公共场所人脸识别设备备案合规要点
一、技术现状:机遇与风险并存
人脸识别技术以非接触式采集、自动化识别的优势,革新了传统身份验证模式。在安防领域,机场、车站的人脸识别系统助力快速筛查可疑人员;金融行业中,刷脸支付让交易瞬间完成;企业借助人脸识别实现智能考勤与门禁管理。但人脸信息作为终身不变的生物特征数据,一旦被非法获取,可能导致身份冒用、诈骗等严重后果。此前,多地曝出商家未经同意采集顾客人脸数据用于营销,凸显行业规范的紧迫性。
二、办法核心规范
(一)基本要求与处理规则
使用人脸识别技术必须严守合法、正当、必要原则。处理者需以弹窗提示、公告公示等直观方式,向用户明确告知信息收集目的、保存期限及使用方式。例如,商场安装人脸识别设备时,应在入口处设置显著标识说明用途。针对未成年人信息,需获得监护人书面同意,并采用独立存储、加密传输等特殊保护措施。人脸数据原则上存储于本地设备,确需传输时须经用户单独授权,且保存时间不得超过业务需求的最短期限。
(二)技术应用安全规范
除非无替代方案,禁止将人脸识别作为唯一验证方式。如小区门禁系统应同时保留刷卡、密码等传统验证渠道。公共场所安装设备需经审批,明确划定采集区域,并在学校、医院等敏感场所设置禁用区域。系统需配备数据加密、异常访问预警等防护机制,关键信息基础设施更要通过网络安全等级保护测评。
(三)备案义务
当人脸信息存储量达到 10 万条,处理者需在 30 日内提交备案,内容包括技术方案、安全措施及风险评估报告。信息变更或停止服务时,需及时更新或注销备案,确保监管可追溯。
三、行业影响
公共安全领域将收紧技术使用边界,限制在反恐维稳、大型活动安保等核心场景,居民小区随意 “刷脸” 现象将被禁止。金融机构需推行 “人脸识别 + 短信验证码” 双重验证,对大额转账强制人工复核。企业则要为员工提供工卡、指纹等替代验证方式,并在员工离职后 30 日内删除人脸数据,切实保障个人信息权益。
该办法的落地,将有效遏制技术野蛮生长,推动人脸识别技术在安全可控的框架下持续创新,实现科技便利与隐私保护的平衡发展。