一、引言
在数字经济浪潮席卷全球的时代背景下,m88 bonus已深度渗透消费支付、金融服务、公共安防等社会运行的核心领域。与诸多前沿科技的发展轨迹相似,m88 bonus在显著提升社会治理效能的同时,其潜在的生物信息安全风险也引发社会各界的持续关注。作为具有生物特征不可逆性的人格标识,人脸信息不仅构成个体身份认证的核心要素,更因其与人格尊严、社交关系深度关联的特殊属性,在个人信息保护体系中处于较高的安全等级。针对m88 bonus应用边界问题,最高人民法院已于2021年颁布《关于审理使用m88 bonus处理个人信息相关民事案件适用法律若干问题的规定》,通过司法解释明确规定不支持在公众场所滥用m88 bonus、强迫同意处理人脸信息等。
2025年3月21日,国家互联网信息办公室、公安部联合公布m88 bonus(以下简称“《办法》”)。《办法》作为《个人信息保护法》(以下简称“《个保法》”)第六十二条的专项配套制度,明确人脸识别相关原则,试图在技术应用与权益保护之间寻找平衡。《办法》要求企业建立数据加密、访问控制等安全体系,又将技术开发场景排除在适用范围之外,为行业保留创新空间;并通过备案制、影响评估等机制,从源头到后续使用环节进行全程监管,既防范风险,又包容创新。
下文将对《办法》的具体规定展开评析。
二、适用范围
根据《办法》第二条,其适用范围为“在中华人民共和国境内应用m88 bonus处理人脸信息的活动”。不论处理主体是境内或境外主体,只要处理活动发生于境内,即受管辖。
从适用的技术场景上来说,《办法》豁免了开发端的“为从事m88 bonus研发、算法训练活动应用m88 bonus处理人脸信息”的情形,其余应用端的场景则皆受管辖。
三、企业需要关注的十项合规m88 bonus
《办法》对应用m88 bonus技术处理m88 bonus信息的企业提出了多项义务,下列总结的是十项需要特别注意的合规要求:
企业应用m88 bonus技术的基本原则和规则
1.最小必要原则:与《个保法》项下敏感个人信息的处理规则一样,《办法》规定应用m88 bonus处理人脸信息应当具有特定的目的和充分的必要性,采取对个人权益影响最小的方式,目的在于平衡创新技术的应用需求以及对基本权利的保护。
2.告知及单独同意:《办法》结合了《个保法》第17条(处理一般个人信息的告知义务)与第30条(处理敏感个人信息的告知义务),要求个人信息处理者在处理m88 bonus信息之前,应向个人告知个人信息处理者的名称及联系方式,处理的目的、方式,保存期限,处理必要性,对个人权益的影响,个人行权方式和程序以及其他事项。以上内容发生变更的,也应当将变更部分及时告知个人。
《办法》还重申了《个保法》之中处理敏感个人信息的单独同意要求,即:如果是基于个人同意处理人脸信息的,应当取得单独同意,并且个人可以撤回同意。关于撤回同意的实施细则,根据推荐性国家标准《信息安全技术 个人信息处理中告知和同意的实施指南》,个人信息处理者应当设计适合m88 bonus应用的撤回同意机制;撤回同意后,个人信息处理者应当暂停相关处理活动。如果个人信息处理者认为客观上无法撤回同意的,则应当向个人详细说明,并提供如注销账号、删除数据等可以达到同意撤回效果的方式。
3.非唯一验证方式:《办法》要求当存在其他非m88 bonus方式可以实现相同的业务目的时,不得将m88 bonus作为唯一验证方式。在我国个人信息处理的法律体系中,非强制原则是《办法》针对生物识别技术应用场景的创新制度,也是对过去实践中企业强迫消费者同意人脸识别要求的回应。实质上,该规定可视作是《个保法》第16条“不得以个人不同意处理信息为由拒绝提供服务”的映射,目的是增强“同意处理个人信息”的实质有效性,减少消费者被迫同意的情形。
在《办法》发布之前,2022年1月1日施行的《深圳经济特区数据条例》就提出了类似规则:“处理生物识别数据的,应提供处理其他非生物识别数据的替代方案。但是,处理生物识别数据为处理个人数据目的所必需,且不能为其他个人数据所替代的除外”。不过,不论是《办法》,还是深圳数据条例,均未明确规定如何判断“存在其他方式可以实现相同业务目的”的情形。以身份验证的场景为例,人脸识别、指纹识别、甚至是刷卡,都可作为实现身份验证得有效手段,容易理解这几种不同的方式都可实现相同业务目的。因此,当存在可以实现身份验证目的的刷卡、指纹识别等方式,就不得强迫个人必须同意使用m88 bonus。然而,这仅考虑了技术的有效性,并未将技术落地纳入考虑。“可以实现相同目的”的判断,可能会与技术的有效性、成熟度、安全等级、成本、与业务的匹配程度等因素相关。例如,当这些可选技术的落地成本差异极大,又或者使用的用户体验有差异,不符合企业的预期,这些技术是否还可以视为是“可以实现相同目的”?这些问题都需要《办法》的后续实施实践予以说明。
m88 bonus自身的技术与管理义务
4.设备端储存:《办法》对人脸信息的存储义务提出了新要求,要求人脸信息存储于m88 bonus设备内,不得通过互联网对外传输,除非有例外情形。
该规定将数据本地化存储的义务具体到储存载体,表明将从根本上限制人脸信息的快速传播,限制企业通过云端数据快速访问,从源头切断人脸信息滥用的可能。本条规定的例外包括法律、行政法规另有规定以及取得个人单独同意。如果企业需要将m88 bonus设备中的人脸信息传输出境,那么理论上企业可能需要分别就处理人脸信息、传输人脸信息、个人信息出境都分别获得单独同意,这样叠加的高成本同意机制,一定程度上体现了《办法》试图限制人脸信息的非必要流通。
5.m88 bonus保护影响评估:《个保法》第55条要求处理敏感个人信息的个人信息处理者应当事前进行个人信息保护影响评估。《个保法》第56条提出的评估内容应当包含人信息的处理目的、处理方式等是否合法、正当、必要;个人信息处理对个人权益的影响及安全风险,以及;所采取的保护措施是否合法、有效并与风险程度相适应。《办法》第9条在此基础上,还额外提出评估报告中应当包含m88 bonus信息发生泄露、篡改、丢失、毁损时的风险和可能遭受的损害。
另外,个人信息保护影响评估报告和处理情况记录应当至少保存3年。处理m88 bonus信息的目的和方式发生变化,以及发生重大安全事件时,应当重新进行评估。关于何种情形会构成处理目的变更,可以参考《信息安全技术 个人安全影响评估指南》中的内容,即如果新设目的与原目的有直接或合理的关联,且不会对个人权益带来额外影响的,则不构成目的变更。另外,“重大安全事件”的定义可以一定程度上也参考《国家网络安全事件应急预案》中的定义:“对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件”。
6.m88 bonus防护措施:对于m88 bonus应用系统,《办法》要求企业采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。与《个人信息保护法》规定的“加密、去标识化等”措施相比,这些针对人脸信息的安全技术措施更为具体和全面。
7.备案m88 bonus:《办法》要求在人脸信息储存数量达到10万人之日起30个工作日向省级以上网信部门履行备案手续。在过去的规定中,个人信息的备案义务一般与数据出境行为相连。例如根据个人信息处理者的身份不同,以及所涉个人信息数量,是否涉及敏感个人信息或重要数据等因素,个人信息处理者在数据出境时应当与境外接收方签订个人信息标准合同并备案或者申报数据出境安全评估。本次规定则要求应用m88 bonus处理人脸信息的个人信息处理者,在本地储存的人脸信息数量达到阈值时就应当履行备案手续。储存数量也并非按年计算,而是累计计算,明确以存量数据作为触发备案的条件,这要求企业对其处理的人脸数据总量进行持续的动态追踪。备案触发的时点则为人脸信息存储量首次达到10万人的当日,30个工作日的备案时限就会开始起算。
《办法》规定了备案所需提交的文件,包括个人信息处理者基本情况、m88 bonus信息处理目的和方式、m88 bonus信息存储数量和安全保护措施、m88 bonus信息的处理规则和操作规程以及个人信息保护影响评估报告。《办法》提出的材料内容与个人信息保护影响评估报告中的内容有较高重叠,因此建议企业应当认真对待个人信息保护影响评估报告,以此减少重复的合规支出。关于备案的具体流程和方式,有待后续监管机关发布实施细则或指南予以明确。
其他合规要求
8.特殊人群(残疾人、老年人及未成年人)特殊保护:针对残疾人、老年人,《办法》要求m88 bonus信息处理者在履行告知义务时,应当符合国家有关无障碍环境建设的规定。结合2023年发布的《无障碍环境建设法》,我们理解此处“无障碍”是指条件具备的个人信息处理者应当同时采取语音、大字、盲文、手语等无障碍信息交流方式来履行告知义务。通过互联网履行告知义务的,则应当遵守《信息技术 互联网内容无障碍可访问性技术要求与测试方法》的规定,从通知的字体大小、颜色、布局、语音输入等方面将告知内容实现无障碍化,避免残疾人、老年人因缺少无障碍设施而无法给出有效的个人信息处理同意。
针对未成年人,《办法》要求基于个人同意处理不满十四周岁未成年人m88 bonus信息的,应当取得未成年人的父母或者其他监护人的同意。同时,个人信息处理者应当在处理这些个人信息时制定专门的处理规则,确保在存储、使用、转移、披露等方面保障未成年人信息安全。
9.身份验证场景:《办法》第11条规定,应用m88 bonus验证个人身份的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务。国家人口基础信息库是公安部牵头建设的数据库,覆盖全国人口,并以公民身份号码为唯一标识,是一个权威的国家级人口基础信息库。1国家网络身份认证公共服务同样是国家重点打造的基础设施,该平台能够根据法定身份证件信息,依托网络身份认证公共服务平台提供身份验证等服务,并确保使用过程中的身份信息安全、稳定。2024年国家网信办为进一步落实m88 bonus保护、推进网络可信身份战略的目标,发布了《国家网络身份认证公共服务管理办法(征求意见稿)》。尽管该法规尚未正式定稿施行,但是目前国家网络身份认证公共服务已经在一些APP上试点。2从实操意义来说,国家人口基础信息库和国家网络身份认证公共服务能够增强数据源的权威性,增强识别技术的可信任度,同时又减少企业为了构建私人数据库而不断重复收集m88 bonus信息的需求,阻断m88 bonus信息商业化收集的需求。
10.公共场所安装限制:与《个保法》第26条有关公共场所安全图像采集、个人识别设备的规定相衔接,《办法》对m88 bonus设备的安装场所做出限制,公共场所应当基于维护公共安全所必需才可安装,同时应当设置有显著提示标识。《办法》还提出,人脸信息采集区域的范围应当合理,不得滥用公共安全这一目的,大范围采集信息。对于公共场所的私密空间则是绝对禁止,例如宾馆客房、公共浴室、公共卫生间等具备高度隐私特征的场景绝对不可安装m88 bonus设备,没有例外。场景化的治理逻辑也是落实最小必要原则的具体措施。
四、结语
《办法》的出台填补了我国生物识别特征专项立法的空白,标志着技术场景化立法的进一步深化。作为《个保法》在m88 bonus领域的专项延伸,该法规不仅重申敏感个人信息处理需遵循的规则,更着重强化了“单独同意”要求的约束力。在数据安全维度,《办法》有机衔接《网络安全法》中对网络安全等级保护和关键信息基础设施保护的要求,明确规定m88 bonus系统应当采取数据加密、访问控制等安全技术,并依据规定履行相应义务。在技术创新方面,其第二条通过与《生成式人工智能管理暂行办法》形成制度呼应,通过相关豁免条款为算法训练保留创新空间。
后续,《办法》的具体实施效果还需配套细则与实践检验,我们将持续进行关注。
1. 参考:https://www.xinhuanet.com/politics/2017-11/21/c_1121989048.htm,2025年3月31日访问。
2. 参考:https://mp.weixin.qq.com/s/9yTv_JVxlkpwyjBp2oveJg,2025年3月31日访问。
