近年来，AI面试SaaS创业企业如雨后春笋般涌现，凭借“智能评分”“微表情识别”“语音语义分析”“压力应变建模”等技术卖点，迅速切入招聘服务市场，吸引大量中大型企业采购部署。然而，在技术光环之下，一场静默却严峻的合规危机正悄然蔓延——部分企业在数据采集环节严重越界，已实质性触碰《中华人民共和国个人信息保护法》（以下简称《个保法》）划定的法律红线。

《个保法》第二十八条明确将“生物识别信息”列为敏感个人信息，要求处理此类信息必须取得个人的单独同意，并采取严格保护措施；第三十条进一步强调，处理敏感个人信息应当向个人告知处理的必要性及对个人权益的影响。而现实中，不少AI面试平台在未充分告知、未获明示授权的前提下，擅自采集求职者面部视频流、眼动轨迹、声纹特征、心率变异性（通过摄像头光学脉搏测量推算）、甚至键盘敲击节奏与停顿时长等维度数据。这些信息远超岗位匹配所必需范畴，既无明确法律依据，亦缺乏合理业务必要性支撑。

更值得警惕的是“隐性采集”的普遍化操作。某头部AI面试SaaS企业在用户协议中以格式条款模糊表述“系统可能记录并分析面试过程中的多模态行为数据”，却未逐项列明具体采集类型、存储期限、使用目的及共享方；其APP端在开启摄像头瞬间即启动毫秒级帧捕获，后台自动提取68个面部关键点坐标、12类微表情激活强度、3种语音韵律参数，并同步调用设备传感器获取环境光照、屏幕亮度乃至手机陀螺仪数据——这些行为均未在界面弹窗中以显著方式提示，亦未提供即时关闭选项。这直接违反《个保法》第十七条关于“以显著方式、清晰易懂的语言真实、准确、完整地向个人告知”的强制性要求。

尤为严重的是数据留存与流转失控。调研发现，至少三家企业将原始视频流加密上传至境外云服务器进行模型训练，且未在隐私政策中披露跨境传输场景及接收方所在司法辖区；另有平台将脱敏后的“压力指数”“可信度分值”等衍生标签，未经求职者另行授权即推送至合作猎头机构数据库，形成隐蔽的二次画像链条。此类行为不仅违背《个保法》第三十九条关于跨境提供个人信息的单独同意规则，更涉嫌构成第四十二条所禁止的“非法向他人提供个人信息”。

值得反思的是，技术逻辑与法律逻辑的根本错位。创业者常以“算法需要海量标注数据优化模型”为由合理化过度采集，却忽视《个保法》第六条确立的“最小必要”原则——即处理目的应明确、合理，且对个人信息的收集应限于实现处理目的的最小范围。事实上，多数岗位胜任力评估完全可通过结构化问答、案例分析、专业测试等非敏感方式完成；所谓“微表情预测诚信度”“声纹判断稳定性”等模型，既缺乏权威临床验证，也未通过国家网信部门组织的安全评估，其科学性与正当性基础极为薄弱。

监管已释放明确信号。2023年11月，国家网信办等五部门联合发布的《生成式人工智能服务管理暂行办法》第二十一条特别强调：“提供生成式人工智能产品或服务……不得非法获取、使用、加工、传输他人个人信息。”2024年一季度，某AI面试平台因违规采集生物识别信息被属地网信部门立案调查，成为该领域首起公开行政处罚案例。地方人社部门亦陆续出台指引，明确要求用人单位采购AI面试工具前须审核供应商的数据合规审计报告，并将“是否获得求职者单独书面授权”列为采购准入前置条件。

归根结底，技术创新不应以牺牲人格尊严为代价。当算法试图解码人类最细微的生理震颤时，法律守护的不仅是数据安全，更是每一个求职者免于被“数字凝视”物化的权利。对于创业企业而言，真正的护城河从来不是采集维度的广度，而是合规设计的深度——能否在产品架构初期嵌入隐私影响评估（PIA），能否以“默认隐私”（Privacy by Default）替代“默认采集”，能否将“可解释性”作为算法设计的核心指标而非黑箱输出。唯有如此，技术才不会沦为凌驾于法律之上的利维坦，而真正成为公平就业的助推器，而非新型歧视的放大器。