专家解读｜建章立制开启人脸识别技术应用安全治理新篇章

近日，国家互联网信息办公室、公安部联合公布了《人脸识别技术应用安全管理办法》（以下简称《办法》），《办法》将于2025年6月1日起施行。《办法》坚持问题导向，积极回应当前人脸识别技术应用发展形势要求，构建了科学合理、系统全面、特色鲜明的制度框架，开启人脸识别技术应用安全治理法治化的新篇章，对于明确技术应用安全管理要求、提升依法管网治网水平具有重要意义，为护航数字经济高质量发展提供有力法治保障。

一、《办法》助推技术应用向善发展意义重大特色鲜明

近年来，人脸识别技术快速发展，应用场景不断丰富拓展，在便利人民群众生活的同时，也对个人信息保护提出了新的挑战。“技术前进一小步，管理难度增加一大步”，如何在合理使用人脸识别技术的同时有效地防止个人信息泄露滥用成为当务之急。国家网信部门和公安机关把握人脸识别技术发展规律，顺应广大人民群众迫切需要，及时制定出台《办法》，完善监管手段措施，创新具体制度内容，以良法促进发展、保障善治，意义重大。

（一）践行人民至上理念强化个人信息保护的切实行动。

人脸信息作为“敏感个人信息”中的生物识别信息，是生物识别信息中社交属性最强、最易采集的个人信息，具有唯一性、不可更改性等天然特性，关系到每个人的人格尊严，一旦泄露或者非法使用，将对个人的人身和财产安全造成极大危害，甚至还可能威胁公共安全。强化人脸信息保护，符合人民群众所急所盼。习近平总书记对加强个人信息保护工作提出明确要求，多次强调，要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律、行政法规对个人信息保护作出原则性规定，但缺乏针对人脸识别技术应用的专门规则。国家互联网信息办公室、公安部适时制定出台《办法》，及时回应个人信息保护治理出现的新情况、新问题、新需求，以实际行动践行以人民为中心的发展思想。

（二）划定安全底线红线及时遏制技术滥用的关键举措。

当前，人脸识别技术已在多个领域得到广泛应用，随着应用场景的不断拓展，面临的安全挑战也愈发凸显。例如，人脸信息滥采滥用问题时有发生，甚至还可能被用于电信网络诈骗等违法犯罪活动。《办法》立足实践问题，把握人脸识别技术发展规律，针对社会争议较大的强制刷脸等热点难点问题，明确了人脸识别技术的应用条件和应用人脸识别技术处理人脸信息的具体要求。作为一部“小切口”立法，《办法》聚焦人脸识别技术常见应用场景，为人脸信息的处理划定了清晰的法律边界，有效遏制防范技术滥用风险。

（三）平衡技术创新与治理促进良性发展的制度保障。

在金融、安防、智能家居等领域旺盛需求推动下，我国人脸识别技术应用和产业发展迅速，产业链条不断拓展，市场规模快速增长。例如，在安防领域，人脸识别技术被广泛应用于机场、银行、商场等重要区域的门禁系统和监控系统，显著提升了公共安全和应急响应能力。在国际市场上，我国人脸识别技术产业也已具备一定的竞争力。《办法》充分考虑到技术产业创新发展与安全治理的良性互动，明确规制人脸识别技术的目的并非一刀切地予以禁止，而是旨在确保安全的前提下，倡导负责任地使用人脸识别技术，既明确公共场所安装人脸识别设备的具体规范，又严格禁止在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备，充分发挥了立法促进技术进步、规范产业发展、保障数据安全的作用，实现促进人脸识别技术应用发展与保障公民权利之间的有效平衡。

二、《办法》系统构建管理制度框架内容全面亮点突出

《办法》共二十条，首次以专门法律文件的形式系统规定了人脸识别技术应用安全管理的制度框架，细化完善了《个人信息保护法》等法律法规要求，既全盘考虑、统筹部署，也突出重点、实现精细化规制，内容全面、亮点突出。

（一）坚持与时俱进，明确人脸识别技术相关概念范围。

人脸识别技术作为一项新技术新应用，已在产业实践中广泛应用，但长期以来，始终缺乏法律上的明确界定。《办法》立足当前产业发展和安全管理需要，在部门规章中明确了相关概念，厘清人脸识别技术应用边界，为技术应用发展提供有效引导。此外，《办法》还明确了人脸信息的含义，规定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的面部特征生物识别信息，不包括匿名化处理后的信息”，明确将匿名化处理后的信息排除在外，在大力保护个人信息权益的同时，也为相关服务提供者采用匿名化等技术留出空间，以保障正常的信息处理活动。

（二）坚持守正创新，健全人脸识别技术应用基本原则。

《办法》既注重监管逻辑的延续性，又充分发挥部门规章的创新空间，在继承《个人信息保护法》确立的基本原则和处理规则基础上，进一步完善了相关安全管理要求。一方面，重申使用人脸识别技术应当遵守法律法规、履行个人信息保护义务等相关法律法规中已经明确的制度要求，如第三条。另一方面，根据人脸识别技术应用的特殊性，规定了“非强制”等新的原则要求和制度设计，例如，第十条规定，实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。

（三）坚持突出重点，规定特殊应用场景安全管理要求。

随着人脸识别技术不断优化发展，其开发应用的场景和空间将更加广阔。《办法》坚持突出重点，围绕公共场所等人脸识别技术应用的高频场景，以及宾馆客房、公共浴室等私密场景，都做了专门规定。第十三条明确，在公共场所安装人脸识别设备，应当为维护公共安全所必需，依法合理确定人脸信息采集区域，并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。

（四）坚持规范有序，压实技术使用者主体责任义务。

防范人脸识别技术滥用风险，要加强对使用主体的监管，《办法》通过压实个人信息处理者的主体责任，全面提高个人信息安全保护力度，促进各场景安全水平提升。例如，第九条规定，个人信息处理者应用人脸识别技术处理人脸信息，应当事前进行个人信息保护影响评估，并对处理情况进行记录，评估报告和处理情况记录应当至少保存3年。再如，第十四条规定，人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。

（五）坚持分类分级，建立人脸识别技术使用备案制度。

《办法》延续数据分类分级管理思路，针对应用人脸识别技术处理的人脸信息存储数量达到10万人的个人信息处理者，设置了备案要求。符合相关情形的个人信息处理者，应当在30个工作日内向所在地省级以上网信部门履行备案手续，并提交相关材料。备案信息发生实质性变更的，应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的，应当在终止之日起30个工作日内办理注销备案手续，并依法处理人脸信息。《办法》通过备案制度促进个人信息处理者积极进行个人信息保护影响评估，采取安全保护措施，督促个人信息处理者在应用人脸识别技术过程中关注合规问题。

三、新起点上推动人脸识别技术应用安全管理走深向实

当前，全球人工智能技术持续快速发展、深度赋能，人脸识别作为其中的重要应用之一，已渗透到公共安全、社会治理、商业服务、社会民生等各个领域。在此背景下，《办法》及时制定出台，构建全面系统的安全管理制度，实现了人脸识别技术应用发展治理“有法可依”，开启技术应用型专项立法的新征程。面对人脸识别技术应用发展带来的机遇与挑战，《办法》既创新制度设计，又保持监管体系的连贯性，既注重安全风险防范，又兼顾技术产业发展的多方需求，不仅为全球人脸识别技术治理提供了中国方案，更为我国未来人工智能等相关领域的立法与治理积累了宝贵经验。与此同时，《办法》的出台不仅是人脸识别技术应用治理的起点，更是各项制度落地的开端。6月1日，《办法》将开始施行，未来还需推动将制度优势转化为治理效能，真正实现技术创新与权利保障的共生共赢。