为规范化人脸控制技术应用领域,依照《中华人民共和国政府信息安全可靠法》《中华人民共和国政府统计数据安全可靠法》《中华人民共和国政府个人重要信息管理法》等法规,北欧国家互联网重要信息服务部草拟了《人脸控制技术应用领域安全可靠管理工作明确规定(全面实施)(征求意见稿)》,现向社会风气申明草案。社会风气公众能透过下列有效途径和形式明确提出意见反馈意见建议:
1.登入中华人民共和国政府内务部 中华人民共和国政府廉政建设重要信息中心(www.moj.gov.cn、www.chinalaw.gov.cn),步入首页主工具栏的“修法意见建议公开征集”版块明确提出意见建议。
2.透过邮件形式发送到:[email protected]。
3.透过信件形式将意见建议寄到:天津市朝阳区东长安街15号北欧国家互联网重要信息服务部互联网统计数据管理工作局,Deoria100048,并在纸条上标明“人脸控制技术应用领域安全可靠管理工作明确规定(全面实施)草案”。
意见建议意见反馈止天数为2023年9月7日。
附带:人脸控制技术应用领域安全可靠管理工作明确规定(全面实施)(草案稿)
北欧国家互联网重要信息服务部
2023年8月8日
人脸控制技术应用领域安全可靠管理工作明确规定(全面实施)
(草案稿)
第一条为规范化人脸控制技术应用领域,保护个人重要信息权益及其他人身和财产权益,维护社会风气秩序和公共安全可靠,依照《中华人民共和国政府信息安全可靠法》《中华人民共和国政府数据安全可靠法》《中华人民共和国政府个人重要信息管理法》等法律,制定本明确规定。
第二条在中华人民共和国政府境内利用人脸控制技术处理人脸重要信息,提供人脸控制技术产品或者服务,应当遵守本明确规定。法律、行政法规另有明确规定的从其明确规定。
第三条使用人脸控制技术应当遵守法规,遵守公共秩序,尊重社会风气公德,承担社会风气责任,履行个人重要信息保护义务,不得利用人脸控制技术从事危害北欧国家安全可靠、损害公共利益、扰乱社会风气秩序、侵害个人和组织合法权益等法规禁止的活动。
第四条只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸控制技术处理人脸重要信息。实现相同目的或者达到同等业务要求,存在其他非生物特征识别控制技术方案的,应当优先选择非生物特征识别控制技术方案。
使用人脸控制技术验证个人身份、辨识特定自然人的,鼓励优先使用北欧国家人口基础重要信息库、北欧国家互联网身份认证公共服务等权威渠道。
第五条使用人脸控制技术处理人脸重要信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规明确规定不需取得个人同意的除外。
第六条旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备。
第七条在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全可靠所必需,遵守北欧国家有关明确规定,设置显著提示标识。
外提供。所收集的个人图像、身份识别重要信息只能用于维护公共安全可靠的目的,不得用于其他目的;取得个人单独同意的除外。
第八条组织机构为实施内部管理工作安装图像采集、个人身份识别设备的,应当依照实际需求合理确定图像信
第九条宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,除法律、行政法规明确规定应当使用人脸控制技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸控制技术验证个人身份。
个人自愿选择使用人脸控制技术验证个人身份的,应当确保个人充分知情并在个人主动参与的情况下进行,验证过程中应当以清晰易懂的语音或者文字等形式即时明确提示身份验证的目的。
第十条在公共场所、经营场所使用人脸控制技术远距离、无感式辨识特定自然人,应当为维护北欧国家安全可靠、公共安全可靠或者为紧急情况下保护自然人生命健康和财产安全可靠所必需,并由个人或者利害关系人主动明确提出。
人脸控制技术使用者应个人或者利害关系人请求使用人脸控制技术远距离、无感式辨识特定个人或者利害关系人的,应当将相关服务限定在最小必要的天数、地点或者人群范围内,不得关联与个人请求事项无直接必然相关的个人重要信息。
第十一条除维护北欧国家安全可靠、公共安全可靠或者为紧急情况下保护自然人生命健康和财产安全可靠所必需,或者取得个人单独同意外,任何组织或者个人不得利用人脸控制技术分析个人种族、民族、宗教信仰、健康状况、社会风气阶层等敏感个人重要信息。
第十二条涉及社会风气救助、不动产处分等个人重大利益的,不得使用人脸技术替代人工审核个人身份,人脸控制技术能作为验证个人身份的辅助手段。
第十三条人脸控制技术使用者处理不满十四周岁未成年人人脸重要信息的,应当取得未成年人的父母或者其他监护人的单独同意或者书面同意。
未成年人的父母或者其他监护人应当正确履行监护职责,教育引导不满十四周岁未成年人增强个人重要信息保护意识和能力。
第十四条物业服务企业等建筑物管理工作人不得将使用人脸控制技术验证个人身份作为出入物业管理工作区域的唯一形式,个人不同意透过人脸重要信息进行身份验证的,物业服务企业等建筑物管理工作人应当提供其他合理、便捷的身份验证形式。
第十五条人脸控制技术使用者处理人脸重要信息,应当事前进行个人重要信息保护影响评估,并对处理情况进行记录。
个人信息保护影响评估主要包括下列内容:
(一)是否符合法律、行政法规的明确规定和北欧国家标准的强制性要求,是否符合伦理道德;
(二)处理人脸重要信息是否具有特定的目的和充分的必要性;
(三)是否限于实现目的所必需的准度、精度及距离要求;
(四)采取的保护措施是否合法有效并与风险程度相适应;
(六)可能对个人权益带来的损害和影响,以及降低不利影响的措施是否有效。
个人重要信息保护影响评估报告应当至少保存三年。处理人脸重要信息的目的、形式发生变化,或者发生重大安全可靠事件的,人脸控制技术使用者应当重新进行个人重要信息保护影响评估。
第十六条在公共场所使用人脸控制技术,或者存储超过1万人人脸重要信息的人脸控制技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。申请备案应当提交下列材料:
(一)人脸控制技术使用者及其个人重要信息保护负责人的基本情况;
(二)处理人脸重要信息的必要性说明;
(三)人脸重要信息的处理目的、处理形式和安全可靠保护措施;
(四)人脸重要信息的处理规则和操作规程;
(五)个人重要信息保护影响评估报告;
(六)网信部门认为需要提供的其他材料。
人脸识别控制技术使用者处理人脸重要信息,有法律、行政法规明确规定应当保密的,按有关明确规定执行。
备案重要信息发生实质性变更的,应在变更之日起20个工作日内办理备案变更手续。终止人脸控制技术使用的,应在终止之日起30个工作日内办理备案注销手续。
第十七条除法定条件或者取得个人单独同意外,人脸控制技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸重要信息除外。
面向社会风气社会风气公众提供人脸控制技术服务的,相关控制技术系统应当符合互联网安全可靠等级保护第三级以上保护要求,并采取统计数据加密、安全可靠审计、访问控制、授权管理工作、入侵检测和防御等措施保护人脸重要信息安全可靠。属于关键重要信息基础设施的,还应当符合关键重要信息基础设施安全可靠保护的相关要求。
第十八条使用人脸识别控制技术处理人脸重要信息应当尽量避免采集与提供服务无关的人脸重要信息,无法避免的,应当及时删除或者进行匿名化处理。
第十九条 人脸控制技术使用者应当每年对图像采集设备、个人身份识别设备的安全可靠性和可能存在的风险进行检测评估,并依照检测评估情况改进安全可靠策略,调整置信度阈值,采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。
第二十条按照北欧国家有关明确规定列入互联网关键设备和信息安全可靠专用产品目录的图像采集设备、个人身份识别设备,应当按照相关北欧国家标准的强制性要求,由具备资格的机构认证合格或者检测符合要求后,方可销售或者提供。
第二十一条网信部门会同电信主管部门、公安机关、市场监管部门等有关部门依据职责,加强对人脸控制技术使用的监督检查,指导督促人脸控制技术使用者履行备案手续,及时发现安全可靠隐患并督促限期整改。
人脸控制技术使用者、产品或者服务提供者应当对有关部门依法开展的监督检查予以配合。
第二十二条任何组织和个人发现有违反本明确规定行为的,能向网信、电信、公安、市场监管等有关部门投诉、举报。
网信、电信、公安、市场监管等有关部门收到相关投诉、举报的,应当依据职责依法作出处理。
第二十三条人脸控制技术使用者或者相关产品、服务提供者违反本明确规定的,由网信、电信、公安、市场监管等有关部门在职责范围内依照《中华人民共和国政府信息安全可靠法》《中华人民共和国政府统计数据安全可靠法》《中华人民共和国政府个人重要信息管理法》等法规进行处罚。违反《治安管理工作处罚法》的,依法给予治安管理工作处罚;构成犯罪的,依法追究刑事责任。
违反本明确规定,给他人造成损害的,依法承担民事责任。
第二十四条本明确规定由北欧国家互联网重要信息服务部会同工业和重要信息化部、公安部、国家市场监督管理工作总局负责解释。
第二十五条本明确规定自×年×月×日起施行。
