镜寻 / LensSeek 人脸检索与图片数据处理说明（草案）

草案日期：2026年3月24日

文档状态：本文档为产品与开发草案，供内部整理、官网预留与后续法律打磨使用。正式商用、正式上线或正式对外签约前，必须由合格律师结合经营主体、销售模式、适用法域和实际运营流程完成复核。本文不构成法律意见。

1. 为什么需要单独说明

镜寻不仅处理普通图片文件，还可能处理：

• 含有人脸的照片。
• 参考人脸图片。
• 由算法生成的人脸向量与相似度结果。
• 原图中的 EXIF 拍摄时间、设备信息和 GPS 信息。

在许多法域中，上述信息可能被认定为敏感个人信息、生物识别信息、位置数据或需要单独保护的图片数据，因此需要单独说明。

2. 当前仓库可确认的数据处理行为

根据当前代码实现：

• 图片扫描时会读取本地文件路径、文件名、尺寸、时间戳等基础信息。
• 图片扫描时会尝试读取 EXIF 拍摄时间、设备品牌与型号，以及 GPS 坐标。
• 启用语义检索后，程序会在本地生成图片语义向量并写入本地 SQLite 数据库。
• 启用人脸检索后，程序会在本地检测图片中的人脸，生成人脸向量，并把人脸框坐标与向量写入本地 SQLite 数据库。
• 用户上传作为参考的人脸图片，会被保存到本地 uploads 目录，用于当前或后续的人脸检索。
• 当前仓库没有看到把上述图片、人脸向量或语义向量默认上传到镜寻开发者服务器的流程。

3. 敏感性提示

请把以下内容视为高敏感处理事项：

• 用于检索某一具体个人的参考人脸图片。
• 能够唯一或高概率指向某一自然人的人脸向量。
• 带有 GPS 信息、活动轨迹或可识别地点信息的原始照片。
• 涉及未成年人、员工、客户、访客、患者、学生或公众人物的图片资料。

即使镜寻默认在本地运行，上述处理在某些地区仍然可能触发生物识别、个人信息保护、劳动合规、消费者保护或行业合规要求。

4. 建议的合法使用场景

仅在具备充分法律依据、授权或内部审批的前提下，考虑用于以下场景：

• 对自有图片资料库进行整理和检索。
• 对已获得明确授权的摄影项目、客户项目或档案项目进行内部资料检索。
• 在机构内部受控设备上，对已获得内部审批和告知的人像资料进行检索。

5. 不建议或禁止的高风险场景

除非另有充分法律依据、专项审批和专门法律文件，否则不应使用镜寻进行以下处理：

• 对公共空间中的不特定人员进行身份识别、持续跟踪或秘密比对。
• 对员工、应聘者、学生、消费者等群体进行自动化筛查、纪律处理或画像分类。
• 处理未成年人图片而未完成必要的监护人同意、校方审批或专项合规评估。
• 把相似度结果直接当作“同一人”的确定性结论，或据此作出重大不利决定。
• 在公安、司法、医疗、金融、教育等高敏感行业中，不经专项评估直接投入正式流程。

6. 使用者应承担的合规义务

使用者应至少做到：

• 确认自己对原图、参考图和所涉人员具有合法处理依据。
• 在组织内部明确谁可以导入目录、谁可以上传参考人脸图、谁可以查看结果。
• 对共享设备、本地账号、磁盘目录、备份盘和同步盘设置访问控制。
• 不需要 GPS 信息时，尽量在导入前剥离原图 EXIF/GPS。
• 对不再需要的参考人脸图、数据库和缓存及时手动清理。
• 在正式业务场景中，把算法结果作为辅助线索，而不是唯一结论。

7. 当前产品限制

当前仓库尚未提供以下高合规能力：

• 人脸同意书或授权书管理。
• 数据主体按姓名、人员编号或其他标识发起删除请求的内置工具。
• 细粒度权限控制、角色管理或操作审计。
• 针对已删除源图片的自动索引清理。
• 参考人脸上传目录的自动过期删除。
• 面向机构场景的保留期限策略与删除证明。

这意味着，即使镜寻是本地优先产品，使用者仍然需要自行补足制度、流程和操作控制。

8. 对外表述建议

在官网、销售页、安装页或用户培训材料中，建议始终明确以下事实：

• 镜寻默认在本机处理，不默认把图片上传到开发者服务器。
• 首次启用 AI 检索时可能需要下载第三方模型。
• 人脸检索仅适用于拥有合法授权的场景。
• 正式商用前需要完成法律复核与内部合规确认。

9. 需法律复核项

• 人脸向量、参考人脸图和相似度结果在目标销售地区的法律定性。
• 是否必须提供单独的人脸告知书、员工告知书、客户授权书或未成年人授权书模板。
• 是否需要在安装器、首启页面或购买页增加单独确认框。
• 是否需要对特定行业、特定地区或未成年人场景做功能限制或销售限制。
• 是否需要把 GPS 数据处理单独列为敏感位置数据处理。