一、人脸识别技术发展背景

　　(一)技术发展趋势

　　近年来，人脸识别技术呈现出良好的发展态势。从软硬件方面来看，硬件设备不断升级，变得越来越小巧、高效，同时成本也在逐渐降低。这使得人脸识别技术的应用范围不断扩大，能够更好地与物联网、大数据等其他先进技术进行融合。在软件方面，人脸识别算法不断优化，准确率得到了显著提高。例如，在一些金融支付场景中，人脸识别技术的准确率已经能够达到较高的水平，为用户提供了更加便捷、安全的支付体验。

　　(二)技术应用广泛

　　人脸识别技术的应用场景非常广泛，涵盖了多个领域。在金融支付领域，人脸识别技术被用于身份验证、支付授权等环节，提高了支付的安全性和便捷性。在考勤管理方面，企业通过安装人脸识别考勤设备，能够实现员工的快速考勤，提高管理效率。在智能家居领域，人脸识别技术可以用于门禁系统、智能家电控制等，为用户带来更加智能化、个性化的家居体验。此外，在医疗健康、教育、营销与客户服务、社会救助管理、公共安全与国家安全等领域，人脸识别技术也得到了广泛应用，为社会的发展和人们的生活带来了诸多便利。

　　(三)相关法律法规及标准

　　随着人脸识别技术的广泛应用，其涉及的个人信息保护问题也日益受到关注。我国出台了一系列法律法规和标准来规范人脸识别技术的应用，保护个人信息安全。

　　-2020年1月，中国支付清算协会印发了《人脸识别线下支付行业自律公约(试行)》;

　　-2020年3月，《全国救助管理信息系统人脸识别技术使用管理规定(试行)》;

　　-2021年8月1日，《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》;

　　-2023年5月1日，GB/T 41819-2022《信息安全技术人脸识别数据安全要求》;

　　-2025年1月26日，《网络安全标准实践指南—人脸识别支付场景个人信息安全保护要求》;

　　-2025年4月1日，《公共安全视频图像信息系统管理条例》实施。

　　二、管理办法亮点概览

　　(一)告知+单独同意+撤回权

　　人脸识别技术应用处理敏感个人信息，需要遵守《个人信息保护法》以及相关敏感个人信息处理的合规要求。《管理办法》明确规定了个人信息处理者在应用人脸识别技术处理人脸信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知相关信息。这是为了确保个人在充分知情的情况下，能够做出自主的选择。同时，基于个人同意处理人脸信息的，必须取得个人在充分知情的前提下自愿、明确作出的单独同意。这体现了对个人意愿的尊重，避免了个人信息处理者在未经个人明确同意的情况下擅自使用人脸信息，也与《个人信息保护法》处理敏感个人信息需要取得单独同意一脉相承。此外，《管理办法》强调个人享有撤回同意的权利，要求个人信息处理者应当提供便捷的撤回同意的方式。这一规定进一步保障了个人对自己信息的控制权，使个人能够在必要时及时停止个人信息的处理，也对应用人脸识别技术中如何进行撤回权的产品设计和权利保障提出了更高要求。

　　(二)应用场景原则性要求

　　《管理办法》对人脸识别技术的应用场景提出了原则性要求，以确保灵活性和技术发展空间。在验证个人身份方面，人脸识别技术可以用于验证个人身份的真实性，例如在金融交易、政务服务等场景中，通过人脸识别技术验证用户身份，可以有效防止身份冒用等问题。在辨识特定个人方面，人脸识别技术可以用于在一定范围内辨识特定个人，但需要符合相关法律法规的要求，不得侵犯个人隐私。这些原则性要求既保障了人脸识别技术的合理应用，又为技术的创新和发展留下了空间，使其能够在不同场景中发挥积极作用。

　　(三)构建多元化治理机制

　　为了更好地规范人脸识别技术的应用，构建了多元化的治理机制。

　　首先，《管理办法》提出评估与备案管理要求。个人信息处理者在应用人脸识别技术前，需要对技术应用的合法性和风险进行全面评估，并向省级网信部门备案。当存储数量达到10万人时，需要在30个工作日内完成备案。这一措施有助于提前发现和防范潜在的风险，确保人脸识别技术的应用符合法律法规的要求。

　　其次，提出了系统安全要求。个人信息处理者需要采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等技术措施，保障人脸识别系统的安全运行。同时，还需要履行网络安全等级保护和关键信息基础设施保护义务，防止个人信息泄露和系统被攻击。

　　此外，还建立了协同监督机制。网信部门、公安机关以及其他履行个人信息保护职责的部门将协同合作，加强对人脸识别技术应用的监督检查。通过信息共享、通报、实施检查等方式，及时发现和处理违法违规行为。同时，投诉机制的建立也保障了自然人在此多元监督体系内发挥作用。

　　(四)保障特殊群体权益

　　管理办法特别关注了特殊群体的权益保护。对于未成年人的人脸识别信息处理，必须取得其监护人的同意。这是因为未成年人身心发育尚未成熟，自我保护能力较弱，通过监护人同意的方式，可以切实保障未成年人的信息安全。对于残疾人、老年人等特殊群体，人脸识别技术的应用要符合无障碍环境建设规定。这体现了对特殊群体的关怀，确保技术应用不会给他们的生活带来不便，保障其平等享受技术带来的便利。例如，在一些公共场所，应当提供适合残疾人、老年人使用的人脸识别设备，或者提供其他辅助验证方式，以满足他们的需求。

　　三、实践案例分析

　　(一)组织机构为实施内部管理安装图像采集、个人身份识别设备

　　在组织机构内部管理中，安装图像采集和个人身份识别设备是常见的应用。对于安装身份识别设备的情况，需要取得个人的单独同意，并且个人有权随时撤回同意。同时，还应当提供其他识别措施的选择，以保障个人的选择权。对于安装图像采集设备的情况，应当基于必要性原则，以显著方式告知个人采集的目的、范围等信息，并且要对采集区域进行限制，避免过度采集个人信息。此外，还需要满足其他合规要求，如安全存储个人信息，合理设置信息删除机制(一般为90-120天)，禁止违规查询、复制公开、对外提供、传播个人信息等。同时，个人信息处理者应当进行个人信息保护影响评估，确保个人信息处理活动的合法性、正当性和安全性。

　　(二)宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所

　　在这些经营场所中，除法律、行政法规规定应当使用人脸识别技术验证个人身份的情况外，不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。在个人自愿选择使用人脸识别技术验证个人身份时，个人信息处理者应当以清晰易懂的语音或者文字等方式告知个人处理目的、方式、范围等信息，确保个人在充分知晓的情况下做出自主选择。例如，在银行办理业务时，如果客户选择使用人脸识别技术进行身份验证，银行工作人员应当详细告知客户人脸识别技术的应用目的、数据存储和使用方式等信息，让客户清楚了解自己的信息将如何被处理。

　　(三)公共场所、经营场所使用远距离人脸技术识别(1：N)

　　在公共场所和经营场所使用远距离人脸技术识别时，应当遵循严格的原则。无感式辨识特定自然人的情况，应当是为了维护国家安全、公共安全或者在紧急情况下保护自然人生命健康和财产安全所必需。同时，要限定在最小必要的时间、地点或者人群范围内，不得关联与个人请求事项无直接必然相关的个人信息。例如，在一些大型活动的安保工作中，为了维护公共安全，可以在活动场地周边合理范围内使用远距离人脸识别技术进行监控，但应当严格控制使用范围和时间，避免对普通民众的正常生活造成不必要的干扰。

　　(四)物业服务企业等建筑物管理人

　　物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式。如果个人不同意通过人脸信息进行身份验证，物业服务企业应当提供其他合理、便捷的身份验证方式，如门禁卡、密码等。这一规定充分考虑了个人的意愿和选择权，避免了因强制使用人脸识别技术而给部分居民带来的不便。例如，在一些老旧小区改造中，安装人脸识别门禁系统时，应当充分征求居民的意见，并为不愿意使用人脸识别的居民提供其他可行的出入方式。

　　四、总结与展望

　　《人脸识别技术应用安全管理办法》的实施，对于保障个人信息安全、促进人脸识别技术的健康发展具有重要意义。在智慧城市建设等众多领域，人脸识别技术的应用将更加规范和安全。未来，我们还需要进一步完善相关机制。例如，在无竞争性的服务领域，如民航、铁路、学校等，应当明确同意以及撤回权的具体实施细则，确保个人在这些领域的合法权益得到充分保障。同时，在重大活动的有关部门同意的批准决策机制方面，也需要进一步细化和完善，以提高决策的科学性和透明度，确保人脸识别技术在重大活动中的合理应用，既保障活动的安全顺利进行，又保护个人的隐私和权益。

　　总之，《人脸识别技术应用安全管理办法》为我们提供了一个良好的规范框架，相信在各方的共同努力下，人脸识别技术将能够更好地服务于社会，为人们的生活和经济发展带来更多的便利和安全保障。