2026年,企业收集和使用人脸数据的新规定主要依据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规,并结合相关国家标准和行业规定。以下是关键要点总结:
一、主要法律法规依据
《个人信息保护法》
- 知情同意原则:收集人脸信息需取得个人单独同意,不得以概括授权方式获取。
- 最小必要原则:只能基于特定目的(如安防、身份验证)收集,不得过度收集。
- 敏感信息保护:人脸信息属于“生物识别信息”,被列为敏感个人信息,需采取严格保护措施。
- 单独告知义务:需明确告知处理目的、方式、存储期限等。
《数据安全法》
- 分类分级保护:人脸数据属于重要数据,需根据风险级别采取相应安全措施。
- 出境限制:人脸数据如需出境,需通过安全评估或获得批准。
《网络安全法》
- 主体责任:网络运营者需确保数据安全,防止泄露、篡改或丢失。
二、具体合规要求
收集阶段
- 明示告知:通过弹窗、协议等方式清晰说明收集目的、范围。
- 单独同意:不得将人脸信息同意与其他条款捆绑。
- 公共场所提示:在公共场所收集时需设置显著提示标识。
使用与存储
- 目的限制:不得超出告知范围使用,不得用于未声明的商业营销。
- 加密存储:需采取技术措施(如匿名化、加密)保障安全。
- 存储期限:在实现目的后应及时删除或匿名化。
第三方处理
- 审计与监督:委托第三方处理时需确保其合规,并签订数据保护协议。
- 共享与转移限制:未经用户再次同意,不得向第三方提供人脸数据。
安全保护措施
- 定期风险评估:企业需定期开展数据安全影响评估。
- 事件应急预案:制定数据泄露等事件的应急响应机制。
三、特殊场景规定
公共场所监控
- 需遵守《公共安全视频图像信息系统管理条例》,仅限于公共安全目的。
- 不得用于商业分析(如顾客行为追踪)等未经授权的用途。
技术开发与训练
- 使用人脸数据训练AI模型需脱敏处理,或使用合规数据库(如经授权的科研数据集)。
未成年人保护
- 收集未成年人信息需取得监护人同意,并采取更严格保护措施。
四、违规处罚
- 行政处罚:违法处理人脸信息最高可处5000万元以下或上一年度营业额5%以下罚款,并责令停业整顿。
- 刑事责任:如构成犯罪,依法追究相关责任。
- 民事赔偿:侵犯个人权益的需承担赔偿。
五、企业合规建议
内部制度完善
技术防护升级
员工培训
合规审计
六、行业标准参考
- 国家标准:《信息安全技术 个人信息安全规范》(GB/T 35273-2020)对人脸信息处理提出细化要求。
- 行业指引:金融、交通等行业可能出台更具体的操作指南。
总结:2026年企业处理人脸数据需遵循“合法、正当、必要”原则,强化用户授权与安全保护,避免滥用或泄露。建议企业及时关注监管部门(如网信办、工信部)的最新动态,确保合规运营。
