問題唔係「識唔識裝」,係「裝咗會唔會出事」
近年私隱專員公署明確將人臉等生物特徵數據列為敏感個人資料,並發出《私隱實務守則》補充指引。坊間唔少場所急著裝人面識別門禁,卻忽略了幾個基本合規動作:冇展示收集聲明、人臉數據儲存期限無上限、後台存取權限冇分層——任何一項,都可能成為投訴或調查的切入點。
真正的問題唔係技術做唔做到,而係系統架構由第一日起有冇將合規要求納入設計。
《個人資料(私隱)條例》對人面識別有幾嚴?
根據條例六大保障原則,以下幾點直接影響人面識別門禁的部署方式:
- 目的限制原則:收集人臉數據只能用於申報用途(如門禁驗證),不得轉作其他分析或商業用途。
- 資料最少化:唔應儲存原始人臉圖像,應以加密特徵向量取代,減低數據外洩風險。
- 保留期限:離職員工或已退會會員的人臉數據,必須按既定流程刪除,唔可無限期保留。
- 存取控制:只有獲授權人員可查閱人臉比對紀錄,系統須有操作日誌留痕。
- 告知義務:入場位置須清晰展示「本場所使用人面識別技術」聲明,並列明收集目的。
雖然條例本身冇逐行規定技術規格,但系統設計若唔符合以上原則,出事時「唔知唔覺」並唔係免責理由。
合規部署,實際上要做幾多步?
新科科技落場為客戶做人面識別門禁項目,通常分以下幾個層次處理:
第一步:釐清數據流向
- 人臉特徵向量在哪裡運算?本地設備端(Edge)還是雲端伺服器?
- 原始圖像有冇落地儲存?保留多少日?
- 誰有權限存取後台比對紀錄?
我們會按客戶場景——例如健身中心每日數百人次入場,或商業大廈訪客管理——畫出完整數據流程圖,方便客戶向私隱專員公署備查。
第二步:系統架構選型
- AI 錄影機 + 本地運算:人臉特徵向量在鏡頭或本地 NVR 端完成比對,唔需要上傳雲端,降低數據外洩風險,亦符合「資料最少化」原則。
- 加密特徵儲存:系統只保留特徵向量,唔儲存原始人臉照片,即使數據庫外洩,亦難以還原真實樣貌。
- 分層存取權限:前線員工只能看到「通過/拒絕」狀態,管理員才可查閱比對紀錄,後台操作全程留有日誌。
第三步:對接 CRM/會員系統,自動化處理數據生命周期
連鎖健身中心、私人會所最常見的問題:會員退會後,人臉數據係咪自動刪除?
我們的方案可透過 API/SDK 對接客戶既有 CRM 或會籍管理系統,當會員狀態更新為「已退會」,系統自動觸發人臉數據刪除流程,唔需要人手逐條清理,亦有操作時間戳留痕,方便日後核查。
同一套對接架構,亦支援入場權限自動同步——新會員完成登記即可即時啟用人臉入場,唔需要前台另行操作。
第四步:陌生人偵測與告警的合規邊界
陌生人偵測功能(即非登記人員進入受管制區域時觸發警報)屬於「目的限制」範疇——告警用途須在收集聲明中列明,且告警截圖的保留期限同樣需要設定上限。
我們的 AI 分析平台支援設定截圖自動清除週期,管理端收到告警通知後,可在介面即時確認或處理事件,相關紀錄按設定期限後自動歸檔或刪除,唔會無限期積累敏感影像。
哪些場景最容易踩雷?
| 場景 | 常見問題 | 建議做法 | |---|---|---| | 健身中心 / 私人會所 | 退會後人臉數據未刪除 | CRM 對接自動觸發刪除流程 | | 商業大廈訪客管理 | 訪客人臉儲存期限無上限 | 設定訪客數據 7–30 日自動清除 | | 零售連鎖 VIP 識別 | 冇展示收集聲明 | 入口明顯位置張貼告示 | | 物業管理 | 後台存取無分層 | 啟用角色權限管理,操作留日誌 |
集中管理,唔係裝完就算
多分店或多棟物業的客戶,設備狀態集中管理同樣重要。我們的平台支援統一介面查閱各點設備運行狀態、比對紀錄與告警歷史,管理員毋須逐點登入,亦可即時發現某台設備離線或異常,避免「鏡頭死咗冇人知」的盲點。
合規唔係一次性的文件工作,係系統由設計到日常運維都要貫穿的思維。

