问6:《办法》对人脸识别技术应用规定了哪些安全规范?
答:《办法》对人脸识别技术应用规定了以下安全规范:一是实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。国家另有规定的,从其规定。二是应用人脸识别技术验证个人身份、辨识特定个人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施。三是任何组织和个人不得以办理业务、提升服务质量等为由,误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。四是在公共场所安装人脸识别设备,应当为维护公共安全所必需,依法合理确定人脸信息采集区域,并设置显著提示标识。任何组织和个人不得在宾馆客房、公共浴室、公共更衣室、公共卫生间等公共场所中的私密空间内部安装人脸识别设备。五是人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。
问7:针对群众普遍关心的强制刷脸问题,《办法》作出了哪些规定?
答:人脸信息是敏感个人信息,一旦泄露,容易对个人的人身和财产安全造成重大危害,甚至威胁公共安全。针对“刷脸”住宿、“刷脸”进小区等人脸识别技术应用场景泛化、强制使用等问题,《办法》明确了人脸识别技术应用的非强制原则,规定实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。国家对应用人脸识别技术验证个人身份另有规定的,从其规定。
问8:《办法》对个人信息处理者应用人脸识别技术处理人脸信息备案提出了哪些要求?
答:《办法》从信息数量、备案时间、备案部门、备案材料、备案变更和注销五个方面对个人信息处理者应用人脸识别技术处理人脸信息备案提出了具体要求。一是信息数量方面,以“应用人脸识别技术处理的人脸信息存储数量达到10万人”为备案起始数量。二是备案时间方面,规定应当在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内进行备案。三是备案部门方面,明确向所在地省级以上网信部门履行备案手续。四是备案材料方面,明确应当提交个人信息处理者的基本情况、人脸信息处理目的和处理方式、人脸信息存储数量和安全保护措施、人脸信息的处理规则和操作规程、个人信息保护影响评估报告五项材料。五是备案变更和注销方面,明确备案信息发生实质性变更的,应当在变更之日起30个工作日内办理备案变更手续。终止应用人脸识别技术的,应当在终止之日起30个工作日内办理注销备案手续,并依法处理人脸信息。