tags: [hr, compliance, security, 考勤]
刷脸打卡要小心了:从 PIPL 到 2025《人脸识别技术应用安全管理办法》,HR 必读
人脸识别打卡看起来方便,但对 IT 管理员和 HR 来说,它正在变成一道合规难题。2025 年 6 月,《人脸识别技术应用安全管理办法》正式落地,配合此前已实施的《个人信息保护法》(PIPL),企业在考勤与门禁场景中使用刷脸技术,面临的合规门槛比以前高出不止一个层级。
本文用白话梳理关键要点,帮助技术和 HR 团队看清风险边界,找到更稳妥的替代方案。
⚠️ 免责声明:本文仅供信息参考,不构成法律意见。具体合规要求请咨询持牌律师或合规顾问。
人脸数据为什么不一样?
很多企业把人脸识别和普通打卡混为一谈,这是第一个误区。
PIPL 第 28 条明确将生物识别信息列为敏感个人信息,与健康记录、宗教信仰等同等对待。这意味着:
- 必须单独获取书面同意(不能在劳动合同或入职须知里一并打包)
- 不得以"不同意就不能入职"为由强制收集
- 必须说明具体的处理目的、方式与保存期限
2025 年新规在此基础上进一步细化:人脸识别不得作为唯一的身份验证或门禁手段,必须同步提供替代方式。(此条款建议由法律顾问确认适用范围)
企业最容易踩的三个坑
1. 用一张入职表"打包"所有同意
实操中,许多公司把人脸采集同意塞进入职文件包,让员工统一签字。这种方式在 PIPL 框架下存在明显瑕疵——敏感数据的同意必须单独、明确、可撤回。
2. 以为"员工都同意了就没事"
即便全体员工签了同意书,如果同意是在就业关系下"被动"给出的,其有效性本身就存在争议。监管关注的是:员工是否真正自愿?是否有不同意的真实选项?
3. 把人脸数据当普通日志存储
人脸特征向量或原始图片属于高敏感数据,存储、传输、访问都需要额外的安全控制。如果考勤系统供应商将这些数据存在不明确的位置,数据主体权利响应(如查阅、删除请求)就无从落实。(数据存储地点与跨境传输规则,建议对照 PIPL 第三章逐条确认)
替代方案:门禁卡 / NFC 打卡为什么更合规?
基于 RFID 门禁卡、手机 NFC 或 Apple/Google Wallet 的考勤方案,处理的是卡号或设备令牌,而非生物特征。这类数据:
- 不属于 PIPL 敏感个人信息范畴
- 无需单独的生物识别同意
- 可以作为门禁的唯一方式而不违规
- 丢失或离职后,直接注销令牌即可,无需考虑生物数据的删除核验
对于 IT 管理员来说,这类方案还有一个实际好处:系统集成和审计日志都更干净,出问题时责任链路清晰。
TimeClock 365:以合规为前提设计的考勤门禁系统
TimeClock 365 是一款云端考勤与门禁管理平台,设计思路就是把打卡和门禁整合在一起,同时把合规风险控制在合理范围内。
员工用 RFID 门禁卡、手机 NFC 或 Apple/Google Wallet 刷卡开门的同时,系统自动完成考勤记录,不需要独立部署考勤机,也不依赖人脸识别作为默认方式。
几个对 IT 团队来说值得关注的点:
- 多终端接入:网页、移动端、Microsoft Teams、Slack 均可打卡,减少对单点硬件的依赖
- 生物识别可选:人脸识别作为可选模块,而非强制默认,符合"必须提供替代方式"的新规要求
- GPS 与地理围栏:适合外勤和混合办公场景,无需额外硬件
- 合规认证:通过 ISO 27001 认证,满足 PIPL 与 GDPR 双重要求
实测数据方面:考勤准确率达 99%,未授权访问减少 90%,费用审批提速 70%。
IT 管理员的合规检查清单
在调整现有考勤门禁方案之前,建议先逐项核查:
- [ ] 现有考勤系统是否采集人脸或指纹数据?
- [ ] 是否有独立的生物识别采集同意书(区别于劳动合同)?
- [ ] 员工是否有不使用生物识别的替代打卡方式?
- [ ] 人脸/指纹数据的存储位置、保存期限是否有明确记录?
- [ ] 系统供应商能否支持数据主体的查阅与删除请求?
- [ ] 数据是否涉及跨境传输?(如有,需额外评估 PIPL 第三章要求)
结语
2025 年的合规环境已经明确发出信号:人脸识别不是不能用,但绝对不能随便用。对于大多数企业的日常考勤和门禁场景,RFID 卡或手机 NFC 方案在合规成本和操作便利性之间,提供了更稳妥的平衡点。
如果你正在评估或替换现有的考勤门禁系统,TimeClock 365 提供免费试用,可以在真实环境中验证合规配置是否满足你们的需求。
Top comments (0)