必须办理的情形:
网站或APP的服务器部署在中国大陆(包括阿里云北京、腾讯云上海、华为云广州等);
域名通过DNS解析指向中国大陆IP地址(含CDN加速节点);
服务面向中国境内用户提供访问(无论用户是否付费、是否注册)。
无需办理的情形:
服务器完全部署在境外(如AWS新加坡、Azure美国),且无任何境内CDN或代理;
仅通过IP地址访问(无域名),且为内部测试环境(无公网暴露);
纯内网系统(如企业OA、工厂MES),无互联网出口。
(2)人脸识别的触发条件(《个人信息保护法》第28条)必须履行合规义务的情形:
采集用户人脸图像(如拍照、视频流);
提取或存储人脸特征值(用于比对、识别、验证);
将人脸信息用于身份核验、门禁通行、支付验证、行为分析等目的;
服务对象包含中国境内自然人(无论是否收费、是否注册)。
可豁免的情形(极少数):
仅展示用户上传的人脸照片(如相册、社交动态),不用于识别或分析;
使用操作系统级生物认证(如iOS Face ID、Android BiometricPrompt),且原始图像与特征值均不出设备;
纯离线、无网络连接的本地识别设备(如不联网的人脸门禁机),但监管态度趋严,建议谨慎。
二、准备材料清单(逐项说明+注意事项)表:ICP备案 vs 人脸识别所需材料对比材料类别
ICP备案(工信部)
人脸识别(合规义务)
1. 主体资质文件
• 营业执照副本(最新版,加盖公章,PDF/JPG)• 法定代表人身份证正反面(彩色扫描件)• 网站负责人身份证(可与法人不同,但需在职)
• 营业执照副本(同ICP一致)• 法人身份证• 安全责任人任命书(建议与ICP负责人一致)
2. 域名与服务器证明
• 域名证书 或 WHOIS查询截图(显示Registrant = 公司全称)• 云服务器购买凭证(控制台截图,显示账号实名=公司)• 若用CDN,需提供CDN服务协议
• 无需单独提供,但需确保:- 人脸数据存储于境内服务器- 云厂商区域选择“中国大陆”(如阿里云华东2)
3. 负责人核验材料
• 幕布照:网站负责人手持身份证+手写“仅用于ICP备案”拍照• 核验电话:负责人手机号,管局会人工拨打确认
• 安全责任人联系方式(电话、邮箱)• 需确保在职、可接听公安/网信办回访
4. 制度与说明文件
• 网站内容说明(200字内,如“企业官网,展示产品与联系方式”)• 不得出现“交易”“支付”“金融”等超范围词汇
• 隐私政策(必须包含以下条款):- 人脸信息用途(如“用于登录验证”)- 单独同意机制说明- 替代方案(如“可改用短信验证码”)- 数据存储位置与期限- 删除方式• 个人信息保护影响评估(PIA)报告(建议准备,检查时需出示)
5. 用户权利证明
• 网站底部公示《隐私政策》《用户协议》链接
• 单独同意弹窗设计稿或截图• 功能演示视频(展示“关闭人脸”“删除数据”操作)• 替代方案说明文档(如门禁保留刷卡)
6. 特殊要求
• 域名注册时间需≥30天(部分省份要求)• 同一主体最多备案5个域名(部分地区限制)
• 不得存储原始人脸图像(推荐仅存加密特征值)• 禁止数据出境(含云厂商海外备份)• 涉及未成年人需额外取得监护人书面同意
三、高频驳回原因与应对策略ICP备案常见问题:问题
原因
解决方案
域名所有人是个人
注册时用法人身份证注册
在域名商后台发起“过户”至公司名下,等待7天再提交
幕布照模糊/无手写文字
核验不通过
重新拍摄:白底幕布、身份证清晰、手写“仅用于ICP备案+日期”
网站内容描述含“商城”
超出非经营性备案范围
改为“企业官网,展示产品信息”,实际交易走小程序或APP
人脸识别合规风险:问题
后果
解决方案
无单独同意弹窗
被认定为“未获有效同意”
上线前增加独立授权框,不可与其他条款捆绑
强制刷脸进门
小区/写字楼被罚30万
必须保留门禁卡、密码等替代方式
存储原始人脸图
违反最小必要原则
修改代码:仅提取特征值后立即删除原始图像
隐私政策未更新
PIA缺失,监管约谈
补充人脸条款,并完成简易PIA报告
四、操作流程建议阶段
步骤
ICP备案侧任务
人脸识别合规侧任务
责任人
建议耗时
依赖关系
1. 立项评估
1.1 确认部署架构
确认服务器是否部署在中国大陆(如阿里云华东2)
确认是否采集/使用人脸用于识别、验证或分析
产品经理 + 技术负责人
1天
—
1.2 判断触发义务
若服务器在境内 → 必须做ICP
若涉及人脸处理 → 必须履行合规义务
合规专员
1天
1.1完成
2. 主体与资源准备
2.1 统一主体信息
确保营业执照名称、统一代码用于所有环节
同左,不得使用简称、曾用名
法务/行政
1–3天
—
2.2 域名与服务器配置
• 域名注册人变更为公司全称• 云账号完成企业实名认证
• 云服务器区域选择“中国大陆”• 关闭跨境复制/备份功能
运维工程师
3–7天
域名需注册满30天(部分地区)
3. 材料与机制开发
3.1 准备ICP材料
• 营业执照、法人身份证• 网站内容说明(≤200字)• 幕布照拍摄
—
行政 + 网站负责人
2天
2.1完成
3.2 设计用户权利机制
—
• 开发单独同意弹窗• 实现替代方案(如密码登录)• 开发人脸数据删除接口
产品经理 + 前端/后端
5–10天
产品PRD确认
3.3 更新制度文件
在网站底部公示《隐私政策》《用户协议》
更新隐私政策,新增人脸条款:- 用途- 同意方式- 存储位置- 删除机制
法务 + 产品
2–3天
3.2需求明确
3.4 完成PIA报告(建议)
—
编写《个人信息保护影响评估报告》,说明:- 处理必要性- 安全措施- 用户权利保障
合规专员
3–5天
3.2、3.3完成
4. 提交与审核
4.1 提交ICP备案
通过云厂商(阿里云/腾讯云)提交至管局
—
运维/行政
即时提交
3.1完成
4.2 等待ICP审核
配合接听管局核验电话(负责人手机)
—
网站负责人
3–20工作日(各地不同)
4.1提交
5. 上线与维护
5.1 ICP备案通过
获取备案号,网站底部展示
—
运维
即时
4.2通过
5.2 上线人脸识别功能
—
• 功能上线• 确保同意弹窗首次触发• 监控数据存储位置
技术团队
即时
5.1完成 + 3.2–3.4就绪
5.3 持续合规维护
• 域名续费• 负责人变更及时更新
• 用户注销后自动删除人脸数据• 定期检查是否误存原始图像• 安全责任人离职需更换
合规 + 运维
持续
—
五、不同主体类型的适用性主体类型
ICP备案
人脸识别合规
中国大陆有限公司
可办(推荐)
✅ 可完整履行义务
个体工商户
✅ 可办(仅限非交互网站)
❌ 无法提供用户权利保障机制,不建议使用
境外公司(无WOFE)
❌ 无法直接备案
❌ 无法作为人脸信息处理者
集团子公司运营
✅ 可办,但需以子公司为主体
✅ 可办,但所有材料主体必须统一