在对管理规定进行解读之前，我们首先带领各位读者了解一下人脸识别技术的基本原理和主要应用场景，以及如若不当利用该技术可能带来的潜在风险。

人脸识别，顾名思义，是一种基于人脸图像或视频中面部特征和模式的技术，旨在对个体进行身份认证、识别和验证。它通过将输入的人脸图像与已知人脸图像库中的信息进行比对，从而判断该人脸是否属于已知的个体。人脸识别技术主要使用计算机视觉和模式识别算法进行分析和比对，通过以下步骤完成：

1. 人脸检测：系统通过检测图像或视频中的人脸位置，确定感兴趣的区域。

2. 特征提取：系统对检测到的人脸进行特征提取，从面部的几何结构、纹理和颜色等方面提取关键的面部特征。

3. 特征比对：系统将提取的人脸特征与已知的个体特征进行比对，通常采用匹配算法，如特征向量比对、神经网络等，判断是否存在匹配。

4. 结果输出：系统根据比对结果，输出识别的结果，即确定该人脸的身份或提供相应的访问权限。

人脸识别技术的应用非常广泛，包括安全门禁、人员考勤、视频监控、移动支付等领域。随着技术的不断发展和改进，人脸识别技术的准确率和鲁棒性也在不断提高，为我们的生活和工作带来了便捷和安全性。但与此同时，人脸信息被滥用的情况也不断发生，如不具备信息安全保障能力的企业获取人脸信息后发生数据泄露；一些平台未经用户单独同意，使用其人脸信息进行广告定向投放等其他授权范围以外的使用；利用取得的人脸信息盗用他人身份甚至将人脸图像合成到其他视频或照片中，造成对他人财产或声誉的损害，侵犯他人权益。

面对人脸识别技术使用所带来的隐私和安全问题，我国陆续出台了一系列针对人脸信息规范使用的规定及国家标准，包括如下（仅节选部分关联度高的内容）：

一、《中华人民共和国个人信息保护法》

第二十六条 在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

二、《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》

第二条 信息处理者处理人脸信息有下列情形之一的，人民法院应当认定属于侵害自然人人格权益的行为：

（一）在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析；

（二）未公开处理人脸信息的规则或者未明示处理的目的、方式、范围；

（三）基于个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意；

（四）违反信息处理者明示或者双方约定的处理人脸信息的目的、方式、范围等；

（五）未采取应有的技术措施或者其他必要措施确保其收集、存储的人脸信息安全，致使人脸信息泄露、篡改、丢失；

（六）违反法律、行政法规的规定或者双方的约定，向他人提供人脸信息；

（七）违背公序良俗处理人脸信息；

（八）违反合法、正当、必要原则处理人脸信息的其他情形。

三、《信息安全技术 个人信息安全规范》（GB/T 35273-2020）

6.3　个人敏感信息的传输和存储

对个人信息控制者的要求包括：

a)传输和存储个人敏感信息时，应采用加密等安全措施；

b)个人生物识别信息应与个人身份信息分开存储；

c)原则上不应存储原始个人生物信息（如样本、图像等），可采取的措施包括但不限于: 1)仅存储个人生物识别信息的摘要信息；2)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;3)在使用面部识别特征、指纹、掌纹、虹膜等实现身份、认证等功能后删除可提取个人生物识别信息的原始图像。

9.4　个人信息公开披露

个人信息原则上不应公开披露。个人信息控制者经法律授权或具备合理事由确需公开披露时，应符合以下要求：

f)不应公开披露个人生物识别信息。

四、《信息安全技术 人脸识别数据安全要求》（GB/T 41819-2022）

5　安全通用要求

数据处理者处理人脸识别数据的安全通用要求如下：

a)实现相同目的或达到同等安全要求可采用非人脸识别方式的，应优先选择适用非人脸识别方式。

b)应仅在人脸识别方式比非人脸识别方式更具安全性或便捷性时，采用人脸识别方式进行身份识别；应同时提供人脸识别方式和非人脸识别方式，并由自然人选择使用。

c)不应诱导自然人使用人脸识别方式，包括但不限于将人脸识别方式作为身份识别首选方式或默认方式，设置障碍使自然人难以选择使用非人脸方式等。

d)在自然人拒绝使用人脸识别方式后，不应频繁提示以获得自然人对人脸识别方式的同意，例如，在48h内提示次数超过1次。

e)应符合GB/T 35273，GB/T 40660，GB/T 41479 的要求，以及 GB/T 37988中数据安全能力成熟度等级3规定的要求。

f)应在处理人脸识别数据前自行或委托第三方机构按照GB/T 39335规定的要求开展个人信息保护影响评估，评估的内容包括但不限于：

…（略）…

五、《信息安全技术 个人信息处理中告知和同意的实施指南》（GB/T 42574-2023）

• 在人脸识别购物柜台张贴或通过屏幕展示简要的个人信息处理规则，并在用户单独同意后采集个人信息。

• 出于公共安全之外目的在公共场所采集个人图像、身份识别信息的，需取得用户的单独同意。当用户拒绝时，公共场合管理者需提供合理替代性方案，例如，人工的服务通道，无需刷脸认证的门禁，不通过人脸识别的支付方式等。

• 为应对紧急情况下保护自然人的生命健康和财产安全所必需，例如，车辆在发生交通事故将位置信息、生命体征信息等传输给急救中心及交管部门，或车辆在被盗时将位置信息、人脸识别信息等上传云端并同步至移动智能终端，可适用免于取得用户同意的情形。

六、《网络数据安全管理条例（征求意见稿）》

第二十五条 数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。

本文以下将对本次新出台的管理规定的重要条款进行一一解读，希望帮助读者理解其中的合规要求与注意要点。

第二条 在中华人民共和国境内利用人脸识别技术处理人脸信息，提供人脸识别技术产品或者服务，应当遵守本规定。法律、行政法规另有规定的从其规定。

本规定的适用范围不仅包括利用人脸识别技术处理人脸信息的主体，也包括提供人脸识别技术产品或者服务的主体。

第四条 只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求，存在其他非生物特征识别技术方案的，应当优先选择非生物特征识别技术方案。

使用人脸识别技术验证个人身份、辨识特定自然人的，鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。

本条第一款的前半句与《个人信息保护法》（以下称《个保法》）第二十八条表述相同，人脸信息毫无疑问属于敏感个人信息，应遵守《个保法》中关于敏感个人信息的合规要求；后半句与《网络数据安全管理条例（征）》第二十五条异曲同工，均要求企业在非必要收集人脸信息的场景下应提供替代性方案且优先选择非生物特征识别技术方案。如员工考勤的场景下，企业应优先选择员工卡打卡或地理位置获取的方式，而应慎重选择人脸识别或指纹识别的考勤方案。

针对本条第二款，在人脸识别的场景下，一种是通过人脸识别确认“你就是你”，一种是通过人脸识别确认“你是谁”。无论哪一种场景都需要在数据库中调用已有的人脸特征参照进行比对，也就是说需要对比源。对比源通常来源于两个渠道，一是在特定场景下，个人信息主体事先向收集主体提供了人脸图像，为了确保个人信息主体就是注册者本人，收集主体通常还会进行活体检测，通过正面照、侧面照、随机动作等自动采集最佳人脸照片并提取人脸特征作为对比参照；一是来源于其他存有人脸特征信息的数据库，全国公民身份号码查询服务中心（NCIIC）曾是主要对比源，很多公司间接采取NCIIC身份证返照接口的照片，进行消网纹处理进行比对，还有一些运营商偷偷缓存数据，并将数据二次加工提供给其他企业进行身份验证，我们认为，此条的目的旨在让人脸信息收集主体使用权威公信的渠道。

第五条 使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外。

本条与《个保法》第二十九条表述相同，单独同意是个人针对其个人信息进行特定处理活动而专门作出具体、明确授权的行为，是一种增强的同意方式，在取得单独同意之前，需通过增强告知或即时提示的方式专门向个人进行充分告知。单独同意所针对的处理活动不应与其他个人信息处理活动相捆绑或混同在其他同意事项中，避免一揽子取得个人同意。当然，如处理人脸信息属于《个保法》第十三条中“同意”以外的其他合法性基础，则无需取得单独同意。

第六条 旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备。

《民法典》第一千零三十二条规定了自然人享有的隐私权，任何组织或者个人不得侵害。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。面对社会中经常出现的如酒店客房隐秘安装摄像头的社会现象，本条也明确了在可能侵害他人隐私的场所不得安装具备图像采集、个人身份识别的设备。

第七条 在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，设置显著提示标识。

在公共场所安装图像采集、个人身份识别设备的建设、使用、运行维护单位，对获取的个人图像、身份识别信息负有保密义务，不得非法泄露或者对外提供。所收集的个人图像、身份识别信息只能用于维护公共安全的目的，不得用于其他目的；取得个人单独同意的除外。

此条与《个保法》第二十六条所述相近，但是本条增加了在公共场所安装图像采集、个人身份识别设备的建设、使用、运行维护单位的保密义务，这里不仅包括了个人信息处理者，也包括了图像采集设备提供方、服务方的保密义务。

第八条 组织机构为实施内部管理安装图像采集、个人身份识别设备的，应当根据实际需求合理确定图像信息采集区域，采取严格保护措施，防止违规查阅、复制、公开、对外提供、传播个人图像等行为，防止个人信息泄露、篡改、丢失或者被非法获取、非法利用。

一般企业有两种场景采集人脸图像，一种是企业内公共区域的监控，一种是人脸识别考勤。常规来说，企业基于场所安全、公司或员工人身、财产安全而安装监控设备，当安全事件发生时向调查机构、司法部门、安全部门或物业管理公司提供，数据会存储在位于机房的主机上，数据保存时间约为90~120天，之后会被自动覆盖删除。对于监控数据和考勤收集的人脸数据，企业应采取严格的技术保护措施，尤其设置严格的访问权限，防止个人信息被非法传播、利用。

对于基于服务需收集员工以外人脸信息的主体，如银行、车站、机场、宾馆等，更应当遵守本条规定采取严格措施保护人脸数据的安全，防止个人信息泄露、篡改、丢失或者被非法获取、非法利用。

第九条 宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所，除法律、行政法规规定应当使用人脸识别技术验证个人身份的，不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。

个人自愿选择使用人脸识别技术验证个人身份的，应当确保个人充分知情并在个人主动参与的情况下进行，验证过程中应当以清晰易懂的语音或者文字等方式即时明确提示身份验证的目的。

此条第一款与《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第二条第一款相呼应，宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所使用人脸识别技术进行人脸验证、辨识或者分析应不违反法律、行政法规的规定。

此条第二款提到了个人信息主体的知情权，在个人自愿选择使用人脸识别技术验证个人身份时，应充分知晓个人信息处理者的处理目的、方式、范围等，个人信息处理者应以清晰易懂的语音或者文字等方式告知。如采集人脸信息的设备不配备显示屏，个人信息处理者可通过（在屏幕直接显示或在印刷包装上）提供二维码、网络地址链接（URL）等方式引导用户获取告知内容，或者采用语音播报方式提示重要内容。

第十条 在公共场所、经营场所使用人脸识别技术远距离、无感式辨识特定自然人，应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需，并由个人或者利害关系人主动提出。

人脸识别技术使用者应个人或者利害关系人请求使用人脸识别技术远距离、无感式辨识特定个人或者利害关系人的，应当将相关服务限定在最小必要的时间、地点或者人群范围内，不得关联与个人请求事项无直接必然相关的个人信息。

远距离人脸技术识别是一种利用摄像头或其他远程感应设备来识别和辨认远距离人脸的技术。这种技术通常使用专门的算法和模型来检测和提取人脸特征，然后与事先存储的人脸数据库进行比对，以实现人脸识别的功能。与传统的人脸识别相比，远距离人脸技术识别主要应用于较远距离的场景，例如监控视频中的人脸识别、人群分析以及公共安全等领域，该技术通常需要具备较高的计算能力和算法优化，以应对远距离拍摄带来的图像模糊、噪声干扰等问题。

本条第二款体现了个人信息处理的必要性原则，即“将相关服务限定在最小必要的时间、地点或者人群范围内”；我们认为“必要性原则”在个人信息处理中的具体要求主要有以下几点，使用人脸识别技术远距离、无感式辨识特定个人或者利害关系人的亦应注意必要性的合规要求：

（1）收集的个人信息应具有明确、合理、具体的个人信息处理目的；

（2）个人信息处理应当与拟实现的信息处理目的直接相关。

（3）个人信息处理应当限于实现处理目的之最小范围。

（4）个人信息处理应当采取对个人权益影响最小的方式。

（5）个人信息的保存期限应当限于实现处理目的的最短期限。

第十一条 除维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需，或者取得个人单独同意外，任何组织或者个人不得利用人脸识别技术分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息。

此条集中在处理目的限制上，种族、民族、宗教信仰、健康状况、社会阶层等信息不仅属于敏感个人信息，也属于个人隐私。个人信息处理者单独利用人脸识别技术难以评价种族、民族、宗教信仰、健康状况、社会阶层等信息，但是如结合其他可获取的个人信息，则有可能作出评价，该等处理目的不仅可能侵犯自然人的个人信息权益，也可能侵犯自然人享有的隐私权，因而本条将该等处理目的限制在两种前提之下，其他合法性基础则不适用。

第十二条 涉及社会救助、不动产处分等个人重大利益的，不得使用人脸识别技术替代人工审核个人身份，人脸识别技术可以作为验证个人身份的辅助手段。

在金融账户线上操作场景中，虽然银行或支付机构通过远程人脸识别技术结合支付密码、短信验证码等其他技术手段可以远程确认操作者的身份，继而操作者可以通过转账、提现、理财等行为对个人金融账户中的资金进行支配，然而金融机构对操作者的线上支配金额设有上限，如果个人提高上限，需要其他手段进行资金安全的加持。因而，我们认为，本条款的含义并不是在社会救助、不动产处分场景中不能使用人脸识别技术确认个人身份而是不能单独使用/依赖人脸识别技术确认个人身份，纵使人脸识别技术已经日新月异，仍旧不能达到十分安全的程度，还需要人工审核加持这种可靠性。

正如在医疗行业，医生对于患者的诊断不能完全依赖于AI智能工具，还需要医生对每项自动化诊断结果进行复核并承担相应的责任，AI工具仅仅是辅助手段。对个人权益影响较大的场景不能完全依赖于某项技术，一旦出现技术上的纰漏或失误，将对个人信息权益造成严重影响，但是我们认为本条仅仅列举两种涉及个人重大利益的场景并不能有效地规制实践中的人脸识别技术的滥用。

第十四条 物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式，个人不同意通过人脸信息进行身份验证的，物业服务企业等建筑物管理人应当提供其他合理、便捷的身份验证方式。

此条与《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第十条内容一致，同时也是本规定第四条的具体场景应用，目前已有不少的司法实践案例。

在近期的某一案例中，物业方提供了两种入门方式，一种是通过人脸识别，一种是使用带有芯片的门禁卡，业主诉请法院要求物业拆除小区全部人脸识别系统装置，法院认为物业安装人脸识别设备的目的是为了小区出行便利，且已取得相关业主的单独授权，同时，物业也提供了可供业主选择的其他入门方式，物业并无侵权故意，因而驳回了该业主的诉请。

第十五条 人脸识别技术使用者处理人脸信息，应当事前进行个人信息保护影响评估，并对处理情况进行记录。

个人信息保护影响评估主要包括下列内容：

（一）是否符合法律、行政法规的规定和国家标准的强制性要求，是否符合伦理道德；

（二）处理人脸信息是否具有特定的目的和充分的必要性；

（三）是否限于实现目的所必需的准度、精度及距离要求；

（四）采取的保护措施是否合法有效并与风险程度相适应；

（五）发生或者可能发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、非法利用的风险以及可能造成的危害；

（六）可能对个人权益带来的损害和影响，以及降低不利影响的措施是否有效。

个人信息保护影响评估报告应当至少保存三年。处理人脸信息的目的、方式发生变化，或者发生重大安全事件的，人脸识别技术使用者应当重新进行个人信息保护影响评估。

《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》规定“人脸信息”属于民法典第一千零三十四条规定的“生物识别信息”，而“生物识别信息”属于《个保法》项下的“敏感个人信息”,因此需要遵循《个保法》项下关于敏感个人信息的相关规定。《个保法》第五十五条要求个人信息处理者在处理敏感个人信息前应当进行事先的个人信息保护影响评估，并在第五十六条进一步规定了个人信息影响评估应当包含的内容。

对于评估内容，本条借鉴了《信息安全技术 人脸识别数据安全要求》（GB/T 41819-2022）第5条第f)款的规定内容。而与《个保法》第五十六条规定的评估内容相比，本条规定进一步要求，对于处理人脸信息的个人信息保护影响评估，应当对“是否符合法律、行政法规的规定和国家标准的强制性要求，是否符合伦理道德”、“是否限于实现目的所必需的准度、精度及距离要求”、“发生或者可能发生人脸信息泄露、篡改、丢失、毁损或者被非法获取、非法利用的风险以及可能造成的危害”等方面进行评估，评估的颗粒度更加细致。其中，对于是否符合伦理道德的评估，可从是否会对个人人格尊严、个人隐私和信息保护、是否涉及歧视和偏见、是否影响社会安全和可持续发展等方面进行评价。

第十六条 在公共场所使用人脸识别技术，或者存储超过1万人人脸信息的人脸识别技术使用者，应当在30个工作日内向所属地市级以上网信部门备案。申请备案应当提交下列材料：

（一）人脸识别技术使用者及其个人信息保护负责人的基本情况；

（二）处理人脸信息的必要性说明；

（三）人脸信息的处理目的、处理方式和安全保护措施；

（四）人脸信息的处理规则和操作规程；

（五）个人信息保护影响评估报告；

（六）网信部门认为需要提供的其他材料。

人脸识别技术使用者处理人脸信息，有法律、行政法规规定应当保密的，按有关规定执行。

备案信息发生实质性变更的，应在变更之日起20个工作日内办理备案变更手续。终止人脸识别技术使用的，应在终止之日起30个工作日内办理备案注销手续。

本条为本次《人脸识别技术应用安全管理规定（试行）（征）》的创设性规定，要求两类主体须至所属地市级网信部门进行备案。这要求相关企业在使用人脸识别技术之前，应事先评估人脸识别技术使用的必要性和合法性等事项、并建立健全企业内部人脸信息处理的相关制度、操作规程及相应的安全保障措施，并应按节奏开展个人信息保护影响评估工作。

对于针对人脸信息的个人信息保护影响评估报告的时效性问题，参考国家网信办此前发布的《个人信息出境标准合同备案指南（第一版）》中要求的“个人信息保护影响评估工作为备案之日前3个月内完成”，不排除后续各地市级网信部门亦会发布相应的指南或指引作出类似要求，建议企业动态关注。在企业完成处理人脸信息的相关信息备案工作后，亦建议在内部建立持续跟踪机制，在备案信息发生实质变化或停止人脸识别技术使用后，注意及时完成相关登记手续。

第十七条 除法定条件或者取得个人单独同意外，人脸识别技术使用者不得保存人脸原始图像、图片、视频，经过匿名化处理的人脸信息除外。

面向社会公众提供人脸识别技术服务的，相关技术系统应当符合网络安全等级保护第三级以上保护要求，并采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等措施保护人脸信息安全。属于关键信息基础设施的，还应当符合关键信息基础设施安全保护的相关要求。

针对此条第一款，《信息安全技术 个人信息安全规范》第6.3条第c)款规定，原则上不应存储原始个人生物识别信息（如样本、图像等），可采取的措施包括但不限于，在使用面部识别特征、指纹、掌纹、虹膜等识别身份、认证功能后删除可提取个人生物识别信息的原始图像。此外，《信息安全技术 人脸识别数据安要求》第5条第j)款规定，除非经数据主体单独同意或书面同意，不应存储人脸图像。本条在此基础上进一步加强了人脸原始图像、图片、视频的存储要求，个人信息处理者如若保存人脸原始图像、图片、视频，只有法定条件或者取得个人单独同意这两种合法性基础。

针对此条第二款，《信息安全技术 人脸识别数据安全要求》第5条e)款要求数据处理者应符合GB/T 35273，GB/T 40660，GB/T 41479 的要求，以及 GB/T 37988中数据安全能力成熟度等级3规定的要求。我们认为，本条第二款中的“网络安全等级保护第三级以上保护要求”等进一步明确了个人信息处理者所应具备的数据安全防护能力和个人信息保护能力。

第十八条 使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息，无法避免的，应当及时删除或者进行匿名化处理。

《个保法》第六条规定了目的明确与最小化处理原则，即处理个人信息应当具有明确合理的目的，并且应当与处理目的直接相关，采用对个人信息权益影响最小的方式，本条规定即是对《个保法》第六条项下原则的贯彻。尤其在远距离人脸识别技术应用当中，不可避免地会采集到与提供服务无关的人脸信息，本条明确了个人信息处理者的应遵守的处理方式，即，及时删除或匿名化处理。

第十九条 人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估，并根据检测评估情况改进安全策略，调整置信度阈值，采取有效措施保护图像采集设备、个人身份识别设备免受攻击、侵入、干扰和破坏。

正如《关键信息基础设施安全保护条例》第十七条的规定，运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。同样，本条亦对图像采集设备、个人身份识别设备提出了类似的合规要求，以保障人脸信息存储使用的持续安全。

第二十条 按照国家有关规定列入网络关键设备和网络安全专用产品目录的图像采集设备、个人身份识别设备，应当按照相关国家标准的强制性要求，由具备资格的机构认证合格或者检测符合要求后，方可销售或者提供。

本条与《网络安全法》第二十三条规定相呼应，要求特定图像采集设备、个人身份识别设备必须通过法定认证、检测后才能进入市场。

第二十一条 网信部门会同电信主管部门、公安机关、市场监管部门等有关部门依据职责，加强对人脸识别技术使用的监督检查，指导督促人脸识别技术使用者履行备案手续，及时发现安全隐患并督促限期整改。

人脸识别技术使用者、产品或者服务提供者应当对有关部门依法开展的监督检查予以配合。

本条明确了本规定的相关监督检查主管部门，包括网信部门、电信主管部门、公安机关、市场监管部门等。

第二十三条 人脸识别技术使用者或者相关产品、服务提供者违反本规定的，由网信、电信、公安、市场监管等有关部门在职责范围内依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规进行处罚。违反《治安管理处罚法》的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任。

违反本规定，给他人造成损害的，依法承担民事责任。

本条规定了违反本规定，人脸识别技术使用者或者相关产品、服务提供者可能会承担相关民事、行政或刑事责任。