首页 > 数据合规 > 人脸识别数据保护

人脸识别数据保护

数据合规 最后更新: 2026-04-06 引用来源: 3

关联概念

生物识别信息保护敏感个人信息处理规则个人信息保护数据处理合法性基础
📋 显示/隐藏目录

人脸识别数据保护

最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:生物识别信息保护 | 敏感个人信息处理规则 | 个人信息保护 | 数据处理合法性基础
现行基准: 以《个人信息保护法》(2021年施行)、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(法释[2021]15号)为核心规范

核心法条

  • 《个人信息保护法》第28条:生物识别信息属于敏感个人信息 [现行有效]
  • 《个人信息保护法》第29条:处理敏感个人信息应当取得单独同意 [现行有效]
  • 《个人信息保护法》第26条:在公共场所安装图像采集设备,应当为维护公共安全所必需 [现行有效]
  • 《民法典》第1034条:生物识别信息受到民事法律保护 [现行有效]
  • 《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题规定》(法释[2021]15号,2021年8月1日施行):人脸识别技术处理个人信息的司法裁判规则 [现行有效]
  • 《信息安全技术 人脸识别数据安全要求》(GB/T 41819-2022):人脸识别数据安全技术要求 [现行有效]

规则沿革

时间节点 变化内容 依据
2020-05-28 《民法典》首次将生物识别信息纳入个人信息范畴 《民法典》第1034条
2021-08-01 人脸识别技术处理个人信息司法解释施行,确立民事救济规则 法释[2021]15号
2021-11-01 《个保法》将生物识别信息明确列为敏感个人信息 《个保法》第28条
2023-08-01 《人脸识别技术应用安全管理规定(试行)》生效,强化场景限制 国家网信办等部门

一、人脸识别数据的法律属性

敏感个人信息的特别保护

人脸信息作为生物识别信息的一种,具有唯一性、不变性、不可更改性等特征,一旦泄露将造成不可逆的损害。因此《个人信息保护法》将其归入敏感个人信息,适用更加严格的保护规则。

与其他生物识别信息的关系

类型 识别方式 法律适用
人脸识别 面部特征识别 《个保法》+ 人脸识别司法解释
指纹识别 指纹纹路识别 《个保法》敏感个人信息规则
虹膜识别 虹膜纹理识别 《个保法》敏感个人信息规则
声纹识别 声音特征识别 《个保法》敏感个人信息规则
掌纹识别 掌纹特征识别 《个保法》敏感个人信息规则

二、人脸识别技术应用的法律规则

合法性前提

使用人脸识别技术处理个人信息应当同时满足以下条件:

  1. 具有特定目的和充分必要性
  2. 取得个人单独同意(而非概括同意)
  3. 进行个人信息保护影响评估(PIA)
  4. 采取严格的保护措施

禁止"强制同意"

  • 物业服务企业等建筑物管理人不得以个人不同意作面部信息采集为由拒绝提供物业服务
  • 宾馆、商场、银行、车站、机场、体育场馆、图书馆等经营场所和公共场所的经营管理者不得强制要求以人脸识别作为唯一验证方式
  • 应以提供合理替代方式(如刷卡、密码等)作为补充

公共场所使用的特别限制

《个保法》第26条规定在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,并设置显著的提示标识。所收集的数据只能用于维护公共安全的目的,不得用于其他目的。

三、主要应用场景的合规要求

1. 物业服务领域

  • 不得将人脸识别作为业主出入小区的唯一验证方式
  • 采集前应告知并获取业主单独同意
  • 应保障业主选择其他验证方式的权利

2. 商业营销领域

  • 不得利用人脸识别技术进行不合理的差异化待遇
  • 商业场所不应未经告知和同意进行人脸抓拍和识别分析

3. 劳动用工领域

  • 用人单位利用人脸识别进行考勤管理应注意"合理必要"原则
  • 不得将人脸识别与劳动权益相绑定,强制劳动者接受

4. 疫情防控场景

  • 疫情期间人脸识别用于身份核验和体温检测具有合理性
  • 但疫情结束后应审视继续使用的必要性

四、侵权责任与司法救济

民事责任

法释[2021]15号明确了人脸识别技术处理个人信息的侵权责任:

  • 停止侵害:停止收集、使用、共享人脸信息
  • 排除妨碍:删除违法收集的人脸信息
  • 赔偿损失:造成实际损害的,应赔偿相应损失
  • 赔礼道歉:造成精神损害的,应承担相应的精神损害赔偿

举证责任

在人脸识别侵权案件中,适用举证责任倒置:信息处理者应当证明其处理行为符合法律规定。

检察机关公益诉讼

处理人脸信息侵害众多个人利益的,人民检察院、消费者协会和国家网信部门确定的组织可以依法提起个人信息保护民事公益诉讼

五、律师实务建议

  1. 全面审查:企业使用人脸识别技术前,应进行专项合规审查,确认目的正当性和手段必要性
  2. 单独同意:获取用户单独同意,不得通过概括同意或强制同意方式收集人脸信息
  3. 提供替代方案:为用户提供其他验证方式,不得将人脸识别作为唯一选项
  4. 数据安全措施:采取加密存储、访问控制等技术措施,防止数据泄露
  5. 定期评估:每年进行人脸识别数据安全专项评估,评估报告存档备查

知识库原始资料索引

权威法条

  • 中华人民共和国个人信息保护法

司法解释

  • 最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定

国家标准

  • 信息安全技术 人脸识别数据安全要求

引用资料: 3 项

参见 · 反向链接

← 人工智能生成内容(AIGC)合规
健康医疗数据合规 →