เมื่อวันที่ 30 มีนาคม 2025 สำนักงานบริหารไซเบอร์สเปซแห่งประเทศจีน (CAC) ได้ออกประกาศชี้แจงข้อกำหนดการยื่นเอกสารสำหรับบริษัทที่ใช้เทคโนโลยีการจดจำใบหน้าเพื่อประมวลผลและจัดเก็บข้อมูลใบหน้าของบุคคลจำนวนหนึ่ง
ประกาศนี้เป็นส่วนเสริมของชุดใหม่ของ ระเบียบเกี่ยวกับการใช้เทคโนโลยีการจดจำใบหน้า ที่ออกเมื่อวันที่ 21 มีนาคม 2025 โดย CAC และกระทรวงความมั่นคงสาธารณะ (MPS) มาตรการเหล่านี้เรียกว่ามาตรการการจัดการความปลอดภัยสำหรับการใช้เทคโนโลยีการจดจำใบหน้า (“มาตรการการจัดการความปลอดภัย”) ซึ่งมีผลบังคับใช้ในวันที่ 1 มิถุนายน 2025 ออกแบบมาเพื่อปกป้องสิทธิข้อมูลส่วนบุคคลของบุคคลในขณะที่รับรองว่าเทคโนโลยีถูกนำไปใช้ด้วยความรับผิดชอบและถูกต้องตามกฎหมาย
ประกาศให้ระยะเวลาการเปลี่ยนผ่านสำหรับบริษัทที่ถึงเกณฑ์การจัดเก็บข้อมูลการจดจำใบหน้ามากกว่า 100,000 บุคคลก่อนวันที่ 1 มิถุนายน 2025 เพื่อบรรเทาภาระการปฏิบัติตามข้อกำหนดทันที
แยกต่างหาก CAC ยังได้จัดทำคู่มือสำหรับบริษัทเพื่อทำขั้นตอนการลงทะเบียน ซึ่งรวมถึงคำแนะนำโดยละเอียดเกี่ยวกับเอกสารที่ต้องการและวิธีการทำการลงทะเบียนออนไลน์
ข้อกำหนดการยื่นเอกสารสำหรับบริษัทที่จัดเก็บข้อมูลการจดจำใบหน้า
ภายใต้มาตรา 15 ของมาตรการการจัดการความปลอดภัย บริษัทที่จัดเก็บข้อมูลการจดจำใบหน้ามากกว่า 100,000 บุคคลต้องลงทะเบียนกับการบริหารไซเบอร์สเปซระดับจังหวัดภายใน 30 วันทำการนับจากวันที่ถึงเกณฑ์นี้ อย่างไรก็ตาม เพื่อบรรเทาการเปลี่ยนผ่าน ประกาศล่าสุดให้ขยายกำหนดเวลาสำหรับบริษัทที่ถึงเกณฑ์นี้ก่อนวันที่ 1 มิถุนายน 2025
กำหนดเวลาการลงทะเบียนมีดังนี้:
- ตั้งแต่วันที่ 1 มิถุนายน 2025 เป็นต้นไป: บริษัทต้องทำการลงทะเบียนภายใน 30 วันทำการนับจากวันที่ข้อมูลการจดจำใบหน้าถึง 100,000 บุคคล
- ก่อนวันที่ 1 มิถุนายน 2025: บริษัทต้องทำการลงทะเบียนภายในวันที่ 14 กรกฎาคม 2025
นอกจากนี้ ประกาศยังระบุว่าหากมีการเปลี่ยนแปลงที่สำคัญในข้อมูลที่ลงทะเบียน บริษัทต้องอัปเดตการลงทะเบียนภายใน 30 วันทำการนับจากวันที่เกิดการเปลี่ยนแปลง
หากการใช้เทคโนโลยีการจดจำใบหน้าถูกยกเลิก บริษัทต้องดำเนินการยกเลิกการลงทะเบียนภายใน 30 วันทำการนับจากวันที่สิ้นสุด และจัดการข้อมูลใบหน้าที่เก็บรวบรวมตามกฎหมายและระเบียบที่เกี่ยวข้อง
วิธีการลงทะเบียนกับการบริหารไซเบอร์สเปซ
ประกาศยังชี้แจงว่าขั้นตอนการลงทะเบียนสามารถทำได้ทางออนไลน์โดยการเยี่ยมชมระบบธุรกิจการคุ้มครองข้อมูลส่วนบุคคล (). การลงทะเบียนต้องทำตามคำแนะนำสำหรับการกรอกระบบการยื่นเอกสารการใช้เทคโนโลยีการจดจำใบหน้า (ฉบับแรก) (“คำแนะนำการยื่นเอกสาร”) ซึ่งสามารถดาวน์โหลดได้จากเว็บไซต์นี้ หรือบริษัทสามารถเข้าถึงระบบธุรกิจการคุ้มครองข้อมูลส่วนบุคคลผ่านทางหอการบริหารรัฐบาลไซเบอร์สเปซแห่งชาติ () คอลัมน์บนหน้าแรกของ CAC.
คำแนะนำการยื่นเอกสารระบุว่าต้องส่งเอกสารต่อไปนี้เมื่อทำการลงทะเบียนออนไลน์:
- เวอร์ชันดิจิทัลของแบบฟอร์มข้อมูลพื้นฐานของผู้ประมวลผลข้อมูลส่วนบุคคล (แม่แบบที่ให้ไว้ในคำแนะนำการยื่นเอกสาร, ภาคผนวก 1);
- เวอร์ชันดิจิทัลของแบบฟอร์มบันทึกการใช้เทคโนโลยีการจดจำใบหน้า (แม่แบบที่ให้ไว้ในคำแนะนำการยื่นเอกสาร, ภาคผนวก 2);
- เวอร์ชันดิจิทัลของ การประเมินผลกระทบการคุ้มครองข้อมูลส่วนบุคคล (PIPIA) (แม่แบบที่ให้ไว้ในคำแนะนำการยื่นเอกสาร, ภาคผนวก 3);
- สำเนาสแกนของต้นฉบับหรือสำเนาของใบรับรองรหัสเครดิตสังคมแบบครบวงจร (ประทับตราด้วยตราประทับทางการ);
- สำเนาสแกนของเอกสารประจำตัวของตัวแทนทางกฎหมายหรือบุคคลที่รับผิดชอบ;
- สำเนาสแกนของเอกสารประจำตัวของตัวแทน;
- สำเนาสแกนของหนังสือมอบอำนาจสำหรับตัวแทน (ประทับตราด้วยตราประทับทางการ) (แม่แบบที่ให้ไว้ในคำแนะนำการยื่น, ภาคผนวก 4);
- สำเนาสแกนของหนังสือรับรอง (ประทับตราด้วยตราประทับทางการ) (แม่แบบที่ให้ไว้ในคำแนะนำการยื่น, ภาคผนวก 5); และ
- สำเนาสแกนของเอกสารที่เกี่ยวข้องอื่น ๆ
บริษัทต้องลงทะเบียนบัญชีในระบบธุรกิจคุ้มครองข้อมูลส่วนบุคคลก่อนจึงจะสามารถเข้าสู่ระบบและอัปโหลดเอกสารข้างต้นได้
เอกสารจะได้รับการตรวจสอบภายใน 15 วันทำการนับจากวันที่ส่ง บริษัทสามารถดูได้ว่าเอกสารได้รับการยอมรับหรือไม่โดยดูที่คอลัมน์ “สถานะ” ซึ่งจะแสดงว่า “การยื่นเสร็จสมบูรณ์”, “ส่งคืนเพื่อปรับปรุง” หรือ “การตรวจสอบล้มเหลว” ขึ้นอยู่กับผลการตรวจสอบเอกสาร
“การยื่นเสร็จสมบูรณ์” หมายถึงขั้นตอนการลงทะเบียนสำเร็จแล้ว หากสถานะแสดงว่า “ส่งคืนเพื่อปรับปรุง” ผู้สมัครต้องจัดเตรียมเอกสารเพิ่มเติมที่จำเป็นภายใน 10 วันทำการ หากผู้สมัครไม่สามารถจัดเตรียมเอกสารเพิ่มเติมภายในระยะเวลาที่กำหนด ขั้นตอนการยื่นจะถูกยกเลิก
หากสถานะแสดงว่า “การตรวจสอบล้มเหลว” หมายความว่าเอกสารไม่เป็นไปตามข้อกำหนดและขั้นตอนการลงทะเบียนจะถูกยกเลิกโดยอัตโนมัติ
การดำเนินการ PIPIA
ภายใต้กฎหมายคุ้มครองข้อมูลส่วนบุคคลของจีน (PIPL) บริษัทที่มีส่วนร่วมในกิจกรรมการประมวลผลข้อมูลส่วนบุคคลบางอย่างจำเป็นต้องดำเนินการPIPIAเนื้อหาของ PIPIA ขึ้นอยู่กับประเภทและขอบเขตของกิจกรรมการประมวลผล แต่โดยทั่วไปจะรวมถึงการประเมินว่าจุดประสงค์และวิธีการประมวลผลข้อมูลส่วนบุคคลนั้นถูกกฎหมาย ชอบด้วยกฎหมาย และจำเป็นหรือไม่ ผลกระทบที่อาจเกิดขึ้นต่อสิทธิส่วนบุคคลและความเสี่ยงด้านความปลอดภัย และมาตรการป้องกันที่ดำเนินการเพื่อปกป้องข้อมูลส่วนบุคคลนั้นถูกกฎหมาย มีประสิทธิภาพ และสอดคล้องกับระดับความเสี่ยงหรือไม่
คำแนะนำการยื่นได้จัดเตรียมแม่แบบเฉพาะสำหรับการดำเนินการ PIPIA สำหรับการประมวลผลข้อมูลการจดจำใบหน้า แม่แบบนี้ส่วนใหญ่รวมถึงข้อกำหนดเดียวกันสำหรับการประเมินมาตรการคุ้มครองข้อมูลส่วนบุคคลและขั้นตอนการปฏิบัติตามกฎหมายอื่น ๆ แต่ยังต้องการให้บริษัทเปิดเผย:
- ข้อกำหนดทางเทคนิคพื้นฐาน
- การเก็บรวบรวม การใช้ และการจัดเก็บข้อมูลส่วนบุคคล (ใบหน้า)
- ขั้นตอนการปฏิบัติงานมาตรฐานสำหรับการป้อนข้อมูล การจดจำใบหน้า การประมวลผลผลลัพธ์ การจัดเก็บข้อมูล การตอบสนองต่อความเสี่ยง และการรักษาความลับ
- วัตถุประสงค์ วิธีการ และพื้นฐานทางกฎหมาย/จริยธรรมในการเก็บรวบรวมข้อมูลใบหน้า
- การใช้ข้อมูลใบหน้าสำหรับการตัดสินใจอัตโนมัติ
- รายละเอียดเกี่ยวกับโครงสร้างพื้นฐานการจัดเก็บ แพลตฟอร์ม และผู้ให้บริการเทคโนโลยี
การผ่อนคลายการเปลี่ยนผ่านสำหรับบริษัท
ประกาศนี้สะท้อนถึงความพยายามของรัฐบาลในการสร้างสมดุลระหว่างการบังคับใช้กฎระเบียบและการดำเนินการในทางปฏิบัติ โดยการให้ระยะเวลาผ่อนผันสำหรับบริษัทที่ถึงเกณฑ์ข้อมูลก่อนวันที่ 1 มิถุนายน 2025 และให้คำแนะนำโดยละเอียดผ่านคำแนะนำการยื่น ทางการกำลังช่วยให้ธุรกิจสามารถปฏิบัติตามข้อกำหนดได้โดยไม่ทำให้การดำเนินงานหยุดชะงักโดยไม่จำเป็น
