人脸识别应用技术管理办法.docxVIP

人脸识别应用技术管理办法

一、总则

（一）目的与依据

为了规范人脸识别应用技术的使用，保护个人信息安全和合法权益，维护社会公共利益和国家安全，促进人脸识别技术健康、有序发展，依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等相关法律法规，制定本办法。

（二）适用范围

本办法适用于在中华人民共和国境内利用人脸识别应用技术处理人脸个人信息以及人脸识别应用系统的设计、开发、部署、运营、维护等活动。

（三）基本原则

人脸识别应用技术的使用应当遵循合法、正当、必要、诚信原则，不得通过误导、欺诈、胁迫等方式处理人脸个人信息。处理人脸个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。

二、个人信息处理规则

（一）告知与同意

1.个人信息处理者在处理人脸个人信息前，应当以显著、清晰易懂的方式向个人告知处理人脸个人信息的目的、方式、种类、保存期限等事项，并取得个人的单独同意。

2.对于公共场所安装图像采集、个人身份识别设备，应当以显著方式设置标识说明该设备的使用目的、使用方式、个人请求查阅、复制其人脸个人信息以及撤回同意的方式等事项。

（二）处理目的限制

1.个人信息处理者处理人脸个人信息的目的应当明确、合理，不得超出实现处理目的所必要的范围和限度。

2.禁止将人脸个人信息用于与处理目的无关的其他用途，确需变更处理目的的，应当重新取得个人的同意。

（三）安全保障措施

1.个人信息处理者应当采取必要的技术和管理措施，确保人脸个人信息的安全，防止信息泄露、篡改、丢失。

2.这些措施包括但不限于数据加密、访问控制、安全审计、备份恢复等，以应对可能的网络攻击、数据泄露等安全风险。

（四）匿名化处理

1.在满足业务需求的前提下，个人信息处理者应当对人脸个人信息进行匿名化处理。

2.匿名化处理后的信息无法识别特定个人且不能复原的，不再适用本办法有关个人信息处理的规定。

（五）存储期限

1.个人信息处理者应当根据处理目的、方式等因素，合理确定人脸个人信息的存储期限。

2.存储期限应当为实现处理目的所必要的最短时间，超出存储期限的人脸个人信息应当及时删除。

三、不同场景下的应用规范

（一）公共场所

1.在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。

2.所收集的人脸个人信息只能用于维护公共安全的目的，不得用于其他目的；确需用于其他目的的，应当取得个人单独同意。

3.公共场所管理者应当定期对图像采集、个人身份识别设备的使用情况进行评估，确保其使用符合法律法规和本办法的要求。

（二）金融领域

1.金融机构使用人脸识别技术进行身份验证时，应当遵循最小必要原则，仅收集和使用为完成身份验证所必需的人脸个人信息。

2.应当采用多因素身份验证方式，结合其他身份验证因素，提高身份验证的准确性和安全性。

3.金融机构应当建立健全人脸个人信息保护制度，加强对员工的培训和管理，防止人脸个人信息泄露。

（三）教育领域

1.学校等教育机构使用人脸识别技术应当遵循合法、正当、必要的原则，不得将人脸识别作为学生考勤、宿舍管理等的唯一方式。

2.应当充分尊重学生和家长的意愿，取得学生和家长的同意，并保障学生和家长对人脸个人信息的查阅、复制、删除等权利。

3.教育机构应当加强对人脸个人信息的安全管理，防止信息泄露对学生造成不良影响。

（四）商业营销领域

1.经营者不得在未经消费者同意的情况下，使用人脸识别技术对消费者进行身份识别、分析消费者的消费习惯和偏好等。

2.利用人脸识别技术进行商业营销的，应当向消费者提供拒绝的方式，并不得因消费者拒绝而对其进行歧视性待遇。

四、产品和服务提供者的义务

（一）安全评估

1.人脸识别应用技术产品和服务提供者应当对其产品和服务进行安全评估，确保其符合国家有关安全标准和要求。

2.安全评估应当定期进行，评估内容包括但不限于系统的安全性、可靠性、隐私保护等方面。

（二）风险监测

1.提供者应当建立健全风险监测机制，及时发现和处理人脸识别应用技术可能带来的安全风险和社会风险。

2.对于可能影响国家安全、公共安全和个人合法权益的重大风险，应当及时向有关部门报告。

（三）协助调查

1.在发生人脸个人信息泄露、滥用等事件时，人脸识别应用技术产品和服务提供者应当积极协助有关部门进行调查处理。

2.提供必要的技术支持和数据信息，配合有关部门查明事件原因，采取措施防止损失扩大。

（四）更新维护

1.提供者应当及时对人脸识别应用技术产品和服务进行更新维护，修复安全漏洞，提高系统的安全性和稳定性。

2.应当向用户提供更新维护的说明和指导，确