人脸识别合规的"最低要求",集中体现在《个人信息保护法》第二十六条。它对公共场所安装图像采集、个人身份识别设备划了三条硬线:必须为维护公共安全所必需、必须设置显著提示标识、所收集信息只能用于维护公共安全目的(取得单独同意除外)。叠加第二十八、二十九条,人脸属于敏感个人信息,处理还需"单独同意"和严格保护。本文逐句拆解第 26 条。条文以官方发布文本为准,重大合规决策请咨询专业法律意见。
📚 本文属于专题:等保 · 密评 · 数据合规
先看原文(第二十六条)
"在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。"(以官方发布文本为准)
逐句拆解
| 原文要点 | 含义 | 实务要求 |
|---|---|---|
| "公共场所安装图像采集、个人身份识别设备" | 适用对象:公共场所的摄像头、人脸识别闸机等 | 商场、园区、写字楼大堂等都算 |
| "应当为维护公共安全所必需" | 目的限定:只能为公共安全目的 | 不能为营销、客流分析随意上人脸 |
| "遵守国家有关规定" | 还要符合其他法规标准 | 关注行业主管部门具体规定 |
| "设置显著的提示标识" | 必须明显告知 | 入口张贴清晰标识,不能隐蔽采集 |
| "只能用于维护公共安全的目的" | 用途限定:不得他用 | 采集的人脸不能转作他用 |
| "取得个人单独同意的除外" | 其他用途须单独同意 | 另作他用必须单独、明示同意 |
人脸为什么是"敏感个人信息"
根据第二十八条,生物识别信息属于敏感个人信息。人脸是典型的生物识别信息,具有唯一性、不可更改性——泄露后无法像密码一样"改掉"。因此处理人脸还要满足:第二十八条的"特定目的、充分必要性、严格保护措施",以及第二十九条的"单独同意"要求。第三十条还要求告知处理的必要性以及对个人权益的影响。
"刷脸开门""刷脸入园"如果是唯一方式、没有替代选项,往往涉嫌强迫同意。最高人民法院相关司法解释(自 2021 年 8 月 1 日施行)也对人脸识别提出了规范,要求提供其他合理验证方式。具体适用请咨询专业法律意见。
人脸识别合规的最低要求
- 目的正当且必要:能用其他方式实现就不用人脸,避免"为了方便"上人脸。
- 显著告知 + 单独同意:明显标识 + 单独、明示的同意,不能藏在一揽子协议里。
- 提供替代方案:不应把人脸作为唯一验证方式。
- 最小化与严格保护:只采必要信息,加密存储、严格访问控制。
- 用途限定:不得超出告知目的使用,不得随意共享。
技术上怎么把风险降到最低
合规不只是流程,技术架构能从根上降低风险。关键思路是让原始人脸数据尽量不离开本地、不形成集中的可被一锅端的生物模板库:
- 生物特征本地处理:人脸在用户设备本地完成识别,不上传服务器、不集中存原图。
- 不留原始模板:服务端不保存可还原的人脸数据,降低泄露后果。
- 结合 MPC 等密码技术:用密钥分片、私钥不重组的方式完成认证,避免"服务器被攻破=全员生物信息泄露"。
常见违规场景
- 商场、写字楼为客流分析偷偷上人脸,无提示、无同意。
- 把"刷脸"设为唯一通行方式,不提供替代。
- 采集的人脸用于告知目的之外(如精准营销)。
- 人脸原图集中明文存储,无加密、无访问控制。
结论
第二十六条加上敏感个人信息的相关条款,给人脸识别划出了清晰的底线:必需、显著告知、单独同意、用途限定、提供替代、严格保护。在此之上,用"生物特征本地处理 + 不留集中模板 + 密码技术"的技术路线,能把合规风险和泄露后果同时降到最低。想了解人脸/生物认证的合规技术方案,可查看无密码可信认证或联系我们。本文为通俗解读,不构成法律意见。
