王春晖
今后再入住酒店,可以不用刷脸了?据媒体近日报道,目前上海、浙江等多地已取消入住酒店“强制刷脸”的规定。比如,上海市旅馆业治安管理信息系统明确要求:严禁对已出示本人有效身份证件的旅客进行“强制刷脸”核验;严禁发生不“刷脸”不能入住问题。
对此,浙江大学网络空间安全学院双聘教授、工信部信息通信经济专家委员会委员王春晖认为,入住酒店“强制刷脸”本身于法无据,是一种侵害自然人人格权益的行为,全国各类酒店都应当依法取消“刷脸”入住的强制性流程,保护敏感个人信息不受非法侵犯。
近几年,老百姓接触到最常见的数智技术应用场景就是“人脸识别”,比如“刷脸”进站、“刷脸”住宿、“刷脸”支付、“刷脸”签到等。人脸与指纹、虹膜等相比,具有弱隐私性的生物特征,因此,这一技术的滥用对于公民隐私保护造成的威胁后果极为严重,应当引起有关部门的高度重视。
纵观这些年采集个人生物信息态势,“刷脸”已经渗透到几乎每一个角落,滥用人脸识别技术有愈演愈烈之势。目前,国内几乎所有省市的宾馆、酒店、民宿等住宿酒店都设置了人脸识别系统,消费者入住酒店使用有效身份证已经无法满足入住的条件,要求必须强制“刷脸”,不“刷脸”不能入住。
事实上,我国现行的法律法规中,没有任何有关要求入住酒店必须强制刷脸的规定。反之,我国现行的法律行政法规、司法解释及部门规则均规定,不得违法采集个人的人脸生物信息。笔者注意到,近期在上海市旅馆业治安管理信息系统中相继有通知和提示发布,严禁对已出示本人有效身份证件的旅客进行“强制刷脸”核验,严禁发生不“刷脸”不能入住问题。
笔者认为,在酒店加装人脸识别设备终端,并实行强制人脸识别,是一种侵害自然人人格权益的行为,既没有明确的法律和行政法规规定,也没有部门规章规定。全国各类酒店应当依法取消刷脸入住的强制性流程,保护敏感个人信息不受非法侵犯。以下,笔者将从相关法律法规、司法解释及部门规章有关使用自然人生物识别技术的规定等几个方面,来简要解读为何说住店“强制刷脸”于法无据。
人脸识别属于敏感个人信息
2021年11月1日实施的个人信息保护法第二十八条规定,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
个人信息保护法明确要求,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息,且处理敏感个人信息应当取得个人的单独同意,如果法律、行政法规规定处理敏感个人信息应当取得书面同意的,应当从其规定。
从个人信息保护法上述规定可以知晓,采集人脸识别信息属于违法行为。首先,人脸识别信息属于敏感个人信息,一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身和财产安全受到危害。由此,法律给予最严格的保护;其次,人脸识别信息非必要不采集,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息;第三,处理人脸识别信息应当取得个人的单独同意,只要个人不同意,任何组织和个人不得违法采集和处理,如果法律、行政法规规定处理敏感个人信息应当取得书面同意的,应当从其规定。
住店强制刷脸属于侵害自然人人格权益的行为
2021年,最高人民法院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(以下简称《规定》)。《规定》第二条认定了八类处理人脸信息的情形属于侵害自然人人格权益的行为,其中第一项为“在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析”的情形。
在《规定》第二条第八项专门设置了一项兜底条款,即“违反合法、正当、必要原则处理人脸信息的其他情形”,该项要求,只要违反合法、正当、必要原则处理人脸信息,均为侵犯自然人人格权益的行为。
《规定》明确了符合以下五类情形之一,可以处理人脸信息:一是为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需而处理人脸信息;二是为维护公共安全,依据国家有关规定在公共场所使用人脸识别技术;三是为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理人脸信息;四是在自然人或者其监护人同意的范围内合理处理人脸信息;五是符合法律、行政法规规定的其他情形。
使用人脸识别技术必须遵循“最少使用”和“最小存储”原则
2023年8月,国家网信办公开发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称“征求意见稿”)。“征求意见稿”提出,宾馆、银行、车站、体育场馆、博物馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
“征求意见稿”要求,使用人脸识别技术必须遵循“最少使用”和“最小存储”。“最少使用”,即只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案;“最小存储”,即除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息,无法避免的,应当及时删除或者进行匿名化处理。
个人信息保护法明确规定,采集人脸识别信息必须取得本人的单独同意,否则属于违法行为。然而,个人信息保护法已经实施两年多,为什么全国各类酒店仍然要求消费者住店必须强制刷脸?法律的生命力在于实施,法律的权威也在于实施。如果法律得不到遵守和执行,再好的法律也只会是一纸空文。希望在此次上海等地酒店业新政的示范带动下,全国各地酒店行业都能知错就改,尽快依法取消“刷脸”入住的强制性流程,保护敏感个人信息不受非法侵犯。
(作者系浙江大学网络空间安全学院双聘教授、工信部信息通信经济专家委员会委员)