处罚层面上,如果企业违反国家有关规定,窃取或以其他方法非法获取公民个人信息,将可能构成刑法第二百五十三条之一规定的“侵犯公民个人信息罪”。
触犯“侵犯公民个人信息罪”,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
遭遇强制刷脸怎么办?三步教你维权
第一步:明确拒绝,要求替代方式
若对方声称“不刷脸无法办理”,可直接援引《办法》回应:“根据《人脸识别技术应用安全管理办法》,请提供其他验证方式,否则涉嫌违法。”
注意保留证据:拍摄现场标识、录音或录像,记录对方强制要求的过程。
第二步:投诉举报,多渠道维权
向监管部门举报:通过国家网信办、地方公安机关或消费者协会投诉。
企业备案核查:若涉及大规模人脸信息处理(存储超10万人),可要求对方出示备案证明。
第三步:提起诉讼,主张损害赔偿
若因拒绝“刷脸”导致权益受损(如无法入住、被限制出入),可依据个人信息保护法向法院起诉,要求停止侵害并赔偿损失。
附:《人脸识别技术应用安全管理办法》全文
人脸识别技术应用安全管理办法
第一条 为了规范应用人脸识别技术处理人脸信息活动,保护个人信息权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规,制定本办法。
第二条 在中华人民共和国境内应用人脸识别技术处理人脸信息的活动,适用本办法。
在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的,不适用本办法的规定。
第三条 应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。
第四条 应用人脸识别技术处理人脸信息,应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。
第五条 个人信息处理者应用人脸识别技术处理人脸信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)人脸信息的处理目的、处理方式,处理的人脸信息保存期限;
(三)处理人脸信息的必要性以及对个人权益的影响;
(四)个人依法行使权利的方式和程序;
(五)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
法律、行政法规规定可以不向个人告知的,从其规定。
处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定。
第六条 基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。法律、行政法规规定处理人脸信息应当取得个人书面同意的,从其规定。
基于个人同意处理人脸信息的,个人有权撤回同意,个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
第七条 基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者应用人脸识别技术处理不满十四周岁未成年人人脸信息的,应当在存储、使用、转移、披露等方面制定专门的处理规则,依法保护未成年人个人信息安全。
第八条 除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。
除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。
第九条 个人信息处理者应用人脸识别技术处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估主要包括下列内容:
(一)人脸信息的处理目的、处理方式是否合法、正当、必要;
(二)对个人权益带来的影响,以及降低不利影响的措施是否有效;
(三)发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害;
(四)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存3年。处理人脸信息的目的、方式发生变化,或者发生重大安全事件的,应当重新进行个人信息保护影响评估。
第十条 实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。
国家对应用人脸识别技术验证个人身份另有规定的,从其规定。
第十一条 应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施,减少人脸信息收集、存储,保护人脸信息安全。
第十二条 任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
第十三条 在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。
任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。
第十四条 人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。涉及网络安全等级保护、关键信息基础设施的,应当按照国家有关规定履行网络安全等级保护、关键信息基础设施保护义务。
第十五条 个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。申请备案应当提交下列材料:
(一)个人信息处理者的基本情况;
(二)人脸信息处理目的和处理方式;
(三)人脸信息存储数量和安全保护措施;
(四)人脸信息的处理规则和操作规程;
(五)个人信息保护影响评估报告。
备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的,应当在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息。
第十六条 网信部门会同公安机关和其他履行个人信息保护职责的部门,建立健全信息共享和通报工作机制,协同开展相关工作。
网信部门、公安机关和其他履行个人信息保护职责的部门依法对应用人脸识别技术处理个人信息活动实施监督检查,个人信息处理者应当依法予以配合。
第十七条 任何组织、个人有权对违法应用人脸识别技术处理人脸信息的活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉人、举报人。
第十八条 违反本办法规定的,依照有关法律、行政法规的规定处理;构成犯罪的,依法追究刑事责任。
第十九条 本办法下列术语的含义:
(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
(二)人脸信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的面部特征生物识别信息,不包括匿名化处理后的信息。
(三)人脸识别技术,是指以人脸信息作为识别个体身份的个体生物特征识别技术。
(四)人脸识别设备,是指应用人脸识别技术识别个体身份的终端设备。
(五)验证个人身份,是指通过收集获得的人脸信息与信息系统存储的特定人脸信息进行“一对一”比对,确认和核对两者是否为同一人。
(六)辨识特定个人,是指通过收集获得的人脸信息与信息系统存储的特定范围内人脸信息进行“一对多”比对,发现和识别具有特定身份的个人。
第二十条 本办法自2025年6月1日起施行。
