在公共场所使用人脸识别技术，或者存储超过1万人人脸信息的人脸识别技术使用者，应当在30个工作日内向所属地市级以上网信部门备案。备案内容覆盖处理人脸信息的必要性说明；人脸信息的处理目的、处理方式和安全保护措施；人脸信息的处理规则和操作规程；个人信息保护影响评估报告等。

在人脸信息处理方面，《规定》要求，除法定条件或者取得个人单独同意外，人脸识别技术使用者不得保存人脸原始图像、图片、视频，经过匿名化处理的人脸信息除外。面向社会公众提供人脸识别技术服务的，相关技术系统应当符合网络安全等级保护第三级以上保护要求，并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。

使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息，无法避免的，应当及时删除或者进行匿名化处理。

此外，《规定》要求，人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估，并根据检测评估情况改进安全策略。

国家互联网应急中心高级工程师张震此前指出，在人脸采集方式滥用问题上，一方面企业使用人脸识别技术的必要性范围需要清晰界定，另一方面不同应用场景下采集人脸信息的设备参数如何规定，以及不必要的高分辨率采集行为所引发的风险由谁承担需要进一步明确。

张震认为，在分类分级场景明确上达成业内共识，让企业能够按照约束范围采集相关数据。同时，产业要重视数据安全储存上，时刻警惕未来黑灰产或许会利用人脸信息对个人人身财产、社会市场经济乃至国家安全产生不可预知的破坏性影响，建议尝试采取云端分离、数字加密、提取局部特征等方式来存储数据，最大限度保证原始数据的安全性。⑮