POS圈支付网起草《人脸识别技术应用安全管理规定（征求意见稿）》

8月8日上午，国家互联网信息办公室发布消息称，国家互联网信息办公室已起草《人脸识别技术应用安全管理规定（试行）（征求意见稿）》（简称《征求意见稿》）。评论”）。

征求意见稿提出，只有具有特定目的、足够必要性，并采取严格防护措施的情况下，才可以使用人脸识别技术处理人脸信息。

早在2018年，POS圈支付网就对支付宝当年推出的刷脸产品提出质疑。 以下为文章内容部分截图：

以下为《征求意见稿》全文

人脸识别技术应用安全管理规定（试行）

（征求意见稿）

第一条 为规范人脸识别技术应用，保护个人信息权和其他人身、财产权利，维护社会秩序和公共安全，根据《中华人民共和国网络安全法》、《数据安全法》 《中华人民共和国个人信息保护法》和《个人信息保护法》等法律制定本条例。

第二条 在中华人民共和国境内使用人脸识别技术处理人脸信息、提供人脸识别技术产品或者服务，必须遵守本规定。 法律、行政法规另有规定的，依照其规定。

第三条 使用人脸识别技术必须遵守法律法规，遵守公共秩序，尊重社会公德，承担社会责任，履行个人信息保护义务。 不得利用人脸识别技术从事危害国家安全、损害公共利益、扰乱社会秩序、侵犯个人和组织合法权益以及法律法规禁止的其他活动。

第四条 具有特定目的、充分必要，并采取严格保护措施的，方可使用人脸识别技术处理人脸信息。 若有其他非生物识别技术解决方案可以达到相同目的或满足同等业务需求，则应优先考虑非生物识别技术解决方案。

鼓励利用人脸识别技术验证个人身份、识别特定自然人身份的，优先选择国家人口基础信息数据库、国家在线身份认证公共服务等权威渠道。

第五条 使用人脸识别技术处理人脸信息，必须依法取得个人同意或者书面同意。 但法律、行政法规规定不需要个人同意的除外。

第六条 旅馆客房、公共浴室、更衣室、卫生间等可能侵犯他人隐私的场所不得安装图像采集和个人识别设备。

第七条 公共场所安装图像采集、个人身份识别设备，应当是维护公共安全所必需的，符合国家有关规定，并设置显着的警示标志。

公共场所建设、使用、运营、维护图像采集、个人身份识别设备的单位对获取的个人图像和身份信息负有保密义务，不得非法泄露或者对外提供。 所收集的个人图像和身份信息只能用于维护公共安全的目的，除经个人单独同意外，不得用于其他目的。

第八条 为内部管理安装图像采集和个人身份识别设备的组织，应当根据实际需要合理确定图像信息采集区域，并采取严格的防护措施，防止个人图像被非法获取、复制、泄露、对外提供、传播。防止个人信息泄露、篡改、丢失或被非法获取、使用等行为。

第九条 酒店、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等营业场所，除法律、行政法规规定使用人脸识别技术验证个人身份外，不得办理业务，以提高服务质量为由，强制、误导、诈骗、胁迫个人接受人脸识别技术验证身份。

如果个人自愿选择使用面部识别技术来验证其身份，应确保个人充分知情，并在个人积极参与的情况下进行。 验证过程中，应立即以清晰易懂的语音或文字明确提示身份验证的目的。

第十条 在公共场所、营业场所利用人脸识别技术以远距离、非感知的方式识别特定自然人，是维护国家安全、公共安全或者保障公民生命、健康、财产安全所必需的。自然人在紧急情况下，应当经本人授权。 或者有兴趣的一方可以采取主动。

人脸识别技术的使用者应个人或利害关系人的要求，使用人脸识别技术远距离、非感知地识别特定个人或利害关系人的，相关服务应当限于最短必要的时间、地点或利益相关者的身份。一群人。 与个人请求没有直接和必然关系的个人信息不得关联。

第十一条 任何组织和个人不得利用人脸识别技术分析个人的种族、民族、宗教信仰，但为维护国家安全、公共安全或者紧急情况下保护自然人生命、健康、财产安全所必需的除外。或经个人单独同意。 敏感的个人信息，例如信仰、健康状况、社会阶层等。

第十二条 涉及社会救助、房产处置等重大个人利益的，不得采用人脸识别技术替代人工审核个人身份。 人脸识别技术可以作为验证个人身份的辅助手段。

第十三条 人脸识别技术的使用者处理十四周岁以下未成年人人脸信息的，必须单独取得未成年人父母或者其他监护人的同意或者书面同意。

未成年人的父母或者其他监护人应当正确履行监护职责，教育引导十四周岁以下未成年人增强个人信息保护意识和能力。

第十四条 物业服务公司及其他物业管理人员不得将人脸识别技术作为进出物业管理区域的唯一方式验证个人身份。 个人不同意通过人脸信息进行身份验证的，物业服务企业及其他物业管理人员应当提供其他合理、便捷的身份验证方式。

第十五条 人脸识别技术用户处理人脸信息的，必须事先进行个人信息保护影响评估，并记录处理情况。

个人信息保护影响评估主要包括以下内容：

（一）是否符合法律、行政法规的规定和国家标准的强制性要求，是否符合道德规范；

（二）处理人脸信息是否具有特定目的和充分必要性；

（三）是否仅限于达到目的所必需的准确度、精密度和距离要求；

（四）采取的防护措施是否合法、有效并与风险程度相适应；

（五）人脸信息泄露、篡改、丢失、毁损或者被非法获取、非法使用的风险及其可能造成的危害；

（六）个人权益可能受到的损害和影响，以及减少不利影响的措施是否有效。

个人信息保护影响评估报告应当保存至少三年。 如果人脸信息处理的目的或方式发生变化，或者发生重大安全事件，人脸识别技术的使用者应重新评估个人信息保护的影响。

第十六条 人脸识别技术用户在公共场所使用人脸识别技术或者存储1万人以上人脸信息的，必须在30个工作日内向所在地市级以上网信部门备案。 申请备案时应当提交以下材料：

（一）人脸识别技术使用者及个人信息保护负责人的基本信息；

（二）对人脸信息处理必要性的说明；

（三）人脸信息的用途、处理方式和安全保护措施；

（四）人脸信息处理规则和操作流程；

（五）个人信息保护影响评估报告；

（六）网信部门认为必要的其他材料。

人脸识别技术的使用者处理人脸信息，法律、行政法规规定应当保密的，按照相关规定执行。

备案信息发生重大变更的，应当自变更之日起20个工作日内完成备案变更手续。 终止使用人脸识别技术的，应当自终止之日起30个工作日内办理登记和注销手续。

第十七条 除法定条件或者个人同意外，人脸识别技术使用者不得保存人脸原始图像、图片、视频，但人脸匿名信息除外。

向公众提供人脸识别技术服务时，相关技术系统应当符合网络安全防护三级及以上要求，并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施以保护脸部。 信息安全。 属于关键信息基础设施的，还应当符合关键信息基础设施安全保护的相关要求。

第十八条 使用人脸识别技术处理人脸信息时，应当尽量避免收集与提供服务无关的人脸信息。 若无法避免，应及时删除或匿名化处理。

第十九条 人脸识别技术使用单位应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行测试和评估，根据测试和评估情况完善安全策略、调整置信阈值并采取有效措施。 保护图像采集设备和个人识别设备免受攻击、入侵、干扰和破坏。

第二十条 按照国家有关规定列入网络关键设备和网络安全专用产品目录的图像采集设备和个人识别设备，应当按照国家有关规定的强制性要求，由有资质的机构进行认证或者检测符合要求。标准。 之后，就可以出售或提供。

第二十一条 网信部门应当会同电信主管部门、公安机关、市场监管部门等有关部门按照职责加强对人脸识别技术使用的监督检查，指导和督促人脸识别技术的使用者办理登记手续，及时发现安全隐患并督促限期整改。

人脸识别技术使用者、产品或者服务提供者应当配合有关部门依法实施的监督检查。

第二十二条 任何组织和个人发现违反本规定的行为，可以向网信、电信、公安、市场监管等有关部门投诉、举报。

网信、电信、公安、市场监管等有关部门接到相关投诉、举报的，应当按照职责依法处理。

第二十三条 人脸识别技术的使用者或者相关产品、服务的提供者违反本规定的，网络安全、电信、公安、市场监管等有关部门应当在各自职责范围内遵守《中华人民共和国网络安全法》的规定。违反《中华人民共和国治安管理处罚法》的，依照《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规给予处罚。依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

违反本规定，造成他人损害的，依法承担民事责任。

第二十四条 本规定由国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局解释。

第二十五条 本规定自年×月×日起施行。