2025年6月1日,标志着我国在人工智能治理领域迈出了关键一步。由国家互联网信息办公室、公安部联合发布的《人脸识别技术应用安全管理办法》(以下简称《办法》)正式施行。这部专门针对人脸识别技术的部门规章,为企业和个人划定了清晰的行为边界,也预示着“刷脸”时代进入了有法可依、严格监管的新阶段。
《办法》的出台,旨在解决人脸识别技术滥用、信息泄露等社会关切问题,其核心内容可以概括为以下几个方面:
表1:《人脸识别技术应用安全管理办法》核心规则摘要
管理维度《办法》具体规定实质要求目的与必要性应用人脸识别必须具有特定目的和充分的必要性,采取对个人权益影响最小的方式。禁止无差别、非必要的大规模采集。告知与同意必须履行显著告知义务;基于同意处理的,需取得个人单独同意;处理未成年人信息,需取得监护人同意。“默认勾选”、“捆绑授权”等模式将被禁止。数据存储与传输除法律另有规定或取得个人单独同意外,人脸信息应存储于设备内,不得通过互联网对外传输;保存期限不得超过实现目的所必需的最短时间。大幅降低数据集中泄露风险,推动“端侧识别”技术发展。替代性方案实现相同目的存在其他方式的,不得将人脸识别作为唯一验证方式;个人拒绝“刷脸”,应提供其他合理、便捷的替代方式。保障用户的选择权,防止“强制刷脸”。安装场所限制在公共场所安装设备应为维护公共安全所必需,并设置显著提示标识;严禁在宾馆客房、浴室、更衣室等私密空间内部安装。明确划定技术应用的伦理禁区。系统安全防护应用系统必须采取数据加密、安全审计、访问控制、入侵检测和防御等措施。对技术系统的安全性提出了硬性要求。备案管理处理的人脸信息存储数量达到10万人的,需在30个工作日内向省级以上网信部门履行备案手续。建立了针对大规模应用的重点监管机制。二、对企业的影响与合规路径《办法》的施行,对企业,尤其是涉及安防、金融、零售、社区管理等领域的科技公司和系统集成商,提出了全新的合规要求。
表2:企业应对《人脸识别技术应用安全管理办法》的合规行动清单
合规领域紧急行动长期策略产品设计审查现有产品是否将“刷脸”设为唯一验证方式,立即增加替代选项(如密码、门禁卡)。将“隐私保护设计”(Privacy by Design)理念融入新产品开发流程。用户交互修改用户协议和告知界面,确保以显著方式、清晰语言进行告知,并设计独立的“单独同意”获取流程。建立便捷的用户权利响应通道,支持用户随时撤回同意、查询或删除其信息。技术架构评估现有系统数据存储和传输方式,对于不符合“设备内存储”要求的,尽快调整架构或获得用户单独同意。投资升级系统安全防护能力,满足数据加密、访问控制等要求。内部管理开展全员培训,确保员工理解新规;对处理不满十四周岁未成年人信息的场景,制定专门的处理规则。建立定期的个人信息保护影响评估(PIA)机制。备案准备统计自身业务中人脸信息的存储规模,一旦达到10万人门槛,立即启动向省级以上网信部门的备案程序。指定专人负责备案及后续的变更、注销等事宜,建立持续合规档案。三、特别关注:“广东人脸识别技术应用备案”的未来图景虽然《办法》是全国性法规,但考虑到广东省作为经济大省和科技高地,其执法力度和实施细则可能会更加严格。可以预见,“广东人脸识别技术应用备案”将呈现出以下特点:
执行标准更高:广东省相关部门可能会在《办法》基础上,出台更细化的备案指南和技术标准。
审查更为严格:对于申请备案的企业,可能会进行更深入的技术核查和现场检查。
监管协同更强:网信、公安、市场监管等部门将形成联动机制,对违规行为实施联合惩戒。
因此,在广东运营的企业,应提前做好准备,不仅要满足国家层面的最低要求,还应关注地方可能出台的补充规定,主动提升自身的合规水平。
四、结语《人脸识别技术应用安全管理办法》的施行,绝不是对技术发展的阻碍,而是为其健康、可持续发展保驾护航。它要求企业在追求效率和便利的同时,必须将个人信息权益放在首位。对于企业而言,这既是挑战,也是机遇。谁能率先建立起真正尊重用户隐私、符合法规要求的技术和商业模式,谁就能在未来赢得市场和用户的长期信任。现在,是时候重新审视你的“刷脸”系统了。