最近，《人脸识别技术应用安全管理办法》（以下简称《办法》）发布，自2025年6月1日起施行，对相关企业提出了进一步合规性要求。其中的一些重点信息摘要如下:

一、适用范围与基本原则

1.适用范围

适用于中国境内应用人脸识别技术处理人脸信息的活动，但不包括技术研发和算法训练场景。

要求处理活动遵守法律法规，尊重社会公德与伦理，不得危害国家安全、公共利益及个人权益。

2.处理原则

必要性原则

需有特定目的和充分必要性，采取对个人权益影响最小的方式，并实施严格保护措施。

透明性要求

处理者需以显著方式告知个人处理目的、方式、保存期限等信息，变更时需及时更新告知内容。

二、个人信息保护核心规则

1.同意与撤回

处理人脸信息需取得个人的单独同意，且未成年人信息需监护人同意。

个人可随时撤回同意，撤回不影响此前基于同意进行的处理活动。

2.数据存储与传输

人脸信息原则上应存储于本地设备内，不得通过互联网传输（法律另有规定或单独同意除外）。

保存期限不得超过实现处理目的所需的最短时间。

3.特殊群体保护

处理残疾人、老年人信息需符合无障碍环境建设规定。

三、安全规范与技术要求

1.验证方式限制

存在其他非人脸识别技术时，不得将其作为唯一验证方式，需提供替代方案。

2.公共场所设备安装

仅限维护公共安全必需场所，且需设置显著提示标识。禁止在宾馆客房、公共浴室等私密空间安装设备。

3.技术措施

系统需采取数据加密、访问控制、入侵检测等措施，涉及关键信息基础设施的需履行网络安全等级保护义务。

四、备案与监管机制

1.备案要求

处理人脸信息达10万条以上的，需在30个工作日内向省级网信部门备案，提交处理目的、安全措施等材料。

2.监管职责

网信部门与公安机关协同建立信息共享机制，实施监督检查。

公众可对违法活动投诉举报，相关部门需依法处理并反馈结果。

五、法律责任与术语定义

1.违规处理

违反规定的，依法追究责任；构成犯罪的，追究刑事责任。

2.术语界定

个人信息处理者

是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。

人脸信息

是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的面部特征生物识别信息，不包括匿名化处理后的信息。

人脸识别技术

是指以人脸信息作为识别个体身份的个体生物特征识别技术。

人脸识别设备

是指应用人脸识别技术识别个体身份的终端设备。

验证个人身份

是指通过收集获得的人脸信息与信息系统存储的特定人脸信息进行“一对一”比对，确认和核对两者是否为同一人。

辨识特定个人

是指通过收集获得的人脸信息与信息系统存储的特定范围内人脸信息进行“一对多”比对，发现和识别具有特定身份的个人。

附则

施行时间：2025年6月1日。

法律依据：基于《网络安全法》《数据安全法》《个人信息保护法》等制定。

该办法通过细化技术应用规范与监管措施，强化了对人脸信息的全流程保护，平衡了技术创新与个人权益保障的需求。如需全文，可参考官方发布渠道或法律数据库。