第八条 除法律、行政法规另有规定或者取得个人单独同意外,人脸信息应当存储于人脸识别设备内,不得通过互联网对外传输。
除法律、行政法规另有规定外,人脸信息的保存期限不得超过实现处理目的所必需的最短时间。
第九条 个人信息处理者应用人脸识别技术处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。个人信息保护影响评估主要包括下列内容:
(一)人脸信息的处理目的、处理方式是否合法、正当、必要;
(二)对个人权益带来的影响,以及降低不利影响的措施是否有效;
(三)发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害;
(四)所采取的保护措施是否合法、有效并与风险程度相适应。
个人信息保护影响评估报告和处理情况记录应当至少保存3年。处理人脸信息的目的、方式发生变化,或者发生重大安全事件的,应当重新进行个人信息保护影响评估。
第十条 实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。
国家对应用人脸识别技术验证个人身份另有规定的,从其规定。
第十一条 应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施,减少人脸信息收集、存储,保护人脸信息安全。
第十二条 任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
第十三条 在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。
任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。
第十四条 人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。涉及网络安全等级保护、关键信息基础设施的,应当按照国家有关规定履行网络安全等级保护、关键信息基础设施保护义务。
第十五条 个人信息处理者应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。申请备案应当提交下列材料:
(一)个人信息处理者的基本情况;
(二)人脸信息处理目的和处理方式;
(三)人脸信息存储数量和安全保护措施;
(四)人脸信息的处理规则和操作规程;
(五)个人信息保护影响评估报告。
备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的,应当在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息。
第十六条 网信部门会同公安机关和其他履行个人信息保护职责的部门,建立健全信息共享和通报工作机制,协同开展相关工作。
网信部门、公安机关和其他履行个人信息保护职责的部门依法对应用人脸识别技术处理个人信息活动实施监督检查,个人信息处理者应当依法予以配合。