2025年3月13日，《人脸识别技术应用安全管理办法》（以下称“新规”或“本办法”）发布，本办法将于2025年6月1日起正式实施。本办法的出台系响应《中华人民共和国个人信息保护法》第六十二条的规定，即，国家网信部门统筹协调有关部门针对人脸识别、人工智能等新技术、新应用，制定专门的个人信息保护规则、标准。

本办法明确了应用人脸识别技术处理人脸信息的基本要求和具体规则。如，应用人脸识别技术处理人脸信息，应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，个人信息处理者还应当履行告知、进行个人信息保护影响评估等义务。同时，建立了人脸识别技术应用监督管理制度，规范人脸识别技术应用，旨在保护自然人的个人信息权益。

鉴于作者已在万字解读 |《人脸识别技术应用安全管理规定（试行）》（征求意见稿）（以下称“《征求意见稿》”）一篇中进行过详细解读，本文仅通过以下问答形式对新规进行解读：

Q1：哪些情形适用本办法？

A1：在境内应用人脸识别技术处理人脸信息的活动均适用，但人脸识别技术研发、算法训练活动等非直接处理个人信息的行为不适用。

与《征求意见稿》相比，仅提供人脸识别技术产品或者服务不受本办法约束。

例如，商场、景区等场景的人脸识别设备应用均受本办法约束，但科研机构测试算法不适用本办法的规定。

Q2：处理人脸信息需要取得个人同意吗？

A2：需要取得“单独同意”，单独同意是个人针对其个人信息进行特定处理活动而专门作出具体、明确授权的行为，是一种增强的同意方式，在取得单独同意之前，个人信息处理者需通过增强告知或即时提示的方式专门向个人进行充分告知，包括必须明确告知处理目的、方式、保存期限、处理的必要性以及对个人权益的影响等信息；若涉及不满14周岁未成年人，应取得未成年人的父母或者其他监护人的同意，且在存储、使用、转移、披露等方面需制定专门规则。

这里需要注意的是，“单独同意”应当是个人在充分知情的前提下自愿、明确作出的单独同意，如非“自愿/明确”，可能导致未取得单独同意。

例如，物业不能以“方便管理”为由强制业主刷脸进门。

Q3：人脸信息存储有哪些限制？

A3：原则上应存储于人脸识别设备内（即应用人脸识别技术识别个体身份的终端设备），不得通过互联网传输（除法律、行政法规另有规定或者取得个人单独同意外），且保存期限不得超过实现目的所需最短时间。

例如，客户酒店刷脸入住后，酒店应将客户的人脸信息在其退房后立即删除。

Q4：在公共场所安装人脸识别设备有何要求？

A4：必须出于维护公共安全目的，划定明确人脸信息采集区域并设置显著提示。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。

例如，健身房更衣室不得安装人脸识别摄像头。

Q5：企业能否将人脸识别作为唯一验证方式？

A5：不能。实现相同目的或者达到同等业务要求情况下，若有其他非人脸识别的替代方案（如刷卡、密码、指纹），需提供给个人信息主体进行选择。

例如，银行APP不能强制用户刷脸登录；单位不能强制员工刷脸进入。

Q6：使用人脸识别技术的企业需要向政府备案吗？

A6：当存储人脸信息超过10万人时，需在30个工作日内向省级以上网信部门备案，提交个人信息处理目的、存储数量、安全保护措施、保护影响评估报告等备案材料。备案信息变更的需办理变更备案，终止使用人脸识别技术的需办理注销备案。

与《征求意见稿》相比，备案门槛由超过1万人人脸信息提高到了超过10万人。

Q7：企业应如何保障人脸信息安全？

A7：首先，企业应于应用人脸识别技术处理人脸信息前进行个人信息保护影响评估，评估内容包括人脸信息的处理目的、处理方式是否合法、正当、必要；对个人权益带来的影响，降低不利影响的措施是否有效；以及发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害等。若评估风险较高，则企业应进行整改或终止应用。

其次，企业应采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保障人脸信息安全，涉及网络安全等级保护、关键信息基础设施的，还应履行网络安全等级保护、关键信息基础设施保护义务。《征求意见稿》曾规定，“面向社会公众提供人脸识别技术服务的，相关技术系统应当符合网络安全等级保护第三级以上保护要求”，本办法虽未明确，但人脸信息作为敏感个人信息，建议企业满足网络安全等级保护第三级以上保护要求。

例如，企业应定期检测系统漏洞，防止人脸信息泄露。

Q8：企业违反本办法会面临什么处罚？

A8：将依据《个人信息保护法》《网络安全法》等法律追责，包括警告、罚款、停业整顿等；构成犯罪的，依法追究刑事责任。

例如，擅自泄露人脸信息可能被处千万级罚款。

Q9：个人发现使用人脸识别技术的违规行为如何维权？

A9：可向网信、公安等部门投诉、举报，相关部门需及时处理并反馈结果。

例如，若发现线下商家违规收集人脸信息，可向当地网信办举报。

Q10：企业如何合规应用人脸识别技术验证个人身份、辨识特定个人？

A10：建议优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施身份验证，减少自主收集、存储；定期开展个人信息保护影响评估；对员工进行合规培训等。

例如，银行可采用公安部认证系统验证身份，可避免自建人脸库。

总结：新规剑指“人脸滥用”，企业需警惕“过度收集”、“强制刷脸”等雷区，企业应平衡技术便利与个人隐私保护，而公众也有权拒绝非必要的人脸识别要求。建议企业进一步关注6月1日生效后的执法案例，及时调整应对措施。