Китай утверждает новые правила технологий распознавания лиц

Документ вступает в силу 1 июня 2025 года и станет первым в стране комплексным нормативным актом, строго ограничивающим использование биометрических данных. Новые требования распространяются на все случаи обработки информации о лице с помощью технологий распознавания лиц в пределах территории КНР, за исключением научных и технических разработок, включая обучение алгоритмов. Основной акцент сделан на необходимости конкретной цели и строгой необходимости сбора таких данных, а также на соблюдении принципов минимального вмешательства и максимальной защиты прав личности, пишет Securitylab.

Перед использованием системы распознавания лица компании обязаны в явной форме и понятным языком сообщить пользователю, кто осуществляет обработку данных, зачем и как долго будут храниться сведения, какие последствия возможны, как реализуются права субъекта данных и как можно отказаться от обработки. Для детей младше 14 лет требуется отдельное согласие родителей или опекунов, с применением особых правил хранения и передачи информации.

Подчёркивается, что использование биометрии допустимо лишь при отсутствии альтернатив и только при наличии добровольного, осознанного и отдельного согласия. Если лицо отказывается от верификации по лицу, должны быть предложены другие удобные способы подтверждения личности. Кроме того, запрещается собирать и передавать изображения через интернет без весомых правовых оснований, а срок хранения данных не может превышать минимально необходимый для достижения цели.

Особое внимание уделено оценке рисков — перед запуском системы требуется провести так называемую оценку воздействия на защиту персональных данных и сохранять отчёты как минимум три года. При любом значительном изменении целей или способа обработки, а также при инцидентах безопасности такую оценку необходимо проводить повторно.

Установлено, что накапливать и использовать данные лиц не допускается в таких местах, как гостиничные номера, душевые, раздевалки и туалеты. Камеры допускается размещать только там, где это необходимо для общественной безопасности, с обязательной установкой предупреждающих знаков.

С технической стороны, все системы должны соответствовать требованиям защиты, включая шифрование, контроль доступа, аудит и средства предотвращения вторжений. При достижении порога в 100 000 хранимых лицевых образов компании обязаны в течение 30 рабочих дней пройти процедуру регистрации в региональном управлении по делам интернета.

Отдельной статьёй запрещается принуждать граждан к распознаванию лица под предлогом улучшения сервиса или выполнения обязательств. Также рекомендуется использовать государственные базы данных для минимизации объёмов хранения биометрии.