(问题)人脸信息属于个人敏感信息,管理不当容易引发大规模泄露和滥用;典型案例显示,2025年5月,重庆市两江新区人民检察院调查中发现,辖区某科技企业信息系统存有超过10万条人脸数据,在人脸识别技术应用上存违法违规问题。经现场核查,另有某生活服务企业、某置业企业在个人信息保护上也暴露出较大风险。三家企业问题较为一致:未与第三方数据处理者签署安全协议;人脸信息等敏感数据通过互联网传输但缺乏必要的加密保障;未对人脸信息落实脱敏处理、加密存储等安全措施;未实行本地化存储;采集未满14周岁未成年人信息时未依法取得监护人同意;隐私政策告知不充分,未清晰说明处理目的、保存期限等关键内容。涉及的问题暴露出“采集、传输、存储、告知、委托处理”等多个环节的合规短板。 (原因)此类风险并非孤立个案,而是技术应用快速扩张与制度落实不到位叠加所致。一上,物业管理、生活服务等场景中,人脸识别被广泛用于门禁、通行、身份核验,便利性提升的同时数据规模迅速扩大,系统建设与运维外包普遍,责任链条更长、边界更复杂。另一方面,部分企业对个人信息保护的法定要求理解不够,安全投入与管理体系建设滞后,把“能用”当作“可用”,把“部署”当作“合规”;委托第三方处理、跨系统传输、日志与权限控制、密钥管理等关键环节缺少统一标准和可核验措施。此外,一些隐私政策套用模板、提示机制弱化,使“充分告知、单独同意”等要求在落地中被弱化,涉及未成年人信息时风险尤为突出。 (影响)人脸信息具有唯一性、不可更改性,一旦泄露,后果往往长期且叠加。其一,可能被用于非法识别、精准画像,进而诱发电信网络诈骗、身份冒用等风险;其二,委托处理链条若缺少安全协议与审计约束,容易出现“多方流转、责任不清”,扩大泄露范围;其三,公众对公共空间和社区治理的信任可能受影响,连带影响数字化服务推广。对行业而言,便利若压过安全,短期看似节省成本,长期可能面临行政监管、民事赔偿和声誉受损等多重代价。 (对策)治理关键在于依法压实责任,用制度补齐短板。依据《中华人民共和国个人信息保护法》及《人脸识别技术应用安全管理办法》等规定,2025年7月29日,两江新区检察机关向区住房和城乡建设委员会制发检察建议,督促依法监管、推动企业整改。主管部门随后对案涉企业开展监管,并向全区物业企业下发通知,明确处理人脸信息应在充分知情基础上取得个人自愿、明确的单独同意;处理不满14周岁未成年人人脸信息必须征得父母或其他监护人同意;存储应采用加密技术,保存期限不得超过必要限度,到期自动删除。2025年10月15日,检察机关邀请网信部门业务专家参与跟进复核,确认三家企业已完成整改,相关风险隐患消除。 从操作层面看,企业整改应从“全流程”入手:在采集端严格开展必要性评估,避免过度收集;在告知同意端设置显著提示和单独同意机制,并针对未成年人建立可核验的监护人同意流程;在传输与存储端落实加密、访问控制、权限分级、密钥管理与安全审计,推动本地化存储并落实最小必要原则;在委托处理端与第三方签署明确的安全协议,约定处理目的、期限、方式和安全措施,并建立定期评估、抽查及退出机制;在数据生命周期管理上明确保留期限、到期删除和可追溯记录,形成闭环管理。 (前景)随着人脸识别在社区、园区、商业综合体等场景持续应用,个人信息保护将更强调“事前合规、事中可控、事后可追”。此次案例也体现出检察公益诉讼在社会治理中的作用:一上通过发现问题、提出建议,推动行政监管与企业自查整改形成合力;另一方面通过典型案例释法明理,为行业提供合规参照,促使技术应用与权益保护同步推进。预计未来监管重点将更聚焦敏感信息处理、未成年人保护、第三方外包链条安全、算法与识别系统安全评估等领域,行业也将加快从“功能导向”向“安全与合规并重”转型。
个人信息是数字时代的重要资产,其安全直接关系到公民切身利益。本案的办理表明,通过检察公益诉讼制度,可以有效制止侵害众多不特定消费者合法权益的行为。随着人脸识别等生物识别技术不断普及,类似风险仍可能出现。为此,有必要深入完善制度规则,加强执法监督,提升企业合规能力,推动政府、企业、社会共同参与,形成更有韧性的个人信息保护生态,确保新技术更好服务社会,而不成为侵害权益的工具。