摘要：近日，上海某健身会所因要求会员必须通过人脸识别系统验证身份，被消费者王某投诉至监管部门。王某称，自己已按照合同约定提供身份证明并缴纳年费，但商家以“防止会员卡外借”为由拒绝其使用传统刷卡方式，仅允许刷脸入场。经法院审理认为，健身会所强制收集、使用人脸信息的行为

【典型案例回顾】

近日，上海某健身会所因要求会员必须通过人脸识别系统验证身份，被消费者王某投诉至监管部门。王某称，自己已按照合同约定提供身份证明并缴纳年费，但商家以“防止会员卡外借”为由拒绝其使用传统刷卡方式，仅允许刷脸入场。经法院审理认为，健身会所强制收集、使用人脸信息的行为违反《个人信息保护法》对敏感信息的处理规则，判决其承担违约责任并向王某赔偿精神损害抚慰金。

这起案件折射出公民生物识别信息被滥用的现实困境。随着人脸识别、指纹支付等技术普及，企业收集用户敏感信息的边界究竟在哪？个人如何保护自己的“数字面容”？

争议焦点分析：公共场景中谁的“脸”由谁做主？

争议点一：处理敏感信息，“概括授权”是否合法？

案件中，健身会所辩称其已在会员协议中写明“为保障安全，可能收集必要个人信息”，并主张王某勾选同意协议即视为授权。但法院明确指出，依据《个人信息保护法》第29条，处理生物识别等敏感个人信息需取得个人的“单独同意”，不得通过默认勾选、捆绑授权等隐藏方式取得授权。

【实务建议】
企业应特别注意：

1.“亮明身份”原则：单独设置敏感信息授权页面，清晰列明收集目的、使用范围及存储期限；

2.“最少必要”原则：例如健身场景下，姓名、手机号足以识别会员身份，无需强制刷脸；

3.“退出机制”设计：若消费者拒绝提供人脸信息，需明确告知替代验证方式。

争议点二：未成年人“刷脸”需要迈过哪几道坎？

近期教育机构收集学生面部识别数据引发的纠纷增多。根据《个人信息保护法》第31条，处理14周岁以下未成年人信息必须取得监护人同意，同时应采用显著方式提示风险。某培训机构因未在直播课堂页面明示人脸数据用途，被认定侵犯未成年人权益并罚款20万元。

【律师视角】
企业合规应对三步走：

1.“双重验真”机制：需同时验证未成年人和监护人身份，如监护人手持证件视频验证；

2.“生命周期”管理：学生退课后应立即删除其面部特征数据；

3.“应急熔断”预案：一旦发生信息泄露，需在72小时内向监管部门及监护人同步通告。

行业启示：平衡商业创新与个人权益的四个支点

笔者结合承办的27起个人信息纠纷案件，提炼以下实务要点：

▍支点1：场景必要性评估表
企业应在新技术落地前完成法律风险评估。例如便利店使用人脸支付虽属创新，但若同时记录消费者性别、年龄用于精准营销，即可能超出必要范围。

▍支点2：数据安全审计节点
建议每年至少开展两次系统安全检查，重点核查第三方技术供应商的合规资质。某商场就因合作的AI分析平台违规留存顾客步态数据被连带追责。

▍支点3：用户诉求响应清单
建立标准化的个人信息查询、更正、删除通道。某APP因未在15日内响应消费者的数据删除请求，被认定构成“过度拖延”并处罚款。

▍支点4：最小化存储技术应用
采用联邦学习、差分隐私等技术，实现“可用不可见”。如某银行推行“特征码”替代原始人脸数据，既满足风控需求又降低泄露风险。

思考题：当技术狂奔遇上法律重刹

刷脸进门、AI面试、智能情绪监测…技术革新不断改写隐私边界。当企业以“提升效率”之名收集信息时，我们是否正在用便利典当安全感？

您是否遇到过以下情形？

小区突然要求必须人脸识别才能出入；

求职平台强制上传动态视频验证身份；

手机APP通过相册权限获取敏感照片。

欢迎在评论区分享经历，笔者将选取3个典型案例作法律解读。数字化转型浪潮中，既要警惕“裸奔”的风险，也应避免“因噎废食”——如何在两者间找到平衡点，或许正是这个时代的必答题。

【互动话题】

你认为商家使用人脸识别时，哪些场景确属必要？哪些存在滥用嫌疑？

如果你的公司需要处理客户敏感信息，会优先采取哪些合规措施？

（本文观点基于公开裁判文书及政策文件分析，不构成法律意见。个人信息纠纷存在个案差异，具体问题请咨询专业律师。）

俞强律师团队提示：企业在处理生物识别、行踪轨迹等敏感信息时，建议建立《分级授权管理制度》及《应急预案操作手册》。如遇具体法律问题，可通过文末联系方式获取定制化合规方案。

【作者简介】
俞强 上海君澜律师事务所高级合伙人，专注于数据合规与隐私保护领域。

特别声明：本文内容仅为交流目的，不代表律师事务所或律师出具的任何形式法律意见。

来源：商业纠纷律师俞强（北大法律硕士）