国家网信办在2023年8月8日发布了《人脸识别技术应用安全管理规定（试行）（征求意见稿）》（以下简称《规定》），并向社会公开征求意见。

　　下面是《规定》的重点要求：

　　在具有特定目的和充分必要性的情况下，采取严格保护措施，方可使用人脸识别技术处理人脸信息。

　　经营场所如宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等，除法律和行政法规规定需要使用人脸识别技术验证个人身份外，不得以提升服务质量等理由，强制、误导、欺诈或胁迫个人接受人脸识别技术验证个人身份。

　　在公共场所和经营场所使用人脸识别技术远距离、无感式地识别特定自然人时，应满足维护国家安全、公共安全或紧急情况下保护自然人生命健康和财产安全的必要性，并由个人或利害关系人主动提出。

　　在公共场所使用人脸识别技术，或者存储超过1万人人脸信息的人脸识别技术使用者，应向所属地市级以上网信部门备案。

　　此外，《规定》明确指出不得强制、误导个人接受人脸识别技术验证个人身份。当前，人脸识别技术已广泛应用于身份认证、移动支付、手机解锁、门禁等众多领域。顶象发布的《人脸识别安全白皮书》数据显示，安防领域占比最高，达54%，其次是金融占16%。其他领域的占比分别为娱乐10%、医疗7%、电商零售6%、出行3%、政务2%和其他2%。然而，需要注意的是，人脸识别技术在提供个人身份认证便利的同时，也存在信息泄露和个人身份被盗用的风险。

　　《规定》明确指出，只有在具有特定目的和充分必要性的情况下，并采取严格保护措施的情况下，方可使用人脸识别技术处理人脸信息。同时，除法律和行政法规规定不需要个人同意的情况外，使用人脸识别技术处理人脸信息应当取得个人的单独同意或依法取得书面同意。

　　对于人脸识别技术的应用场所，《规定》要求旅馆客房、公共浴室、更衣室、卫生间以及其他可能侵害他人隐私的场所不得安装图像采集和个人身份识别设备。对于宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所，除法律和行政法规规定需要使用人脸识别技术验证个人身份外，不得以提升服务质量等为由，强制、误导、欺诈或胁迫个人接受人脸识别技术验证个人身份。

　　同时，在公共场所安装图像采集和个人身份识别设备的单位，在获取个人图像和身份识别信息后，有保密义务，不得非法泄露或向外提供。

　　近年来，一些房地产售楼中心为了确定客源，在消费者进入售楼中心后开始抓拍消费者的人脸照片并记录其在售楼中心内的行动轨迹，甚至将消费者的人脸照片存储在本地服务器。这类问题引起了社会的广泛关注。

　　《规定》针对这一问题提出，在公共场所和经营场所使用人脸识别技术远距离、无感式地识别特定自然人时，应为维护国家安全、公共安全或紧急情况下保护自然人生命健康和财产安全所必需，并由个人或利害关系人主动提出。

　　如果人脸识别技术使用者根据个人或利害关系人的请求，使用人脸识别技术远距离、无感式地识别特定个人或利害关系人，应将相关服务限制在最小必要的时间、地点或人群范围内，不得关联与个人请求事项无直接必然相关的个人信息。

　　《规定》还提出，人脸识别技术使用者在处理人脸信息前应进行个人信息保护影响评估。评估内容包括处理人脸信息是否具有特定目的和充分必要性，人脸信息泄露、篡改、丢失、毁损或被非法获取、非法利用的风险以及可能对个人权益造成的损害和影响，以及降低不利影响的措施是否有效等。

　　在公共场所使用人脸识别技术，或者存储超过1万人人脸信息的人脸识别技术使用者，应在30个工作日内向所属地市级以上网信部门备案。备案内容包括人脸信息处理的必要性说明，人脸信息的处理目的、处理方式和安全保护措施，人脸信息的处理规则和操作规程，以及个人信息保护影响评估报告等。

　　在处理人脸信息方面，《规定》要求，除法定条件或获得个人单独同意外，人脸识别技术使用者不得保存人脸原始图像、图片和视频，但匿名化处理的人脸信息除外。对于向社会公众提供人脸识别技术服务的相关技术系统，应符合网络安全等级保护第三级以上的要求，并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施来保护人脸信息安全。

　　在处理人脸信息时，应尽量避免采集与提供服务无关的人脸信息，如果无法避免，应及时删除或进行匿名化处理。

　　此外，《规定》还要求人脸识别技术使用者每年对图像采集设备和个人身份识别设备的安全性和潜在风险进行检测评估，并根据评估结果改进安全策略。

　　国家互联网应急中心的高级工程师张震曾指出，在人脸采集方式滥用问题上，一方面需要明确企业使用人脸识别技术的必要性范围，另一方面需要明确不同应用场景下采集人脸信息的设备参数规定，以及不必要的高分辨率采集行为所引发的风险由谁来承担。

　　张震认为，在明确分类和分级场景的同时，让企业能够按照约束范围采集相关数据。产业方面应重视数据安全存储，时刻警惕黑灰产业或许会利用人脸信息对个人人身财产、社会市场经济乃至国家安全造成不可预知的破坏性影响。建议尝试采用云端分离、数字加密、提取局部特征等方式来存储数据，最大限度地保证原始数据的安全性。