除了旅游住宿机构，存在普遍采集人脸信息的现象。体育场馆、培训机构、商场超市等诸多经营场景，也会以办理业务、提升服务质量等名义，要求消费者接受人脸识别技术验证个人身份。

这些采集人脸信息的行为是否合规？人脸信息的采集是否过于泛滥？解放日报·上观新闻记者展开了多方走访。

更衣室里出现人脸识别设备

早在一年前，松江区的朱女士就注意到家附近的泳乐游泳馆（云间粮仓店）更衣室采用了人脸识别的方式开启更衣柜。“站在设备前，摄影头打光灯一亮，屏幕前就出现了附近来往顾客没穿衣服的画面。我连忙用毛巾把摄像头挡住，赶紧用浴巾裹好身体！”工作人员获知后进行了“整改”，屏幕不再显示实时画面，仅显示识别比对后的结果。但这仍然让朱女士感到不安，“看不到就意味着没有在采集信息吗？为什么更衣室一定要使用人脸识别技术呢？”

4月23日，记者来到泳乐游泳馆的云间粮仓店。该游泳馆在面向消费者的购买票卡广告上提到，购票后需要在小程序“酷学体育”上进行人脸认证，进出闸机也是依靠人脸识别。

进入场馆内，健身区与游泳区都设置了人脸识别闸机。人脸识别屏幕处于常亮的状态，实时显示来往人流。记者一凑近，屏幕右下角的红灯、白灯均亮起，屏幕中间有圆圈识别出记者的人脸，并自动扫描、比对，一眨眼间就显示“识别分数低”的结果。

在女更衣室里，2个人脸识别设备安装在更衣柜集中的区域。屏幕上显示存、取、换三个功能项，下方一行小字提示“此处刷手环可直接开启更衣柜”。但咨询工作人员得知，场馆已取消手环存取方式。记者点击“存”字按钮后，进入到人脸识别、微信扫码、会员密码等选项。点击人脸识别后，屏幕确实没有出现更衣室内场景的画面，工作人员在屏幕前站定一会后，出现了比对成功的消息，显示了原先注册时录入进系统的人脸信息，柜门自动开启。

不用人脸识别，用微信扫码、会员密码等方式可以开启吗？有消费者告诉记者，用手机扫码后，手机要放进柜子里存着，回来就无法开启，是个悖论。会员账号和密码还要手动输入，基本没人会用这个功能。

场馆的一名男性负责人接受记者采访时表示，游泳场馆常见的感应式手环容易掉落、遗失，引入了人脸识别方式开关柜门、管理人员进出就会简便很多。对方强调，更衣室内的设备虽有摄像头，但并不记录、存储信息，仅仅是用作比对。比对后相关信息都会自动删除。对方还提到，引进该设备的一个重要理由是厂家声称其设备及技术经过公安机关备案，由此认定厂家不敢乱来。

1秒不到人脸信息就被自动采集

打着简单自由、方便管理的名义，人脸识别的功能及应用。随着设备技术商的推广，悄悄蔓延到多种场景。

在松江三湘财富广场的华联超市出入口附近，原本小票打印式的寄存柜更换成人脸识别设备。4月23日，记者在现场看到，触摸屏幕上显眼地设置了“存”与“取”两个功能，点击“存”字后，选择需要的箱体大小。随后在不到1秒钟的时间里，设备完成了人脸信息采集，柜门也同步打开。“这就好了？小票呢？”一旁的阿姨一时间反应不过来，向工作人员询问。“没有小票，直接存就好了！回来脸再照一下。”

没有询问告知获取同意就采集了人脸信息，这合规吗？超市店长斩钉截铁地答复记者称，设备不存在隐私泄露的问题。当记者又问设备厂家是否有提供一些数据存储与保护的承诺材料，其又称不清楚，无法提供。

市民王女士也向解放日报·上观新闻反映，其在“悟空体育”机构上为孩子购买了多节篮球课程。每次需要在小程序线上约课，线下去场馆上课。近期，她突然被教练告知，机构上线了学员签到系统课程，学员需通过人脸识别进行线上签到。当她打开小程序的人脸识别采集环节时，弹窗显示的“人脸采集协议”提到“您了解并同意，小麦助教手机并存储您的人脸特征数据，否则您无法使用我们的人脸考勤服务。”

“机构以考勤为由强制采集未成年人的人脸信息，合规吗？”面对王女士的质疑，教练表示这是公司的规定，且人脸识别采集早就针对教练开展。王女士记得，此前课程的签到只需要教练通过手机拍照记录一下小朋友的出勤情况即可，因此无法理解现在采集人脸信息的必要性。如果仅是为了方便机构管理，其无法认可。

△“悟空体育”要求学员需通过人脸识别进行线上签到。

从走访过程看，可窥见人脸识别技术在推广中的共性问题：没有做到充分的告知义务，甚至不经过消费者的同意采集人脸信息；应用的场景涉嫌违规，不具备采集人脸信息的必要性；经营者设置的操作步骤，强制或变相要求消费者接受人脸识别作为消费中的必要环节。

必须遵循“最少使用”和“最小存储”

《个人信息保护法》第二十八条规定“生物识别”信息属于“敏感个人信息”，并明确只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息，且处理敏感个人信息应当取得个人的单独同意，如果法律、行政法规规定处理敏感个人信息应当取得书面同意的，应当从其规定。

2023年8月，国家网信办公开发布《人脸识别技术应用安全管理规定（试行）（征求意见稿）》（以下简称“征求意见稿”）并规定，宾馆、银行、车站、体育场馆、博物馆等经营场所，除法律、行政法规规定应当使用人脸识别技术验证个人身份的，不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。

“征求意见稿”还要求，使用人脸识别技术必须遵循“最少使用”和“最小存储”。“最少使用”，即只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求，存在其他非生物特征识别技术方案的，应当优先选择非生物特征识别技术方案；“最小存储”，即除法定条件或者取得个人单独同意外，人脸识别技术使用者不得保存人脸原始图像、图片、视频，经过匿名化处理的人脸信息除外。使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息，无法避免的，应当及时删除或者进行匿名化处理。

业内人士指出，存取物品、考勤签到都并非必须使用人脸识别的场景，强制以人脸识别作为主要且单一的通道，其合法性存疑。当下，人脸信息应用如雨后春笋，但存储环境的安全性却没有做到同步匹配，容易留下个人信息泄漏、毁损、非法使用甚至非法出境的隐患，全社会都应当重新审视生活情景下的“刷脸”便利，认真对待权利让渡带来的风险与侵害。由于公众往往无法确知敏感信息在前端的获取情况，在后端又能否真正实现加密保护或依法删除，有关部门应依据职责、形成合力，加强对人脸识别技术使用的全生命周期监管，指导督促人脸识别技术使用者履行各项法定义务，避免敏感个人信息安全风险失控蔓延。