中国消费者报报道（记者聂国春）银行等金融机构的业务与个人信息息息相关，《个人信息保护法》的正式实施将会对银行业务带来更多合规挑战。在日前由广州数字金融创新研究院、广东广悦律师事务所联合主办的“羊城数字金融沙龙”论坛第一期活动上，多位法律专家指出，人脸识别技术在金融行业应用最为广泛，金融机构需遵循最小、必要原则，审慎使用人脸识别技术。

广东广悦律师事务所高级合伙人杨杰律师表示，应用人脸识别时，不仅要考虑便利性，还要考虑安全性。现阶段人脸识别已逐渐取代人工成为金融机构最高级别的认证手段，并被广泛应用。例如，在违规性监控领域，为节约成本、提高便利性，人工监控已经被人脸识别监控替代。这是否符合《个人信息保护法》的最小、必要原则，值得讨论。

中南财经政法大学数字经济研究院执行院长、教授盘和林也认为，相较指纹等个人信息，人脸识别更容易与个人对应，这是人脸识别被广泛普遍关注的原因之一，也是提高人脸识别管制的理由之一。“金融机构和类金融机构应界定人脸识别的使用范围，在存在替代方案的情况下，金融机构仍需遵循最小、必要原则，审慎使用人脸识别技术。”盘和林说。

针对《个人信息保护法》的“最小、必要”原则，华南师范大学法学院研究员马颜昕建议，金融机构可通过提供线上人脸识别和线下办理的双选项方案，以符合法律的要求。

“个人信息泄露在未来不是技术问题，而是管理问题。”马颜昕指出，当前，我国企业向政府提供数据信息时，面临向谁提供数据，谁负责数据安全以及多头重复向企业要数据等问题，政府应通过立法等机制，建立企业向政府共享数据的渠道。

盘和林教授也表示，《个人信息保护法》的实施需要后续配套法律的支撑，使各地能有法可依、有标准可依，打通企业数据向政府流动的最后一公里。

为了保护个人信息，专家还建议，中央与地方、大型金融机构与中小型金融机构、类金融机构应做到相同的安全防护级别，并实现非必要不存储。在技术层面，个人信息要第一时间进行去标识化处理；在管理层面，机构应当关注信息的保存期限以及隔离存储设置。