华炬数小合 | 新规落地！人脸识别不能再“任性”

在数字化时代，人脸识别技术已经深入到我们生活的方方面面，小区门禁、支付验证、办公打卡……“刷脸”无处不在，它的应用给我们工作生活带来了极大的便利，但目前滥采滥用、强制“刷脸”、数据泄露等问题频发，甚至引发“人脸信息黑产”等乱象。2025年6月1日，《人脸识别技术应用安全管理办法》（下称《管理办法》）将正式实施。这部由网信办与公安部联合发布的法规，首次系统性规范人脸识别技术的应用，标志着我国对生物识别信息的保护进入新阶段。本文将从法律角度解读《管理办法》核心要点，为普通民众提供实用维权指南。

随着人脸识别技术的广泛应用，其带来的法律问题日益凸显。一方面，部分机构或企业在未充分告知用户的情况下，强制要求用户接受人脸识别服务，甚至存在私自采集人脸信息的行为，严重侵犯了公民的个人信息权益；另一方面，人脸信息作为生物识别信息，一旦泄露，可能导致个人隐私被侵犯、财产损失甚至人身安全受到威胁。因此，制定专门的法规来规范人脸识别技术的应用，显得尤为必要。《管理办法》的出台，填补了我国在人脸识别技术应用领域的立法空白，进一步完善了个人信息保护的法律体系。它与《个人信息保护法》《网络安全法》《数据安全法》《公共安全视频图像信息系统管理条例》等相关法律法规相互衔接，共同构成了保护公民个人信息权益的“权益保护网”。从法律层面明确了人脸识别技术的应用边界、使用规则以及各方的权利义务，为规范人脸识别技术的应用提供了明确的法律依据。

不过《管理办法》的发布并非是为了限制人脸识别技术在中国的发展，而是秉持“发展与安全并重”的理念，旨在平衡创新与依法治理的关系。在保障个人信息权益的同时，鼓励人脸识别技术的合理应用与持续创新。具体来说，《管理办法》第二条第二款明确指出，从事人脸识别技术研发和算法训练活动的主体不受本办法的约束。这体现了《管理办法》对人脸识别技术应用环节安全风险的关注，而非对技术研发和算法训练的限制。换言之，相关主体在研发和训练阶段可以合法使用人脸信息以推动技术进步，但必须遵守其他相关法律法规，确保个人信息保护和算法训练的合规性。

《管理办法》展现了我国在个人信息保护领域日益精细化和场景化的监管思路，通过构建涵盖个人信息保护影响评估、备案管理以及系统安全要求等多维度的治理框架，实现了对人脸信息处理全生命周期的全流程监管。此外，该办法还紧密结合人脸识别技术在现实场景中的常见应用，提供了明确且具体的操作指引，为个人信息处理者履行合规义务提供了全面且系统的参考依据。

（一）明确应用原则

《管理办法》第三条明确指出，应用人脸识别技术处理人脸信息活动，应当遵守法律法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行个人信息保护义务，承担社会责任，不得危害国家安全、损害公共利益、侵害个人合法权益。这一条款从总体上为人脸识别技术的应用划定了法律底线，强调了合法、合理、正当的原则。

（二）强化告知义务

《管理办法》第六条规定，处理人脸信息应当取得个人在充分知情的前提下自愿、明确作出的单独同意。这意味着企业在使用人脸识别技术时，必须明确告知用户人脸信息的处理目的、方式、保存期限以及对个人权益的影响等关键信息，并获得用户的明确同意。此外，对于不满十四周岁的未成年人的人脸信息处理，还需取得其父母或其他监护人的同意，进一步加强了对未成年人个人信息的保护。

（三）加强技术安全要求

《管理办法》对数据安全设置了“存储、传输、删除”的“三重锁”。第八条要求，人脸信息应当存储于人脸识别设备内，不得通过互联网对外传输，且保存期限不得超过实现处理目的所必需的最短时间。此外，其他相关条款还规定了人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。这些技术安全要求从源头上降低了人脸信息泄露的风险，确保了人脸信息在收集、存储、传输等环节的安全性。

（四）限制使用场景

《管理办法》第十条规定，实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。这一条款旨在防止人脸识别技术的滥用，确保用户在不同意使用人脸识别的情况下，仍能通过其他合理、便捷的方式完成身份验证。例如，在社区门禁系统中，如果IC卡、密码等传统验证方式已经能够满足安全管理需求，就不应强制要求居民使用人脸识别。

（五）建立备案制度

《管理办法》第十五条规定，人脸信息存储量达到10万人时，处理者需在30个工作日内向省级以上网信部门备案。备案内容包括处理者基本情况、处理目的与方式、安全措施、处理规则、影响评估报告等。备案制度的建立，有助于监管部门对人脸识别技术应用进行动态监管，及时发现和纠正违规行为，防范大规模数据泄露风险。

（一）事关己，增强个人信息保护意识

个人应充分认识到人脸信息作为生物识别信息的重要性，增强个人信息保护意识。在使用人脸识别技术时，要仔细阅读相关协议和条款，了解人脸信息的处理目的、方式、保存期限等信息，确保自己是在充分知情的前提下同意使用人脸识别技术。对于一些不必要的或存在风险的人脸识别应用场景，例如小区门禁或办公考勤将人脸识别作为唯一方式、商场无感抓分析顾客年龄性别、APP软件强制捆绑人脸授权、私密空间安装监控设备等，都要敢于说“不”。

（二）细甄别，谨慎授权人脸识别行为

在面对相关方要求进行人脸识别时，要理性判断其必要性。如果存在其他非人脸识别技术方式可以达到同等业务要求，应优先选择其他方式。例如，在一些商业场所的会员注册或活动参与中，如果人脸识别并非必要，可以要求使用其他身份验证方式。同时，要注意保留相关证据，如协议、告知书、保存强制刷脸的现场照片、APP授权页面截图等，以便在权益受到侵害时能够依法维权。

（三）抓全程，关注个人信息的使用与存储

即便提供了人脸信息，个人也有权要求人脸识别技术的使用者说明人脸信息的存储位置、保存期限以及是否通过互联网传输等信息。根据《管理办法》，人脸信息应存储于本地设备，且保存期限不得超过实现处理目的所必需的最短时间。如果发现使用者存在违规行为，如未经授权将人脸信息通过互联网传输或超期存储，应及时向监管部门举报（线上可通过国家网信办举报中心官网、12315平台提交证据；线下可向属地网信办、市场监管部门递交书面材料）。

（四）善维权，勇于行使自身权利

《管理办法》赋予了公众多项权利，如知情权、同意权、查阅权、更正权、删除权等。个人应积极行使这些权利，关注自己的人脸信息被处理的情况。如果发现自己的人脸信息被非法收集、使用或泄露，应及时向相关监管部门投诉或举报，维护自己的合法权益。同时，也可以通过法律途径，如提起民事诉讼，要求侵权方承担赔偿责任。

（五）识大局，积极参与社会监督

人脸识别技术的应用涉及社会公共利益，个人应积极参与社会监督。如果发现公共场所的人脸识别设备安装不符合规定，如在宾馆客房、公共浴室等私密空间安装，或未设置显著提示标识，应及时向相关部门反映。此外，还可以关注企业或机构的人脸识别技术应用是否符合《管理办法》的要求，对违规行为进行监督和举报，共同营造良好的个人信息保护环境。

人脸信息是生物识别的“终极密码”，其唯一性和不可更改性决定了保护的紧迫性。《人脸识别技术应用安全管理办法》的实施为公众赋予了法律武器，它为规范人脸识别技术的应用提供了明确的法律依据，进一步保障了公民的个人信息权益。但权利的实现离不开每个人的警惕与行动，作为普通大众，我们应增强个人信息保护意识，谨慎授权人脸识别，同时关注个人信息的使用与存储，并积极行使自己的权利，参与社会监督。只有这样，我们才能在享受人脸识别技术带来的便利的同时，更好地保护自己的个人信息安全，共同推动人脸识别技术的健康、可持续发展。在数字化时代，个人信息保护是一个永恒的话题。《管理办法》的出台只是一个开始，未来还需要所有人共同努力，才能真正实现个人信息保护与技术发展的良性互动。

文 | 张帆

左右滑动，查看华炬数小合服务目录