caihua 第十五条 人脸识别技术使用者处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。
个人信息保护影响评估主要包括下列内容:
(一)是否符合法律、行政法规的规定和国家标准的强制性要求,是否符合伦理道德;
(二)处理人脸信息是否具有特定的目的和充分的必要性;
(三)是否限于实现目的所必需的准度、精度及距离要求;
(四)采取的保护措施是否合法有效并与风险程度相适应;
(五)发生或者可能发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、非法利用的风险以及可能造成的危害;
(六)可能对个人权益带来的损害和影响,以及降低不利影响的措施是否有效。
个人信息保护影响评估报告应当至少保存三年。处理人脸信息的目的、方式发生变化,或者发生重大安全事件的,人脸识别技术使用者应当重新进行个人信息保护影响评估。
第十六条 在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。申请备案应当提交下列材料:
(一)人脸识别技术使用者及其个人信息保护负责人的基本情况;
(二)处理人脸信息的必要性说明;
(三)人脸信息的处理目的、处理方式和安全保护措施;
(四)人脸信息的处理规则和操作规程;
(五)个人信息保护影响评估报告;
(六)网信部门认为需要提供的其他材料。
人脸识别技术使用者处理人脸信息,有法律、行政法规规定应当保密的,按有关规定执行。
备案信息发生实质性变更的,应在变更之日起20个工作日内办理备案变更手续。终止人脸识别技术使用的,应在终止之日起30个工作日内办理备案注销手续。
第十七条 除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。
面向社会公众提供人脸识别技术服务的,相关技术系统应当符合网络安全等级保护第三级以上保护要求,并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。属于关键信息基础设施的,还应当符合关键信息基础设施安全保护的相关要求。
第十八条 使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息,无法避免的,应当及时删除或者进行匿名化处理。
第十九条 人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。
第二十条 按照国家有关规定列入网络关键设备和网络安全专用产品目录的图像采集设备、个人身份识别设备,应当按照相关国家标准的强制性要求,由具备资格的机构认证合格或者检测符合要求后,方可销售或者提供。
第二十一条 网信部门会同电信主管部门、公安机关、市场监管部门等有关部门依据职责,加强对人脸识别技术使用的监督检查,指导督促人脸识别技术使用者履行备案手续,及时发现安全隐患并督促限期整改。
人脸识别技术使用者、产品或者服务提供者应当对有关部门依法开展的监督检查予以配合。
第二十二条 任何组织和个人发现有违反本规定行为的,可以向网信、电信、公安、市场监管等有关部门投诉、举报。
网信、电信、公安、市场监管等有关部门收到相关投诉、举报的,应当依据职责依法作出处理。
第二十三条 人脸识别技术使用者或者相关产品、服务提供者违反本规定的,由网信、电信、公安、市场监管等有关部门在职责范围内依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规进行处罚。违反《治安管理处罚法》的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
违反本规定,给他人造成损害的,依法承担民事责任。
第二十四条 本规定由国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局负责解释。
第二十五条 本规定自×年×月×日起施行。
微信扫一扫 
