煮酒言规 | 第165期 | 本地部署DeepSeek怎么宣传

-问： 企业（举个例子随申办）接入第三方人脸验证SDK，用户在随申办APP中进行刷脸,这个人脸信息由第三方SDK服务商收集并比对，返回给随申办运营者只有一个验证结果。这种场景下，谁是个人信息处理者？

- 答1： 可以看交互方式，比如用户是不是跳转到了第三方的页面，并且在界面弹出并同意了第三方的隐私政策？

-答2： 虽然人脸是SDK直采，没有从企业服务器到SDK服务器，不过我觉得SDK只是为了完成企业委托的任务而收集并处理信息（对比分析人脸信息），没有SDK自己收集并处理信息的目的，这里的企业更像处理者吧。

-答3： 实务里一般还是把企业看做个人信息处理者，第三方更多是参与人脸验证环节提供身份比对服务的供应商（受托方）。

-答4： 我粗略想了一下，可能有两种情形:
1.随申办运营者是controller，履行用户刷脸时的单独同意义务，SDK服务方是受托方。但问题在于随申办确实不接触原始人脸信息，这种情况下它是否可以是拟制的个人信息处理者（类似助贷场景下金融机构的委外采集）。
2.第三方SDK服务方是controller，这种情况下视为用户在随申办APP上接受第三方SDK独立的刷脸服务，第三方SDK履行告知同意义务。但问题在于第三方SDK与随申办是委托受托关系，虽客观上有能力但主观上没法自主决定人脸信息的处理目的和方式吧。

总结：运营者是处理者没有什么争议，处理者决定处理目的就好，不用接触数据。