公共场所人脸识别设备备案合规要点

一、技术现状：机遇与风险并存​

人脸识别技术以非接触式采集、自动化识别的优势，革新了传统身份验证模式。在安防领域，机场、车站的人脸识别系统助力快速筛查可疑人员；金融行业中，刷脸支付让交易瞬间完成；企业借助人脸识别实现智能考勤与门禁管理。但人脸信息作为终身不变的生物特征数据，一旦被非法获取，可能导致身份冒用、诈骗等严重后果。此前，多地曝出商家未经同意采集顾客人脸数据用于营销，凸显行业规范的紧迫性。​

二、办法核心规范​

（一）基本要求与处理规则​

使用人脸识别技术必须严守合法、正当、必要原则。处理者需以弹窗提示、公告公示等直观方式，向用户明确告知信息收集目的、保存期限及使用方式。例如，商场安装人脸识别设备时，应在入口处设置显著标识说明用途。针对未成年人信息，需获得监护人书面同意，并采用独立存储、加密传输等特殊保护措施。人脸数据原则上存储于本地设备，确需传输时须经用户单独授权，且保存时间不得超过业务需求的最短期限。​

（二）技术应用安全规范​

除非无替代方案，禁止将人脸识别作为唯一验证方式。如小区门禁系统应同时保留刷卡、密码等传统验证渠道。公共场所安装设备需经审批，明确划定采集区域，并在学校、医院等敏感场所设置禁用区域。系统需配备数据加密、异常访问预警等防护机制，关键信息基础设施更要通过网络安全等级保护测评。​

（三）备案义务​

当人脸信息存储量达到 10 万条，处理者需在 30 日内提交备案，内容包括技术方案、安全措施及风险评估报告。信息变更或停止服务时，需及时更新或注销备案，确保监管可追溯。

三、行业影响​

公共安全领域将收紧技术使用边界，限制在反恐维稳、大型活动安保等核心场景，居民小区随意 “刷脸” 现象将被禁止。金融机构需推行 “人脸识别 + 短信验证码” 双重验证，对大额转账强制人工复核。企业则要为员工提供工卡、指纹等替代验证方式，并在员工离职后 30 日内删除人脸数据，切实保障个人信息权益。​

该办法的落地，将有效遏制技术野蛮生长，推动人脸识别技术在安全可控的框架下持续创新，实现科技便利与隐私保护的平衡发展。​