随着智慧社区建设加快,人脸识别门禁等应用进入更多居住小区。
在提升出入管理效率的同时,个人敏感信息的采集与流转也带来新的治理课题。
最高人民检察院发布的典型案例显示,重庆两江新区检察机关通过行政公益诉讼监督,推动物业领域人脸信息处理行为规范化,形成了“发现问题—依法监督—行政履职—行业治理”的闭环整改路径。
问题:数据规模大、链条长,风险点集中暴露。
检察机关调查发现,相关企业在使用人脸识别技术过程中存在多方面合规缺口:一是采集的人脸信息通过互联网传输,敏感数据未有效加密;二是存储管理不规范,未落实本地化存储、脱敏处理和加密存储等措施,保存期限与必要性边界不清;三是告知与同意机制不到位,隐私协议对处理目的、保存期限等关键信息提示不充分;四是涉及未成年人信息处理时,未严格落实监护人同意要求;五是数据处理链条中与第三方处理者的安全约定缺失,责任边界模糊,增加泄露和滥用风险。
相关问题具有一定普遍性,反映出个别企业在“重建设、轻治理”倾向下对个人信息保护要求理解不足、落实不严。
原因:技术快速落地与治理能力建设不同步。
其一,部分物业企业将人脸识别作为“默认方案”,在应用场景选择上缺乏必要性评估,易出现功能扩张、用途外延。
其二,数据合规管理需要制度、人员和投入支撑,但一些企业在系统运维、权限控制、日志审计和应急处置等方面基础薄弱。
其三,人脸信息处理涉及设备供应商、平台服务商、物业管理方等多主体协作,若缺少安全协议与风险共担机制,容易出现“谁采集、谁负责”落实不到位。
其四,监管部门面临新技术应用多、更新快的现实压力,部分地区在规则细化、检查手段和行业统筹方面仍需加强。
影响:一旦失守,损害个体权益并放大公共风险。
人脸信息属于敏感个人信息,具有不可更改、可追踪等特点,泄露后可能被用于冒用身份、精准画像甚至实施诈骗,受害人难以通过“更换信息”降低风险。
对居民而言,这不仅是隐私被侵犯的问题,也可能引发对社区治理的信任受损;对行业而言,违规成本若低于合规成本,容易形成“劣币驱逐良币”,阻碍智慧社区健康发展;从公共利益角度看,规模化、集中化的数据风险具有外溢效应,可能影响社会治理秩序与网络安全环境。
对策:检察监督与行政监管协同,推动行业划定红线、完善制度。
为提升协同治理效能,两江新区检察机关与网信部门建立技术支撑、信息共享、专项协作机制,在调查中引入专业力量开展现场检查与风险认定,强化证据基础和整改指向性。
随后,检察机关依据相关法律法规,向住建部门制发检察建议,督促依法履行监管职责。
住建部门在推进个案整改的同时,从行业层面发布通知,明确规范要求:严格限定人脸识别应用场景,禁止在非安全管理需要的场景随意使用;健全数据管理制度,明确专人负责系统运维与数据管理,确保数据用途单一、边界清晰;完善同意获取流程,强调在充分告知基础上取得个人自愿、明确的单独同意,对不满十四周岁未成年人信息处理严格落实监护人同意;严控存储期限,强调加密措施与到期删除机制;同时推动与第三方处理者签署安全协议,补齐责任链条短板。
经跟进核查,相关企业完成整改,风险隐患得到消除,监管履职实现闭环。
前景:以法治方式规范技术应用,让“便捷”与“安全”相统一。
该案释放出清晰信号:新技术进入公共生活空间,必须在法治轨道上运行。
下一步,智慧社区建设应坚持“最小必要”原则与分级分类保护思路,推动物业企业将合规要求嵌入系统设计与运营流程,形成从采集、传输、存储到删除的全生命周期管理。
同时,监管部门可结合行业特点完善检查清单与评估机制,加强对设备供应、平台服务等上下游主体的协同监管,推动形成可复制、可推广的治理经验,为数字社会的安全发展夯实基础。
个人信息安全关系到每个公民的基本权益,也关系到社会信任体系的建立。
这起案例的圆满解决,展示了我国个人信息保护制度的有效性和监管部门的责任担当。
但更重要的是,它提醒我们在人工智能和大数据时代,必须始终把个人信息安全放在首位,既要推动新技术的应用发展,又要筑牢法律保护的防线。
通过检察建议、行业规范、企业自律的有机结合,才能让科技进步真正造福社会,而不是成为侵害权益的工具。
各地有关部门应以此为鉴,进一步完善个人信息保护的监管体系,确保在推进城市智能化管理的同时,切实保护好每一个居民的隐私权和信息安全权。