国家互联网信息办公室、公安部联合发布《人脸识别技术应用安全管理办法》
发布时间:2025-03-24 11:03:41 浏览次数:234 来源:国家互联网信息办公室网站
3月21日,国家互联网信息办公室、公安部联合发布《人脸识别技术应用安全管理办法》,《办法》共二十条,明确了应用人脸识别技术处理人脸信息的基本要求、处理规则,规定了人脸识别技术应用安全规范、监督管理职责和法律责任,旨在规范应用人脸识别技术处理人脸信息活动,保护个人信息权益。《办法》自2025年6月1日起施行。
国家互联网信息办公室
中华人民共和国公安部
令
第19号
《人脸识别技术应用安全管理办法》已经2024年9月30日国家互联网信息办公室2024年第23次室务会会议审议通过,并经公安部同意,现予公布,自2025年6月1日起施行。
国家互联网信息办公室主任 庄荣文
公安部部长 王小洪
2025年3月13日
人脸识别技术应用安全管理办法
第一条 为了规范应用人脸识别技术处理人脸信息活动,保护个人信息权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》等法律、行政法规,制定本办法。
第二条 在中华人民共和国境内应用人脸识别技术处理人脸信息的活动,适用本办法。
在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的,不适用本办法的规定。
第三条 应用人脸识别技术处理人脸信息活动,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,履行个人信息保护义务,承担社会责任,不得危害国家安全、损害公共利益、侵害个人合法权益。
第四条 应用人脸识别技术处理人脸信息,应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,并实施严格保护措施。
第五条 个人信息处理者应用人脸识别技术处理人脸信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:
(一)个人信息处理者的名称或者姓名和联系方式;
(二)人脸信息的处理目的、处理方式,处理的人脸信息保存期限;
(三)处理人脸信息的必要性以及对个人权益的影响;
(四)个人依法行使权利的方式和程序;
(五)法律、行政法规规定应当告知的其他事项。
前款规定事项发生变更的,应当将变更部分告知个人。
法律、行政法规规定可以不向个人告知的,从其规定。
处理残疾人、老年人人脸信息的,还应当符合国家有关无障碍环境建设的规定。
第六条 基于个人同意处理人脸信息的,应当取得个人在充分知情的前提下自愿、明确作出的单独同意。法律、行政法规规定处理人脸信息应当取得个人书面同意的,从其规定。
基于个人同意处理人脸信息的,个人有权撤回同意,个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。
第七条 基于个人同意处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的同意。
个人信息处理者应用人脸识别技术处理不满十四周岁未成年人人脸信息的,应当在存储、使用、转移、披露等方面制定专门的处理规则,依法保护未成年人个人信息安全。
第八条 除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。
除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。
第九条 个人信息处理者应用人脸识别技术处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估主要包括下列内容:
(一)人脸信息的处理目的、处理方式是否合法、正当、必要;
(二)对个人权益带来的影响,以及降低不利影响的措施是否有效;
(三)发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害;
(四)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存3年。处理人脸信息的目的、方式发生变化,或者发生重大安全事件的,应当重新进行个人信息保护影响评估。
第十条 实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。
国家对应用人脸识别技术验证个人身份另有规定的,从其规定。
第十一条 应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施,减少人脸信息收集、存储,保护人脸信息安全。
第十二条 任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
第十三条 在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。
任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。
第十四条 人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。涉及网络安全等级保护、关键信息基础设施的,应当按照国家有关规定履行网络安全等级保护、关键信息基础设施保护义务。
第十五条 个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。申请备案应当提交下列材料:
(一)个人信息处理者的基本情况;
(二)人脸信息处理目的和处理方式;
(三)人脸信息存储数量和安全保护措施;
(四)人脸信息的处理规则和操作规程;
(五)个人信息保护影响评估报告。
备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的,应当在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息。
第十六条 网信部门会同公安机关和其他履行个人信息保护职责的部门,建立健全信息共享和通报工作机制,协同开展相关工作。
网信部门、公安机关和其他履行个人信息保护职责的部门依法对应用人脸识别技术处理个人信息活动实施监督检查,个人信息处理者应当依法予以配合。
第十七条 任何组织、个人有权对违法应用人脸识别技术处理人脸信息的活动向履行个人信息保护职责的部门进行投诉、举报。收到投诉、举报的部门应当依法及时处理,并将处理结果告知投诉人、举报人。
第十八条 违反本办法规定的,依照有关法律、行政法规的规定处理;构成犯罪的,依法追究刑事责任。
第十九条 本办法下列术语的含义:
(一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
(二)人脸信息,是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的面部特征生物识别信息,不包括匿名化处理后的信息。
(三)人脸识别技术,是指以人脸信息作为识别个体身份的个体生物特征识别技术。
(四)人脸识别设备,是指应用人脸识别技术识别个体身份的终端设备。
(五)验证个人身份,是指通过收集获得的人脸信息与信息系统存储的特定人脸信息进行“一对一”比对,确认和核对两者是否为同一人。
(六)辨识特定个人,是指通过收集获得的人脸信息与信息系统存储的特定范围内人脸信息进行“一对多”比对,发现和识别具有特定身份的个人。
第二十条 本办法自2025年6月1日起施行。
关键字: 网络和数据安全
新闻>政策法规
头条热点
公司新闻
行业标准
政策法规
公安部等四部门联合印发《电信网络诈骗及其关联违法犯罪联合惩戒办法》
发布时间:2024-11-28 09:45:27 浏览次数:961 来源:“公安部刑侦局”微信公众号
近日,公安部、国家发展和改革委员会、工业和信息化部、中国人民银行四部门联合印发《电信网络诈骗及其关联违法犯罪联合惩戒办法》,作为保障反电信网络诈骗法贯彻实施的重要配套文件,《惩戒办法》从惩戒原则、惩戒对象、惩戒措施、分级惩戒、惩戒程序、申诉核查等6个方面作出规定,其中,在惩戒措施中,要求相关行业对被惩戒人员本人的银行账户、互联网账户、电话卡的多项功能进行限制,从技术层面严防再犯。在分级惩戒中提出,对不同惩戒对象分别设置2年或3年的惩戒时限,对惩戒期限内多次纳入惩戒名单的,连续执行惩戒期限不得超过5年。《惩戒办法》自2024年12月1日起正式施行。
电信网络诈骗及其关联违法犯罪联合惩戒办法
第一条 为打击治理电信网络诈骗及其关联违法犯罪,建立健全联合惩戒制度,根据《中华人民共和国反电信网络诈骗法》等法律法规,制定本办法。
第二条 联合惩戒应当遵循依法认定、过惩相当、动态管理的原则。
第三条 本办法规定的惩戒对象包括:
(一)因实施电信网络诈骗犯罪活动,或者实施与电信网络诈骗相关联的帮助信息网络犯罪活动,妨害信用卡管理,侵犯公民个人信息,掩饰、隐瞒犯罪所得、犯罪所得收益及组织他人偷越国(边)境、偷越国(边)境等犯罪受过刑事处罚的人员;
(二)经设区的市级以上公安机关认定,具有下列行为之一的单位、个人和相关组织者:
1.非法买卖、出租、出借电话卡、物联网卡、固定电话、电信线路、短信端口、银行账户、支付账户、数字人民币钱包、互联网账号等三张(个)以上,或者为上述卡、账户、账号提供实名核验帮助三张(个)以上的;
2.非法买卖、出租、出借电话卡、物联网卡、固定电话、电信线路、短信端口、银行账户、支付账户、数字人民币钱包、互联网账号等三次以上,或者为上述卡、账户、账号提供实名核验帮助三次以上的;
3.向三个以上对象非法买卖、出租、出借电话卡、物联网卡、固定电话、电信线路、短信端口、银行账户、支付账户、数字人民币钱包、互联网账号等,或者提供实名核验帮助的;
4.假冒他人身份或者虚构代理关系开立电话卡、物联网卡、固定电话、电信线路、短信端口、银行账户、支付账户、数字人民币钱包、互联网账号等的;具有前三种情形之一,虽未达到数量标准,但造成较大影响、确有惩戒必要的,报经省级以上公安机关审核认定,可以列为惩戒对象。
第四条 惩戒对象为单位的,可以同时对其直接负责的主管人员和其他直接责任人员实施惩戒。
第五条 惩戒措施包括金融惩戒、电信网络惩戒、信用惩戒。
第六条 银行业金融机构、非银行支付机构应当对惩戒对象落实以下金融惩戒措施:
(一)限制惩戒对象名下银行账户、数字人民币钱包的非柜面出金功能,与开立机构既有协议约定的代扣代缴税款、社保、水电煤气费等基本生活保障的款项除外;
(二)停止惩戒对象名下支付账户业务,支付账户余额向本人同名银行账户转账除外;
(三)暂停为惩戒对象新开立支付账户、实名数字人民币钱包,新开立的银行账户应遵循本条第(一)项要求。
第七条 电信业务经营者、互联网服务提供者应当对惩戒对象落实以下电信网络惩戒措施:
(一)限制惩戒对象名下的电话卡、物联网卡、固定电话、电信线路、短信端口等功能以及过户等业务;
(二)限制惩戒对象名下电话卡注册的存在涉诈风险的互联网账号功能及业务;
(三)不得为惩戒对象开立新的电话卡、物联网卡、固定电话、电信线路、短信端口,存在涉诈风险的互联网账号等以及提供网站、应用程序的分发、上架等业务;
以上涉及惩戒的通信业务、互联网应用等应当具备较高的涉诈属性和安全风险,具体惩戒范围由公安机关会同行业主管部门认定。在惩戒期内,惩戒对象在收到公安机关惩戒通知后十个工作日内可申请保留一张名下非涉案电话卡。
第八条 信用惩戒措施应当通过以下方式予以落实:
(一)将有关惩戒对象纳入“电信网络诈骗”严重失信主体名单,共享至全国信用信息共享平台,并通过“信用中国”网站对严重失信主体信息进行公示;
(二)将有关惩戒对象信息纳入金融信用信息基础数据库。
第九条 对惩戒对象实行分级惩戒:
(一)实施电信网络诈骗及其关联犯罪被追究刑事责任的,适用本办法第六条至第八条规定的惩戒措施,惩戒期限为三年;
(二)经设区的市级以上公安机关认定的惩戒对象,适用本办法第六条、第七条及第八条第(二)项规定的惩戒措施,惩戒期限为二年。
第十条 被判处有期徒刑、拘役的惩戒对象,惩戒期限自有期徒刑、拘役执行完毕之日起计算,惩戒措施效力当然施用于有期徒刑、拘役执行期间。被判处管制或者宣告缓刑的惩戒对象,惩戒期限自判决生效之日起计算。
经设区的市级公安机关认定的,惩戒期限自认定之日起计算。
惩戒对象在惩戒期限内被多次惩戒的,惩戒期限累计执行,但连续执行期限不得超过五年。惩戒到期后自动解除,有关惩戒对象自动移出“电信网络诈骗”严重失信主体名单。
第十一条 县级公安机关在办理电信网络诈骗及其关联违法犯罪案件时,应当及时掌握对犯罪嫌疑人、被告人移送起诉、审判的情况,对符合本办法第三条规定的,及时呈报设区的市级以上公安机关审核。
设区的市级以上公安机关审核认定后,出具联合惩戒对象信息报送表,注明惩戒措施及期限、申诉渠道等信息,层报公安部。公安部将联合惩戒对象相关信息移送国家发展和改革委员会、工业和信息化部和中国人民银行。
第十二条 中国人民银行征信中心、电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者应当在收到公安机关惩戒对象相关信息后十个工作日内落实惩戒措施并及时反馈结果。
第十三条 作出惩戒对象认定的公安机关应当在有关部门落实惩戒措施前,采取当面或者邮寄等方式,将惩戒的事由依据、惩戒期限、惩戒措施、依法享有申诉的权利及申诉渠道等内容书面告知被惩戒对象。
第十四条 惩戒对象对惩戒认定有异议的,或者相关惩戒措施到期未解除的,可以通过当面、电话、书面等方式向作出认定的公安机关申诉。
公安机关收到申诉后,应当在三个工作日内一次性告知申诉人需要提供的材料,并在收到材料之日起十五个工作日内完成核查工作,向申诉人书面反馈核查结果,对于不予解除惩戒措施的应当说明理由。
第十五条 对于经过核查,发现原惩戒认定确有错误的,经设区的市级以上公安机关审核认定后,及时出具解除联合惩戒对象信息报送表,层报公安部。公安部将解除联合惩戒对象相关信息移送国家发展和改革委员会、工业和信息化部和中国人民银行。
对于因惩戒认定错误给原被惩戒对象造成损害的,应当依法追究相关责任。
第十六条 中国人民银行征信中心、电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者应当在收到公安机关解除惩戒对象相关信息后十个工作日内解除惩戒措施并及时反馈结果。
第十七条 直辖市的区县公安机关适用本办法中设区的市级公安机关的相关规定。
本办法中“以上”,均包含本级、本数。
第十八条 本办法自2024年12月1日起施行。《中华人民共和国反电信网络诈骗法》施行前,实施本办法第三条所列行为的,不适用本办法。
关键字: 网络安全