图：杭州万象城的肯德基KPRO餐厅，顾客可“刷脸支付”。

　　内地“刷脸”新规正式出台。中国国家互联网信息办公室、中国公安部近日联合公布《人脸识别技术应用安全管理办法》，其中针对民众普遍关注的强制刷脸问题，规定实现相同目的或达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式，保障个人隐私权益。

　　据悉，管理办法将于2025年6月1日起施行。专家认为，办法的出台是技术治理的里程碑式进步，既回应了民众对个人隐私安全的关切，又为技术创新留出空间。\大公报记者 赵一存北京报道

　　近年来，人脸识别技术应用在消费、金融、出行等社会各领域快速普及，引发了民众对侵犯隐私、洩露个人信息的担忧。国家互联网信息办有关负责人表示，人脸识别技术应用与人脸信息安全紧密相关，为规范应用人脸识别技术处理人脸信息活动，保护个人信息权益，此番出台的管理办法对应用人脸识别技术处理人脸信息的基本要求和处理规则、应用安全规范、监督管理职责等作出规定。

　　记者看到，上述管理办法明确，应用人脸识别技术处理人脸信息活动，应遵守法律法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行个人信息保护义务，承担社会责任，不得危害国家安全、损害公共利益、侵害个人合法权益。

　　资料不得通过互联网对外传输

　　同时，管理办法还明确了应用人脸识别技术处理人脸信息的处理规则，采取对个人权益影响最小的方式，并实施严格保护措施，还要履行告知义务。基于个人同意处理人脸信息的，应取得个人在充分知情的前提下自愿、明确作出的单独同意。对于基于个人同意处理不满十四周岁未成年人人脸信息的，应取得未成年人的父母或其他监护人的同意。

　　管理办法强调，除法律、行政法规另有规定或取得个人单独同意外，人脸信息应存储于人脸识别设备内，不得通过互联网对外传输。除法律、行政法规另有规定外，人脸信息的保存期限不得超过实现处理目的所必需的最短时间。

　　针对民众普遍关心的“刷脸”住宿、进小区等人脸识别技术应用场景泛化、强制使用等问题，管理办法明确了人脸识别技术应用的非强制原则，规定实现相同目的或达到同等业务要求，存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的，应提供其他合理、便捷的方式。

　　另外，这份管理办法还明确了监督管理职责，提出个人信息处理者应在应用人脸识别技术处理的人脸信息存储数量达到10万人之日起30个工作日内向所在地省级以上网信部门履行备案手续。网信部门会同公安机关和其他履行个人信息保护职责的部门，建立健全信息共享和通报工作机制，协同开展相关工作。

　　专家：有效降低数据洩露风险

　　国家数据要素领域权威专家向大公报表示，人脸识别新规有效回应了社会上关于“刷脸”场景泛化，包括酒店、商场强制采集人脸，以及小区或大厦强制刷脸等引发的争议，回应了民众对个人隐私安全的关切，保障了公民基本权益。同时又为技术创新留出空间，引导企业及相关机构在应用中减少对单一技术的过度依赖，促进多元化发展技术应用。对于管理办法强调人脸信息原则上应存储于本地设备内，不得通过互联网传输，他认为这一规定将有效降低数据洩露风险，不过，如何保障本地存储设备的安全性，比如防篡改及物理窃取等，仍需进一步细化标准。同时，还需要配套的抽查机制和严厉的违规处罚措施，以保障管理办法有效落地实施。