中国人脸识别新规:企业领导者的关键指南

中国人脸识别新规:企业领导者的关键指南

5. September 2025

自2025年6月1日起,中国正式施行了一项全面监管人脸识别技术使用的框架。这一新规由国家互联网信息办公室和公安部联合发布,正式命名为《人脸识别技术应用安全管理办法》,在全球范围内属于最为严格的同类法规之一。对于在中国运营的企业来说,这些变化既带来了风险,也带来了机遇,需要企业高管立即关注。

更多信息

联系方式

Richard Hoffmann
Richard Hoffmann
Partner, Lawyer in Heidelberg, Ladenburg
Tel.: +49 6203 95561 2600
Advisor Search

为什么这对你的业务至关重要?

人脸识别不再只是一个用于门禁控制、考勤或客户互动的轻度监管工具。新的法规标志着一个向用户自主性、数据透明度和国家监督合规性的急剧转变。目前以任何形式使用人脸识别的企业,无论是用于员工管理、客户识别还是服务个性化,都必须为重大运营调整做好准备,否则将面临严重的法律和财务后果。

政策的核心原则是:人脸识别技术的使用应严格限定在绝对必要的场景中。仅仅为了方便或自动化而使用人脸识别技术已不再被接受。企业必须提供令人信服且有明确记录的使用理由,并且必须始终为用户提供替代识别方式,例如身份证或个人识别码。这意味着人脸识别技术不能再作为默认选项,也不能被强制要求用于获取服务或设施。

同意与沟通:不再有捷径

新框架中最关键的商业要素之一是强制性的知情同意要求。在收集任何面部数据之前,企业必须向用户明确披露以下信息:

  • 数据控制者的名称和联系方式;
  • 数据收集的具体目的和范围;
  • 数据将被存储的期限;
  • 谁将能够访问这些数据;
  • 个人的权利,包括撤销同意或要求删除的权利。

至关重要的是,同意必须是用户自愿、明确且可验证的。预先勾选的选项框、模糊的通知或捆绑同意的做法是被明确禁止的。如果企业的系统尚未为精细化的同意管理做好准备,那么现在是进行更新和投资的适当时机。

存储、本地化和互联网传输限制

该法规还对数据存储提出了严格要求,这可能会影响企业的基础设施战略:

  • 人脸识别数据必须在本地存储,优先选择设备内部或中国的服务器。
  • 除非法律明确允许或获得用户的书面同意,否则禁止通过互联网传输人脸识别数据。
  • 数据保留期限必须严格限制在实现其目的所必需的最短时间内,并且在目的达成后必须立即删除。

依赖集中化数据平台或全球生物识别认证系统的国际公司,需要重新配置其系统,以确保符合中国的数据本地化要求,否则将面临违规风险。

高数据量收集者面临严格监管

如果贵公司存储了超过10万人的人脸识别数据,将被纳入一个特殊的监管类别,并需在省级网信部门进行登记。在30个工作日内,企业必须提交一份详细报告,涵盖数据收集方法、存储系统、加密标准及内部控制等内容。当停止使用人脸识别技术时,企业需正式办理注销手续,并证明所有生物识别数据已被安全且不可逆地删除。

这意味着大型企业需要组建或强化合规团队,以应对审计准备、内部监控和监管报告等任务,确保持续合规。

合规风险:远不止罚款

不合规的财务风险极高,罚款金额可高达人民币5000万元或年收入的5%,以较高者为准。然而,除了巨额罚款外,忽视或准备不足的企业还将面临声誉受损、运营中断,甚至可能被吊销营业执照等严重后果。

此外,如果发生涉及人脸识别数据的安全漏洞,法规要求企业必须在24小时内向相关监管部门报告。这一规定将促使企业重新审视其事件响应策略和网络安全保险政策,以确保在发生数据泄露时能够迅速、有效地应对。

就业和工作场所的影响

在中国的工作场所,人脸识别技术被广泛应用于考勤、记录出勤和设施访问。根据新法规,雇主必须为那些选择不使用生物识别系统的员工提供替代方案。此外,雇主还需要清晰地向员工说明以下几点:

  • 员工面部数据的具体使用方式;
  • 公司内部哪些人员有权访问这些数据;
  • 如何处理数据删除或员工撤销同意的情况。

这意味着人力资源部门需要接受相关培训以妥善管理这些流程,同时信息技术系统可能需要重新设计,以便将生物识别验证路径与非生物识别验证路径区分开来。对于中小企业而言,这些变化可能意味着需要在技术和员工培训方面进行优化。

对特定行业的影响

零售、金融和酒店等行业因频繁使用人脸识别技术来提供个性化服务,将面临诸多挑战。零售商不再能在未获得客户明确、具体同意的情况下分析其表情或行为。金融机构若通过面部扫描验证客户身份,如今需证明其必要性,并准备备用验证机制。

开发人脸识别算法的科技公司也需重新评估其训练数据集,确保所用数据符合新的同意标准。对于跨国公司而言,在满足中国本地化和同意要求的同时,保持市场运营的一致性将变得尤为复杂。

此外,某些人脸识别应用已被明确禁止,例如推断情绪或基于种族、宗教、健康状况对人进行分类的系统,这些行为都将被视为歧视性且非法的。

战略应对:领导者现在应该做什么

鉴于法规的复杂性和潜在风险,企业领导者应积极采取以下行动以确保合规:

  • 对组织内所有当前及计划中的人脸识别使用情况进行全面审计。
  • 评估数据流向和存储位置,确保符合本地化规则。
  • 更新同意机制、用户披露和隐私政策。
  • 对内部团队,特别是人力资源、信息技术和合规团队进行新义务的培训。
  • 重新评估供应商关系,尤其是涉及第三方生物识别系统的供应商。
  • 制定应急计划,包括在无法及时全面合规时暂停或缩减生物识别运营。

最后的思考

中国新的人脸识别法规向商业界传递了一个明确的信息:创新值得鼓励,但不能以牺牲个人隐私和数据安全为代价。尽管这些规则增加了复杂性,但它们也提供了一条更清晰的监管路径,有助于重建公众对生物识别技术的信任。

对于那些能够迅速适应这些变化的企业而言,不仅有机会规避潜在风险,还能树立起负责任的技术领导者形象,在一个愈发强调道德治理的市场环境中脱颖而出。

获取快讯

订阅!

欢迎联系我们

ECOVIS Heidelberg团队可以为您提供专业支持,如果您对法律、税务和企业咨询有任何疑问,请随时联系我们!

联系我们

相关帖子

AdobeStock_346111121_Pcess609-scaled.jpeg

中国增值税新法:向更清晰的税收体系迈进

2026年1月1日,中国将实施新的《增值税法》,取代现行的《增值税暂行条例》。这一变化标志着中国税收体系从行政法规向国家立法的重大转变,使税收制度更加统一、具有法律权威性,并提高可预测性。
AdobeStock_482316777_Cagkan-scaled.jpeg

德国公司的重要年度法定义务

德国公司必须遵守《德国商法典》(Handelsgesetzbuch – HGB)和《有限责任公司法》(GmbH-Gesetz)规定的多项义务。Ecovis 的顾问对此提供详细的说明。
AdobeStock_274406420_diy13-scaled.jpeg

在德国注销GmbH公司:管理层必须了解的要点

注销一家有限责任公司(GmbH)是许多企业家职业生涯中的最后一步,无论是因为退休、市场环境变化,还是为了职业重启。虽然在德国注销GmbH并最终从商业登记册中删除是有明确法律规定的过程,但操作中仍然存在诸多法律和实际的陷阱。
X