随着人脸识别技术在门禁管理、商业运营、安全监控、金融支付等领域广泛应用,个人信息保护问题日益受到社会关注。为规范人脸识别技术应用行为,国家互联网信息办公室、中华人民共和国公安部联合出台的《人脸识别技术应用安全管理办法》(以下简称《办法》)于2025年6月1日起施行,并于施行前夕同步上线了人脸识别技术备案管理系统。
《办法》第十五条规定:“处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。这里判断是否应当履行备案的的标准是“存储”的数量,而非收集、使用等其他处理活动涉及的数量。
国家互联网信息办公室于2025年5月28日发布的《关于开展人脸识别技术应用备案工作的公告》(“《公告》”)明确了首次备案的时间要求:
(1)自2025年6月1日起,应用人脸识别技术处理的人脸信息存储数量达到10万人的,应当自数量达到之日起30个工作日内履行备案手续;
(1)2025年6月1日前,应用人脸识别技术处理的人脸信息存储数量已经达到10万人的,应当在2025年7月14日前履行备案手续。
根据《公告》及《人脸识别技术应用备案系统填报说明(第一版)》(“《说明》”),在备案有效期内发生以下情形的,属于备案信息发生实质性变更,应当在变更之日起30个工作日内办理备案变更手续:
(1)基本情况表中所有填写内容,包括个人信息处理者基本信息、法定代表人(负责人)信息、经办人信息等发生变化的;
(2)人脸识别技术应用情况备案表中主营业务场景、涉及行业/领域、人脸信息处理目的、人脸信息处理方式、涉及自然人数量级、人脸信息存储数量级、采取的安全保护措施、处理规则、操作规程等发生变化的;
(3) 个人信息保护影响评估报告中评估工作情况、人脸识别技术应用整体情况、人脸识别技术应用的影响评估情况、人脸识别技术应用影响评估结论等发生变化的;
《办法》第十五条第二款规定,终止应用人脸识别技术的,应当在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息。
根据《办法》及《说明》的规定,需履行备案义务的主体为个人信息处理者,即在个人信息处理活动中自主决定处理目的、处理方式的组织、个人,其性质可能是政府部门、事业单位、企业、社会组织或其他机构。
(1)以集团公司等形式运营、有多个分支机构的,可以由总部统一履行备案手续。这种情况下,需在“个人信息处理者基本情况表”的备注栏中说明合并备案的所属机构名称和统一社会信用代码,参考格式为:
“本表由 XXX集团公司总部(统一社会信用代码证号 XXX)将所属之 XXX(统一社会信用代码证号 XXX)、XXX(统一社会信用代码证号 XXX等 X个子公司合并提交备案。”
(2)如多个个人信息处理者存在关联关系(多个子公司、办公区、连锁店、第三方服务企业等),且人脸识别技术应用的目的、必要性以及人脸信息处理方式、范围一致的,可以合并履行备案手续。
根据《说明》规定,个人信息处理者需要实现准备以下备案材料:
1.个人信息处理者基本情况表电子版(根据模板填写)
内容包括个人信息处理者名称、性质、类型、办公所在地、法定代表人(负责人)信息及经办人信息等,需明确填表人姓名、职务、联系方式及制表时间。
2.人脸识别技术应用情况备案表电子版(根据模板填写)
内容包括人脸信息的处理目的及方式、存储数量和安全保护措施、处理规则和操作规程等,需明确填表人姓名、职务、联系方式及制表时间。
3.个人信息保护影响评估报告电子版(根据模板填写)
根据《办法》第九条的规定,个人信息保护影响评估主要包括下列内容:
1)人脸信息的处理目的、处理方式是否合法、正当、必要;
2)对个人权益带来的影响,以及降低不利影响的措施是否有效;
3)发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害;
4)所采取的保护措施是否合法、有效并与风险程度相适应。
在评估工作开展阶段,可依据GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》的系统性方法,并结合《办法》具体条款及相关规范性文件执行。
《说明》提供了个人信息保护影响评估报告的模板,并进一步细化了
4.统一社会信用代码证件原件或影印件(加盖公章)扫描件
7.经办人授权委托书(加盖公章)扫描件(根据模板填写)
达到备案门槛的个人信息处理者应当向所在地省级网信部门履行备案手续,具体以线上方式提交,可直接访问“个人信息保护业务系统”(https://grxxbh.cacdtsc.cn)注册账号并提交备案材料。
根据《说明》内容,备案材料查验工作将于备案材料提交之日起15个工作日内完成,材料查验结果可能有三种状态:“备案完成”、“退回完善”以及“审核未通过”。如需退回完善,个人信息处理者需在10个工作日内补充完善材料。如备案完成,属于符合备案要求,将获得系统发放的备案编号。
附1:开展备案工作可参考的法律法规及规范性文件参考(部分)
《人脸识别技术应用管理办法》(2025年6月1日起施行)
《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(2021年8月1日起施行)
GB/T 39335-2020《信息安全技术 个人信息安全影响评估指南》
GB/T 35273-2020《信息安全技术 个人信息安全规范》
GB/T 41819-2022《信息安全技术 人脸识别数据安全要求》
GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》
TC260-PG-20251A 《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》(V1.0-202501)
《关于开展人脸识别技术应用备案工作的公告》(国家互联网信息办公室2025年5月30日发布)
《人脸识别技术应用备案系统填报说明(第一版)》
在填报备案系统过程中,如遇业务或技术问题,可通过下表联系电话咨询所在地省级网信部门。
![人脸识别技术应用备案要点解析]( "人脸识别技术应用备案要点解析")
![人脸识别技术应用备案要点解析]( "人脸识别技术应用备案要点解析")
![人脸识别技术应用备案要点解析]( "人脸识别技术应用备案要点解析")
![人脸识别技术应用备案要点解析]( "人脸识别技术应用备案要点解析")
![人脸识别技术应用备案要点解析]( "人脸识别技术应用备案要点解析")
![人脸识别技术应用备案要点解析]( "人脸识别技术应用备案要点解析")
“数据信任与治理”由下一代互联网国家工程中心运营。放眼全球数据治理前沿理论与实践进展,探索可信数据治理的中国模式,促进数据要素有序流通,释放数字经济红利。
TDG focuses on the cutting-edge theory and practice of global data governance, explores the Chinese model of trusted data governance, promotes global data flow, and fulfills the potential of the digital economy.
原文始发于微信公众号(数据信任与治理):人脸识别技术应用备案要点解析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/4132384.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论