问题——人脸信息处理环节多点失守,敏感数据暴露风险突出。案例显示,检察机关排查中发现,有关企业信息系统保存大量人脸数据,在采集、传输、存储和告知等环节存在违法违规或重大隐患:部分人脸信息经互联网传输但未采取必要加密保护;对人脸信息未进行脱敏处理、未加密存储,敏感数据传输环节也未落实加密措施;与第三方数据处理者之间未建立规范的安全协议和清晰的责任边界;隐私协议告知不到位,处理目的、保存期限、权利救济等关键信息表述不明确;采集不满14周岁未成年人信息时,未依法取得监护人同意。鉴于人脸信息具有唯一性、不可更改性,一旦泄露往往难以补救,相关风险不容忽视。 原因——技术应用扩张与合规体系滞后叠加,责任链条存在“空档”。业内普遍认为,物业管理、生活服务等场景人脸识别系统部署快、覆盖广,但部分单位更重便利、忽视保护:一是合规管理制度不完善,对个人信息保护相关法定要求掌握不够,内部审批、权限控制、日志审计等基础治理缺失;二是外包与第三方服务依赖较高,数据在系统供应商、运维单位、平台服务方之间流转,但协议未明确处理目的、方式、期限及安全措施,导致责任主体和责任方式不清;三是技术安全投入不足或措施落实不到位,将应当本地存储的敏感数据集中上传,未按“最小必要”原则控制采集范围和保存期限;四是面向公众的告知与同意机制设计不规范,尤其在未成年人信息处理上,未建立监护人同意的闭环流程。 影响——既关乎群众切身权益,也关系数字化治理的社会信任。人脸信息属于个人敏感信息,一旦被非法获取,可能被用于冒用身份、精准诈骗、跨平台关联画像等违法活动,造成财产损失并带来持续性隐私侵扰。对社区物业等高频场景而言,若群众对信息安全缺乏信任,容易引发对技术应用的抵触,影响便民服务与基层治理效能。同时,数据安全事件还可能导致企业经营与品牌受损,监管成本上升,进而形成“个体失范—行业受挫”的连锁反应。 对策——以公益诉讼监督与行业监管联动,推动制度化整改落地。针对发现的问题,检察机关依据相关法律法规向主管部门制发检察建议,督促其依法履行监管职责,推动企业限期整改,并将治理从个案处置延伸至行业层面。主管部门依法监管基础上,向辖区物业企业发出通知,明确处理人脸信息应在充分告知基础上取得个人自愿、明确的单独同意;处理不满14周岁未成年人信息必须取得监护人同意;存储环节应采用加密技术并严格控制期限,期满自动删除。该做法反映了从“发现风险”到“补齐制度”的治理路径:一上压实企业作为个人信息处理者的主体责任,完善隐私政策、权限管理、加密与审计等安全措施;另一方面通过行政监管形成统一标准,减少合规差异,并借助专业力量开展跟进核查,确保整改落到实处。 前景——从“能用”走向“合规、安全、可问责”的常态应用仍需持续推进。随着人脸识别公共服务与商业场景中的广泛应用,合规边界将更加清晰,监管也将更强调全过程治理与可追溯问责。下一步,行业治理可重点聚焦三上:其一,推动企业建立覆盖采集、使用、共享、存储、删除的全生命周期管理体系,落实数据最小化、目的限定与期限管理;其二,强化第三方治理,建立标准化数据处理协议与安全评估机制,明确责任分担与违约追责;其三,提升公众知情权与选择权保障,为不同群体提供替代验证方式,减少“刷脸成为唯一通行凭证”等不当做法。通过“司法监督+行政监管+企业自律”的协同机制,既能防范风险,也能为数字化服务提供更稳固的信任基础。
个人信息是数字时代的重要资产,其安全关系到每位公民的切身利益。本案的妥善办理表明,检察公益诉讼制度能够及时制止侵害众多不特定消费者合法权益的行为。随着人脸识别等生物识别技术继续普及,类似风险仍可能出现。因此,有必要持续完善对应的制度规则,加强执法监督,提升企业合规水平,形成政府、企业、社会共同参与的个人信息保护格局。只有把合规和安全落实到位,才能让新技术更好服务社会,避免成为侵害公民权益的工具。