一、适用范围与定义

（一）适用范围

根据《管理办法》第二条，在中华人民共和国境内应用人脸识别技术处理人脸信息的活动，适用本办法。在中华人民共和国境内为从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息的，不适用本办法的规定。

由此可见，在中国大陆境内应用人脸识别技术处理人脸信息的，将受到《管理办法》的约束。值得注意的是，《管理办法》在前款基础上明确排除了在“境内从事人脸识别技术研发、算法训练活动应用人脸识别技术处理人脸信息”的合规义务，目的是为开展人脸识别技术的攻关研究和应用创新预留空间，有利于推动相关产业发展，表明了鼓励技术创新的立法态度。但是，排除适用《管理办法》项下合规义务的仅为“人脸识别技术研发、算法训练活动”，这意味着企业一旦将研发完成后的人脸识别技术投入应用，则将无法豁免《管理办法》的合规义务；同时，企业从事人脸识别技术研发和算法训练，依然需要遵守《个人信息保护法》《网络数据安全管理条例》等其他相关法律法规中对于人脸信息处理的规定，可豁免适用的实则为《管理办法》相较于其他法律法规的特殊义务。

此外，相较于《征求意见稿》，《管理办法》在适用范围中删除了“提供人脸识别技术产品或者服务”的情形，即排除了未应用该技术处理人脸信息活动的适用，以此减少对仅提供技术而未处理人脸数据的企业的直接干预，体现出立法的技术中立原则，也进一步反映出《管理办法》促进技术创新的目标。这一调整也使监管能够聚焦于“应用人脸识别技术处理人脸信息”的情形，使之更具有针对性。

（二）术语定义

与《征求意见稿》相比，《管理办法》对关键概念进行了明确定义：

1. “人脸识别技术”：是以人脸信息识别个体身份的个体生物特征识别技术。如处理活动如不以识别为目的，则不属于《管理办法》所规定的“人脸识别技术”。

2. “人脸信息”：是指以电子或者其他方式记录的与已识别或可识别自然人有关的面部特征生物识别信息，不包括匿名化处理后的信息。

与此前相关标准性文件中较为复杂的定义[2]不同，《管理办法》的定义沿用了《个人信息保护法》的表述方式，明确“人脸信息”属于“生物识别信息”中的“面部特征信息”，聚焦于其敏感个人信息的属性，并进一步排除了匿名化处理后的信息，以此鼓励隐私保护技术在人脸信息处理中的应用。

3. “验证个人身份”：通过收集获得的人脸信息与信息系统存储的特定人脸信息进行“一对一”比对，确认和核对两者是否为同一人。

在实际应用场景中，主要涉及通过实名、实人、实证等方式确认个体身份，以此确定该个人是否具备访问某种资源、使用某项功能、获取某项服务的权利[3]。例如，电子政务办理、金融交易身份核验、人脸门禁系统、手机人脸解锁、考试入场验证等场景。

4. “辨识个人身份”：通过收集获得的人脸信息与信息系统存储的特定范围内人脸信息进行“一对多”比对，发现和识别具有特定身份的个人。

该过程涉及将收集到的人脸信息与数据库中存储的多个人脸信息进行比对，以识别发现特定个人。主要适用于安防监控、嫌疑人排查与刑侦破案等场景。由于该场景下数据收集可能并非基于个人授权同意，隐私风险较高，监管要求可能更为严格。

二、应用人脸识别技术处理人脸信息的合规义务

（一）目的限制与最小必要原则

《个人信息保护法》第六条第一款原则性地规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。针对敏感个人信息，《个人信息保护法》第二十八条第二款规定，只有在具有特定目的和充分必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。

《管理办法》第四条则结合《个人信息保护法》的上述规定，明确了人脸信息处理的目的限制与最小必要原则，规定“应用人脸识别技术处理人脸信息，应当具有特定的目的和充分的必要性，采取对个人权益影响最小的方式，并实施严格保护措施”。

（二）非强制原则

《管理办法》第十条和第十二条规定了应用人脸识别技术的安全规范要求，即“非强制原则”：

一是实现相同目的或者达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。国家另有规定的，从其规定。《信息安全技术 人脸识别数据安全要求》第5条提出，数据处理者应仅在人脸识别方式比非人脸识别方式更具安全性或便捷性时才可以采用人脸识别技术。例如，在机场、火车站进行人证比对时，使用非人脸识别方式会导致旅客通行的便捷性明显下降。并且应同时提供人脸识别方式和非人脸识别方式，由自然人选择使用。关于可替代的验证方式，可参考相关法律法规的明确规定。例如，在医疗行业，《医疗卫生机构网络安全管理办法》规定，各医疗卫生机构开展人脸识别或人脸辨识时，应同时提供非人脸识别的身份识别方式。在金融行业，《非银行支付机构网络支付业务管理办法》第二十二条规定，支付机构可以组合选用下列三类要素，对客户使用支付账户余额付款的交易进行验证：1. 仅客户本人知悉的要素，如静态密码等；2. 仅客户本人持有并特有的，不可复制或者不可重复利用的要素，如经过安全认证的数字证书、电子签名，以及通过安全渠道生成和传输的一次性密码等；3. 客户本人生理特征要素。在实践中，重庆市渝中区物业公司以识别人脸信息作为业主进出小区的唯一验证方式，最终被法院判决停止处理并删除人脸识别道闸系统中收集到的业主人脸识别信息，并要求向其提供出入该小区的其他合理验证方式[4]。

二是要求任何组织和个人不得以办理业务、提升服务质量等为由，误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。在《征求意见稿》中，本条规范限定于“宾馆、银行、车站、体育馆……”等经营场所，而《管理办法》则打破了这一前提限制，贯彻《个人信息保护法》第五条关于处理个人信息的合法、正当、必要和诚信原则，体现了对个人人脸信息安全更全面的保护态度。

此外，《管理办法》第十一条规定，应用人脸识别技术验证个人身份、辨识特定个人的，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等渠道实施，减少人脸信息收集、存储，保护人脸信息安全。与《征求意见稿》一致，本条并非强制性规定，仅“鼓励”数据处理者使用上述权威认证渠道，数据处理者仍保留自由选择权。

（三）告知同意

1. 告知义务

《管理办法》第五条规定了个人信息处理者处理人脸信息的告知义务。这一规定填补了此前《征求意见稿》对于告知义务的规定空白，并与《个人信息保护法》更好地进行衔接，同时将《信息安全技术 个人信息处理中告知和同意实施指南》（GB/T 42574-2023）等相关国家标准中对于收集个人生物识别信息告知内容的建议性要求提升到规章层面。具体而言，《管理办法》要求个人信息处理者应用人脸识别技术处理人脸信息前，应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（1）个人信息处理者的名称或者姓名和联系方式；

（2）人脸信息的处理目的、处理方式，处理的人脸信息保存期限；

（3）处理人脸信息的必要性以及对个人权益的影响；

（4）个人依法行使权利的方式和程序；

（5）法律、行政法规规定应当告知的其他事项。

如果上述告知内容发生变更的，则应当将变更事项告知个人。

此外，《管理办法》还特别提出，对处理残疾人、老年人人脸信息的，还应当符合国家有关无障碍环境建设规定。例如，《无障碍环境建设条例》中要求电信业务经营者应当创造条件为残疾人提供无障碍信息交流服务，电信终端设备制造者应当提供能够与无障碍信息交流服务相衔接的技术、产品。因此，在告知方面，企业可能需要考虑为用户提供对应的产品，并考虑提供相关适配残疾人或者适老化的产品。

在告知方式上，《管理办法》并未予以明确，在实践中企业仍可参考相关国家或团体标准中提供的方式完成告知义务。例如，《App收集使用个人信息最小必要评估规范 人脸信息》第6.1条b)款明确，应以弹窗、勾选、视频、提示音等强化明示的方式向人脸信息主体告知，并征得人脸信息主体的授权同意；《信息安全技术 人脸识别数据安全要求》第6条c）款规定，应采用需要数据主体主动配合的措施收集人脸识别数据，应在识别过程中持续告知数据主体验证目的，并通过语言、文字等向数据主体进行提示。

2. 单独同意与撤回同意

沿袭了《个人信息保护法》《网络数据安全管理条例》关于处理生物识别信息应当取得个人单独同意的要求，《管理办法》第六条第一款规定，基于个人同意处理人脸信息的，应当取得个人在充分知情的前提下自愿、明确作出的单独同意。法律、行政法规规定处理人脸信息应当取得个人书面同意的，从其规定。

相较于《征求意见稿》，《管理办法》第六条第二款还进一步明确了个人撤回同意的权利，即：基于个人同意处理人脸信息的，个人有权撤回同意，个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。

3. 未成年人人脸信息处理的特殊要求

对于基于同意处理不满十四周岁未成年人人脸信息的，《管理办法》第七条第一款并未采用《征求意见稿》的规定要求取得未成年人父母或者其他监护人的“单独同意或者书面同意”，而是与《个人信息保护法》的要求保持一致，明确规定应当取得未成年人的父母或者其他监护人的同意。换言之，同意处理不满十四周岁未成年人人脸信息的，不需要获得书面同意，但依然需要获得单独同意。根据《管理办法》第六条第一款，基于个人同意处理人脸信息的，应当取得个人在充分知情的前提下自愿、明确作出的单独同意。结合该条款来看，基于同意处理人脸信息的，单独同意是必要条件。因此，针对不满十四周岁未成年人人脸信息，如基于同意进行处理，该同意也应当单独取得。

《管理办法》第七条第二款还进一步规定了制定未成年人人脸信息处理专门规则的义务：个人信息处理者应用人脸识别技术处理不满十四周岁未成年人人脸信息的，应当在存储、使用、转移、披露等方面制定专门的处理规则，依法保护未成年人个人信息安全。

（四）本地存储

相较《征求意见稿》，《管理办法》第八条新增了关于人脸信息设备内存储的原则性要求，以此确保应用人脸识别技术过程中将个人信息处理的风险最小化。此前，相关标准性文件中已提出了相关要求。例如《信息安全技术 人脸识别数据安全要求》第7条c）款要求人脸识别数据应当存储在数据主体个人所有且具备人脸识别功能的信息技术产品（包括但不限于移动智能终端、智能家居设备等）中，并可由数据主体删除；《App收集使用个人信息最小必要评估规范 人脸信息》第6.2条d）款规定，在本地核身类（如通过人脸比对完成身份认证）、智能体验类（如图像美化、皮肤检测、情感分析等）场景下，人脸信息仅存储于设备本地，且不应直接存储人脸样本。《管理办法》特此明确：除法律、行政法规另有规定或者取得个人单独同意外，人脸信息应当存储于人脸识别设备（即应用人脸识别技术识别个体身份的终端设备）内，不得通过互联网对外传输。

此外《管理办法》第八条第二款还规定了保存期限，即“除法律、行政法规另有规定外，人脸信息的保存期限不得超过实现处理目的所必需的最短时间”。该条款与《个人信息保护法》关于存储限制的原则性要求保持一致。另外，在存储的方式上，虽然《管理办法》没有明确规定，企业也应当注意参考相关标准的要求，采取加密存储等安全措施存储人脸信息，采用物理或逻辑隔离方式分别存储人脸识别信息和个人身份信息。

（五）事前个人信息保护影响评估

《管理办法》第九条规定，个人信息处理者在使用人脸识别技术处理人脸信息前，必须进行个人信息保护影响评估，并对处理情况进行记录，评估内容包括：

• 人脸信息的处理目的、处理方式是否合法、正当、必要；
   

• 对个人权益带来的影响，以及降低不利影响的措施是否有效；
   

• 发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、出售、使用的风险以及可能造成的危害；
   

• 所采取的保护措施是否合法、有效并与风险程度相适应。

相较《征求意见稿》，《管理办法》删除了伦理道德因素以及人脸信息的精准度、准度及处理距离要求，将该要求的核心聚焦于确保人脸信息的处理目的、处理方式是否合法、正当、必要上，并在评估范围中增加了对人脸信息非法出售、非法使用的风险性评估细则。

从进行个人信息保护影响评估的实操层面，对企业而言，评估的重难点可能在于“合法、正当、必要性”的判断标准方面。我们理解，在合法性评估方面，企业需判断是否有人脸信息处理的合法性依据，即人脸信息处理行为是否不违反法律、行政法规或国家标准的强制性要求，特定业务场景是否有强制性规定所支撑。例如，根据《司法部办公厅关于推进海外远程视频公证试点工作的通知》，试点公证机构应当综合运用人口数据库、护照、出入境等信息核查确认当事人的国籍以及所处地点，利用身份证识别系统、活体人脸识别比对、交叉印证等方式核实当事人身份。根据《中国人民银行关于做好流动就业群体等个人银行账户服务工作的指导意见》，国家鼓励对高风险客户和高风险交易，在非柜面渠道应用人脸识别等技术，加强风险防控。同时，如上文所述，在此类场景下也需向用户告知处理人脸信息的必要性。

在正当性方面，建议企业对处理人脸信息的目的与采取的手段以及对用户可能造成的隐私侵害、数据滥用或潜在歧视性影响等因素进行综合性判断，从而确保企业所实现的目的与对用户的影响之间存在合理性，并符合用户的隐私期待。企业还必须确保数据用途与授权范围一致，禁止超范围使用，避免因用途变更或数据共享而引发合规风险。

在必要性评估方面，企业应仅收集实现业务目的所必需的人脸信息，并确保数据处理方式符合最小化原则。企业可结合下述因素进行综合判断，如收集该字段是否与实现业务功能具有直接关联、如缺少人脸数据是否无法实现此项服务目的等。如综合判断存在更加合理、有效但侵入性较小的替代方案，则处理可能被视为不必要的。这一要求对于企业来说，意味着如果人脸识别的使用场景可以通过更低隐私侵害的方式解决，则不应过度依赖人脸识别技术。例如，在门禁管理场景中，如果刷卡或密码验证已能满足安全需求，则企业可避免强制用户采用人脸识别技术，以符合“必要性”原则。

基于上述要求，建议企业针对人脸数据与业务的关联性进行评估，根据评估结果进行综合影响等级的分析。

（六）安全保护措施要求

《管理办法》第十四条沿袭《征求意见稿》对于数据处理者技术保护措施的要求，要求人脸识别技术应用系统应当采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。

建议企业在应用人脸识别技术过程中关注下述安全措施：

• 原则上不应当存储原始个人生物识别信息（如样本、图像等），应采取加密、去标识化等安全技术措施，例如，应采取加密存储的安全措施存储人脸识别数据，并采用授权访问方式读取；
   

• 采取物理或逻辑隔离方式分别存储个人生物识别信息与个人身份信息；
   

• 应仅在用户授权的存储时间内存储生物特征识别信息，超出存储期限后，应及时对生物特征识别信息进行删除或匿名化处理；
   

• 对于人脸识别数据的备份或存档信息，应采取与被复制信息相同的保护措施；
   

• 应保持生物特征识别比对信息在App或数据库间的不可链接性；
   

• 采取的安全技术措施能够合理确定有关人员查阅、复制、传输个人信息等的操作权限，严格规范内部人员对视频图像信息的查阅、处理，减少个人信息在处理过程中未经授权的访问和滥用风险；
   

• 完善防攻击、防入侵、防病毒、防篡改、防泄露等安全技术措施；
   

• 采取与所处理个人信息规模、类型相适应的安全技术措施，采取相应安全技术措施实现个人信息的保密性、完整性、可用性等措施。

同时，对数据处理活动开展审计。此外，《管理办法》再次明确关键信息基础设施应当按照国家有关规定履行关键信息基础设施保护义务，还再次强调了涉及网络安全等级保护的特殊保护义务。

（七）公共场所安装人脸识别设备的要求

《管理办法》删除了《征求意见稿》第七条关于图像采集、身份识别设备的使用要求和保密义务的规定，该修订主要考虑到《公共安全视频图像信息系统管理条例》将于2025年4月1日正式实施，相关内容已由该条例统一规范，从更清晰的监管框架考虑，《管理办法》仅针对公共场所安装人脸识别设备进行了原则性规定，即以维护公共安全为必要前提，如仅限于对某场所负有安全防范义务的单位或个人安装图像采集设备，同时应注意保护个人隐私和个人信息权益的要求，合理确定信息采集区域以及信息采集设备的安装位置、角度和采集范围，并设置显著提示标识，以向信息主体履行告知义务。

实践中不乏在公共场所安装具有人脸识别功能的摄像头，对相关人员进行拍照、人脸识别分析比对，但因未明示收集脸部信息的目的、方式、范围和收集规则等，亦未获取同意的案例，相关企业因违反了《中华人民共和国消费者权益保护法》第二十九条第一款等规定，被市场监督管理局等监管部门作出警告并罚款的行政处罚。《管理办法》出台后，可以预见，监管部门将进一步加强对人脸识别技术应用合规的监管力度。

企业在合规管理时，需同时遵守《管理办法》和《公共安全视频图像信息系统管理条例》，确保数据用途合法合规。

（八）达到特定数量的备案要求

《管理办法》从信息存储数量、备案时间限制、备案部门、备案应提交的材料、备案变更和注销五个方面对应用人脸识别技术处理人脸信息备案提出了具体要求。相较《征求意见稿》，主要的变化包括：

• 触发备案的数量要求：不再单独区分公共场所，而是将备案标准统一为应用人脸识别技术处理的人脸信息的存储数量达到10万人，相较于《征求意见稿》1万人数量显著提升了备案的门槛。需要注意的是，企业如属于公共安全视频系统管理单位，则还应当按照即将生效的《公共安全视频图像信息系统管理条例》的要求在系统投入使用之日起30日内，向所在地县级人民政府公安机关备案；
   

• 备案部门：由“向所在地市级以上网信部门履行备案手续”变为“向所在地省级以上网信部门履行备案手续”；
   

• 备案变更手续时限：由原先的20日延长至30日，进一步放宽了备案手续变更的时限要求；
   

• 明确了注销备案的后续应依法处理个人信息的要求，表明《管理办法》更加注重个人信息处理周期完善。

整体而言，《管理办法》抬高了备案的门槛，释放了部分中小数据处理者的合规压力。

三、监管机构与法律责任

《管理办法》第十六条到第十八条明确了人脸识别技术的监管体系、举报机制及法律责任，强调了监管部门的协同监督职责，同时赋予公众举报权利，并设定了相应的法律责任。

在监管体系方面，《管理办法》列明的监管部门包括网信、电信、公安、市场监管，且要求网信部门、公安机关及其他履行个人信息保护职责的部门建立信息共享和通报机制，协同开展监督检查。企业在使用人脸识别技术时，将面临来自多个监管机构的联合监管，需确保技术应用符合相关法律法规，避免因监管合力加强而暴露合规漏洞，同时企业应主动接受检查并建立合规档案，以备监管部门核查。

《管理办法》赋予公众对违法使用人脸识别技术的行为进行投诉和举报的权利，并要求监管部门依法及时处理。这加大了对企业的外部监督，一方面，企业应当向用户提供查阅、复制、更正、删除、撤回授权同意、注销、要求解释说明其人脸信息的渠道；另一方面，应建立保障数据主体权利的机制，保障数据主体知情同意、获取人脸识别数据处理情况、撤回同意、注销账号、投诉、获得及时响应等方面的权利，并及时响应数据主体的相关请求。

尤其是对于涉及大量应用人脸识别技术的企业而言，例如金融企业、安防企业、人脸识别分析企业、以及部分无人商店验证人脸的电商企业等，应确保数据采集、存储和使用的每一环节都符合合法依据，并提供便捷的投诉和查询渠道，减少举报风险。

在法律责任方面，企业违法处理人脸信息将受到相应的法律、行政法规处罚，若构成犯罪，还将依法追究刑事责任。如利用网络服务处理人脸信息侵害自然人人格权益的，应根据民法典承担相应的民事侵权责任；如侵害自然人人格权益造成财产损失，应承担财产损害赔偿责任；如涉及非法向他人提供/出售人脸信息，可能面临侵犯公民个人信息罪的刑事责任风险。

对此，企业需高度重视合规管理，具备相应的安全能力和安全控制措施，具备个人信息安全制度，包括但不限于：关于人脸识别数据的管理规定和操作规程、处理规则、处理权限，并定期对相关人员进行安全教育和培训、采取的安全防护措施；应当针对人脸识别数据泄露、篡改、丢失、毁损或被非法获取、非法利用等安全风险，制定应急预案并开展应急演练等措施。

四、结语

随着人脸识别技术的广泛应用，法律法规的不断完善使得企业的合规义务日益清晰。《管理办法》明确了人脸识别技术应用的原则并细化应用要求，同时夯实多主体监管体系。

在日益严格的监管环境下，企业应高度重视人脸识别技术的合规管理。从技术角度而言，企业需持续优化人脸识别系统的安全性能，提升加密技术水平，确保数据在收集、存储、传输等环节不被篡改或泄露。此外，还应加强活体检测、防伪鉴别等技术手段，提高人脸识别系统的安全性和可靠性，防范身份冒用、欺诈等安全隐患。另一方面，应当全面理解并履行《管理办法》规定的义务，并主动开展合规自查，建立健全内部管理制度，确保技术应用符合国家法律标准，以免因整改不及时而面临法律风险。

注释：

[1] 参见杭州网《用“AI换脸”，拘留！杭州侦破全国首起用AI技术侵犯公民个人信息案》，https://ori.hangzhou.com.cn/ornews/content/2024-09/13/content_8787285.htm

[2] 例如，（1）《信息安全技术 生物特征识别信息保护基本要求》将“生物特征识别信息”（包括个人面部识别特征）定义为“对自然人的物理、生物或行为特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息”，包含“生物特征识别原始信息”和“生物特征识别比对信息”。（2）《信息安全技术 人脸识别数据安全要求》将“人脸识别数据”定义为“可识别自然人身份的人脸图像或人脸特征”；（3）《App收集使用个人信息最小必要评估范围 人脸信息》将“人脸信息”定义为“对自然人的人脸特征进行技术处理得到的、能够单独或者与其他信息结合识别该自然人身份的个人信息。本文件指处于任何处理阶段的人脸样本、人脸参考、人脸特征项或人脸特性的通称”。

[3] 参见《信息安全技术 个人信息处理中告知和同意实施指南》（GB/T 42574-2023）附录M.1概述。

[4] 参见“渝中检察”官方微信公众号：https://mp.weixin.qq.com/s/8-q5FH87SBdX6kpH3B2onw