大数跨境

零售防盗能否"刷脸"?英国ICO新指南划出合规边界

零售防盗能否"刷脸"?英国ICO新指南划出合规边界 M姐 数据合规评论
2026-07-08
4
导读:零售防盗能否"刷脸"?英国ICO新指南划出合规边界
点击上方蓝字 获取最新资讯
封面

英国ICO 2026 年 7 月新指南,为零售防盗使用CCTV、信息共享和人脸识别设合规边界

导读

英国信息专员办公室(ICO)2026 年 7 月发布指南,明确零售防盗可用CCTV但需必要与比例,人脸识别门槛很高。

横向比对英国、中国、欧盟与美国四个法域,同一件事,法律基础、同意结构与执法风险明显不同。

对中国零售与技术企业,合规能力不在准确率,而在能否证明克制——本文逐条拆解。

2026年7月3日,英国信息专员办公室(ICO)发布《使用个人信息保护企业免受犯罪侵害》指南,面向零售商说明如何使用CCTV、共享涉嫌盗窃或暴力人员的信息,以及部署人脸识别技术。该指南不是新法律,却反映了监管机构对零售防盗技术的执法尺度:数据保护法并不禁止企业防范犯罪,但人脸识别不能因为"防损需要"而自动取得合法性。

一、ICO给零售企业划出的边界

ICO边界

ICO首先确认,零售商可以使用CCTV等个人信息预防盗窃、暴力或员工受袭,也可以在必要、适度的范围内向警方或相关员工分享信息。但涉嫌犯罪的信息属于criminal offence data,误认会对个人产生严重影响,因此需要额外保障。[1]

指南特别区分了三种共享方式:向警方提供与案件有关的必要片段通常可以成立;向内部员工发布风险提醒,应限制访问、核验准确性并设置删除期限;把疑似盗窃者照片公开上传社交媒体,则通常缺乏正当性,因为企业会失去对信息后续传播和利用的控制。[2]

对于实时人脸识别,ICO承认其并非绝对禁止,但强调公共场所使用门槛很高。系统会扫描进入环境的所有人,而不仅是已被怀疑的人。企业必须证明措施对于防止犯罪确有必要、没有侵扰更小的可行替代方案,并逐案判断人员是否应被加入观察名单。企业还需确定处理普通个人数据、生物识别数据和涉嫌犯罪数据的法律依据,完成详细的数据保护影响评估(DPIA),制定适当政策文件,并设置清晰提示标识。[3]

二、英国、中国、欧盟与美国的规则比较

法域比较
法域
核心规则
对零售防盗的影响
联系与区别
英国
UK GDPR第6、9、10条及《2018年数据保护法》共同适用。ICO要求证明必要性、比例性,识别普通数据、生物识别数据和犯罪数据的不同法律条件,并开展DPIA、制定APD。[1][3]
可使用CCTV并在受控范围共享风险信息;公开"挂人"通常不可取;实时人脸识别门槛很高
不是一律禁止,而是以合法基础、必要性、替代方案和持续问责为中心
中国
《个人信息保护法》第26、28、29、55条及《人脸识别技术应用安全管理办法》第4—15条要求特定目的、充分必要性、单独同意或其他法定基础、影响评估和严格保护;有其他非人脸方式时,不得将刷脸作为唯一验证方式。[4]
商场、酒店等不能仅以提升效率或服务质量强迫刷脸;公共场所设备须为维护公共安全所必需并显著提示;存储达到10万人脸信息还涉及备案
中国规则对非唯一验证、本地设备存储、互联网传输和数量备案规定得更具体
欧盟
GDPR第9条原则上禁止为唯一识别目的处理生物识别数据,除非符合例外;AI Act将生物识别识别、分类等系统纳入高风险或禁止性框架,并严格限制执法部门在公共场所使用实时远程生物识别。[5]
私人零售企业仍主要受GDPR及成员国法约束;AI Act对系统风险治理形成叠加
AI Act关于实时识别的部分严格禁令主要针对执法用途,不能简单等同为私人商场全面禁用
美国
没有统一的联邦生物识别隐私法。伊利诺伊州BIPA要求书面告知、明确处理目的和期限,并取得书面授权;规定保留和销毁政策,且设私人诉权。加州CCPA把用于识别个人的生物识别信息列为敏感个人信息并赋予限制权。[6][7]
全国连锁零售商可能因门店所在州不同而承担完全不同的告知、同意、删除和诉讼风险
伊利诺伊州的私人诉权使程序性缺陷也可能形成集体诉讼风险;加州更偏向消费者权利和处理限制

三、对中国零售与技术企业的具体启示

企业启示

(一)零售商不能把"防损"写成一个无限目的

企业应分别界定威慑、现场处置、事后调查、员工安全和跨门店预警等目的。普通CCTV、从录像中人工调取片段、建立嫌疑人观察名单以及实时人脸识别的侵扰程度不同,不能用同一份笼统评估覆盖。上线前应记录盗损规模、既有措施效果、拟部署门店、摄像区域、识别阈值、误报处理和停用标准。

(二)建立观察名单不能只依赖一次报警或模糊照片

名单应限定于有充分事实依据、确实构成持续风险的人员,并设置人工审核、证据来源、复核周期和自动到期机制。算法匹配只能产生提示,不应直接导致公开指控、永久拒绝服务或报警。员工必须在采取行动前核对现场情况,并为被误认者提供便捷申诉和快速删除渠道。

(三)技术供应商与零售商要重新划分责任

人脸识别供应商不能只承诺准确率。合同还应约定观察名单由谁建立、阈值由谁调整、误报由谁复核、模板是否用于模型训练、数据保存在哪里、是否跨境、何时删除以及如何协助响应个人权利。零售商通常仍是决定用途和方式的控制者,不能以"算法由供应商提供"为由转移责任。

(四)跨国部署宜采用"全球高标准底线+本地差异模块"

可在全球统一采用目的限定、显著告知、DPIA、最短保存、人工复核、替代方案和供应商审计等高标准;但同意形式、观察名单条件、备案、私人诉权和警方共享程序应按国家或州配置。对于无法可靠识别美国用户所属州的系统,涉及人脸模板的采集可按伊利诺伊州BIPA的书面告知与授权标准统一设计,再通过地区规则补充加州限制权及其他州要求。

四、监管信号:重点不是"能不能用",而是能否证明克制

监管克制

ICO此次指南的价值,在于否定了两个极端判断:数据保护法并不要求零售商在犯罪面前放弃使用数据,但防盗也不是无限制使用生物识别的通行证。真正的合规能力,是企业能够证明为何必须处理、为何没有更温和的替代手段、如何控制误认,以及何时停止处理。对于希望把中国成熟的人脸识别方案输出海外的企业,这套证明责任往往比单纯提升识别准确率更重要。

◆ ◆ ◆

条文依据

[1]ICO, Using personal information to protect your business from crime(2026年7月3日),关于criminal offence data、合法基础、DPIA及APD。
[2]同上:"Publicly posting images of suspected offenders is unlikely to be a justifiable response."
[3]同上:"Its lawful use in public places has a high bar because it scans everyone in the environment."
[4]《人脸识别技术应用安全管理办法》第4、6、8—10、13、15条;自2025年6月1日起施行。
[5]GDPR第9、35条;Regulation (EU) 2024/1689第5条及附件III。
[6]Illinois Biometric Information Privacy Act, 740 ILCS 14/15、14/20。
[7]California Civil Code §§1798.121、1798.140。

主要来源

英国ICO指南https://ico.org.uk/for-organisations/advice-for-small-organisations/cctv-and-dashcams/using-personal-information-to-protect-your-business-from-crime/
中国《人脸识别技术应用安全管理办法》https://www.cac.gov.cn/2025-03/21/c_1744174262156096.htm
欧盟AI Act说明https://digital-strategy.ec.europa.eu/en/faqs/navigating-ai-act
伊利诺伊州BIPAhttps://www.ilga.gov/legislation/ilcs/ilcs3.asp?ActID=3004
加州CPPA说明https://cppa.ca.gov/faq

免责声明

上述内容不代表我们对有关问题的法律意见,任何仅依照本文件的全部或部分内容而作出的作为或者不作为决定及因此造成的后果由行为人自行负责,如需专业法律意见,请联系M姐律师团队。

往期文章

美国数据监管再收紧:位置、画像与敏感推断成新焦点

扫码关注

获取更多深度合规资讯

M姐 数据合规评论

长按识别二维码 · 关注我们


【声明】内容源于网络
0
0
M姐 数据合规评论
全球数据合规及隐私保护立法动态介绍;热点事件时评;政策法规分析;企业合规良好实践分享;经典案例评析。
内容 1037
粉丝 0
M姐 数据合规评论 全球数据合规及隐私保护立法动态介绍;热点事件时评;政策法规分析;企业合规良好实践分享;经典案例评析。
总阅读2.7k
粉丝0
内容1.0k