2025年6月1日，我国首部针对人脸识别技术的专项监管规则——《人脸识别技术应用安全管理办法》（以下简称《办法》）正式实施，同步配套的《关于开展人脸识别技术应用备案工作的公告》进一步明确实操要求。这部法规不仅填补了人脸识别技术“无专项监管”的空白，更通过“场景分级+全生命周期管控”的框架，重新定义了企业应用该技术的合规边界。从小区门禁到手机支付，从机场安检到商场安防，几乎所有涉及人脸信息处理的场景都将受到直接影响，企业若不及时调整技术方案与管理流程，恐面临合规风险与业务停摆的双重压力。

一、立法背景：从“技术泛化”到“精准监管”的必然

《办法》的出台并非偶然，而是对近年人脸识别技术滥用乱象与监管需求的直接回应，背后是“技术便利”与“隐私安全”的矛盾升级：

1. 现实痛点：滥用案例倒逼监管升级

2024-2025年，多起人脸识别违规事件引发社会关注，暴露传统监管的不足：

• 公共领域强制使用：舟山某房地产企业未经许可，在售楼处隐蔽安装人脸设备，采集看房客户生物信息用于销售佣金结算，侵犯消费者知情权与选择权；
• 私密空间违规部署：上海某游泳馆在更衣室入口安装人脸识别设备，以“防盗窃”为由收集用户人脸信息，触碰隐私保护红线；
• 未成年人信息泄露：某在线教育平台通过课堂直播的表情分析功能，暗中采集未成年人人脸信息用于算法训练，未取得监护人同意。

这些案例凸显出人脸识别技术已从“便民工具”异化为“隐私威胁”，亟需专项法规划定应用边界。

2. 法律衔接：落实上位法要求的关键一步

《办法》的制定直接源于《个人信息保护法》第六十二条的授权——“国家网信部门应当统筹协调有关部门制定个人信息保护具体规则、标准，加强个人信息保护的宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境”。此前，《个人信息保护法》虽将生物识别信息列为“敏感个人信息”，但缺乏针对人脸识别的场景化规则；《GB/T 41819-2022 信息安全技术 人脸识别数据安全要求》等国标虽有技术指引，但不具备强制约束力。《办法》的出台，首次将人脸识别技术应用的安全要求从“推荐性”升级为“强制性”，形成“上位法+专项办法+国标”的三层合规体系。

二、适用范围界定：哪些场景要合规？

《办法》对适用范围的界定清晰且聚焦，避免“一刀切”式监管，核心可概括为“两个包含、一个排除”：

1. 包含：两类核心应用场景

《办法》明确适用于“在境内应用人脸识别技术处理人脸信息的活动”，具体分为两种模式，几乎覆盖所有商业与公共领域的应用：

• “一对一”身份验证：将采集的人脸信息与系统库中特定人脸比对，验证是否为同一人。典型场景包括机场/高铁站实名核验、手机支付登录、企业门禁打卡等，核心是“确认身份唯一性”；
• “一对多”身份辨识：从海量人脸库中匹配特定个人，核心是“发现目标个体”。典型场景包括公安追逃、商场安防布控、学校考勤管理等，这类场景因涉及大规模人脸库，风险更高，监管更严。

2. 排除：两类特殊活动

为避免过度监管阻碍技术创新，《办法》明确排除两类活动的适用，但需遵循其他数据合规法规：

• 技术研发活动：企业为开发人脸识别算法（如优化识别准确率）处理人脸信息，无需遵守《办法》的备案、存储等要求，但需符合《个人信息保护法》中“目的限制、最小必要”原则；
• 算法训练活动：使用人脸数据训练AI模型（如训练表情识别模型），不适用《办法》，但需确保训练数据来源合法（如取得个人同意、使用匿名化数据）。

三、核心条款拆解：企业不可忽视的六大合规要点

《办法》的核心条款围绕“安全可控、权益保障”展开，从备案、应用、存储、处理等维度为企业设定了明确义务，其中六大要点直接影响业务落地：

1. 10万人脸信息阈值：触发强制备案义务

这是《办法》最受关注的条款之一——个人信息处理者若存储的人脸信息数量达到10万人，需在30个工作日内向省级以上网信部门备案，具体要求包括：

• 备案时间：2025年6月1日前已达10万人的企业，需在2025年7月14日前完成备案；之后达到阈值的，需在达标之日起30个工作日内备案；
• 备案内容：需提交企业基本信息、人脸信息处理目的/方式、安全保护措施、个人信息保护影响评估报告等材料；
• 变更与注销：若处理目的、存储数量、安全措施等发生“实质性变更”，需30个工作日内变更备案；终止人脸识别应用的，需注销备案。

值得注意的是，备案阈值从征求意见稿的“1万人”放宽至“10万人”，体现监管对中小企业的包容——多数线下门店、中小型APP的人脸存储量难以达到10万人，无需承担备案压力；但大型互联网平台、公共服务机构（如地铁公司、连锁酒店）需重点关注。

2. 禁止“唯一验证”：必须提供非人脸选项

《办法》明确要求：“实现相同目的或达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式”。这意味着企业需彻底调整技术方案：

• 线上场景：APP登录、支付验证等功能，不能只提供人脸识别选项，需同步支持短信验证码、指纹识别、实体证件核验等至少一种替代方式；
• 线下场景：小区门禁、办公楼考勤等，不能强制要求业主或员工“刷脸”，需保留刷卡、密码等传统方式；
• 禁止诱导：不得通过“默认勾选人脸识别”“隐藏非人脸选项”等设计，变相强迫用户选择刷脸。

某小区曾因仅保留人脸识别门禁，被业主投诉后整改，新增刷卡与密码功能——这一案例将成为《办法》实施后的典型合规参考。

3. 私密空间禁装：划定设备部署红线

《办法》对人脸识别设备的安装场景提出严格限制：

• 公共空间：安装需以“维护公共安全”为必要前提，且需设置“显著提示标识”（如“此处有人脸识别”警示牌）；
• 私密空间：明确禁止在宾馆客房、公共浴室、更衣室、卫生间等私密区域安装设备，无任何例外情况。

这一条款直接回应了“上海游泳馆更衣室装人脸设备”的争议，为企业设备部署提供了清晰红线——即使以“安全”为名，也不能侵犯公民的私密权益。

4. 端侧存储优先：限制人脸信息传输

为降低数据泄露风险，《办法》将“端侧存储”从国标推荐性要求升级为强制性义务：

• 默认存储位置：人脸信息应当存储于人脸识别设备内（如手机终端、本地服务器），不得通过互联网向云端传输；
• 例外情形：仅在两种情况下可传输：一是取得个人“单独同意”（如弹窗明确提示“是否允许将人脸信息上传至云端”，用户主动勾选）；二是法律、行政法规另有规定（如公安追逃需跨区域共享人脸数据）；
• 加密要求：若确需云端存储或传输，需采用加密技术（如AES-256加密），并做好访问控制与安全审计。

这一要求对依赖“云端人脸库”的企业影响较大——例如连锁酒店的全国人脸通住系统，需改造为“本地存储+按需加密上传”模式，避免全量数据云端汇聚。

5. 单独同意原则：强化个人知情权

针对人脸信息的高敏感性，《办法》在《个人信息保护法》基础上进一步强调“单独同意”：

• 普通用户：基于同意处理人脸信息的，需取得用户在“充分知情”前提下的“自愿、明确”同意，不能与其他服务条款捆绑（如“不同意刷脸就无法使用APP”）；
• 未成年人：处理不满14周岁未成年人的人脸信息，需取得其父母或监护人的单独同意，且需采取更严格的保护措施（如定期删除数据）。

某在线游戏平台曾因“注册时默认同意采集人脸信息”被处罚，《办法》实施后，这类“捆绑同意”将面临更严厉的监管。

6. 全生命周期安全：技术与管理双要求

《办法》要求人脸识别系统需从“采集-存储-使用-销毁”全流程落实安全措施：

• 技术层面：需部署数据加密、入侵检测、访问控制（如最小权限原则）、安全审计（记录所有操作日志）等技术；
• 管理层面：需事前开展个人信息保护影响评估（PIA），记录处理情况，定期排查安全风险；
• 销毁要求：人脸信息的保存期限不得超过“实现目的所必需的最短时间”，用完后需彻底删除，不得留存缓存。

四、企业合规路径：从技术改造到流程调整

《办法》的实施并非“禁止人脸识别”，而是“规范应用”。企业需从“技术方案、数据管理、备案流程”三方面入手，制定可落地的合规策略：

1. 技术改造：优先解决“唯一验证”与“存储方式”

• 快速适配“非人脸选项”：对现有业务场景进行梳理，例如APP登录页面新增“短信验证码”入口，小区门禁加装刷卡模块，确保1个月内完成改造；
• 调整存储架构：将云端人脸库迁移至本地终端（如门店服务器、用户手机），确需云端存储的，开发“单独同意”弹窗，同步部署加密传输技术（如TLS 1.3）；
• 设备排查：对所有人脸识别设备进行盘点，拆除私密空间的设备，在公共区域加装提示标识，2025年12月31日前完成整改。

2. 数据管理：建立“阈值监测+全流程记录”机制

• 存量盘点：统计现有人脸信息存储量，区分“活跃数据”与“冗余数据”，删除超过保存期限的数据，若存量已达10万人，立即启动备案；
• 动态监测：开发人脸信息数量统计系统，设置“8万人预警”功能（距离10万阈值20%时触发提醒），避免漏报备案；
• 日志留存：记录人脸信息的采集时间、使用场景、操作人等信息，日志保存期限不少于6个月，以备监管检查。

3. 备案实操：明确“谁来备、怎么备”

• 备案主体：集团企业可由总部统一备案；子公司或分支机构若处理方式一致，可合并备案，减少重复工作；
• 备案方式：通过“个人信息保护业务系统”（https://grxxbh.cacdtsc.cn）线上提交材料，需提前准备PIA报告、安全措施说明等文档；
• 常见误区：“用后即删的缓存数据”“企业无法远程访问的端侧数据”不属于备案统计范围，无需纳入10万人阈值计算。

五、监管趋势：动态平衡与精细化治理

从《办法》的条款设计与配套政策来看，未来人脸识别技术监管将呈现两大趋势：

1. 安全与发展的动态平衡

监管并非“一刀切”限制技术应用，而是通过“阈值调整、例外条款”体现灵活性：例如备案阈值从1万人放宽至10万人，允许公共安全等特殊场景突破“端侧存储”限制，既防范风险，又为技术创新留足空间。

2. 场景分级+全生命周期管控

《办法》构建的“纵向全流程（采集到销毁）+横向场景分级（公共空间vs私密空间）”监管模型，将成为未来技术监管的范本。例如公共安全场景的“一对多”识别，监管要求严于商业场景的“一对一”验证；云端存储的合规要求高于端侧存储，体现“风险越高、监管越严”的精细化思路。

六、结语：合规不是成本，而是技术应用的“通行证”

《办法》的实施，标志着我国人脸识别技术应用进入“有规可依”的阶段。对企业而言，合规不是“额外负担”，而是避免风险、赢得用户信任的关键——某支付平台因提前上线“人脸+短信双验证”功能，用户满意度提升20%；相反，若因违规应用被处罚，不仅面临罚款，更可能失去市场份额。

未来，随着监管技术的升级（如人脸识别设备备案、数据加密合规检测），企业的合规成本可能进一步降低。但当前阶段，最紧迫的任务是：立即开展人脸信息存量盘点、技术方案改造与备案准备，在2025年7月14日前完成首轮合规适配，确保业务在安全与合规的轨道上发展。毕竟，在隐私保护日益受重视的今天，只有尊重用户权益的技术应用，才能走得更远。