一、主体资质文件：备案的“身份通行证”

1. 营业执照/事业单位法人证书

🔍 关键要求：

必须在有效期内，加盖最新年检章（若为多证合一，需提供“统一社会信用代码证明”）；

分支机构需额外提供“总部授权备案说明”，注明“下属机构人脸信息存储量合并计算”。

2. 法定代表人身份证件

📌 注意：

提供正反面扫描件，需清晰显示姓名、证件号、有效期；

若法人委托他人办理，需附《法定代表人授权委托书》（与经办人授权文件分开）。

3. 经办人授权文件

⚠️ 易漏点：

必须加盖备案主体公章，手写签名无效；

明确授权范围：“仅限办理人脸识别技术应用备案相关事宜”，并标注有效期（建议≥60天，覆盖审核周期）。

二、技术文档：备案的“核心审核项”

1. 个人信息保护影响评估报告（PIA报告）

📊 核心内容：

必要性论证：需说明“为何必须使用人脸识别”，附替代方案可行性分析（如“采用密码+门禁卡成本增加300%”）；

风险评估：泄露风险等级（高/中/低）及应对措施（如“AES-256加密存储+实时入侵检测”）；

权益保障机制：用户查询、更正、删除人脸信息的具体路径（附操作截图或流程图）。

2. 安全防护方案

🛡️ 分层面要求：

技术层面：数据传输加密（国密SM4或AES-256）、访问权限分级（管理员/操作员/审计员三级）；

管理层面：操作日志留存≥6个月，包含“谁访问、何时访问、操作内容”；

应急层面：泄露应急预案（含演练记录，需体现“24小时内上报监管部门”流程）。

3. 人脸信息处理规则与操作规程

📝 关键细节：

处理规则需写明“收集→存储→使用→删除”全流程时限（如“存储不超过90天，到期自动脱敏”）；

操作规程需包含员工培训记录（附签到表），证明全员掌握“禁止私自导出人脸信息”等红线。

三、第三方证明：合规的“背书材料”

1. 存储资质证明

🏢 场景区分：

自建服务器：提供《网络安全等级保护2.0三级及以上测评报告》（需在有效期内）；

云端存储：提供服务商《个人信息保护认证证书》（由CNCA认可机构颁发），并附存储位置说明（如“阿里云上海节点”）。

2. 第三方合作协议（若委托处理）

🤝 必写条款：

明确双方责任划分：“委托方对数据安全负总责，受托方承担存储环节安全防护义务”；

违约条款：若因受托方导致泄露，需赔偿损失（建议标注具体金额或计算方式）。

四、其他补充材料：细节决定“通过率”

1. 备案承诺书

📄 内容要求：

承诺“所提交材料真实有效，未隐瞒存储规模/场景”，法定代表人签字并加盖公章；

注明“若信息变更，将在30个工作日内办理备案更新”。

2. 特殊群体保护措施

👶 针对性材料：

涉及未成年人：提供《未成年人人脸信息处理规则》（如“家长单独同意+存储期限减半”）；

涉及残疾人/老年人：附无障碍适配说明（如“支持语音告知+大字版操作界面”）。