发布日期:
人脸信息不是“商业资源”,而是“法律禁区”
自动售货机为人们带来便利的同时,也可能引发个人信息泄露等问题。日前,国家网信办发布了近期网络安全、数据安全、个人信息保护相关执法典型案例。其中,上海某科技有限公司违法违规收集人脸信息案值得人们警醒。
据悉,上海某科技有限公司运营的自动售货机存在违法违规收集人脸信息等问题,该企业在用户支付环节未经同意采集人脸信息,且未建立个人信息保护影响评估制度,相关系统存在SQL注入高危漏洞。
针对该起典型案例,本报邀请了贵州省律师协会大数据和信息化专业委员会委员,贵阳市公安局南明分局网安大队大队长(公职律师)江俊锋,就该起案例涉及到的法律问题进行分析,并为行业合规提出意见建议。
自动售货机违法收集人脸信息被查
网信部门工作发现,上海某科技有限公司运营的自动售货机存在违法违规收集人脸信息等问题。经查,该企业在用户支付环节未经同意采集人脸信息,且未建立个人信息保护影响评估制度,相关系统存在SQL注入高危漏洞,违反《网络安全法》《个人信息保护法》《网络数据安全管理条例》等规定。属地网信办已依法责令其改正,并予以警告处罚。
三重违规触碰法律红线
本案是典型的“技术便利掩盖法律风险”案例。涉事企业常以“提升支付体验”为由部署人脸识别,却忽视三大核心合规义务,反映出部分科技企业在数据合规体系建设上的严重缺失。
违法行为一:
未经同意收集人脸信息——踩踏“敏感信息”红线
企业在自动售货机支付页面未设置独立授权弹窗,默认开启人脸识别功能。用户若想完成支付,必须“被刷脸”。既未告知采集目的(如身份核验、营销分析等),也未说明存储期限、是否共享第三方,更未提供非人脸识别的替代支付路径。这种“强制捆绑+默认授权”模式,实质剥夺了用户的知情权与选择权。
法律依据:《个人信息保护法》第13条明确“取得个人同意”是处理个人信息的首要合法性基础(除法定例外);第28条将“生物识别信息”列为敏感个人信息;第29条要求处理敏感个人信息应取得单独同意,必须满足“特定目的+充分必要+单独同意”三重门槛。《网络安全法》第22条、《网络数据安全管理条例》第21条也规定收集信息需依法告知。本案中,企业未提供替代方案、未依法告知、未取得主动勾选的单独授权,构成实质违法。此外,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条明确,未征得自然人或其监护人单独同意的,构成侵权。
违法行为二:
未建立个人信息保护影响评估制度——合规体系“裸奔”
该企业未设立内部个人信息保护政策、操作规程或应急机制,未对人脸采集业务开展“个人信息保护影响评估”(PIA),也未指定个人信息保护负责人(PIPO)。检查时无法提供任何合规文档或评估报告,暴露出数据治理的系统性缺失。
法律依据:《个人信息保护法》第51条要求企业“制定内部管理制度和操作规程”“对个人信息实行分类管理”“定期开展合规审计”。第55条、第56条明确规定,处理敏感个人信息前须进行事前影响评估,内容包括处理目的是否合法必要、对个人权益的影响及安全风险、所采取的保护措施是否有效,并应形成书面报告至少保存三年。《网络数据安全管理条例》第32条进一步要求“重要数据处理者”或“处理100万人以上个人信息的处理者”每年至少开展一次评估。本案企业完全缺失该制度,导致无法自证合法性,属于系统性合规缺位。
违法行为三:
存在SQL注入高危漏洞——安全防线“形同虚设”
SQL注入属OWASPTop10高危漏洞,极易导致数据泄露。企业未定期检测、未及时修复,构成“未履行安全保障义务”。
法律依据:《网络安全法》第21条、《数据安全法》第27条、《个人信息保护法》第51条均要求网络运营者或个人信息处理者“采取必要技术措施确保数据安全”。
监管前置,行业需筑牢安全防线
依据《个人信息保护法》第66条、《网络安全法》第64条,对“首次违法+未造成大规模泄露+配合整改”的情形,适用“警告+责令改正”符合“过罚相当”原则,既体现执法刚性,也保留企业整改空间。但需注意:该处罚已形成行政处罚记录,若复查未达标或再犯,将触发更高阶处罚(如罚款、停业、吊销许可)。
本案标志着监管从“事后追责”转向“事前防控”,从“关注数据泄露结果”转向“严查合规过程缺失”。人脸信息不是“商业资源”,而是“法律禁区”,任何绕过“单独同意”的采集行为,无论是否牟利,均属违法。技术漏洞不是“客观原因”,而是“主观失职”,企业不能以“不知情”“没技术”为由推卸责任。
行业监管部门建议:应加强对“线下智能终端”(如售货机、门禁、广告屏)的数据采集行为抽查,重点检查“授权机制”与“替代方案”。
群众维权提示:遇到强制刷脸,可当场拒绝并要求替代方案。若被拒绝服务,可录音录像取证并投诉。若因信息泄露造成损失(如被诈骗、被骚扰),可提起民事诉讼,主张精神损害赔偿。
企业合规建议:在所有人脸采集终端设置独立授权页面,包含采集目的、存储期限、数据用途、是否共享、撤回方式等内容;必须提供“非人脸识别”替代方案(如扫码、刷卡、输密码),确保用户有选择权;授权界面需“主动勾选+二次确认”,禁止默认勾选、捆绑授权、诱导授权;建立数据合规部门,制定个人信息保护制度;做好技术安全加固,定期检测并修复系统漏洞。
对企业而言,合规不是成本,而是“数字时代的营业执照”。在“强监管、严问责、高赔偿”的新环境下,唯有将法律要求嵌入产品设计、写入公司章程、融入企业文化,才能行稳致远。
(贵州省律师协会供稿)
据悉,上海某科技有限公司运营的自动售货机存在违法违规收集人脸信息等问题,该企业在用户支付环节未经同意采集人脸信息,且未建立个人信息保护影响评估制度,相关系统存在SQL注入高危漏洞。
针对该起典型案例,本报邀请了贵州省律师协会大数据和信息化专业委员会委员,贵阳市公安局南明分局网安大队大队长(公职律师)江俊锋,就该起案例涉及到的法律问题进行分析,并为行业合规提出意见建议。
自动售货机违法收集人脸信息被查
网信部门工作发现,上海某科技有限公司运营的自动售货机存在违法违规收集人脸信息等问题。经查,该企业在用户支付环节未经同意采集人脸信息,且未建立个人信息保护影响评估制度,相关系统存在SQL注入高危漏洞,违反《网络安全法》《个人信息保护法》《网络数据安全管理条例》等规定。属地网信办已依法责令其改正,并予以警告处罚。
三重违规触碰法律红线
本案是典型的“技术便利掩盖法律风险”案例。涉事企业常以“提升支付体验”为由部署人脸识别,却忽视三大核心合规义务,反映出部分科技企业在数据合规体系建设上的严重缺失。
违法行为一:
未经同意收集人脸信息——踩踏“敏感信息”红线
企业在自动售货机支付页面未设置独立授权弹窗,默认开启人脸识别功能。用户若想完成支付,必须“被刷脸”。既未告知采集目的(如身份核验、营销分析等),也未说明存储期限、是否共享第三方,更未提供非人脸识别的替代支付路径。这种“强制捆绑+默认授权”模式,实质剥夺了用户的知情权与选择权。
法律依据:《个人信息保护法》第13条明确“取得个人同意”是处理个人信息的首要合法性基础(除法定例外);第28条将“生物识别信息”列为敏感个人信息;第29条要求处理敏感个人信息应取得单独同意,必须满足“特定目的+充分必要+单独同意”三重门槛。《网络安全法》第22条、《网络数据安全管理条例》第21条也规定收集信息需依法告知。本案中,企业未提供替代方案、未依法告知、未取得主动勾选的单独授权,构成实质违法。此外,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第2条明确,未征得自然人或其监护人单独同意的,构成侵权。
违法行为二:
未建立个人信息保护影响评估制度——合规体系“裸奔”
该企业未设立内部个人信息保护政策、操作规程或应急机制,未对人脸采集业务开展“个人信息保护影响评估”(PIA),也未指定个人信息保护负责人(PIPO)。检查时无法提供任何合规文档或评估报告,暴露出数据治理的系统性缺失。
法律依据:《个人信息保护法》第51条要求企业“制定内部管理制度和操作规程”“对个人信息实行分类管理”“定期开展合规审计”。第55条、第56条明确规定,处理敏感个人信息前须进行事前影响评估,内容包括处理目的是否合法必要、对个人权益的影响及安全风险、所采取的保护措施是否有效,并应形成书面报告至少保存三年。《网络数据安全管理条例》第32条进一步要求“重要数据处理者”或“处理100万人以上个人信息的处理者”每年至少开展一次评估。本案企业完全缺失该制度,导致无法自证合法性,属于系统性合规缺位。
违法行为三:
存在SQL注入高危漏洞——安全防线“形同虚设”
SQL注入属OWASPTop10高危漏洞,极易导致数据泄露。企业未定期检测、未及时修复,构成“未履行安全保障义务”。
法律依据:《网络安全法》第21条、《数据安全法》第27条、《个人信息保护法》第51条均要求网络运营者或个人信息处理者“采取必要技术措施确保数据安全”。
监管前置,行业需筑牢安全防线
依据《个人信息保护法》第66条、《网络安全法》第64条,对“首次违法+未造成大规模泄露+配合整改”的情形,适用“警告+责令改正”符合“过罚相当”原则,既体现执法刚性,也保留企业整改空间。但需注意:该处罚已形成行政处罚记录,若复查未达标或再犯,将触发更高阶处罚(如罚款、停业、吊销许可)。
本案标志着监管从“事后追责”转向“事前防控”,从“关注数据泄露结果”转向“严查合规过程缺失”。人脸信息不是“商业资源”,而是“法律禁区”,任何绕过“单独同意”的采集行为,无论是否牟利,均属违法。技术漏洞不是“客观原因”,而是“主观失职”,企业不能以“不知情”“没技术”为由推卸责任。
行业监管部门建议:应加强对“线下智能终端”(如售货机、门禁、广告屏)的数据采集行为抽查,重点检查“授权机制”与“替代方案”。
群众维权提示:遇到强制刷脸,可当场拒绝并要求替代方案。若被拒绝服务,可录音录像取证并投诉。若因信息泄露造成损失(如被诈骗、被骚扰),可提起民事诉讼,主张精神损害赔偿。
企业合规建议:在所有人脸采集终端设置独立授权页面,包含采集目的、存储期限、数据用途、是否共享、撤回方式等内容;必须提供“非人脸识别”替代方案(如扫码、刷卡、输密码),确保用户有选择权;授权界面需“主动勾选+二次确认”,禁止默认勾选、捆绑授权、诱导授权;建立数据合规部门,制定个人信息保护制度;做好技术安全加固,定期检测并修复系统漏洞。
对企业而言,合规不是成本,而是“数字时代的营业执照”。在“强监管、严问责、高赔偿”的新环境下,唯有将法律要求嵌入产品设计、写入公司章程、融入企业文化,才能行稳致远。
(贵州省律师协会供稿)
