《人脸识别技术应用安全管理办法》简读——正式发布前后差异对比及关联分析

申请加入数据安全共同体计划，请在本公众号回复“申请表”获取下载链接

征求意见稿（第二条）明确规定，适用范围涵盖“提供人脸识别技术产品或服务”的主体。而正式稿对适用范围进行了修改，调整为“处理人脸信息的活动”，同时排除了技术研发和算法训练场景，进一步鼓励科技创新的同时，聚焦人脸识别技术实际应用场景的合规性。

正式稿（第七条）新增了处理未成年人信息的相关规定，要求制定专门规则，并强调在“存储、使用、转移、披露”等环节加强对未成年人信息的保护，回应了社会对未成年人隐私保护的高度关切，并与《个人信息保护法》第二十八条对敏感信息的特殊要求进行了有效衔接。

征求意见稿（第十六条）规定，存储超过1万人脸信息需进行备案。正式稿（第十五条）则将备案门槛提升至10万人。这一调整有助于降低中小企业的合规成本，在监管效率和企业负担之间实现更好的平衡。

正式稿（第十三条）新增了公共场所人脸识别活动的限制性内容，明确禁止在宾馆客房、公共浴室等私密空间安装相关设备。这一规定凸显《民法典》对隐私权的保护要求，也回应了“酒店偷拍”等社会事件引发的公众担忧，平衡相关技术应用与个人隐私保护。

征求意见稿详细列举了罚款金额和具体情形，而正式稿（第十八条）则仅概括性引用其他法律。避免与《个人信息保护法》《数据安全法》相关法律条款产生重叠，进一步强化了法律体系的衔接。

总体而言，《人脸识别技术应用安全管理办法》正式稿在内容上更加注重实际操作，对未成年人、隐私空间等重点领域的人脸采集活动进行了严格限制和保护，同时简化了冗余条款，充分体现了“精准监管”的思路。

2022年10月发布的国家标准GB/T 41819 - 2022《信息安全技术 人脸识别数据安全要求》与《人脸识别技术应用安全管理办法》共同构建了“政策 + 技术”的规范框架。从内容来看，《办法》第四条与GB/T 41819 - 2022在众多要求上高度一致，如均要求人脸识别活动遵循最小化原则，仅收集必要数据；在收集未成年人人脸信息时，均要求获得监护人单独同意；均规定在人脸识别活动事前需开展个人信息保护影响评估等。但从约束力和侧重点上分析，二者则存在较大差异。《办法》为行政法规，国家标准则属于推荐性技术规范，且更侧重于明确人脸识别活动中具体的技术手段和管控措施，如加密存储、不可逆特征提取等。因此，在实际落地过程中，开展人脸识别活动则应严格遵守禁止性条款，履行告知义务，并采用相应的技术和管理手段，强化人脸识别数据的安全性，确保收集使用活动合法合规。

此外，不久前《公共安全视频图像信息系统管理条例》（以下简称《条例》）正式发布，旨在引导公共安全视频系统合理适度、安全可控地部署和使用。该条例与《人脸识别技术应用安全管理办法》均对在私密空间安装相关设备提出了禁止性要求，体现了当前平衡公共安全、产业发展与个人隐私保护的明确趋势。但《条例》的相关要求主要针对公共安全视频系统，视频数据仅用于公共安全领域；而《管理办法》涵盖的人脸识别应用场景更为广泛，如支付、门禁等，并且允许人脸识别信息在获得同意的情况下用于其他用途。当公共场所部署的安防图像采集系统具备人脸识别功能时，则需同时满足上述两个文件的要求，以保障相关活动合法合规。

强化人脸识别信息全生命周期防护，积极推动“不可逆特征提取”“数据匿名化”等前沿技术的验证与落地应用，加快实现人脸数据“可用不可见”的目标。同时，严格落实个人信息保护影响评估（PIA）制度，将设计安全（Privacy by Design）和默认安全（Privacy by Default）的理念贯穿始终。

细化场景化标准，借鉴欧盟《人工智能法案》等国内外先进经验，对人脸识别活动场景进行明确划分，并针对不同场景制定相应的合规指引。如对于公共场所的人脸识别应用可适用相对宽松的标准，而在校园、社区等对隐私保护要求较高的场景，则应实施严格限制。

构建动态巡查机制，简化投诉流程，加大对未经同意强制进行人脸识别、在公共场所违规架设“无感”采集设备等违法违规行为的查处力度。此外，针对相关技术能力提供者（如摄像头厂家、开发者等）的安全能力开展定期巡查，提升人脸识别能力载体的安全合规水平。