В Китае ужесточили требования по сбору биометрических данных: нарушителей ждет наказание вплоть до уголовного

С 1 июня 2025 года в стране начнут действовать новые требования к сбору, хранению данных для их использования в системах распознавания лиц. Документ опубликован на сайте государственных органов Китая.

Новые правила охватывают все случаи обработки биометрии для применения технологий распознавания лиц на территории КНР, за исключением научно-технических разработок, включая обучение алгоритмов. Особое внимание уделяется конкретной цели и строгой необходимости сбора данных, а также соблюдению принципов невмешательства в частную жизнь и соблюдение прав человека.

Перед внедрением системы распознавания лиц организации обязаны чётко и в понятной форме объяснять пользователям, кто будет обрабатывать их данные, с какой целью, как долго будут храниться сведения, о возможных последствиях, правах субъекта данных и способах отказа от обработки данных. Для детей младше 14 лет требуется отдельное согласие родителей или опекунов, с особыми правилами хранения и передачи информации.

Документ содержит положение о том, что биометрия должна использоваться только при отсутствии альтернатив и при наличии добровольного, осознанного и явного согласия. При отказе от верификации по лицу должны быть предложены альтернативные способы подтверждения личности. Запрещается сбор и передача изображений через интернет без законных на то оснований.

Организация, которая собирается хранить биометрические данные, обязана оценивать риски по защите персональных данных перед запуском системы, а отчеты должны храниться не менее трех лет. При изменении целей или способов обработки, а также при инцидентах безопасности оценка проводится повторно.

Запрещено накапливать и использовать данные лиц в гостиничных номерах, душевых, раздевалках и туалетах. Камеры размещаются только в целях общественной безопасности, с обязательными предупреждающими знаками.

Системы должны соответствовать требованиям защиты, включая шифрование, контроль доступа, аудит и защиту от взломов. При достижении порога в 100 000 лицевых образов компании обязаны зарегистрироваться в региональном управлении по делам интернета в течение 30 рабочих дней.

Запрещается принуждение к распознаванию лица под предлогом улучшения сервиса или выполнения обязательств. Рекомендуется использовать государственные базы данных для минимизации объемов хранения биометрии.

Контроль соблюдения требований будут осуществлять органы по защите персональных данных и общественной безопасности. Граждане имеют право подавать жалобы при нарушениях. За несоблюдение норм предусмотрена административная и уголовная ответственность.

Фото - freepik.com