人脸识别技术监管新规 - 《人脸识别技术应用安全管理办法》于今年6月正式施行，明确公共场所安装人脸识别设备需具备特定目的和必要性[1] - 规定个人信息处理者必须履行告知义务并进行个人信息保护影响评估[1] - 要求存在非人脸识别替代方案时不得将人脸识别作为唯一验证方式[1] 行业合规要求 - 人脸信息采集需保障用户知情权，包括明确处理目的、保存期限和处理者联系方式[4] - 必须设置显著标识标明人脸信息采集区域，禁止偷录偷拍行为[10] - 企业需提供多种身份验证方式（刷脸/指纹/密码/证件比对），不得强制使用人脸识别[9] 用户权益保障机制 - 用户享有同意撤回权，企业应实现"一键自由退"功能[6][7] - 禁止采用霸王条款捆绑授权，必须尊重用户自愿选择权[11] - 验证环节需明确提示可选方案，不得设置误导性套路[8] 数据安全防护标准 - 企业需建立多重数据保护机制，杜绝数据裸奔现象[13] - 广东省网络数据安全与个人信息保护协会推动构建政产学研媒协同的防护体系[2] - 协会致力于培育专业技术人才，引导企业实现全流程合规发展[2][15]

政策法规出台 - 国家互联网信息办公室与公安部联合公布《人脸识别技术应用安全管理办法》 该办法将于2025年6月1日起正式施行 [1] - 出台目的在于规范人脸识别技术应用 保护个人信息权益 对技术应用的基本要求、处理规则、安全规范及监管职责作出规定 [1] 基本要求与处理规则 - 应用人脸识别技术处理人脸信息需遵守法律法规 尊重社会公德和伦理 承担社会责任 不得损害公共利益与个人合法权益 [1] - 处理活动需具有特定目的和充分必要性 采取对个人权益影响最小的方式并实施严格保护措施 [2] - 必须履行告知义务 基于个人同意处理信息时 需取得个人充分知情下的自愿、明确单独同意 处理不满十四周岁未成年人人脸信息需取得监护人同意 [2] - 人脸信息原则上应存储于设备本地 不得通过互联网对外传输 保存期限不得超过实现处理目的所必需的最短时间 法律另有规定或取得单独同意除外 [2] - 处理活动前需进行个人信息保护影响评估 并对处理情况进行记录 [2] 技术应用安全规范 - 存在其他非人脸识别验证方式时 不得将人脸识别作为唯一验证方式 [3] - 验证个人身份时 鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道 [3] - 不得以办理业务、提升服务质量等为由 误导、欺诈、胁迫个人接受人脸识别验证 [3] - 在公共场所安装设备需为维护公共安全所必需 依法合理确定采集区域并设置显著提示标识 禁止在宾馆客房、公共浴室等私密空间安装 [3] - 应用系统需采取数据加密、安全审计、访问控制、入侵检测和防御等措施保护人脸信息安全 [3] 备案与监督管理 - 个人信息处理者存储人脸信息数量达到10万人之日起30个工作日内 需向所在地省级以上网信部门备案 [3] - 网信部门会同公安机关及其他职责部门 建立健全信息共享和通报工作机制 协同开展监管工作 [3]