个人信息保护法第六十二条规定，网信办负责统筹推进制定针对人脸识别专门的个人信息保护规则、标准。本次《人脸识别技术应用安全管理规定（试行）（征求意见稿）》，可以看作网信办对该条的具体落实。

　　一、民法典及个人信息保护法针对人脸识别技术处理人脸信息的特殊规则

　　个保法第二十八条

　　最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定【法释〔2021〕15号】第一条

　　人脸信息的处理包括人脸信息的收集、存储、使用、加工、传输、提供、公开等。

　　人脸信息（生物识别信息）属于敏感个人信息，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

　　个保法第二十九条

　　处理人脸信息一般应当取得个人的单独同意

　　个保法第三十条

　　处理个人信息前应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

　　（一）个人信息处理者的名称或者姓名和联系方式；

　　（二）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

　　（三）个人行使本法规定权利的方式和程序；

　　（四）法律、行政法规规定应当告知的其他事项。

　　向个人告知处理人脸信息的必要性以及对个人权益的影响

　　个保法第五十五条

　　个人信息处理者应当事前进行个人信息保护影响评估

　　二、征求意见稿主要细化内容

　　（一）本次征求意见稿，对个保法第二十八条细化如下：

　　实现相同目的或者达到同等业务要求，存在其他非生物特征识别技术方案的，应当优先选择非生物特征识别技术方案。参照GB/T 41819—2022《信息安全技术人脸识别数据安全要求》，应仅在人脸识别方式比人脸识别方式更具安全性或便捷性时，采用人脸识别方式进行身份识别。

　　（二）此外，针对不同应用场景，设置了不同的监管要求：

　　旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所

　　不得安装图像采集、个人身份识别设备。

　　公共场所

　　应当为维护公共安全所必需，遵守国家有关规定，设置显著提示标识。

　　安装图像采集、个人身份识别设备的建设、使用、运行维护单位，对获取的个人图像、身份识别信息负有保密义务，不得非法泄露或者对外提供。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外

　　组织机构为实施内部管理

　　根据实际需求合理确定图像信息采集区域，采取严格保护措施，防止违规查阅、复制、公开、对外提供、传播个人图像等行为，防止个人信息泄露、篡改、丢失或者被非法获取、非法利用。

　　宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所

　　除法律、行政法规规定应当使用人脸识别技术验证个人身份的，不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。

　　个人自愿选择使用人脸识别技术验证个人身份的，应当确保个人充分知情并在个人主动参与的情况下进行，验证过程中应当以清晰易懂的语音或者文字等方式即时明确提示身份验证的目的。

　　在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人

　　应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需，并由个人或者利害关系人主动提出。

　　应当将相关服务限定在最小必要的时间、地点或者人群范围内，不得关联与个人请求事项无直接必然相关的个人信息。

　　禁止分析敏感个人信息

　　除维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需，或者取得个人单独同意外，任何组织或者个人不得利用人脸识别技术分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息。

　　涉及社会救助、不动产处分等个人重大利益的

　　不得使用人脸识别技术替代人工审核个人身份，人脸识别技术可以作为验证个人身份的辅助手段。

　　人脸识别技术使用者处理不满十四周岁未成年人人脸信息的

　　应当取得未成年人的父母或者其他监护人的单独同意或者书面同意。

　　出入物业管理区域

　　不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式，个人不同意通过人脸信息进行身份验证的，物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。

　　（三）设置了对于人脸识别技术采集、保存人脸信息一般规则

　　使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息，无法避免的，应当及时删除或者进行匿名化处理。

　　除法定条件或者取得个人单独同意外，人脸识别技术使用者不得保存人脸原始图像、图片、视频，经过匿名化处理的人脸信息除外。

　　（四）细化了个人信息保护影响评估内容

　　征求意见稿第十五条对人脸识别处理个人信息，设置了针对性的个人信息保护影响评估内容：

　　（一）是否符合法律、行政法规的规定和国家标准的强制性要求，是否符合伦理道德；

　　（二）处理人脸信息是否具有特定的目的和充分的必要性；

　　（三）是否限于实现目的所必需的准度、精度及距离要求；

　　（四）采取的保护措施是否合法有效并与风险程度相适应；

　　（五）发生或者可能发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、非法利用的风险以及可能造成的危害；

　　（六）可能对个人权益带来的损害和影响，以及降低不利影响的措施是否有效。

　　个人信息保护影响评估报告应当至少保存三年。处理人脸信息的目的、方式发生变化，或者发生重大安全事件的，人脸识别技术使用者应当重新进行个人信息保护影响评估。

　　（五）完善了具体监管措施

　　网信部门备案

　　在公共场所使用人脸识别技术，或者存储超过1万人人脸信息的人脸识别技术使用者，应当在30个工作日内向所属地市级以上网信部门备案。

　　申请备案应当提交下列材料：

　　（一）人脸识别技术使用者及其个人信息保护负责人的基本情况；

　　（二）处理人脸信息的必要性说明；

　　（三）人脸信息的处理目的、处理方式和安全保护措施；

　　（四）人脸信息的处理规则和操作规程；

　　（五）个人信息保护影响评估报告；

　　（六）网信部门认为需要提供的其他材料。

　　网络安全等级保护第三级以上保护

　　面向社会公众提供人脸识别技术服务的，相关技术系统应当符合网络安全等级保护第三级以上保护要求，并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。属于关键信息基础设施的，还应当符合关键信息基础设施安全保护的相关要求。

　　检测评估

　　人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估，并根据检测评估情况改进安全策略，调整置信度阈值，采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。

　　认证

　　按照国家有关规定列入网络关键设备和网络安全专用产品目录的图像采集设备、个人身份识别设备，应当按照相关国家标准的强制性要求，由具备资格的机构认证合格或者检测符合要求后，方可销售或者提供。