刷脸不再”任性”！国家新规给”人脸识别”戴上紧箍咒：10万人数据必须备案

2025年6月1日起，国家网信办、公安部联合发布的《人脸识别技术应用安全管理办法》正式施行。这是我国首部专门针对人脸识别技术的部门规章，给无处不在的”刷脸”行为划定了清晰红线。从此，小区门禁强制刷脸、酒店偷偷采集人脸、商场暗中分析顾客表情等行为，都将受到严格规制。

一、为什么要专门管”刷脸”？

人脸识别技术虽然方便，但风险也不小：

• 唯一且不可更改：人脸信息一旦泄露，你无法像改密码一样”换张脸”
• 社交属性最强：最容易被采集，也最容易被滥用
• 危害持久严重：一旦泄露，对人身和财产安全造成极大危害，甚至威胁公共安全

近年来，刷脸进小区、刷脸住酒店、刷脸取快递越来越普遍，但强制采集、过度收集、信息泄露等问题频发。有物业公司因将人脸识别作为进出小区的唯一方式被居民告上法庭，最终被判删除人脸信息并提供其他验证方式。

二、核心红线：五条”硬杠杠”

1. 禁止强制刷脸，必须提供替代方式

最关键的一条：实现相同目的或达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。

• 小区门禁：必须同时支持门禁卡、密码等方式
• 酒店入住：不能强制刷脸，身份证核验即可
• App登录：密码、指纹、短信验证等应作为可选项

个人不同意通过人脸信息进行身份验证的，应当提供其他合理、便捷的方式。

2. 私密空间绝对禁止安装

宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部，绝对禁止安装人脸识别设备。

这是为了防止偷拍偷录等侵犯隐私行为，给公众吃下”定心丸”。

3. 人脸信息原则上”本地存储”

除法律另有规定或取得个人单独同意外，人脸信息应当存储于人脸识别设备内，不得通过互联网对外传输。

这意味着你的人脸数据原则上存在本地设备，而不是上传到云端服务器，大幅降低泄露风险。

4. 必须取得”单独同意”

处理人脸信息，应当取得个人在充分知情的前提下自愿、明确作出的单独同意。

不能用”一揽子协议”糊弄过去，必须明确告知用途、方式、范围，让用户单独点头。

5. 未成年人特殊保护

处理不满14周岁未成年人人脸信息，必须取得父母或其他监护人同意，并在存储、使用、转移、披露等方面制定专门的处理规则。

三、10万人门槛：谁需要备案？

备案时间要求：

• 2025年6月1日前已达10万人的：须在2025年7月14日前完成备案
• 6月1日后达到10万人的：自达到之日起30个工作日内备案
• 备案信息变更的：变更之日起30个工作日内办理变更手续

备案需提交的材料包括：个人信息处理者基本情况、人脸信息处理目的和方式、存储数量、安全保护措施、处理规则、个人信息保护影响评估报告等。

目前，北京已有69家单位通过”个人信息保护业务系统”履行备案流程。

四、技术安全要求：给数据加把”锁”

《办法》要求人脸识别技术应用系统必须采取以下安全措施：

• 数据加密
• 安全审计
• 访问控制
• 授权管理
• 入侵检测和防御

涉及网络安全等级保护、关键信息基础设施的，还要履行相应保护义务。

同时，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道验证身份，减少人脸信息收集和存储。

五、违规后果：不只是罚款

• 未履行备案手续的：依照有关法律、行政法规处理
• 违规处理人脸信息的：可能面临警告、罚款、停业整顿、吊销许可等处罚
• 构成犯罪的：依法追究刑事责任

北京等地已开展专项治理，市民可通过12345热线举报违法违规行为。

六、对普通人的影响

你可以这样做：

• 遇到强制刷脸，有权要求提供其他验证方式
• 发现私密空间有人脸识别设备，可向网信部门举报
• 关注App隐私政策，拒绝非必要的”刷脸”授权
• 14岁以下未成年人家长，要留意孩子人脸信息是否被违规收集

你需要知道：

• 人脸信息保存期限不得超过实现处理目的所必需的最短时间
• 处理目的已实现或不再必要的，应当及时删除人脸信息

这份《办法》的出台，标志着我国生物识别信息保护进入精细化监管阶段。它既不是要封杀人脸识别技术，也不是放任其无序扩张，而是要在便利与安全之间找到平衡点，让”刷脸”真正成为服务生活的工具，而不是侵犯隐私的隐患。正如网信办负责人所言，目标是规范应用人脸识别技术处理人脸信息活动，保护个人信息权益。