近日，宁波市市场监督管理局、永嘉市市场监督管理局、温岭市市场监督管理局等多地行政管理部门展开专项行动，对多家地产商做出了行政处罚决定，原因是这些地产商在售楼处安装了人脸识别系统，用于识别、记录购房者的面部信息。

  以宁波市市场监督管理局作出的一份行政处罚决定书为例，主管部门依据《侵害消费者权益行为处罚办法》第十四条和《中华人民共和国消费者权益保护法》第五十六条第一款第九项之规定，认定地产商在个人隐私信息收集收集方面不合规，责令地产商改正，并罚款25万元。

  尽管处罚金额不高，但人脸识别系统在售楼处是如此普遍，随着个人隐私信息保护的法律和法规及相关规范的陆续出台，行业主管部门也开始对这些不合规行为进行规范和整治。因此，数据合规应逐渐引起地产行业的重视。本文将从处罚决定入手，尝试对售楼处人脸识别系统的合规事宜进行初步探讨。

  如前所述，主管部门认为地产商是在个人隐私信息收集方面存在不合规问题。所以我们先来看一下个人隐私信息的概念。

  《民法典》第一千零三十四条规定：个人隐私信息是以电子或者其他方式记录的能够单独或者与别的信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、手机号、电子邮箱、健康信息、行踪信息等。

  而个人信息中，一旦泄漏、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受损或歧视性待遇等的信息，被称为“个人敏感信息”。

  结合《信息安全技术个人隐私信息安全规范》附录A与附录B的内容，可以判定，人脸识别系统所收集的包含面部识别特征的人脸，应属于个人信息中的个人敏感信息。

  锁定概念之后，要进一步分析人脸识别系统的运作，以此确定过程中所涉及到的数据生命周期的各个环节。

  处罚决定书中对于人脸识别系统的运作描述如下：人脸识别系统一般由人脸抓拍机、主机、路由器、人脸认证及系统平台账号组成。结合售楼处的应用场景，人脸识别系统的运作模式为：潜在购房者来到售楼处时，人脸抓拍机会自动摄取所有到访售楼处客户的人脸生物识别信息，所摄取的信息会自动存入系统。此后，房产中介或销售代理公司介绍来的购房者正式签订购房合同时，地产商再通过人脸认证机对客户人脸生物识别信息和身份证信息进行集中采集，再将此信息与之前自动摄取并存储的全部售楼处访客人脸生物识别信息进行比对，以此来判别该购房者是否确为房产中介或销售代理公司拓展的客源。

  《信息安全技术人脸识别数据安全要求》中总结了三种人脸识别的场景，基于前面的描述，我们大家都认为售楼处的人脸识别系统应当属于人脸辨识的场景，即将签约时所采集的人脸识别数据与之前已存储的售楼处访客人脸识别数据来进行对比，以此完成识别。

  这一应用场景中涉及到的数据处理行为包括：1. 数据收集（即人脸抓拍机自动摄取人脸生物识别信息的行为）；2. 数据存储（人脸抓拍机的信息自动存储到系统）以及3. 数据使用（将信息用于比对和识别）。可能之后还有数据删除，但因处罚决定未披露，此处暂不讨论。

  数据使用与存储是指通过自动或者非自动方式针对数据或数据集合进行包括记录、组织、建构、存储、变更或修改、检索、咨询、使用、传播或别的形式的利用在内的任一或一系列操作。

  明确人脸识别系统所涉概念之后，我们得到了“个人敏感信息”、“数据收集”、“数据存储”、“数据使用”、“人脸辨识”等关键词，然后再来梳理相关的合规要求。

  《中华人民共和国民法典》第一百一十一条【个人隐私信息受法律保护规则】、第一千零三十五条【个人隐私信息处理的原则】、第一千零三十六条【处理个人隐私信息的免责事由】第一千零三十八条【个人隐私信息安全规则】。

  《中华人民共和国网络安全法》第四十一条【收集、使用个人隐私信息应当遵循的原则】、第四十二条【网络运营者确保个人信息安全的要求】。

  《个人信息保护法（草案二次审议稿）》全文明确了个人信息保护的原则，个人信息处理者对个人信息保护的要求，和处理个人隐私信息应当满足的要求等。

  基本原则：个人隐私信息控制者开展个人信息处理活动应当遵循合法、正当、必要的原则，前述原则又可进一步细化为：权责一致原则、目的明确原则、选择同意原则、最小必要原则、公开透明原则、确保安全原则和主体参与原则。

  因前述根本原则已经体现在下面的具体实际的要求中，所以此处不再赘述各原则的定义。

  收集的个人隐私信息的类型应与实现产品或服务的业务功能有直接关联（直接关联是指没有上述个人隐私信息的参与，产品或服务的功能没办法实现）；并且在满足应用场景安全要求的前提下，应仅收集用于生成人脸特征

  在收集个人生物识别信息前，信息控制者应该以显著方式、清晰易懂的语言单独向信息主体告知收集、使用

  单独明示同意（明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿）

  包括但不限于加密存储和传输人脸识别数据，采用物理或逻辑隔离方式分别存储人脸识别数据和个人身份信息等。

  如若存储，则需采取下列一种或多种措施1）仅存储面部信息的摘要信息（摘要信息通常具有不可逆的特点，无法回溯到原始信息）；2）在采集终端中直接用个人生物识别信息实现身份识别、认证等功能；3）在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后

  对于所存储的人脸识别数据，在信息主体明示不再使用功能、服务或者撤回授权/授权存储期限到期/信息控制主体无法或者停止提供服务时，

  ，具体包括，明确责任部门与人员及其具体职责，任命个人隐私信息保护负责人和个人隐私信息保护工作机构，并为个人隐私信息保护负责人、工作机构提供必要的资源。

  ，并在其中明确人脸识别数据保护要求，包括但不限于保护策略、处理规则等；

  在发生或者有几率发生人脸识别数据泄露、损毁、丢失的情况时，应立即采取补救措施，依规定及时告知数据主体，并向相关主管部门报告；

  对比前述合规要求能够正常的看到，地产商在售楼处安装人脸识别系统不仅要满足数据安全处理的要求，还需要落实相关的安全管理要求。而此次行政处罚决定所涉及的，还仅仅是前者数据安全处理中的收集环节，甚至未关注到存储、使用和数据删除阶段。可见，企业的数据合规任重而道远。

  限于本文篇幅，我们在这里仅对人脸识别系统在数据收集环节的问题进行了简单归纳整理，从我们不难发现的情况去看，数据收集环节不仅是目前监督管理的机构关注的重点，也是潜在购房人可以直接观察并体验到的环节，更容易引发社会关注，所以这也成为合规的重灾区。

  最小必要原则要求，收集的个人隐私信息的类型应与实现产品或服务的业务功能有直接关联。但事实上，地产商收集人脸信息主要是自身经营管理所需，与其业务功能（也就是售房）没有关联。

  按照公开透明原则的要求，信息控制者应当告知信息主体个人信息处理的目的、方式、范围等规则，并设置显著的标识。而绝大部分售楼处显然缺失了这一告知环节。

  售楼处的人脸识别系统通常为无感抓拍，也就是说，信息主体是在完全不知情的情况下被采集了人脸信息。既然没有“充分知情”，也就谈不上“明示同意”。

  也有部分地产商通过在售楼处入口处张贴告示的方式来进行提示，并声明一旦客户进入售楼处即视为同意收集人脸信息，而这样的做法充其量也只是“默示同意”，并不符合规范中“明示同意”的要求。更何况，信息主体本身也享有拒绝和撤回同意的权利，这里的声明事实上起不到合规的效果。

  经过前面的分析，售楼处的人脸识别系统基本漏洞百出。然而实践中，人脸识别系统却如此普及。所以，地产商为什么非要装人脸识别系统呢？为此，我们也检索了一些评论文章，并与部分地产商的法务进行了交流。简言之，核心目的还是为了经营管理。

  新楼盘开售主要是两个渠道，其一是地产商内部的销售部门，主要是通过发布广告获客；其二是委托给给销售代理公司、中介或自媒体（以下统称“代理商”）进行销售。当然，也有地产商将销售工作全部外包，或者选择由自身的营销部门全权负责的情况，此处讨论的只是两种渠道并存的情形。

  地产商与代理商签订的委托合同中，通常会区分购房者来源，如果是地产商通过广告及内部员工介绍而获取的客户，则不与代理商结算佣金或减少佣金；如果是代理商通过各种推介活动吸引的客户，则正常结算佣金与提成。因此，区分购房者来源的重要性不言而喻。

  但为什么偏偏是人脸识别系统呢。一方面，区别于监控系统，人脸识别可以从冗长杂乱的视频画面中有效提取出业主的面部信息并进行存储，以方便之后的自动比对；另一方面，人脸识别系统能客观全面地记录客户在售楼处的访问记录，且由于是地产商掌握，代理商无法篡改。如果客户首次自然到访售楼处的时间早于代理商接洽客户记录的时间，则应当属于地产商的客户。此举主要是为防止行业中都会存在的“飞单”。

  所谓“飞单”，是指购房者原本是通过地产商的营销广告及现场置业顾问推介而产生签约意向，但又主动或被动地找到代理商，谎称系通过销售代理渠道知晓楼盘，导致地产商额外向代理商支付（本不应付的）佣金。

  此现象之所以屡禁不止，是因为代理商通常会通过向购房者提供优惠或购房折扣，购房者从利益的角度考虑也很容易和代理商串通。而且代理商能提供的优惠，事实上也都来源于地产商结算的佣金。当然，有些文章也提到，地产商内部也也许会出现“内鬼”，主动将上门客户的信息透露给代理商，再以此和代理商瓜分佣金。

  打个比方，如果房屋总价400万，佣金点数为3%，代理商能提取12万，那么代理商就会有动力让渡其中的一部分，例如4万，作为折扣赠与给购房者。所以在“飞单”的情况下，地产商是十分被动的。如能通过客观方式记录下购房者来访售楼处的次数及时间，则可以设定新的规则，某些特定的程度上防止“飞单”的情况。所以，基于这一背景，人脸识别系统成了售楼处的必需品。

  经过前面的分析，其实地产商也有各种各样的难处，所以这一问题并不是通过直接拆除人脸识别系统就能解决的，公司的核心诉求还是在于寻求一条可行的合规之路。

  如果能通过调整销售策略、改变代理商的提佣制度等方式，弥补可能会引起“飞单”的漏洞，倒是可以从根本上处理问题。但如果只是从现有的框架下寻求解决方案的话，笔者目前也并没有十分完美的解决思路。所以下面只是尝试从几个角度对这一问题做多元化的分析，供读者讨论。

  首先，人脸识别系统之所以不合规，是因为涉及到个人面部信息的收集和使用。然而对比监控系统，监控摄像头同样也在拍摄售楼处的全景，并且视频信息也是可以存储一定期限的。只不过像素可能没那么高，也没有单独地抓取个人面部信息的功能，更没有办法进行后期的比对。但举个极端的例子，如果对于每一位购房者，地产商都通过人工的方式手动回看监控录像并进行比对呢，这种情况是否就是合规的呢。如果合规，那么通过人脸识别系统自动比对和人工比对在本质上可能并没有差别。如果不合规，那么监控系统的存在似乎也会成为一个bug。

  有人提出，人脸识别系统与监控系统的不同之处在于，人脸识别系统所获取的数据来进行了加工，可以具体到人，并能方便地进行转移，因此存在地产商贩卖个人隐私信息的风险。但作者觉得这个逻辑也有一定的问题。如果不在售楼处，代理商收集的信息也很多。笔者此前承办的案件中见过代理商留存的每个潜在客户的档案，其中记录的信息五花八门，包括：婚姻状况、购房原因（为养老/入学/改善生活条件等）、意向的房屋面积等等。再说，如果访客最终与地产商签订房屋买卖合同，合同中还要求填写身份证复印件、联系方式、按揭银行等更多个人敏感信息。这一些信息也是具体到个人且存储为电子数据，并不会因为人脸识别系统不存在就消除了个人隐私信息泄露的风险。

  然而这个方面似乎并没有为合规提供有效的建议，只是为人脸识别系统的存在提供了一个申辩的理由。

  如前所述，获得个人敏感信息需要经过信息主体的明示同意。所以很多人也试图从这个方面入手来完成合规。这部分内容可以直接参考近期公开征求意见的《信息安全技术人脸识别数据安全要求（征求意见稿）》，里面有比较具体的指引，例如：

  收集人脸识别数据时，应向数据主体告知收集规则，包括但不限于收集目的、数据类型和数量、解决方法、存储时间等，并征得数据主体明示同意。

  在自然人拒绝使用人脸识别功能或服务后，不应频繁提示以获取自然人对人脸识别方式的授权同意。

  用于采集人脸识别数据的设备应遵循有关标准要求。示例：公共安全区域对人脸图像的采集应符合GB 37300-2018、GB/T 38671-2020的要求。

  在公共场合收集人脸识别数据时，应设置数据主体主动配合人脸识别的机制。主动配合指要求数据主体直视收集设备并做出特定姿势、表情，或者通过标注“人脸识别”的专用收集通道等。

  在满足应用场景安全要求前提下，应仅收集用于生成人脸特征所需的最小数量、最少图像类型的人脸图像。

  但这一思路最大的问题就在于，来访者拒绝授权或一开始同意但之后又撤回授权怎么办。而且这个担心并不是杞人忧天。前面分析过，购房者出于获取购房折扣的利益，有足够的动力与代理商串通。那么对于地产商的这些防狼举措，自然也不会给予配合。此前抖音上戴头盔看房就给出了一个很好的示范。所以这条思路似乎也没能有效解决问题。

  所以人脸识别系统其实主要是解决地产商与代理商、购房人三方之间的矛盾而存在的。在人脸识别过于敏感、购房人拒绝授权，代理商又不讲武德的情况下，似乎只能去寻求一个不触及红线的替代性方案。

  在讨论过程中，笔者注意到一个方案，或许能够更好的起到类似的作用——那就是以签名来替代人脸识别系统。

  一方面，购房者的笔迹并不属于个人隐私信息，而签名中所体现的来访者姓名，相比于面部信息的敏感信息而言，显得更为稀松平常。毕竟在管理比较严格的办公楼，来访者也要进行登记。疫情期间，签名则更为普遍。所以提供签名似乎并不算是过分之举。

  另一方面，购房者的签名体现了自然人书写的习惯，具有一定的可辨识性，在某些特定的程度上可以替代“面部特征”。

  最后，仅仅提供签名，似乎也不会像人脸识别系统的同意书一样，引起购房人的警觉和反感，以至于拒绝配合。所以从这几个方面来看，似乎是可行的。不过，毕竟本文还停留在纸上谈兵的阶段，实践中会不可能会出现其他的问题，是否有效，还有待继续观察。

  中国气象局在10月29日例行发布会上表示，今年冬季，全国大部地区气温较常年同期偏高，但季内气温冷暖起伏显著，发生过程性强降温的可能性大。

  油价或将大幅下调！11月6日油价将调整，95号汽油价格或将重返七元时代

  国内油价或将大幅下调。柴油、汽油价格降幅创新高。油价最新调整消息:本轮油价调整时间为2024年11月06日24时。

  中国地震台网正式测定11月1日00时18分在台湾花莲县海域（北纬23.52度，东经121.64度）发生4.7级地震震源深度25千米福建网友：有震感！

  2021年，12岁的燕燕（化名）与网上结识的朋友线下见面，然而就是这次见面，让她的人生陷入噩梦之中。因为燕燕本身是残疾人，缺了四根手指，出生不久就被妈妈抛弃，而爸爸由于小脑萎缩也一直没有劳动能力，而燕燕则由叔叔照顾。

  在阅读此文之前，麻烦您点击一下“关注”，感谢大家的支持哦。文柯儿编辑柯儿前言“土里挖宝藏，河里捞人命？”2002年，一位母亲报警称，自家的儿子和媳妇不见了，他们出去度蜜月天天都会给家里报平安，却突然消失联系不上了。