✅ 合规情形
法人或非法人组织累计存储人脸信息达到10万人,需在达标之日起30个工作日内备案。同一主体下属分支机构(含子公司)的存储量需合并计算,禁止通过“拆分存储”规避备案。例如:某连锁企业20家门店各存储6万人脸信息,累计达120万,需由总部统一备案。
❌ 违规案例
某房地产公司将15万客户人脸信息拆分至3家子公司,每家存储5万以规避备案,被监管部门合并计算后认定达标,最终罚款200万元,并暂停人脸识别功能。
二、高风险场景阈值:特定场景无需达标即备案✅ 合规情形
即使未达存储规模,但涉及公共安全(机场安检、政务服务)、金融服务(远程开户、支付验证)、公共服务(校园门禁、医院就诊) 等场景,无论存储量多少均需备案。例如:某政务大厅使用人脸识别取号,即使仅存储500人脸信息仍需备案。
❌ 违规案例
某银行将人脸识别作为远程开户唯一验证方式,未备案且未提供替代方案,被银保监会罚款80万元,并要求增加密码+短信验证双因子方案。
三、申请时限:达标后30个工作日内提交📅 法定时限
新增备案:存储量达标或高风险场景系统上线后,30个工作日内登录国家网信办“个人信息保护业务系统”提交申请(系统入口:https://grxxbh.cacdtsc.cn)。
历史存量补备:2025年6月1日前已达标主体,需在2025年7月14日前完成补备案,逾期将面临功能暂停风险。
四、材料提交截止时间:与申请同步完成📅 关键节点
申请时需一次性上传5类材料,包括:
个人信息保护影响评估报告(需论证“非人脸识别不可的业务逻辑”)
安全防护方案(含AES-256加密、访问权限分级)
经办人授权委托书(需加盖公章,自然人签字无效)
存储资质证明(自建服务器需等保2.0三级证明)
第三方合作协议(如有,需明确责任划分)
材料不全将被退回,补正时间计入30个工作日时限,超期未提交视为未备案
五、变更备案时限:信息变更后30个工作日内更新📅 动态调整要求
备案信息发生实质性变更(如存储地点从本地迁云端、新增高风险场景),需在变更之日起30个工作日内办理变更手续。例如:某小区物业将人脸识别从门禁扩展至停车缴费,未及时变更备案被业主投诉,整改30天期间恢复人工核验,额外支出人力成本12万元。
六、注销备案时限:终止使用后30个工作日内注销📅 终止要求
停止使用人脸识别技术的,需在终止之日起30个工作日内办理注销备案,并依法删除或匿名化处理存量人脸信息。某科技公司停用系统后未注销备案,被监管部门认定“违规留存数据”,罚款5万元。