聚焦企业合规应用 | 人脸识别技术部署的七大法律边界

本文系统解析企业应用人脸识别技术的核心合规框架，涵盖合法性基础、最小必要原则、明示告知义务、数据安全防护、算法公平性、第三方管控及跨境传输七大要点，结合国内典型案例与《个人信息保护法》《数据安全法》等法规，为企业提供可落地的合规路径，并探讨法律模糊地带的实践指引。

一、人脸识别技术应用的合规紧迫性

2023年某知名连锁超市因未经明示同意采集顾客人脸信息，被网信部门处以500万元罚款；同年杭州某物业公司强制”刷脸”门禁遭业主集体诉讼。据中国信通院统计，2022年人脸识别技术在企业安防、考勤、营销场景渗透率达68%，但合规自查合格率不足30%。在《个人信息保护法》将人脸信息列为”敏感个人信息”的背景下，企业亟需建立全生命周期合规体系。

二、企业部署人脸识别的七大合规要点

1. 合法性基础：双重授权缺一不可

核心要求：须同时满足《个人信息保护法》第13条规定的合法性事由（如单独同意）及《网络安全法》第41条的授权同意。例如银行远程开户场景，需在用户协议中独立设置人脸采集条款并明示拒绝后果。

案例警示：2021年”人脸识别第一案”中，杭州野生动物园因未提供入园替代方案强制刷脸，被判赔偿合同利益损失及维权费用。

2. 最小必要原则：严防数据过度采集

实施路径：遵循GB/T 35273-2020《个人信息安全规范》5.2条款：
• 采集范围：仅限实现目的所需（如考勤不收集表情数据）
• 存储期限：考勤数据保留期不超过离职后6个月
• 精度控制：门禁场景使用1：N比对而非1：1精准识别

违规后果：上海某写字楼安装可识别情绪的摄像头，被网信办责令拆除并罚款120万元。

3. 明示告知义务：透明化处理规则

操作清单：
• 物理标识：采集区域设置《民法典》第1035条要求的显著提示牌
• 文本告知：隐私政策中独立章节说明人脸数据处理目的及第三方共享情况
• 动态通知：实时显示采集框及”正在识别”提示（参考腾讯会议虚拟背景技术）

4. 数据安全防护：三级等保是底线

技术规范：
• 存储加密：符合GM/T 0054-2018《信息系统密码应用基本要求》的国密算法
• 传输保护：HTTPS+SSL加密通道，禁止明文传输
• 访问控制：基于RBAC模型分权管理（如万达集团分设数据查询员与管理员）
事故案例：某快递公司人脸库遭黑客攻击，2万员工数据泄露导致企业被吊销数据处理资质。

5. 算法公平性：杜绝技术歧视

伦理风险：MIT研究显示主流人脸识别算法对亚裔女性误识率高达34.7%。企业需：
• 定期审计：采用《互联网信息服务算法推荐管理规定》第12条要求的反偏见测试
• 人工复核：对60岁以上用户识别结果设置强制二次确认
实践参考：蚂蚁金服建立”动态阈值”机制，针对不同年龄段自动调整识别容错率。

6. 第三方处理规范：委托责任不可转移

管控要点：
• 协议约束：在技术服务合同中明确《个人信息保护法》第21条要求的处理目的、期限及安全措施
• 能力审计：每年查验供应商的ISO/IEC 27701隐私管理体系认证
• 权限隔离：禁止第三方直接访问原始数据（如采用百度大脑的联邦学习方案）

7. 跨境传输：安全评估前置化

合规路径：
• 自评估：按《数据出境安全评估办法》附录1开展风险自评
• 本地化部署：跨国企业应采用境内服务器（如微软Azure中国版）
• 申报备案：处理超1万人脸信息需向省级网信部门申报
监管动态：2023年某外资车企因将中国工厂人脸数据传至海外总部，被终止出境行为并处以年收入4%罚款。

三、法律模糊地带的实践指引

1. 公共场所无感采集的合规边界

当前法律未明确禁止商场、地铁等场景的无感抓拍，但根据《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第4条，企业需：
• 设置显著数据采集标识（如上海地铁在闸机上方设置黄色提示灯）
• 提供物理避让通道（参考北京SKP商场的无识别购物通道）
• 存储周期不超过24小时（深圳已立法明确）