30 марта 2025 года Администрация киберпространства Китая (CAC) выпустила уведомление, уточняющее требования к подаче заявок для компаний, которые используют технологию распознавания лиц для обработки и хранения данных о лицах определенного количества людей.
Уведомление является дополнением к новому набору регулирование использования технологии распознавания лиц выпущенные 21 марта 2025 года CAC и Министерством общественной безопасности (MPS). Эти меры, называемые Меры по управлению безопасностью для применения технологии распознавания лиц («Меры по обеспечению безопасности»), которые вступят в силу 1 июня 2025 года, предназначены для защиты прав на личную информацию индивидов, обеспечивая при этом ответственное и законное применение технологии.
Уведомление предоставляет переходный период для компаний, которые достигли порога хранения данных о распознавании лиц для более чем 100,000 человек до 1 июня 2025 года, тем самым облегчая немедленное соблюдение требований.
Отдельно CAC также разработал руководство для компаний по завершению процедур регистрации, которое включает подробные инструкции по необходимым материалам и как завершить онлайн-регистрацию.
Требования к подаче заявок для компаний, хранящих информацию о распознавании лиц
Согласно статье 15 Мер по управлению безопасностью, компании, которые хранят данные о распознавании лиц более чем 100,000 человек, обязаны зарегистрироваться в провинциальной администрации киберпространства в течение 30 рабочих дней с даты достижения этого порога. Однако, чтобы облегчить переход, недавнее уведомление предоставляет продленный срок для компаний, которые достигли этого порога до 1 июня 2025 года.
Сроки регистрации следующие:
- С 1 июня 2025 года или после: Компании должны завершить регистрацию в течение 30 рабочих дней с даты, когда данные о распознавании лиц достигают 100,000 человек.
- До 1 июня 2025 года: Компании должны завершить регистрацию до 14 июля 2025 года.
Более того, уведомление предусматривает, что в случае существенного изменения зарегистрированной информации компания должна обновить регистрацию в течение 30 рабочих дней с даты изменения.
Если использование технологии распознавания лиц прекращается, компания должна завершить аннулирование регистрации в течение 30 рабочих дней с даты прекращения и обработать собранную информацию о лицах в соответствии с применимыми законами и нормативными актами.
Как зарегистрироваться в администрации киберпространства
Уведомление также уточняет, что процедуры регистрации могут быть завершены онлайн, посетив Систему защиты личной информации (). Регистрация должна быть выполнена в соответствии с Инструкции по заполнению системы подачи заявок на использование технологии распознавания лиц (Первое издание) («Инструкции по заполнению»), которые можно скачать с этого веб-сайта. В качестве альтернативы компании могут получить доступ к Системе защиты личной информации через Национальный зал государственных дел Администрации киберпространства () колонку на домашнюю страницу CAC.
Инструкции по заполнению указывают, что следующие материалы должны быть представлены при завершении онлайн-регистрации:
- Цифровая версия формы основной информации обработчика личной информации (шаблон предоставлен в Инструкциях по заполнению, Приложение 1);
- Цифровая версия формы записи о применении технологии распознавания лиц (шаблон предоставлен в Инструкциях по заполнению, Приложение 2);
- Цифровая версия Оценка воздействия на защиту личной информации (PIPIA) (шаблон предоставлен в Инструкциях по заполнению, Приложение 3);
- Сканированная копия оригинала или фотокопия Сертификата единого социального кредитного кода (с официальной печатью);
- Сканированная копия документа, удостоверяющего личность законного представителя или ответственного лица;
- Сканированная копия документа, удостоверяющего личность агента;
- Сканированная копия доверенности для агента (с официальной печатью) (шаблон предоставлен в Инструкциях по регистрации, Приложение 4);
- Сканированная копия письма о принятии обязательств (с официальной печатью) (шаблон предоставлен в Инструкциях по регистрации, Приложение 5); и
- Сканированные копии других соответствующих материалов.
Компании должны сначала зарегистрировать учетную запись в Системе защиты персональной информации, прежде чем они смогут войти в систему и загрузить вышеуказанные документы.
Материалы будут проверены в течение 15 рабочих дней с даты их подачи. Компании могут увидеть, были ли документы приняты, просмотрев столбец «Статус», который будет отображать либо «Регистрация завершена», «Возвращено для улучшения» или «Проверка не пройдена», в зависимости от результатов проверки материалов.
«Регистрация завершена» означает, что процедуры регистрации прошли успешно. Если статус показывает «Возвращено для улучшения», заявитель должен предоставить требуемые дополнительные материалы в течение 10 рабочих дней. Если заявитель не предоставит материалы в установленный срок, процедура регистрации будет прекращена.
Если статус показывает «Проверка не пройдена», это означает, что материалы не соответствуют требованиям, и процедура регистрации будет автоматически прекращена.
Проведение PIPIA
Согласно Закону о защите персональной информации Китая (PIPL), компании, занимающиеся определенными видами обработки персональной информации, обязаны проводить PIPIA. Содержание PIPIA зависит от типа и объема деятельности по обработке, но обычно включает оценку того, являются ли цели и методы обработки персональной информации законными, легитимными и необходимыми, потенциальное воздействие на личные права и риски безопасности, а также являются ли защитные меры, принятые для защиты персональной информации, законными, эффективными и соразмерными уровню риска.
Инструкции по регистрации предоставили конкретный шаблон для проведения PIPIA для обработки информации о распознавании лиц. Шаблон в основном включает те же требования для оценки мер по защите персональной информации и других процедур правового соответствия, но также требует от компаний раскрытия:
- Основные технические спецификации
- Сбор, использование и хранение персональных (лицевых) данных
- Стандартные операционные процедуры для ввода данных, распознавания лиц, обработки результатов, хранения данных, реагирования на риски и конфиденциальности
- Цель, метод и правовая/этическая основа для сбора данных о лицах
- Использование данных о лицах для автоматизированного принятия решений
- Детали о инфраструктуре хранения, платформах и поставщиках технологий
Облегчение перехода для компаний
Уведомление отражает усилия правительства по достижению баланса между нормативным контролем и практической реализацией. Предоставляя льготный период для компаний, достигших порога данных до 1 июня 2025 года, и предоставляя подробные инструкции через Инструкции по регистрации, власти помогают бизнесу ориентироваться в соблюдении требований без ненужных сбоев в операциях.