上海科技公司负责人最近都在问:涉及人脸识别到底要不要备案?
答案是:取决于企业存储的人脸信息数量是否达到10万人。以下是具体规定和操作指南:
一、备案核心触发条件:10万人脸信息存储量
根据《人脸识别技术应用安全管办法》(国家网信办与公安部联合发布),企业需同时满足以下两点才须备案:
- 业务涉及人脸识别技术:例如身份验证、安防监控、用户身份辨识等场景;
- 存储的人脸信息达到10万人:
- 统计范围包括人脸原始图像、特征向量等可识别个体的生物信息;
- 即时删除的数据无需计入(如实时验证后立即销毁)。
常见误区澄清:
- 问:是否所有人脸识别企业都要备案?
答:否!仅存储量≥10万人的企业需备案,小型技术开发商或即用即删场景无需操作。
- 问:本地存储(非云端)是否豁免备案?
答:否!只要存储量达标,无论存储位置均须备案。
二、备案时间要求:存量企业紧急,增量企业30日内完成
- 存量企业(2025年6月1日前已达标):
最晚2025年7月14日前完成备案(仅剩约15天)。
- 新增企业(2025年6月1日后达标):
自存储量达到10万人之日起30个工作日内备案。
⚠️ 逾期未备案将面临网信部门警告、责令暂停业务,甚至依据《个人信息保护法》处以最高5000万元罚款。
三、备案操作流程:全程线上提交,上海网信办审核
步骤1:准备9类核心材料
企业需通过“个人信息保护业务系统”(https://grxxbh.cacdtsc.cn<svg></svg>)提交以下文件:
- 个人信息处理者基本情况表(含法定代表人、经办人信息);
- 人脸识别技术应用情况备案表(处理目的、存储数量、安全措施);
- 个人信息保护影响评估报告(需按模板编写);
- 统一社会信用代码证件影印件(加盖公章);
- 法定代表人或负责人身份证件扫描件;
- 经办人授权委托书及身份证件。
步骤2:合并备案与集团化申报
- 集团公司可统一合并备案下属子公司业务,减少重复操作;
- 关联企业(如连锁门店)若处理规则一致,可联合申报。
步骤3:15日内获取备案结果
提交后网信部门将在15日内反馈状态:
- ✅ 备案完成:获得备案编号,系统公开可查;
- ⚠️ 退回完善:10日内补充材料;
- ❌ 审核未通过:终止备案,需重新申请。
四、合规延伸要求:超出备案的必做动作
即使未达10万存储量,企业仍须遵守以下规定:
- 个人信息保护影响评估(PIA):
- 评估人脸信息处理的合法性、风险及保护措施有效性;
- 报告需保存至少3年。
- 技术安全措施:
- 数据加密、访问控制、入侵检测系统(如部署等保2.0三级标准);
- 禁止在私密空间安装设备:如宾馆客房、公共浴室、卫生间等。
- 用户同意与替代方案:
- 必须提供人脸识别外的其他身份验证方式(如密码、刷卡);
- 不得以“提升服务”为由强制采集人脸信息。
五、企业快速落地建议
- 立即核查数据存量:通过日志系统统计当前人脸信息存储量;
- 联系专业合规服务机构:
- 推荐正金财务公司,提供备案材料编写、PIA报告生成、系统安全整改等一站式服务;
- 优先使用国家认证平台:
- 接入国家人口基础信息库或国家网络身份认证公共服务,减少本地存储压力。
上海网信办咨询通道已开通(电话详见官网),建议企业预留20个工作日完成全流程,避免扎堆申报影响进度。
