人脸识别技术应用备案

人脸识别技术备案的直接依据为《人脸识别技术应用安全管理办法》（2025 年实施），其核心是通过 “备案 - 公示 - 追溯” 机制，解决人脸信息处理中的 “权责模糊” 与 “监管空白” 问题，属于个人信息保护领域 “过程监管 + 责任锁定” 的关键制度设计。

该制度明确将人脸信息界定为 “敏感个人信息”，要求处理者需同时满足 “告知 - 同意 - 备案” 三重义务，其中备案是对 “处理规模达阈值主体” 的强制监管手段，并非所有应用场景均需备案，需严格区分 “处理阈值” 与 “一般应用” 的边界。

一、备案主体的法定范围与阈值标准

1.强制备案的核心阈值

法人或非法人组织处理人脸信息，满足以下条件之一即需备案：

• 存储规模阈值：累计存储人脸信息数量≥10 万人；
• 处理性质阈值：虽未达存储规模，但涉及公共安全、金融服务、公共服务等 “高风险场景”（如机场安检、银行远程开户），无论存储量均需备案。

2. 备案主体的认定规则

• 累计计算原则：同一主体下属分支机构（含子公司）的人脸信息存储量需合并计算，不得通过 “拆分存储” 规避备案；
• 责任归属原则：信息存储方为备案责任主体，若委托第三方存储，委托方需作为备案主体，第三方仅需提供存储资质证明；
• 动态调整原则：已备案主体存储规模、处理场景、存储地点发生变更的，需在变更后 30 个工作日内完成备案更新。

3. 历史存量主体的备案要求

2025 年 6 月 1 日前已达备案阈值的主体，需在 2025 年 7 月 14 日前完成 “补备案”，逾期未备案的，监管部门可依法暂停其人脸识别功能，直至合规。

二、备案操作的核心流程与材料规范

1. 备案流程（全线上化）

• 系统入口：国家网信办 “个人信息保护业务系统”（通过中国网信网 “全国网信政务办事大厅” 跳转）；
• 信息填报：需提交主体资质（营业执照 / 事业单位法人证书）、人脸信息处理方案（含存储周期、用途范围）、安全防护体系说明；
• 材料上传：5 类必备材料（见下文）；
• 审核与公示：监管部门在 15 个工作日内完成初审，通过后生成备案号并在系统公示，公示期 7 个工作日无异议即完成备案。

2. 关键材料的合规要求

• 个人信息保护影响评估报告（PIA 报告）：需包含 “必要性论证”（说明为何必须使用人脸识别，替代方案可行性分析）、“风险评估”（泄露、滥用风险等级及应对措施）、“权益保障机制”（信息主体查询、更正、删除的实现路径），禁止模板化填报；
• 安全防护方案：需明确技术层面（如 AES-256 加密存储、差分隐私技术应用）、管理层面（访问权限分级、审计日志留存≥6 个月）、应急层面（泄露应急预案及演练记录）的具体措施；
• 经办人授权文件：需加盖备案主体公章，明确授权范围（仅限备案事项）及有效期，自然人签字或电子签章无效；
• 第三方合作协议（若有）：若委托第三方处理，需提交协议复印件，明确双方在信息保护、责任承担上的划分；
• 存储资质证明：自建服务器需提供等保 2.0 三级及以上证明，云端存储需提供服务商的《个人信息保护认证证书》。

三、常见合规风险与规避要点

1.主体认定风险

• 误区：认为 “仅采集不存储”“实时比对后删除” 无需备案；
• 规范：只要处理过程中存在 “临时存储（≥24 小时）” 且累计量达阈值，即需备案，“实时删除” 需提供技术证明文件（如日志记录）。

2. 备案更新风险

• 误区：备案完成后，新增处理场景（如从 “考勤” 扩展到 “门禁”）未更新备案；
• 规范：处理场景、存储地点、存储规模任一变更，均需在 30 个工作日内提交变更申请，未更新视为 “未合规备案”。

3. 材料合规风险

• 误区：PIA 报告仅描述 “技术方案”，未论证 “必要性”；
• 规范：监管部门对 “必要性” 审查严格，需提供 “非人脸识别不可” 的业务逻辑证明（如金融场景中，人脸 + 密码的双因子验证比单一验证更符合监管要求）。

四、监管措施与法律责任

1.监管手段

• 动态核查：监管部门可通过系统数据比对、现场抽查等方式，核查备案信息真实性；
• 信用联动：未备案或虚假备案主体，将纳入 “个人信息保护失信名单”，影响企业征信及招投标资格；
• 功能限制：逾期未备案的，可依法责令暂停人脸识别功能，直至完成备案。

2. 法律责任

• 行政责任：未备案或违规处理的，处 5 万元 - 50 万元罚款；情节严重的，处 50 万元 - 500 万元罚款，并处负责人罚款；
• 民事责任：因未备案导致信息泄露的，需承担用户的损失赔偿（含精神损害赔偿）；
• 刑事责任：若存在 “窃取、出售人脸信息” 等行为，涉嫌侵犯公民个人信息罪，依法追究刑事责任。

五、备案制度的发展趋势

1. 监管精细化：未来可能按 “场景风险等级” 细分备案要求（如公共安全场景备案材料更严格）；
2. 技术赋能监管：将引入 “备案信息区块链存证”，实现备案流程可追溯、不可篡改；
3. 跨部门协同：网信、公安、市场监管部门将建立 “备案信息共享机制”，避免企业重复备案。