人脸识别与ICP备案:触发条件与材料清单
原创
人脸识别与ICP备案:触发条件与材料清单
原创
用户11870562
发布于 2025-11-20 11:24:29
发布于 2025-11-20 11:24:29
一、触发条件详解:什么情况下必须做?
(1)ICP备案的触发条件(工信部要求)
必须办理的情形:
- 网站或APP的服务器部署在中国大陆(包括阿里云北京、腾讯云上海、华为云广州等);
- 域名通过DNS解析指向中国大陆IP地址(含CDN加速节点);
- 服务面向中国境内用户提供访问(无论用户是否付费、是否注册)。
无需办理的情形:
- 服务器完全部署在境外(如AWS新加坡、Azure美国),且无任何境内CDN或代理;
- 仅通过IP地址访问(无域名),且为内部测试环境(无公网暴露);
- 纯内网系统(如企业OA、工厂MES),无互联网出口。
(2)人脸识别的触发条件(《个人信息保护法》第28条)
必须履行合规义务的情形:
- 采集用户人脸图像(如拍照、视频流);
- 提取或存储人脸特征值(用于比对、识别、验证);
- 将人脸信息用于身份核验、门禁通行、支付验证、行为分析等目的;
- 服务对象包含中国境内自然人(无论是否收费、是否注册)。
可豁免的情形(极少数):
- 仅展示用户上传的人脸照片(如相册、社交动态),不用于识别或分析;
- 使用操作系统级生物认证(如iOS Face ID、Android BiometricPrompt),且原始图像与特征值均不出设备;
- 纯离线、无网络连接的本地识别设备(如不联网的人脸门禁机),但监管态度趋严,建议谨慎。
二、准备材料清单(逐项说明+注意事项)
表:ICP备案 vs 人脸识别所需材料对比
材料类别 | ICP备案(工信部) | 人脸识别(合规义务) |
|---|---|---|
1. 主体资质文件 | • 营业执照副本(最新版,加盖公章,PDF/JPG)• 法定代表人身份证正反面(彩色扫描件)• 网站负责人身份证(可与法人不同,但需在职) | • 营业执照副本(同ICP一致)• 法人身份证• 安全责任人任命书(建议与ICP负责人一致) |
2. 域名与服务器证明 | • 域名证书 或 WHOIS查询截图(显示Registrant = 公司全称)• 云服务器购买凭证(控制台截图,显示账号实名=公司)• 若用CDN,需提供CDN服务协议 | • 无需单独提供,但需确保:- 人脸数据存储于境内服务器- 云厂商区域选择“中国大陆”(如阿里云华东2) |
3. 负责人核验材料 | • 幕布照:网站负责人手持身份证+手写“仅用于ICP备案”拍照• 核验电话:负责人手机号,管局会人工拨打确认 | • 安全责任人联系方式(电话、邮箱)• 需确保在职、可接听公安/网信办回访 |
4. 制度与说明文件 | • 网站内容说明(200字内,如“企业官网,展示产品与联系方式”)• 不得出现“交易”“支付”“金融”等超范围词汇 | • 隐私政策(必须包含以下条款):- 人脸信息用途(如“用于登录验证”)- 单独同意机制说明- 替代方案(如“可改用短信验证码”)- 数据存储位置与期限- 删除方式• 个人信息保护影响评估(PIA)报告(建议准备,检查时需出示) |
5. 用户权利证明 | • 网站底部公示《隐私政策》《用户协议》链接 | • 单独同意弹窗设计稿或截图• 功能演示视频(展示“关闭人脸”“删除数据”操作)• 替代方案说明文档(如门禁保留刷卡) |
6. 特殊要求 | • 域名注册时间需≥30天(部分省份要求)• 同一主体最多备案5个域名(部分地区限制) | • 不得存储原始人脸图像(推荐仅存加密特征值)• 禁止数据出境(含云厂商海外备份)• 涉及未成年人需额外取得监护人书面同意 |
三、高频驳回原因与应对策略
ICP备案常见问题:
问题 | 原因 | 解决方案 |
|---|---|---|
域名所有人是个人 | 注册时用法人身份证注册 | 在域名商后台发起“过户”至公司名下,等待7天再提交 |
幕布照模糊/无手写文字 | 核验不通过 | 重新拍摄:白底幕布、身份证清晰、手写“仅用于ICP备案+日期” |
网站内容描述含“商城” | 超出非经营性备案范围 | 改为“企业官网,展示产品信息”,实际交易走小程序或APP |
人脸识别合规风险:
问题 | 后果 | 解决方案 |
|---|---|---|
无单独同意弹窗 | 被认定为“未获有效同意” | 上线前增加独立授权框,不可与其他条款捆绑 |
强制刷脸进门 | 小区/写字楼被罚30万 | 必须保留门禁卡、密码等替代方式 |
存储原始人脸图 | 违反最小必要原则 | 修改代码:仅提取特征值后立即删除原始图像 |
隐私政策未更新 | PIA缺失,监管约谈 | 补充人脸条款,并完成简易PIA报告 |
四、操作流程建议
阶段 | 步骤 | ICP备案侧任务 | 人脸识别合规侧任务 | 责任人 | 建议耗时 | 依赖关系 |
|---|---|---|---|---|---|---|
1. 立项评估 | 1.1 确认部署架构 | 确认服务器是否部署在中国大陆(如阿里云华东2) | 确认是否采集/使用人脸用于识别、验证或分析 | 产品经理 + 技术负责人 | 1天 | — |
1.2 判断触发义务 | 若服务器在境内 → 必须做ICP | 若涉及人脸处理 → 必须履行合规义务 | 合规专员 | 1天 | 1.1完成 | |
2. 主体与资源准备 | 2.1 统一主体信息 | 确保营业执照名称、统一代码用于所有环节 | 同左,不得使用简称、曾用名 | 法务/行政 | 1–3天 | — |
2.2 域名与服务器配置 | • 域名注册人变更为公司全称• 云账号完成企业实名认证 | • 云服务器区域选择“中国大陆”• 关闭跨境复制/备份功能 | 运维工程师 | 3–7天 | 域名需注册满30天(部分地区) | |
3. 材料与机制开发 | 3.1 准备ICP材料 | • 营业执照、法人身份证• 网站内容说明(≤200字)• 幕布照拍摄 | — | 行政 + 网站负责人 | 2天 | 2.1完成 |
3.2 设计用户权利机制 | — | • 开发单独同意弹窗• 实现替代方案(如密码登录)• 开发人脸数据删除接口 | 产品经理 + 前端/后端 | 5–10天 | 产品PRD确认 | |
3.3 更新制度文件 | 在网站底部公示《隐私政策》《用户协议》 | 更新隐私政策,新增人脸条款:- 用途- 同意方式- 存储位置- 删除机制 | 法务 + 产品 | 2–3天 | 3.2需求明确 | |
3.4 完成PIA报告(建议) | — | 编写《个人信息保护影响评估报告》,说明:- 处理必要性- 安全措施- 用户权利保障 | 合规专员 | 3–5天 | 3.2、3.3完成 | |
4. 提交与审核 | 4.1 提交ICP备案 | 通过云厂商(阿里云/腾讯云)提交至管局 | — | 运维/行政 | 即时提交 | 3.1完成 |
4.2 等待ICP审核 | 配合接听管局核验电话(负责人手机) | — | 网站负责人 | 3–20工作日(各地不同) | 4.1提交 | |
5. 上线与维护 | 5.1 ICP备案通过 | 获取备案号,网站底部展示 | — | 运维 | 即时 | 4.2通过 |
5.2 上线人脸识别功能 | — | • 功能上线• 确保同意弹窗首次触发• 监控数据存储位置 | 技术团队 | 即时 | 5.1完成 + 3.2–3.4就绪 | |
5.3 持续合规维护 | • 域名续费• 负责人变更及时更新 | • 用户注销后自动删除人脸数据• 定期检查是否误存原始图像• 安全责任人离职需更换 | 合规 + 运维 | 持续 | — |
五、不同主体类型的适用性
主体类型 | ICP备案 | 人脸识别合规 |
|---|---|---|
中国大陆有限公司 | 可办(推荐) | ✅ 可完整履行义务 |
个体工商户 | ✅ 可办(仅限非交互网站) | ❌ 无法提供用户权利保障机制,不建议使用 |
境外公司(无WOFE) | ❌ 无法直接备案 | ❌ 无法作为人脸信息处理者 |
集团子公司运营 | ✅ 可办,但需以子公司为主体 | ✅ 可办,但所有材料主体必须统一 |
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
评论
登录后参与评论
推荐阅读
目录
腾讯云开发者
