行业监管动态与典型案例 - 最高人民检察院于2026年1月22日发布个人信息保护检察公益诉讼典型案例 其中涉及物业及房地产企业人脸识别技术运用中的安全隐患[1] - 典型案例揭示重庆某科技公司物业管理场所涉及人脸信息储备高达150万条 存在10个以上风险问题 重庆某生活服务公司管理的13个小区主要使用人脸识别进出 存在4个风险问题 重庆某置业公司存在6个风险问题[1] - 暴露的普遍风险隐患包括：人脸信息通过互联网传输、采集14岁以下未成年人信息未获监护人同意、个人敏感信息未本地化存储、未采取数据脱敏和加密存储、未对敏感数据加密传输、隐私协议告知不明确、未与第三方数据处理者签署安全协议等[1] 人脸信息泄露的潜在风险 - 人脸信息具有“终身不可更改性” 一旦泄露可能引发财产风险 攻击者或利用高精度人脸模型攻破金融支付或门禁系统[1] - 在生成式人工智能技术加持下 泄露的人脸数据易被用于制作深度伪造视频进行敲诈勒索或身份冒用 侵蚀社会信任[1] - 物业处理人脸信息的风险具有特殊性 物业管理区域具有垄断特性 业主为获取通行权往往非自愿被迫同意 导致知情同意规则在社区场景下异化[3] - 物业企业多属传统服务行业 普遍存在数据安全技术薄弱与持有海量敏感数据的矛盾 常因技术外包导致数据控制权缺失[3] - 小区门禁高频触发使人脸数据易积累成包含出行规律的“生活行为画像” 一旦管理失范 对居民生活安宁的侵入远超一般商业应用[3] 特定人群面临的风险 - 对于未成年人 核心风险在于监护人同意机制的缺失 法律要求处理不满十四周岁未成年人信息需取得监护人同意 物业若仅获取未成年人本人许可或未核验监护人身份即构成严重违法[3] - 对于老年人群体 风险集中在“知情同意”的实质有效性认定上 受限于文化水平和网络技能 老年人难以充分理解技术风险及隐私条款 若物业未提供充分解释或替代验证方式 其获取的“同意”可能被认定无效[4] - 老年人个人信息泄露后更易成为电信诈骗的攻击目标 这要求物业企业承担更高的安全保障义务[5] 业主权利与法律实践 - 业主对个人信息处理具有决定权 有权拒绝录入人脸信息[6] - 实践中物业公司将人脸识别作为出入小区唯一验证方式的案例屡见不鲜 四川省高院2025年11月发布的典型案例中 某小区业主因拒绝录入人脸信息导致进出极为不便[6] - 审理法院认为 在业主明确拒绝提供个人信息的情况下 物业将人脸识别作为唯一验证方式侵害了业主决定权 物业服务人有义务提供刷卡等合理替代验证方式保障通行[6] - 物业此举违反了告知同意规则及最小必要原则 实质上剥夺了业主的自主选择权[7] - 业主可依据《人脸识别技术应用安全管理办法》要求提供IC卡、二维码等非生物特征的替代验证方式 若协商无果可向网信或住建部门提起行政投诉 或向检察机关提供线索推动检察公益诉讼[7] 行业规范与安全建议 - 《人脸识别技术应用安全管理办法》自2025年6月1日起施行 规定了较为完善的物业人脸信息安全管理制度 但实践中仍存在违规成本低、监管滞后等问题[8] - 流程上可尝试将人脸信息收集条款从一般物业服务合同中剥离 制定独立的《人脸信息处理告知书》 清晰列明安全管理目的、数据留存期限及到期自动删除机制等内容[8] - 在获取同意环节 应设置实质性选择权前置程序 在要求录入人脸前以醒目方式主动告知并提供门禁卡、二维码等替代方案 确保业主签署的是真正的单独同意[8] - 在采集范围与技术管控上 应确立“最小必要”与“本地化优先”原则 采集点位应仅用于出入口安全控制 避免在小区内部非主要通道部署无感抓拍设备[8] - 技术架构上应优先采用数据本地化存储方案 若确需委托第三方云端处理 应当签署严格的数据安全保护协议以明晰责任边界[8] - 针对监管落地难题 应完善行政裁量基准并探索建立合规激励制度 对于已进行个人信息保护机制建设的企业 在发生非主观恶意违规时可适用依法从轻、减轻处罚的裁量规则 引导企业将资源投入安全技术升级与制度建设[9]

医院人脸识别应用现状 - 广州30家三甲医院中半数存在线上首次建档环节强制患者"刷脸"情况，个别医院未充分告知人脸信息去向 [1] - 广州医科大学附属第二、第三医院要求患者无论线上线下建档挂号均须"刷脸"，执行标准更为严苛 [1] 人脸识别技术监管框架 - 2023年6月《人脸识别技术应用安全管理办法》正式施行，确立"目的明确、最小必要、严格保护"处理原则，严禁将人脸识别作为唯一验证方式 [1] - 民法典要求个人信息处理遵循合法、正当、必要原则，《个人信息保护法》规定公共场所安装识别设备应为"维护公共安全所必需" [1] - 《信息安全技术个人信息处理中告知和同意的实施指南》对人脸识别技术使用提出"单独告知"和"明示同意"要求 [1] 医疗场景的特殊性 - 医院作为基本医疗保障提供者，医患关系特殊性导致患者在就医场景下难以有效维护个人信息权益 [2] - 病患就医需求具有紧迫性，使得"人脸识别不得成为唯一身份验证方式"的法律规定在实际执行中面临挑战 [2] 监管与执行问题 - 现有法律框架虽完善，但医疗机构守法自觉性仍有提升空间，需要监管机构更有效的执法介入 [3] - 网信部门、公安机关等监管部门需依法对医院等公共场所的人脸识别应用实施监督检查 [3] - 检察机关可通过个人信息保护公益诉讼督促行政履职，保障公民在医院场景的合法权益 [4] 技术应用风险 - 人脸识别技术涉及大量信息泄露风险，可能诱发网络诈骗等安全问题 [4] - 医院作为重要民生场所，不应成为法律贯彻的盲区，需加强技术应用的合规性管理 [4]

人脸识别技术应用现状 - 人脸识别技术已广泛应用于刷脸解锁、支付、进小区等生活场景，但存在"强制刷脸""无感抓拍"等滥用现象 [3] - 公众主要担忧隐私泄露、安全风险及信息被不良使用，部分场景仅需一张照片即可通过AI算法绕过验证系统 [5] 《人脸识别技术应用安全管理办法》核心内容 - 我国首部专门针对人脸识别技术的综合性规章，与《网络安全法》《数据安全法》《个人信息保护法》形成配套 [7] - 规定公共场所安装人脸识别设备需为维护公共安全所必需，并设置显著提示标识 [9] - 禁止在宾馆客房、公共浴室等私密空间安装人脸识别设备 [12] - 要求采取数据加密、安全审计等措施保护人脸信息安全，存储需本地化且不得通过互联网传输 [17][19] 新规实施后的行业变化 - 酒店入住场景：北京、浙江等地酒店已取消人脸信息采集，仅需身份证核验 [9] - 小区出入场景：杭州多个居民区保留刷卡等替代方式，不再强制人脸识别 [10] - 健身房等特殊场景：上海某健身房取消更衣室人脸识别，入口闸机支持手环验证 [13] 数据采集与存储规范 - 采用分类采集原则，根据场景需求差异化采集5-106个特征点（如门禁仅需基础采集，金融场景需高阶采集） [15] - 存储量达10万人的个人信息处理者需向网信部门备案 [25] - 要求设置8位以上复杂密码、关闭自动登录、每3个月更换密码，落实"最小权限原则" [21] 技术发展与商业影响 - 人脸识别技术在中国应用场景全球领先，新规推动技术进入质量并行阶段 [25] - 数据泄露可能导致商业链变现风险，如A公司转卖数据给B/C公司用于商业推广 [23]

泡泡玛特Labubu系列抢购现象 - Labubu第三代搪胶毛绒产品"前方高能"系列上线后引发抢购潮 线上线下均售罄 出现"一娃难求"现象 [3] - 二手市场出现高价倒卖现象 黄牛通过线下蹲守和线上技术外挂抢货 [3] - 社交媒体用户建议通过实名验证(如人脸识别)限制黄牛行为 [3] 泡泡玛特防黄牛措施 - 线上小程序执行限购两盒政策 [3] - 部分门店试点"人脸识别+手机绑定"双重验证 但多地门店及客服回应未接到相关通知 [2][3] - 门店自提仅需出示小程序二维码验证 无需身份证或人脸识别 [3] 人脸识别技术监管政策 - 《人脸识别技术应用安全管理办法》于2025年6月1日施行 规定非必要不得将人脸识别作为唯一验证方式 [4] - 处理人脸信息需取得个人单独同意 禁止通过误导/欺诈/胁迫手段获取授权 [4] - 金融支付等特殊场景可例外使用 但需符合必要性原则 [5] 行业专家观点 - 人脸信息具有唯一性和终身性 泄露风险高于普通个人信息 [5] - 企业防黄牛措施需平衡消费者权益保护与个人信息安全 [5] - 建议企业避免以提升体验为由过度收集敏感生物信息 [5]

人脸识别技术应用安全管理办法核心内容 - 《人脸识别技术应用安全管理办法》于6月1日正式施行，标志着人脸识别技术进入系统性治理新阶段 [1] - 该《办法》提供了可操作性与可执行性的指导，推动人脸识别技术在合法合规轨道上发展 [1] 技术应用规范与限制 - 确立非唯一验证原则，禁止将人脸识别作为唯一验证方式 [4] - 公共场所安装人脸识别设备需为维护公共安全所必需，并设置显著提示标识 [4] - 禁止在宾馆客房、公共浴室等私密空间安装人脸识别设备 [4] - 处理残疾人、老年人人脸信息需符合无障碍环境建设规定 [4] - 处理不满十四周岁未成年人人脸信息需取得监护人同意 [4] 法律规范体系完善 - 民法典明确生物识别信息属于个人信息 [5] - 最高人民法院2021年7月发布规定，明确人脸信息侵权认定规则 [6] - 个人信息保护法2021年11月实施，对公共场所人脸信息处理进行规定 [6] - 2022年3月提出制定面部识别等智能化识别系统的全国统一标准 [6] - 多项国家标准出台，对人脸识别信息处理提出全生命周期规范要求 [6] - 2025年1月出台《公共安全视频图像信息系统管理条例》，4月1日起施行 [6] 滥用人脸识别的法律责任 - 民事责任：未获同意处理个人信息需停止侵害、赔偿损失等 [7] - 行政处罚：侵害个人信息权益可处警告、没收违法所得、罚款等 [7] - 刑事处罚：非法获取公民个人信息可构成"侵犯公民个人信息罪"，最高处七年有期徒刑 [8] 维权指引 - 第一步：明确拒绝强制刷脸要求，保留证据 [9] - 第二步：向监管部门投诉举报，要求企业出示备案证明 [10] - 第三步：提起诉讼，要求停止侵害并赔偿损失 [11][12]