Лицо под защитой закона: Китай определил новые границы цифровой идентификации
Китай запускает закон о контроле за распознаванием лиц.
В Китае утверждены новые правила, регулирующие использование технологий распознавания лиц. Документ вступает в силу 1 июня 2025 года и станет первым в стране комплексным нормативным актом, строго ограничивающим использование биометрических данных.
Новые требования распространяются на все случаи обработки информации о лице с помощью технологий распознавания лиц в пределах территории КНР, за исключением научных и технических разработок, включая обучение алгоритмов. Основной акцент сделан на необходимости конкретной цели и строгой необходимости сбора таких данных, а также на соблюдении принципов минимального вмешательства и максимальной защиты прав личности.
Перед использованием системы распознавания лица компании обязаны в явной форме и понятным языком сообщить пользователю, кто осуществляет обработку данных, зачем и как долго будут храниться сведения, какие последствия возможны, как реализуются права субъекта данных и как можно отказаться от обработки. Для детей младше 14 лет требуется отдельное согласие родителей или опекунов, с применением особых правил хранения и передачи информации.
Подчёркивается, что использование биометрии допустимо лишь при отсутствии альтернатив и только при наличии добровольного, осознанного и отдельного согласия. Если лицо отказывается от верификации по лицу, должны быть предложены другие удобные способы подтверждения личности. Кроме того, запрещается собирать и передавать изображения через интернет без весомых правовых оснований, а срок хранения данных не может превышать минимально необходимый для достижения цели.
Особое внимание уделено оценке рисков — перед запуском системы требуется провести так называемую оценку воздействия на защиту персональных данных и сохранять отчёты как минимум три года. При любом значительном изменении целей или способа обработки, а также при инцидентах безопасности такую оценку необходимо проводить повторно.
Установлено, что накапливать и использовать данные лиц не допускается в таких местах, как гостиничные номера, душевые, раздевалки и туалеты. Камеры допускается размещать только там, где это необходимо для общественной безопасности, с обязательной установкой предупреждающих знаков.
С технической стороны, все системы должны соответствовать требованиям защиты, включая шифрование, контроль доступа, аудит и средства предотвращения вторжений. При достижении порога в 100 000 хранимых лицевых образов компании обязаны в течение 30 рабочих дней пройти процедуру регистрации в региональном управлении по делам интернета.
Отдельной статьёй запрещается принуждать граждан к распознаванию лица под предлогом улучшения сервиса или выполнения обязательств. Также рекомендуется использовать государственные базы данных для минимизации объёмов хранения биометрии.
Контроль за соблюдением положений будет осуществляться органами по защите персональных данных и общественной безопасности. Граждане имеют право на подачу жалоб и обращений при нарушениях. За несоблюдение норм предусмотрена административная и уголовная ответственность в соответствии с действующим законодательством.