住宅区及商务楼强制实行面部识别技术以通行门禁系统，众多售楼中心记录潜在买家的人脸数据用于“价格歧视”策略，公共洗手间需通过面部识别才能免费获取厕纸……近年来，诸多日常生活与职场环境采纳了面部识别技术来识别个人信息，“人脸”正逐步演变为大众的第二张身份证明。然而，尽管面部识别技术提供了便捷与高效，其背后也引发了众多关于隐私保护的忧虑。

6月1日，国家互联网信息办公室与公安部共同发布的《人脸识别技术应用安全管理规定》（以下简称《规定》）正式生效，该规定对使用人脸识别技术处理人脸信息的基本标准、操作规程、技术安全规范以及监管责任等方面进行了详细规定，对“刷脸”这一身份验证手段实施了严格的限制措施。

《办法》的制定依据涵盖了《网络安全法》、《数据安全法》、《个人信息保护法》以及《网络数据安全管理条例》等相关法律法规；其适用的领域限定于我国境内使用人脸识别技术进行人脸信息处理的行为；而对于在我国境内进行人脸识别技术研发和算法训练过程中使用人脸识别技术处理人脸信息的情况，则不适用于本《办法》的规定。

据南都记者梳理，《办法》明确了人脸信息的处理规则。在执行告知职责的过程中，个人信息处理者在运用人脸识别技术对人脸信息进行处理之前，必须通过醒目且易于理解的语言，向个人如实、精确、全面地披露多项内容：包括个人信息处理者的名称或个人姓名及其联系方式；人脸信息处理的用途、方法以及保存期限；处理人脸信息的必要性及其对个人权益可能产生的效应；以及个人依法行使权利的具体方式和程序。

2020年，有关“94岁高龄老人被抱起进行人脸识别”的事件引起了社会广泛关注。《办法》在制定过程中，充分考虑了脸部受伤或有缺陷的人士、盲人以及无法自理的老年人等特殊群体的权益，明确规定：在处理残疾人和老年人的人脸信息时，必须遵守国家关于无障碍环境建设的相关规定。

在处理人脸信息时，若依赖个人授权，必须确保个人在充分了解情况的基础上，自主且清晰地给出单独的同意。关于授权的撤销问题，《办法》指出，个人有权随时撤销其授权，且信息处理方需提供简便的撤销途径。然而，即便个人撤销了授权，这并不会影响之前基于该授权所进行的个人信息处理活动的有效性。

未成年人的个人信息尤为脆弱，《办法》明确指出，若要基于个人同意处理未满十四周岁的未成年人面部信息，必须征得该未成年人的父母或监护人的同意；同时，在使用人脸识别技术处理此类信息时，必须在存储、使用、转移、公开等各个环节制定出相应的专门规则，确保依法维护未成年人的个人信息安全。

在信息存储阶段，《办法》规定，除非法律法规有特别说明或已获得个人独立授权，人脸数据需保存在人脸识别系统内部，严禁通过互联网进行传输。

“刷脸”操作确实便利迅速，然而人脸数据具备独特性和持久性，若不幸泄露，对个人及财产安全所造成的损害也将更为长久且严重。因此，在使用“刷脸”功能时，我们必须保持高度的谨慎。《办法》对此也做出了明确规定，旨在确立人脸识别技术的安全使用规范，以防止出现“强制刷脸”等不良现象。

《办法》中明确指出，若要实现相同目标或满足相同的业务需求，若存在除人脸识别以外的其他技术手段，则不得将人脸识别技术设定为唯一的身份验证途径。对于个人而言，若不认同以人脸信息作为身份验证手段，则需提供其他既合理又方便的验证方法。

同时，应当采用人脸识别技术来核实个人身份、识别特定个体，并倡导优先利用国家人口基本信息库、国家网络身份认证公共服务等途径进行操作，以降低人脸信息的采集与保存，确保人脸信息的安全。

南都记者观察到，《办法》中提及的国家网络身份认证公共服务，主要依赖国家统一构建的网络身份认证公共服务平台，即所谓的“国家网络身份认证”应用程序。

据相关消息，这款应用自2023年6月正式上线以来，已经与超过400款其他应用建立了连接。用户个人可以下载此应用，并利用合法的身份证件在此平台上申请网络账号和网络证明。在未来的互联网服务及活动中，若按照法律规定需进行身份登记或核实，用户无需再向平台提交详尽的个人身份资料，只需展示由国家统一认证并发放的网络标识或电子证件，从而有效降低个人信息泄露的可能性。

近期，频繁发生的侵犯个人隐私的偷拍事件引起了公众的广泛关注，成为大家心中的一个痛点。《办法》中规定，在公共场合部署人脸识别系统，必须是为了保障公共安全而必须采取的措施，必须依照法律规定合理划定人脸信息采集的范围，并且要设置醒目的提示标志。为了有效防止偷窥等不良行为，明文规定，任何单位或个人均不得在酒店客房、公共浴池、公共更衣间、公共洗手间等公共区域的私密部位擅自安装人脸识别装置。

值得注意的是，在监管职责的具体要求中，《办法》明确指出，一旦人脸识别技术处理的人脸信息存储量突破十万，个人信息处理者必须在30个工作日内，向其所在地的省级或以上网信管理部门进行备案手续的办理。

申请备案时需提交哪些资料？根据《办法》规定，需包括个人信息处理者的基本信息、人脸信息处理的用途及方法、人脸信息的存储规模及安全防护措施、人脸信息处理的规范与操作流程、以及个人信息保护影响评估报告等五个方面。若备案信息发生重大调整，或应用人脸识别技术被终止，相关单位需在变更或终止后的30个工作日内，分别完成备案信息的修改和注销手续。

目前，相关备案规定正逐步实施。在5月30日，国家互联网信息办公室对外公布，对于人脸信息存储量超过10万人的个人信息处理机构，将启动人脸识别技术应用备案程序，同时明确了办理的具体时间限制。

从6月1日开始，对于使用人脸识别技术存储的人脸数据，一旦存储人数达到10万，相关机构需在数量达到后的30个工作日内完成备案流程。而在6月1日之前，若人脸信息存储人数已满10万，则必须在7月14日之前完成备案手续。