门店会员“刷脸”:显著告知+单独同意,不给顾客留被动“默认同意”的口子
到2026年2月,很多门店因为“刷脸开会员、刷脸进店、刷脸领券”被投诉,问题往往不在技术,而在流程:没说清楚、没单独同意、不给替代方案。
比较稳的做法是把告知做成“抬头就能看到、三句话就能懂”的版本:在收银台/自助机/会员录入点放大字牌+屏幕弹窗,写清用途(用于会员身份核验)、采集内容(人脸特征)、保存期限、是否会传给第三方、如何撤回,再给一个可直接联系的电话或二维码。
单独同意要“单独成件”:会员协议归会员协议,人脸归人脸。用独立勾选框/签字页,默认不勾选;撤回同意要能在小程序里一键操作或柜台当场办理。顾客不刷脸,也要能用手机号+验证码、会员码/二维码、实体卡照样享受同等权益,别用“刷脸更优惠”去变相逼迫。
摄像头抓拍:别把“安防摄像头”偷偷升级成“人脸识别系统”
很多门店装的是摄像头,但后台开了人脸比对、客流画像、识别回头客,这就容易踩雷。常见案例是:顾客进店后被识别成“来过3次、议价强”,门店内部做标注和跟进,顾客一投诉就很被动。
如果确实要在公共区域安装具有人脸能力的设备,要把采集区域画出来(比如只覆盖收银台排队区,不要扫到街面),并放显著提示标识,写清“用于××目的、是否做识别/比对、保存多久”。门店日常经营场景里,建议把能力降级:只做视频安防,不做人脸一对多辨识;需要识别的,尽量限定为一对一验证(比如会员本人自愿刷脸)。
最短存储与第三方共享:用“期限+清单+备案阈值”把风险关进笼子
存储上别贪多:能用特征值就别存原始照片/视频;能本地存就别上云。实践里很多连锁店会设两条线:安防视频7天或更短自动覆盖;会员人脸模板“账号有效期内保存”,一旦撤回同意/注销会员,尽快删除并留存删除日志。
涉及第三方(摄像头厂商、云识别SDK、SaaS会员系统)时,把三件事做硬:
- 共享清单:共享给谁、共享什么、目的、保存多久、对方联系方式,写进告知里
- 委托协议:禁止二次使用、禁止转委托、到期删除、配合审计、出事通报
- 影响评估:上线前做个人信息保护影响评估,报告和处理记录至少保存3年;人脸信息规模到10万量级时,按要求在30个工作日内准备材料办理相关备案/变更
门店立刻能照抄的合规动作清单
- 把“刷脸入会/核验”改成自愿选项,旁边放同等便捷的替代方式
- 收银台贴大字告知牌,小程序弹单独同意页,默认不勾选
- 摄像头后台排查:关掉人脸比对、回头客识别、画像标签等非必要功能
- 设置自动删除:安防视频按最短业务需要滚动覆盖;撤回同意/注销后触发删除并留痕
- 把第三方厂商拉进来做一次“台账体检”:共享清单、委托协议、权限最小化、加密与审计日志一次性补齐
