【评论】限制酒店过度使用“人脸识别”,需要法律衔接和提供其他的身份验证手段
文丨史宇航(法学博士,执业律师,注册信息安全专业人员(CISP),IAPP注册隐私管理人员(CIPM))在2024全国两会期间,人脸识别技术又一次被推上了风口浪尖。全国政协委员戴斌提交了一份《关于限制旅游场景过度使用“人脸识别”的提案》,指出在酒店加装人脸识别设备终端既没有明确的法律和行政法规规定,也没有正式成文的部门规章规定,该举措不仅降低服务效率,容易引起游客的不满和投诉,而且增加了企业的经营成本,建议公安部指导地方取消入住酒店必须刷脸的规定,并召回相关软硬件设备。在过去几年中,人脸识别技术引起关注并不是酒店行业的特例,一直都是各方争议的焦点。2021年的“3·15晚会”集中曝光了多家知名企业在营业场所采用人脸识别技术收集顾客信息。2021年4月法院也就杭州野生动物园强制要求收集人脸信息进行宣判,被业界称为“人脸识别第一案”。近期,成都铁路运输中级法院判决了一起火车站闸机使用人脸识别技术进行身份验证的案件。酒店行业使用人脸识别技术是否合法?核验身份是否可以通过其他配套政策?作为被“人脸识别”的旅客等,是否应该享受被告知权利?哪些场景可以合理合法使用人脸识别技术?……人脸识别的法律要求近年来,关于人脸识别的法律法规、国家标准层出不穷。2021年7月,最高院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。2022年10月,国家推荐标准《信息安全技术 人脸识别数据安全要求》与《信息技术 生物特征识别 人脸识别系统技术要求》正式颁布并于次年5月1日正式施行。2023年8月,国家网信办就《人脸识别技术应用安全管理规定(试行)(征求意见稿)》征求意见。即使不考虑这些专门针对人脸信息的法规文件,我国《个人信息保护法》也已经在2021年11月正式施行,将人脸信息这样的生物识别信息定义为敏感个人信息,并且提出了更高标准的保护要求。根据《个人信息保护法》,任何单位处理人脸信息应当同时满足:在上述成都法院审理的火车站闸机收集人脸信息的案件中,法院就认为火车站可以使用具备人脸识别功能的闸机,但需要改进告知方式。法院认为:铁路部门基于履行维护公共安全的法定义务,处理乘客人脸信息,符合个人信息保护法不需取得乘客个人同意的情形。但是,取得同意义务的免除并不免除告知义务,成都铁路局未对采集乘客人脸信息的目的、方式、信息处理等事项履行告知义务,存在告知缺陷。法院也就此向中国国家铁路集团有限公司发送司法建议,建议在互联网以及车站进站口以多种方式对个人信息处理进行明确告知。中国国家铁路集团有限公司于2023年8月就司法建议的整改情况正式复函,立即推动全国铁路运输企业及时采取更新网站、优化设备等措施,履行人脸信息采集告知义务。回到酒店收集人脸信息的场景,进行人脸核验的法律依据主要是依据《旅馆业治安管理办法》第6条:“旅馆接待旅客住宿必须登记。登记时,应当查验旅客的身份证件,按规定的项目如实登记。接待境外旅客住宿,还应当在24小时内向当地公安机关报送住宿登记表”。但该规定仅说明验证身份证件的必要性,对是否需要通过人脸信息来验证并未明确。在戴斌委员要求落实到的《人脸识别技术应用安全管理规定(试行)(征求意见稿)》第9条规定: “宾馆……等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。”可见,该征求意见稿计划严格限制人脸识别技术的使用,仅以全国人大制定的法律、国务院制定的行政法规为使用人脸识别的前提条件。但该规定目前并未生效,且我国法律法规普遍没有强制要求人脸识别,仅要求身份核验,而人脸识别技术只是若干身份核验技术之一。因此,虽然酒店行业可以参考我国法律实践,参考火车站闸人脸识别机案中收集人脸信息以履行法定义务作为合法性基础,不用获取旅客同意。但酒店行业仍需要履行告知与个人信息保护影响评估的义务,并且确保处理人脸信息的设备具备足够的保护措施。比如,某酒店集团在自己的隐私政策中说明自己会如何处理人脸信息:为了防止“黄牛”恶意刷单,以保障您的权益,我们可能还会收集您的身份证信息(姓名及身份证号码)并进行人脸识别身份验证。在验证身份的过程中,我们需要将您的人证比对信息上传至公安机关指定的系统,我们本身不处理或保存人脸识别信息或人证对比信息。这样的说明值得其他酒店企业借鉴。除了酒店行业本身,在人脸识别核验场景下更重要的相关方是提供验证服务的单位。人脸识别系统会连接到公安机关指定的系统进行验证,相关系统的运营者(如公安机关)也有义务向旅客说明个人信息会如何处理。我国《个人信息保护法》第二章第三节专门关于“国家机关处理个人信息的特别规定”,其中第35条明确规定:“国家机关为履行法定职责处理个人信息,应当依照本法规定履行告知义务;有本法第十八条第一款规定的情形,或者告知将妨碍国家机关履行法定职责的除外。”而我国目前并没有法律法规明确规定公安机关处理个人信息应当保密或不需要告知。因此,酒店人脸识别设备的后端系统运营者也有义务在保密条件允许的范围内尽可能说明个人信息会被如何处理,并且开展个人信息保护影响评估,为个人信息处理、人脸识别技术的使用做合规的示范。核验身份,不能止步于人脸识别人脸识别作为一项技术已经非常成熟,并且可以在物联网设备中方便地使用,阻碍该技术发展的障碍主要来自法律层面。根据我国《个人信息保护法》等法律法规,如果不基于公共安全或履行法定职责,几乎不存在合法处理人脸信息的可能性。因为“告知-同意”的合法性标准非常高,一般情况下很难达到。此外,我们也无法因为法律法规中身份核验的要求就认为人脸识别是合法的,人脸识别技术只是若干身份核验的方式之一,无法完全等同。在我国各项的法律法规中,很多制定于《个人信息保护法》颁布之前,或是在立法时未考虑个人信息保护的影响,导致法律法规中普遍缺少对通过人脸进行身份验证的直接规定。法律的衔接不畅导致人脸识别的行业实践与法律义务存在相当的落差,能够合法使用人脸识别技术的场景少之又少。针对这样的困局,解题思路是对现行的法律在修订时明确加入人脸识别进行核验的内容,但这样的路径需要调动各级的立法资源,往往也需要较长的周期。因此,更重要的是使用人脸识别技术时需要配套的其他机制。比如在酒店核实身份的场景下,在人脸识别技术之外同步采用其他方式进行身份核验,即不让“刷脸”成为唯一的身份核验方式,方便旅客进行选择,以做到不强制收集旅客的个人信息。此外,也需要及时向旅客告知人脸信息的处理方式,这需要隐私政策不能仅停留在App中的隐蔽角落,更需要在人脸识别设备旁就有二维码或纸质文件供旅客了解个人信息会如何处理。当我们在享受人工智能、人脸识别技术的巨大便利的同时,也应当关注其背后的数据流动及法律关系。公共场所的运营者、监管部门应该承担更多的责任去向公众做好解释说明与合规工作,在明确人脸识别设存储数据如何处理、会传输到哪里、会存多久的基础上,对替代方案进行更充分的规划,确保技术能够在现行法律框架下发挥其应有的作用。(文章仅代表作者观点。责编邮箱:yanguihua@jiemian.com。)
本信息由网络用户发布,本站只提供信息展示,内容详情请与官方联系确认。