近年来，品牌零售门店的智能化改造，成为当前零售业转型升级的重要路径。其中，因在客流数据分析、线上线下数据打通、顾客交互方式拓展等方面的独特优势，人脸识别技术成为零售门店智能化改造的重要内容，甚至一度成为新零售的代名词。

然而，如何最大限度的平衡项目落地成本与法律合规风险，成为摆在很多品牌面前的重要挑战。本文中，结合国内外立法实践和趋势，以及主流人脸识别技术供应商的业务模式，汇业律师事务所黄春林律师团队简要分析零售门店使用人脸识别技术的主要法律问题如下：

一、人脸识别技术供应商资质

目前，市场上主流的人脸识别技术供应商，通常采取“客户端采集-云端分析识别”的技术架构。考虑到如下因素，提供该架构下技术服务的供应商应当依法取得增值电信业务经营许可（在线数据处理与交易处理）：

1. 供应商通过网络采集不特定顾客的人脸数据信息；

2. 供应商在线处理、分析顾客的人脸数据信息（云端算法模型）；

3. 供应商通过网络向不特定的商户/门店提供基于人脸信息的数据报告/报表；

4. 供应商向商户/门店收取服务费；等等。

同时，考虑到供应商的人脸识别系统具有收集、存储人脸信息等敏感个人信息，且通常数据量较大，因此该该系统应当取得不低于网络安全等级保护三级备案证明（且需每年测评合格）；系统采用商用密码技术的，还应当开展商用密码应用安全性评估；等等。

此外，若人脸识别设备具有公共视频监控或安防功能的，还应当遵守当地安全机关的安全审计合规要求及相关标准（如《安全防范视频监控人脸识别系统技术要求》）。

二、同意合规：客流统计场景

在大多数零售门店智慧改造项目中，门店仅需实现客群分析、热区统计、店员考评等需求，而无需精准识别顾客身份信息。在该模式下，人脸识别系统会获取顾客的人脸信息，进而分析顾客的性别、年龄、到店时间、店内位置及轨迹等非识别信息，供应商最终提供给商户/门店的服务成果是人群统计报告。关于该场景下的同意合规，根据不同技术逻辑，我们认为：

1. 若供应商在门店本地布置硬件设备/算法模型（小盒子），实现本地处理/分析，亦未将顾客人脸原始数据上传至供应商云端的，考虑到《个人信息安全规范》关于“收集”的定义以及数据信息的非识别性，可以无需获得顾客的授权同意。

2. 若采集的顾客人脸原始数据上传至供应商云端处理/分析的，考虑到门店、顾客对个人信息的“控制力”减弱，应当获得顾客的授权同意。

只不过，在第（2）种场景下，考虑到当前法律现状及落地难题，按照目前行业通行实践，一般采取在布置人脸识别设备的区域或门店门口，以显著方式提示顾客“该区域设有人脸识别设备，您的面部信息可能被收集”等类似字样或标识。

此外，门店安装仅具有监控或安防功能的视频设备，参考欧盟数据保护委员会的解释，因设备拍摄的照片或视频片段（“数字图像”）不具有识别功能（即不能单独或与其他信息结合识别特定自然人身份或反映自然人活动情况），数字图像本身不能被视为个人信息，因此亦无需获得顾客授权同意。

三、同意合规：熟客识别场景

在部分新零售门店项目中，企业为了打通线上线下数据，其采用的人脸识别系统通常具有顾客身份识别或熟客营销的功能。在该场景下，人脸识别系统通常会：

1. 采集顾客人脸数据作为样本数据，与系统里面的模板数据实现1:1或1:N验证；

2. 将顾客的人脸原始数据（图片）及到店数据等，推送给前端店员用于熟客营销。

在该等场景下，顾客人脸数据通常会上传、存储至供应商云端系统，并通过供应商提供给商户/门店的客户端（例如店员PAD）展示，甚至会与商户/门店的CRM/POS系统数据融合，因此依法应当获得顾客的明示同意。

但实践中，考虑到提示性标识/标牌不符合“明示同意”要求，因此商户/门店几乎很难获得符合法律/标准要求的合规的明示同意，部分商户/门店转而采取在会员协议、隐私政策中加入相应条款的方式有限降低风险，但这并未解决部分非会员顾客的同意合规问题。

四、同意合规：刷脸支付场景

考虑到零售门店使用刷脸支付会涉及到顾客人脸数据、订单数据、支付数据等大量敏感个人信息的传输、共享，因此其合规要求相对较高。在个人信息同意合规层面，主要涉及：

1. 商户/门店基于顾客自主选定的刷脸支付目的，收集并向支付服务供应商共享顾客订单号和交易金额，是签订和履行合同所必须，也基本满足最小化的要求。

2. 根据常见支付供应商的业务逻辑，需要顾客预先在支付应用APP端开通刷脸支付功能后，方可在线下使用人脸识别支付。而顾客在支付应用APP端开通人脸支付功能时，已经同意了支付供应商提供的隐私政策，其中包括人脸信息的采集及I:N比对处理授权。此外，支付供应商在刷脸支付场景收集顾客人脸信息也是满足《非银行支付机构网络支付业务管理办法》等规定的合规要求。

但是，若商户/门店在顾客刷脸支付的同时，同步“绑单”（自行收集顾客人脸信息并将适时订单在内部CRM或POS系统中绑定）的，则需获得顾客的额外明示同意。

同时，考虑到支付场景的人脸信息属于个人金融信息，该等信息的收集、使用和存储期限等，还应当遵守金融相关的单行法律规范，例如《金融消费者权益保护实施办法》（目前还是征求意见稿）等。

此外，关于人脸识别支付的安全性，参考中国人民银行窗口指导意见，以及《金融科技（FinTech)发展规划（2019-2021年）》关于“探索人脸识别线下支付安全应用，借助密码识别、隐私计算、数据标签、模式识别等技术，利用专用口令、’无感’活体检测等实现交易验证……”规定，因此，我们建议采取“人脸识别+支付口令”的双重认证方式开展人脸识别支付。

五、降低法律风险的几种策略

我们建议，为满足当前监管环境下的个人信息保护合规要求，新零售门店在使用人脸识别技术时，采取如下一种或多种策略有利于降低相应的法律风险：

1. 尽量采取门店本地化分析/处理策略，降低数据在传输、共享过程中的滥用、泄露风险；

2. 最小化存储顾客人脸原始数据，实现分析、处理目的后及时（参考国外实践，通常建议不要超过72小时）删除顾客人脸数据及赘余、残留信息；

3. 在未通过会员协议、隐私政策等取得顾客明示同意前，慎重使用数据融合技术开展熟客推送或精准营销；

4. 严格限制顾客人脸原始数据（照片）的展示与披露场景，避免个人信息二次泄露；

5. 在反欺诈、风控等场景使用人脸识别技术的，应当充分审查算法、数据的合规性和透明度，充分保障消费者的公平交易权和知情权；

6. 参照《信息安全技术基于可信环境的远程人脸识别认证系统技术要求（征求意见稿）》、《信息安全技术-网络安全等级保护基本要求》等要求，建立相适应的安全措施与安全管理要求；

7. 建立保障顾客查询、更改、删除人脸信息及注销账户的渠道和机制；

8. 依法开展新业务上线安全评估和个人信息安全影响评估；等等。