保安公司在部署人脸识别与监控数据时，如何避免侵犯公民权利

这个问题的核心矛盾在于：人脸数据是敏感个人信息中最敏感的一类——生物识别信息，一旦泄露或滥用，直接威胁人格尊严和人身财产安全。 保安公司要做的不是"不碰人脸识别"，而是在碰的每一个环节都踩在法律红线之内。

 

2025年6月1日起施行的《人脸识别技术应用安全管理办法》，加上《个人信息保护法》《公共安全视频图像信息系统管理条例》，已经把规则画得非常清楚。专业保安公司的合规路径，可以拆成五道防线。

 

第一道防线：先问"能不能用"，再问"怎么用"

很多公司上人脸识别是跟风，但法律要求的第一步是"个人信息保护影响评估"。

 

具体要回答四个问题：处理目的是否合法正当必要？对个人权益的影响有多大？泄露或被非法获取的风险有多高？现有保护措施够不够？评估报告和处理记录至少保存3年。

 

更关键的一条红线：实现相同目的，存在其他非人脸识别方式的，不得将人脸识别作为唯一验证方式。 也就是说，员工不愿意刷脸，你必须提供打卡、门禁卡等替代方案。任何人不得以办理业务、提升服务质量为由，误导、欺诈、胁迫个人接受人脸识别。

 

这条在实际操作中经常被忽略。某物业公司因为把人脸识别设为小区唯一出入方式，被业主起诉，法院直接判物业败诉——这不是个案，是最高人民法院司法解释明确支持的裁判规则。

 

第二道防线：采集环节——"最小必要"不是口号，是操作标准

空间上最小化。 监控和人脸识别设备只能装在维护公共安全所必需的区域。卫生间、更衣室、休息室、公共浴室——这些私密空间绝对不能装。公共场所安装必须设置显著提示标识，告知"您已进入人脸信息采集区域"。

 

精度上最小化。 摄像头的旋转角度、视场角、分辨率都要根据实际需求调到最低够用的档位。比如门禁验证不需要4K画质，调低分辨率就是在减少敏感数据的收集量。功能上也一样——如果只是日常考勤，就不要开启人脸属性提取、表情分析这些高精度功能，那些是侦查办案才需要的。

 

时间上最小化。 人脸信息的保存期限不得超过实现处理目的所必需的最短时间。活动结束、目的达成，数据就该删。

 

第三道防线：存储与传输——数据不出设备是基本要求

《人脸识别技术应用安全管理办法》第八条写得很硬：除法律另有规定或取得个人单独同意外，人脸信息应当存储于人脸识别设备内，不得通过互联网对外传输。

 

这意味着什么？很多公司习惯把人脸数据上传到云端服务器统一管理，这在合规上是高风险操作。正确做法是：数据本地存储、本地比对，不上传、不外发。

 

如果确实需要跨设备调用，必须同时满足两个条件：取得个人单独同意，且采取数据加密、安全审计、访问控制、授权管理、入侵检测和防御等全套技术措施。

 

另外，当人脸信息存储数量达到10万人时，必须在30个工作日内向省级以上网信部门备案。终止使用的，30个工作日内办理注销备案并依法处理所有人脸信息。

 

第四道防线：技术层面的四个硬措施

光靠制度不够，技术上必须做到位：

 

数据加密。 采集、传输、存储全链路加密，不是 optional，是 mandatory。

 

权限分级。 不是所有保安都能看人脸数据。只有经过授权的特定人员才能访问，且每一次访问都要留痕、可审计。

 

匿名化处理。 能把人脸数据和身份信息分离存储的，就分离。分析统计用脱敏数据，不碰原始人脸图像。

 

活体检测。 防止用照片、视频、3D面具欺骗系统，这既是安全需要，也是避免误判导致无辜者被错误标记的保护措施。

 

第五道防线：告知与同意——不是贴张告示就完了

法律要求的告知必须包含五项内容：处理者名称和联系方式、处理目的和方式、保存期限、必要性及对个人权益的影响、个人行使权利的方式和程序。而且语言要"显著方式、清晰易懂"，不能用密密麻麻的法律条文糊弄人。

 

基于个人同意处理人脸信息的，必须取得个人在充分知情前提下自愿、明确作出的单独同意。注意是"单独同意"，不是混在一堆用户协议里让人一并勾选。

 

涉及不满十四周岁未成年人的，必须取得其父母或监护人同意。

 

个人有权随时撤回同意，保安公司必须提供便捷的撤回渠道，且撤回后要立刻停止处理并删除数据。

 

一个容易踩的坑：内部人员滥用

外部黑客固然可怕，但更常见的风险来自内部。某保安公司的做法值得参考：枪弹每天"体检"不带病上岗，押运车出勤必过三重安检门，所有隐患建档追踪、整改销号才过关。对人脸数据同样适用——操作权限按需分配、定期安全教育、异常访问实时告警。

 

2025年德阳某保安公司在押运防抢演练中发现驾驶员对新增威胁通报不及时，当场优化流程。这种"演练暴露问题—立刻改—再练"的闭环，放在人脸数据管理上同样适用。

 

说到底，保安公司部署人脸识别的合规逻辑就一句话：你收集的每一张脸，都必须说得清为什么收、收了干什么、存多久、谁能看、怎么删。 说不清的，就别收。

 

《人脸识别技术应用安全管理办法》第十七条还给了每个人一把武器：任何组织和个人都有权对违法应用人脸识别技术的行为向网信部门或公安机关投诉举报。这条规定不是摆设，2025年6月施行以来已经有多起企业因违规被处罚的案例。

 

技术是工具，合规是底线。越过这条线，省下的成本迟早会以百倍代价还回来。