人脸识别技术的广泛应用带来便利的同时，也引发隐私泄露风险。为规范技术应用，国家互联网信息办公室与公安部联合发布《人脸识别技术应用安全管理办法》，并于**📅2025年6月1日**正式施行。该办法是我国首部针对人脸识别的专项规范性文件，标志着人脸信息保护进入"备案+监管"的法治化阶段。

并非所有使用场景都需备案，需满足以下两类条件之一：

1. 存储规模阈值

法人或非法人组织累计存储人脸信息≥10万人，需在达到阈值之日起30个工作日内备案。

累计计算原则：同一主体下属分支机构（含子公司）的存储量需合并计算，禁止通过"拆分存储"规避备案（如某连锁企业20家门店各存6万人脸信息，累计达120万，需由总部统一备案）。

2. 高风险场景阈值

即使未达存储规模，但涉及公共安全（机场安检、政务服务）、金融服务（远程开户、支付验证）、公共服务（校园门禁、医院就诊） 等场景，无论存储量多少均需备案。

备案流程（全线上化）

系统入口：通过国家网信办「个人信息保护业务系统」（https://grxxbh.cacdtsc.cn）或中国网信网"全国网信政务办事大厅"跳转。

信息填报：需提交主体资质（营业执照/事业单位法人证书）、人脸信息处理方案（含存储周期、用途范围）、安全防护措施说明。

材料上传：5类必备材料（见下文），审核通过后公示7个工作日，无异议即完成备案。

个人信息保护影响评估报告（PIA）：需论证"使用人脸识别的必要性"及替代方案可行性，禁止模板化填报（如某银行因未说明"为何必须用刷脸开户"被驳回）。

安全防护方案：技术层面需采用AES-256加密存储、差分隐私技术；管理层面需实现访问权限分级、审计日志留存≥6个月；应急层面需包含泄露应急预案及演练记录。

经办人授权文件：需加盖备案主体公章，明确授权范围为"人脸识别备案专用"，自然人签字或电子签章无效。

存储资质证明：自建服务器需提供等保2.0三级及以上证明，云端存储需提供服务商《个人信息保护认证证书》