人脸识别技术应用安全管理规定(试行)(征求意见稿)(3)
人脸识别技术使用者应个人或者利害关系人请求使用人脸识别技术远距离、无感式辨识特定个人或者利害关系人的,应当将相关服务限定在最小必要的时间、地点或者人群范围内,不得关联与个人请求事项无直接必然相关的个人信息。
第十一条</STRONG> </SPAN>除维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,或者取得个人单独同意外,任何组织或者个人不得利用人脸识别技术分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息。
第十二条</STRONG> </SPAN>涉及社会救助、不动产处分等个人重大利益的,不得使用人脸识别技术替代人工审核个人身份,人脸识别技术可以作为验证个人身份的辅助手段。
第十三条</STRONG> </SPAN>人脸识别技术使用者处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的单独同意或者书面同意。
未成年人的父母或者其他监护人应当正确履行监护职责,教育引导不满十四周岁未成年人增强个人信息保护意识和能力。
第十四条</STRONG> </SPAN>物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式,个人不同意通过人脸信息进行身份验证的,物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。
第十五条</STRONG> </SPAN>人脸识别技术使用者处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。
个人信息保护影响评估主要包括下列内容:
(一)是否符合法律、行政法规的规定和国家标准的强制性要求,是否符合伦理道德;
(二)处理人脸信息是否具有特定的目的和充分的必要性;
(三)是否限于实现目的所必需的准度、精度及距离要求;
(四)采取的保护措施是否合法有效并与风险程度相适应;
(五)发生或者可能发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、非法利用的风险以及可能造成的危害;
(六)可能对个人权益带来的损害和影响,以及降低不利影响的措施是否有效。
个人信息保护影响评估报告应当至少保存三年。处理人脸信息的目的、方式发生变化,或者发生重大安全事件的,人脸识别技术使用者应当重新进行个人信息保护影响评估。
第十六条</STRONG> </SPAN>在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。申请备案应当提交下列材料:
(一)人脸识别技术使用者及其个人信息保护负责人的基本情况;
(二)处理人脸信息的必要性说明;
(三)人脸信息的处理目的、处理方式和安全保护措施;
(四)人脸信息的处理规则和操作规程;
(五)个人信息保护影响评估报告;
(六)网信部门认为需要提供的其他材料。
人脸识别技术使用者处理人脸信息,有法律、行政法规规定应当保密的,按有关规定执行。
备案信息发生实质性变更的,应在变更之日起20个工作日内办理备案变更手续。终止人脸识别技术使用的,应在终止之日起30个工作日内办理备案注销手续。
第十七条</STRONG> </SPAN>除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。
面向社会公众提供人脸识别技术服务的,相关技术系统应当符合网络安全等级保护第三级以上保护要求,并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。属于关键信息基础设施的,还应当符合关键信息基础设施安全保护的相关要求。
第十八条</STRONG> </SPAN>使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息,无法避免的,应当及时删除或者进行匿名化处理。
第十九条 人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估,并根据检测评估情况改进安全策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。
第二十条</STRONG> </SPAN>按照国家有关规定列入网络关键设备和网络安全专用产品目录的图像采集设备、个人身份识别设备,应当按照相关国家标准的强制性要求,由具备资格的机构认证合格或者检测符合要求后,方可销售或者提供。
第二十一条</STRONG> </SPAN>网信部门会同电信主管部门、公安机关、市场监管部门等有关部门依据职责,加强对人脸识别技术使用的监督检查,指导督促人脸识别技术使用者履行备案手续,及时发现安全隐患并督促限期整改。
人脸识别技术使用者、产品或者服务提供者应当对有关部门依法开展的监督检查予以配合。
总共4页
[1] [2] 3
[4] 上一页 下一页