人脸识别校园应用将受限

最近各类学校开学，一段校园监控视频引起了网友争议。视频中学生的课堂行为可以一览无遗，听课、睡觉、发呆、玩手机、趴桌子，都人脸识别了，校长大概一键就可以知道谁缺勤，谁谁总是上课刷淘宝。

校园监控视频一度引爆网民对隐私的关注，学生的课堂行为是否应该被收集？有无侵犯隐私？庞大的行为数据以及个人信息（如人脸信息）是否安全？

9月5日，教育部科技司明确表示，将限制和管理校园应用人脸识别技术，希望学校非常慎重地使用这些技术软件。

最少够用原则

信息安全的管理中总是强调最少够用原则，“除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的所需的最少个人信息类型和数量，目的达成后，应及时根据约定删除个人信息”（国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》2018年5月实施)。

该《安全规范》界定了个人信息和敏感信息的范围，并明确提出个人信息控制者应遵循的基本原则，其中之一就是"最少够用"。

个人信息主体授权同意、最少信息类型和种类、(能够)达成目的......也可以理解成以"目的"为导向，超出目的范围的个人信息收集，就有可能违背"最少够用"原则了。

学校管理考勤是正常之举 (如果学校决定不考勤的除外)，学生签到是应有之义，为防代签等作弊行为以及提高效率，使用人脸识别开展考勤工作，无论是否取得信息主体(学生本人）的明示同意，还是使用默许同意，相信都不会引来太大争议。但是学生的课堂行为数据显然超出了这种约定俗成的范围。

换一句话来说，考勤管理目的明确，课堂行为数据收集则可能"用途"众多。目的不清晰，则收集的"信息类型和种类"难言是否最少化？个人信息主体就自然有质疑，更勿论同意了。