人脸识别技术应用备案到底应该怎么做？

刷脸进门、刷脸支付、刷脸办业务…… 现在出门不带手机钱包都行，但 “刷脸” 真的安全吗？

前阵子刷到个新闻：某健身房在更衣室隐蔽角落装了人脸采集设备，会员换衣服的画面连带着人脸信息全被记录；还有网友吐槽，自己从没注册过某借贷平台，却收到 “人脸验证借款” 的催款通知 —— 后来才知道，半年前在超市刷脸领优惠券时，信息早就被倒卖了。

这些不是个例。据中国信通院数据，2024 年国内人脸信息泄露相关投诉量同比涨了 37%，超 60% 的受访者表示 “不知道自己的人脸信息存在哪”。

不过好消息是，2025 年正式实施的《人脸识别技术应用安全管理办法》里，“人脸识别技术备案” 这一规定，相当于给我们的 “脸面安全” 上了道锁。今天就从普通人视角，拆解下这个备案到底有啥用、企业该咋做、我们能得到啥保障。

一、为啥非要搞 “人脸备案”？本质是解决两个 “老大难” 问题

在备案制度出来前，大家对人脸信息的焦虑，主要集中在 “信息被乱收” 和 “出问题没人管”。而备案的核心作用，就是把这两个模糊的问题变清晰。

（1）先治 “乱收集”：以后谁要存你人脸，必须说清 “用途 + 存储方式”

之前很多机构采集人脸，都是 “悄悄进行”：小区进门刷脸，没告诉你信息存在物业服务器还是第三方平台；酒店办理入住要刷脸，没说明是只用一次还是会长期保存。

但根据备案要求，所有需要备案的主体（后面会说哪些要备案），必须在备案时明确填写 “人脸识别技术应用场景” 和 “信息存储方案”。简单说就是：你得告诉监管部门，你收集人脸是干嘛用的、存在哪、存多久，而且这些信息还得对用户公开。

举个实际案例：去年某连锁酒店因为 “未说明人脸信息用途” 被举报，当时还没有备案制度，最后只是责令删除信息；但今年新规实施后，另一家类似的酒店因为 “备案时隐瞒部分用途”，不仅被公开通报，还被暂停了人脸识别功能，直到整改完成才恢复。

这对我们普通人的意义在于：以后遇到刷脸场景，要是对方没说清 “存多久、干嘛用”，你完全可以问一句 “你们备案了吗？备案里写的用途是这个吗？”—— 因为备案信息是要在监管平台登记的，对方没法随便忽悠。

（2）再定 “责任人”：存储超 10 万人脸就必须备案，出问题直接找 “备案主体”

之前人脸信息泄露，最头疼的就是 “追责难”：比如你发现自己的人脸被用于诈骗，但采集方说是第三方平台泄露的，第三方又说是采集方没管好，互相推诿。

但备案制度明确了 “谁处理、谁负责” 的原则：只要人脸信息存储量超过 10 万人，这个主体就必须备案，而且备案信息里会明确 “责任主体”—— 以后出了信息泄露问题，直接找备案时登记的责任主体就行，不用再跟多方扯皮。

举个例子：某大型银行因为存储了超 500 万客户的人脸信息，按要求完成了备案。今年初该银行的某分支机构出现人脸信息泄露，监管部门直接根据备案信息找到总行，总行没法推卸责任，不仅要赔偿受影响用户，还得提交整改报告，相关负责人也被问责。

对比之前 “出问题没人担责” 的情况，现在有了备案，我们维权时相当于多了个 “凭证”—— 只要能证明对方是备案主体，就不用再担心 “找不到人负责”。

二、企业必看：哪些要备案？30 天内必须办？4 步线上流程拆解

很多企业可能会问：“我们也用人脸识别，到底用不用备案？” 这里先明确两个关键问题，再拆解具体流程。

（1）先划范围：只有 “人脸存储超 10 万人” 的主体才需要备案，小超市、小餐馆不用

很多人会担心 “是不是所有刷脸的地方都要备案”，其实不是。根据办法规定，只有 “人脸识别信息存储数量累计超过 10 万人” 的法人、非法人组织，才需要办理备案。

简单说：大银行、连锁酒店、大型商超、互联网平台（比如有刷脸登录功能的 APP）这些用户量多的主体，大概率要备案；而小区门口的小超市（可能就几千个用户）、街边的小餐馆（刷脸支付可能只是走第三方通道，不自己存信息），基本不用备案。

这里要注意两个细节：一是 “存储数量” 是 “累计” 的，比如某企业今年 3 月存了 8 万人脸，6 月又新增了 3 万，累计超 10 万，那从 6 月开始就要算备案时间；二是 “自己存储” 才算，要是只是用第三方的人脸识别服务（比如用支付宝刷脸支付，信息存在支付宝，企业自己不存），也不用备案。

（2）再卡时间：30 个工作日内必须办，逾期最高罚 50 万 + 停服务

对于需要备案的企业，有个 “时间红线”：从人脸存储量达到 10 万人的当天起，30 个工作日内必须完成备案。

这个时间节点一定要注意，因为逾期的后果很严重：根据办法规定，逾期未备案的，会被责令暂停人脸识别技术应用 —— 简单说就是 “不能再用刷脸功能了”，直到备案完成。

三、流程拆解：4 步线上就能办，不用跑线下

很多企业担心备案流程复杂，其实现在全程可以线上办理，总共 4 步，熟练的话半天就能搞定：

第一步：实名注册：登录 “国家网信办个人信息保护业务系统”，用企业营业执照、法定代表人身份证等材料完成实名注册 —— 这里要注意，注册信息必须和企业工商信息一致，不然会通不过。

第二步：填写两张核心表格：

一张是《人脸识别技术应用场景登记表》，需要写清楚 “应用场景（比如员工考勤、用户身份验证）”“采集方式（比如摄像头采集、照片导入）”；

另一张是《信息存储方案表》，要说明 “存储地点（本地服务器 / 云端，云端的话要写清楚服务商）”“存储期限”。

第三步：上传证明材料：主要是两样东西：

一是《人脸识别技术安全评估报告》，可以自己做也可以找第三方机构做，核心是说明 “如何保障信息安全（比如有没有加密、有没有防泄露措施）”；

二是《信息加密方案》，要写清楚用的是什么加密技术（比如对称加密、非对称加密），怎么防止信息被破解。

第四步：等审核拿备案号：提交材料后，监管部门会在 15 个工作日内审核，审核通过后会给一个 “人脸识别技术备案号”—— 这个备案号要公示在企业的服务场所（比如酒店前台、APP 的隐私政策页面），用户可以随时查看。

四、对普通人来说，备案能带来啥实际好处？三个 “安全感提升”

可能有人会说：“企业备案是企业的事，跟我有啥关系？” 其实关系很大，因为备案直接影响我们使用刷脸服务时的 “安全感”。

（1）知情权更明确：刷脸前能知道 “信息去向”，不用再 “稀里糊涂刷脸”

之前刷脸，我们只能被动接受；现在有了备案，我们多了 “主动询问” 的权利。比如你去商场刷脸领优惠券，你可以问：“你们备案号是多少？我能看看备案里写的‘信息存储期限’吗？”—— 因为根据规定，企业必须公示备案信息，不能拒绝。

而且要是企业没公示备案信息，或者备案信息和实际用途不符，你还可以向网信部门举报（官网有举报通道），举报后监管部门会在 7 个工作日内回复。

（2）维权更简单：万一信息泄露，凭备案号就能找到 “责任人”

之前人脸信息泄露，维权时需要自己找 “谁采集的、谁存储的”；现在有了备案，你只要能证明 “你在该企业使用过刷脸服务”，就可以凭企业的备案号，直接向监管部门投诉该企业 —— 因为备案信息里已经明确了 “责任主体”，监管部门能快速定位到责任人。

比如你发现自己的人脸被用于虚假注册，而你只在某 APP 上刷过脸，那你可以查该 APP 的备案信息，然后向监管部门投诉该 APP 的备案主体，后续的调查、追责都会围绕这个主体展开，不用你自己去搜集证据。

（3）行业更规范：不良企业会被清退，剩下的都是 “合规玩家”

备案制度还有个隐性好处：会倒逼行业 “优胜劣汰”。那些靠倒卖人脸信息牟利、不重视信息安全的企业，要么因为 “不敢备案” 被查处，要么因为 “备案后违规” 被清退；而那些重视合规、有技术实力的企业，会因为 “备案合规” 获得更多用户信任。

五、备案不是 “一劳永逸”，这两件事还要注意

（1） 企业：存储量变了、用途变了，30 天内必须更新备案

备案不是办一次就完事了。如果企业的人脸存储量增加了（比如从 10 万涨到 20 万），或者应用场景变了（比如从 “员工考勤” 增加到 “用户身份验证”），必须在 30 天内登录系统更新备案信息 —— 要是没更新，也算违规，会被处罚。

（2）个人：遇到 “强制刷脸”，可以拒绝；发现 “未备案使用”，可以举报

现在还有些场景存在 “强制刷脸”：比如小区不让刷脸就不让进，超市不刷脸就不让用优惠券。其实根据《个人信息保护法》，刷脸属于 “敏感个人信息”，必须获得用户同意，不能强制。

而且要是你发现某企业明显需要备案（比如大型连锁机构），但没公示备案号，或者说 “我们不用备案”，你可以先向企业核实，要是核实后发现确实没备案，直接向网信部门举报 —— 这不仅是保护自己，也是在推动行业合规。

六、写在最后：备案不是 “卡技术”，是给 “刷脸” 立规矩

很多人担心 “备案会让刷脸变麻烦”，其实不然。备案的本质不是 “限制刷脸”，而是 “规范刷脸”—— 让该存的信息有保障，让不该存的信息被禁止，让出问题的企业被追责。

对我们普通人来说，以后遇到刷脸场景，多问一句 “你们备案了吗”，不是 “找茬”，而是对自己 “脸面安全” 的负责；对企业来说，主动完成备案，不是 “负担”，而是赢得用户信任的 “加分项”。

最后想问问大家：你在生活中遇到过 “不合理刷脸” 的情况吗？比如被强制刷脸、没说明用途就要求刷脸？欢迎在评论区分享你的经历，也可以聊聊你对人脸备案的看法～