核心提示:人脸信息是法律规定的生物识别信息,应采取更严格的保护措施,禁止违法收集人脸识别信息。及时取消非必要的人脸识别核验环节,提供替代性身份验证机制,落实对公民人脸信息的法律保护。
作者|邓辉 郜冰雪
责编|薛应军
正文共2714个字,预计阅读需8分钟▼
据媒体报道,有旅客反馈称,4月17日入住上海一家外籍人士常住的酒店,被告知已不再强制要求“刷脸”。该酒店前台的一张提示牌显示,“严禁对已出示本人有效身份证件的旅客进行‘强制刷脸’核验”“严禁发生不‘刷脸’不能入住的问题”。如果要为忘带身份证件的旅客提供便民核验服务的,应当明确征得旅客本人的同意。
当前,随着人工智能、物联网等前沿技术的迅速发展,“刷脸”逐渐成为新风潮,人脸识别技术商业化应用领域不断扩张,“刷脸”办事愈发常见。但依照《中华人民共和国个人信息保护法》的有关规定,人脸信息是法律规定的生物识别信息,应采取更严格的保护措施,禁止违法收集人脸识别信息。因此,应时刻警惕技术滥用风险,及时取消非必要的人脸识别核验环节,提供替代性身份验证机制,落实对公民人脸信息的法律保护。
取消强制人脸识别的呼吁与实践
近年来,旅游业蓬勃发展,旅客在办理入住酒店时除须提供身份证外还需要面对设备进行人脸信息核验,几乎成为默认的行业习惯。今年全国两会期间,全国政协委员、中国旅游研究院院长戴斌向大会提交《关于限制旅游场景过度使用“人脸识别”的提案》,呼吁取消游客入住宾馆酒店必须“刷脸”的规定,召回相关的软硬件设备,并对涉嫌侵害消费者合法权益的做法作出明确提示,提出整改要求。
目前,上海、浙江、广东等地已陆续取消入住酒店“强制刷脸”规定。以上海为例,4月7日,上海市公安机关制作《旅客住宿有效身份证件须知》《旅客住宿登记问询流程图》,对旅客入住酒店身份核验环节进行规范。4月12日,上海市旅馆业治安管理信息系统发布通知,严禁对已出示本人有效身份 证件的旅客进行“强制刷脸”核验。为忘带身份证件旅客提供便民核验服务的,应明确征得本人同意。
强制人脸识别缺乏合法性和必要性
强制人脸识别缺乏合法性。2021年8月1日起实施的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,将“在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析”认定为侵害自然人人格权益的行为。2023年8月8日,国家网信办发布的《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《管理规定》)第九条进一步要求,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。2022年修订的《旅馆业治安管理办法》仅规定旅馆接待旅客住宿必须登记,登记时应当查验旅客的身份证件,没有规定必须进行人脸识别身份核验。因此,在法律、行政法规缺乏明确规定的前提下,强制人脸识别违反“法无授权不可为”的基本原则。
强制人脸识别缺乏必要性。《管理规定》提到,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。“特定的目的”是指目的明确性要求,包括信息处理者要向被收集信息者说明收集信息的目的及该目的应当内容明确;“充分的必要性”是指最小必要原则,即如果有更方便、成本更低的身份核验方式,且这种方式足以达 到保障安全的目的,就不需要采用人脸识别技术。《管理规定》还要求,实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。根据利益权衡理论,可以采用身份证、护照等证件核验方式将人脸识别核验所需要的敏感个人信息转变为一般个人信息:对个人来说,进入核验身份信息是进入酒店旅馆的必需条件,没有超越收集个人信息的边界;对酒店旅馆来说,可以采取成本更低的方式达到相同目的,这实际上也保护了经营者的利益。实践表明,证件核验即可确保酒店旅馆的公共安全和进出秩序,社会公共利益也可以得到保护。综上,不采取人脸识别技术就能够达到充分的必要性要求。
强制人脸识别核验的综合治理
强化监管机关的主体责任。实践中,在入住人员信息管理方面,各酒店通常受属地派出所管理和指导。因此,公安、网信、工信、文旅、市场监管等部门应依据职责形成工作合力,全面摸排辖区内要求强制人脸识别核验的酒店、旅馆、民宿等经营场所,及时取消旅客入住酒店的强制性人脸识别核验规定,指导经营者设计合理的入住流程图并监督执行。与此同时,各部门还应当依法检查经营者身份证查验系统信息安全,将强制人脸识别核验事项纳入日常管理监督范围并督促及时进行整改。
推动生物识别个人信息保护司法实践探索。在专门出台人脸识别司法解释外,最高人民法院还可以结合审判实践出台关于审理个人信息保护民事案件适用法律若干问题的规定,进一步明确生物识别信息的处理规则。第一,支持 自然人要求经营者提供其他合理验证方式的请求,避免将生物识别信息作为提供相关产品或服务的唯一验证通道,破解“捆绑授权”“不点击同意就不提供服务”等变相强迫授权的难题。第二,细化人脸信息处理应取得“单独同意”的具体内涵,即特指个人在信息处理者对特定事项进行“专门告知”基础上表示“明确同意”。第三,增加对个人信息同意“有效性”的要求,禁止以格式合同条款形式获取无期限限制、不可撤销、可任意转授权等处理人脸信息的权利,防止以误导、欺诈或者干扰、影响个人判断后取得个人同意的情形。第四,明确侵害个人信息的损害赔偿和证明责任规则,将为制止侵权行为所支付的调查、取证、鉴定等合理费用和合理的律师费用纳入赔偿范围,并要求处理者担负告知义务和取得同意的证明责任,为保护生物识别个人信息提供司法指引。
加强个人信息保护和数据合规体系建设。除酒店旅馆外,体育场馆、健身场所、培训机构、商场超市等其他场景有的也要求消费者接受人脸识别技术验证个人身份。有的经营者认为,相关人脸识别设备及技术经过公安机关备案,在比对后会自动删除信息。但是,在人脸识别作为唯一身份验证方式时,人们无法在事前表示拒绝,又如何确保后续信息处理的安全性?因此,经营者应当加强信息和数据专项合规建设,在人脸信息采集前明确适用场景,不得强制或变相要求消费者接受人脸识别,并在人脸信息采集后落实加密保护、依法删除或销毁的法定义务。
本文为中国人民公安大学数据法学“双一流”学科建设经费科研项目(项目编号:2023SYL14)的阶段性研究成果。
(作者单位:中国人民公安大学法学院、数据法学研究院)