人脸信息被要求“永久保存”:能要求删除吗
在办理银行开户、物业登记或某些政务业务时,越来越多机构要求采集人脸信息,并注明‘永久保存’。然而,当用户事后想撤回同意、要求删除已采集的人脸数据时,往往发现系统中没有相应入口,也无法联系到具体负责人。根据《个人信息保护法》相关规定,人脸信息属于敏感个人信息,其处理需基于个人明确同意,且处理者应提供便捷的撤回同意方式。即便合同中约定‘永久保存’,也不能免除信息处理者在用户撤回同意后删除数据的法定义务。关键在于:用户是否在知情、自愿的前提下作出同意,以及处理者是否提供了有效撤回渠道。若机构未提供删除途径,或以‘系统已存’为由拒绝,可能构成对个人信息权益的侵害。
建议用户通过书面形式正式提出删除请求,并保留沟通记录。若机构拒不配合,可向监管部门投诉或提起民事诉讼。值得注意的是,部分机构可能将人脸信息用于其他未告知用途,此类行为更涉嫌违法。请务必关注处理者是否履行了最小必要原则与目的限定原则。不构成法律意见。
关注公众号
从操作流程看,用户撤回同意后,处理者应在15个工作日内完成数据删除,且不得以‘系统已存’为由推诿。关键点在于:必须通过书面或可追溯方式提交请求,并要求对方出具删除确认。若机构未在规定期限内响应,可视为违约。
建议优先使用邮寄(留存回执)或官方平台提交,避免仅通过口头或非正式渠道沟通。
此外,部分机构虽未明确拒绝,但拖延处理,此时可向网信部门或市场监管部门举报,启动行政监督程序。常见坑是用户误以为‘已提交’即完成,实则需确认对方已实际删除。务必保留所有沟通证据。
从法律风险角度,若机构在未明确告知或未获单独同意的情况下长期保存人脸信息,可能违反《个人信息保护法》第29条关于敏感个人信息处理的特别规定。尤其当信息被用于非原定目的(如人脸识别门禁、用户画像分析),属于典型越权使用,用户可主张侵权责任。实践中,部分企业将人脸数据与商业系统对接,但未向用户披露,此类行为可能面临行政处罚。
此外,若数据被泄露或被非法交易,处理者将承担连带赔偿责任。常见陷阱是用户误以为‘已授权’即永久有效,实则同意可随时撤回。
提醒:定期检查授权记录,主动行使删除权,避免被动接受长期存储。