“游泳館有權要求消費者‘刷臉’進入嗎?”近日,北京市民張先生團購了一張某游泳館的單次券,結果到店驗券時卻被告知入場需要註冊會員,不僅要登記姓名、身份證號碼,還要刷臉才能換取入場手環,否則就無法進入游泳館。
“就想用體驗券遊個泳,不僅要收集個人身份信息,還得采集人臉信息,這不是侵犯個人隱私嘛。”張先生對此表達不滿。
張先生的遭遇並非個例。《法治日報》記者近日調查發現,不少消費者在進入健身房、游泳館、網球場等體育健身服務場所時,都有被要求錄入人臉信息的經歷,現場有工作人員明確表示“不進行人臉識別,無法進入場館,也無法享受後續服務”。
多位受訪專家指出,人臉、指紋等生物信息屬於敏感個人信息,只有在具有特定目的和充分必要性、明確取得個人同意的情況下才能夠收集。而游泳館等體育健身服務場所,是否收集人臉信息與消費者入場消費、接受服務並不必然構成關聯,因此不應強制收集人臉信息等生物信息。這類經營場所普遍違規收集個人信息的現象應引起相關部門重視,加強網絡監測和線下實地執法檢查,對違法行爲及時查處。
隨意採集人臉信息
存在泄露隱私風險
重慶市民劉女士是一名高校教師,她最近因爲拒絕提供人臉信息而被健身房拒之門外。
2023年,劉女士在重慶某健身房購買了健身私教課程。2024年年中,該健身房因經營不善將場地、業務及剩餘會員的課時打包出售給了維×健身房。門店重新裝修後於今年10月開張營業。
門店重新營業後,與之前的老會員簽署了自願轉課協議,承認此前購買的所有會員服務和私教課程依然有效。可讓劉女士沒想到的是,10月底,她接到健身房通知,要求會員“自願”綁定門店的人臉識別系統。
“只有自願綁定人臉識別系統,才能進入門店健身場所並進行課程覈銷。我當時就質疑店家無權收集會員的人臉信息,萬一信息泄露了怎麼辦?”經過一番交涉,店家同意劉女士無需綁定人臉識別系統出入健身房公共區域,但“私教課區域和公共區域是分開的,不進行人臉識別就無法上私教課”。
對這個處理結果,劉女士並不滿意,目前雙方協商失敗,劉女士正準備提起訴訟。
記者走訪北京、天津多家健身房、游泳館、網球場等體育健身服務場所發現,不同店面對於是否需要收集人臉信息等生物信息的規定不盡相同,有些需要刷臉才能入內,有些則刷會員卡、會員碼就可以;有些只是部分場景需要用到人臉識別,如上私教課、使用個人儲物櫃等。
在社交平臺和第三方投訴平臺上,體育健身服務場所強制要求收集人臉、指紋等生物信息的行爲,受到不少消費者詬病。
今年7月,家住上海的王女士購買了20節街舞課,在第一次去舞蹈房上課時卻被告知,需採用人臉識別系統簽到,就連跳舞后沖洗的淋浴間也需要刷臉才能進入。
對此,商家稱“刷臉上課是方便點名、確認顧客身份、防止代約”“不刷臉就無法上課”。對於這樣的說辭,王女士無法認同,目前雙方仍在協商退款。
對於爲何要安裝人臉識別系統,天津市河東區某健身房老闆李先生解釋說,在2022年以前,他們健身房會員都是刷卡進店,但因此逃單的人不少,有的會員刷一次卡帶兩三個人進來,還出現了倒賣健身卡、私教課的現象,影響了經營秩序。爲此,健身房升級了系統,刷臉才能進店、專人盯在閘機口確保一人一杆、儲物櫃指紋解鎖。
記者在調查中發現,人臉識別甚至成了一些體育健身服務場所的賣點。北京一24小時營業的健身房稱自己“高效管理,通過人臉識別技術,會員直接刷卡進入,又方便又高效”。
充分必要性爲前提
未經同意不得收集
據報道,今年4月,有人發現在上海市松江區某游泳館購票後,需在相關小程序上先進行人臉認證,進出閘機也依靠人臉識別;在女更衣室,2個人臉識別設備安裝在更衣櫃集中的區域。之後,松江網信部門依法對其運營主體上海酷學體育投資管理有限公司進行了警告的行政處罰。
健身房、游泳館等提供體育健身服務的經營場所是否可以收集人臉、指紋等生物信息?
受訪專家認爲,消費者作爲個人信息的主體,有權自主決定是否向他人披露敏感個人信息,消費者可以拒絕商家採集其生物信息。
西南政法大學民商法學院教授孫瑩告訴記者,人臉、指紋等生物信息屬於敏感個人信息,依據個人信息保護法第二十八條,上述服務場所只有在具有特定的目的和充分的必要性,並採取嚴格保護措施的情形下,方可處理此類敏感個人信息。
“在合法收集程序方面,首先,服務場所收集處理生物信息,應當事前進行個人信息保護影響評估,並對處理情況進行記錄。其次,服務場所需獲得個人單獨同意,單獨同意是指獨立且明確的、沒有混同其他個人信息的專項同意。有法律、行政法規要求時應當獲得個人書面同意。最後,在履行個人信息處理一般告知義務的基礎上,服務場所需向個人告知處理敏感個人信息的必要性以及對個人權益的影響。”孫瑩說,在合法收集和使用的界限方面,應遵循“特定目的”與“充分必要性”要求,即收集的生物信息應當與提供服務的目的相關,並且限於最小必要範圍。
孫瑩指出,個人信息處理者不得以個人不同意處理其個人信息或者撤回同意爲由,拒絕提供產品或者服務,除非處理個人信息屬於提供產品或者服務所必需。游泳館、健身房等體育健身服務場所並不必然依賴人臉識別技術來實現其核心服務功能(如提供游泳場地、健身器材使用等),傳統的會員卡、門禁卡等方式同樣可以用於身份識別和服務管理,人臉識別信息收集並非其提供產品或服務必需。因此,在用戶不願提供人臉識別相關信息的情況下,服務場所不能拒絕提供相應服務。
北京航空航天大學法學院副教授趙精武認爲,如果收集人臉信息導致用戶信息泄露,服務場所存在過錯,應承擔損害賠償責任;一旦出現信息泄露,應當及時向網信部門和用戶報告信息泄露的具體情況。此外,如果服務提供者存在故意泄露、惡意怠於管理信息安全等情形,服務場所及其相關負責人將面臨行政處罰,嚴重的還可能構成侵犯公民個人信息罪。
那麼,爲何目前服務場所不規範收集生物信息的情況較爲普遍?
趙精武認爲,部分服務場所未能真正樹立個人信息安全保護意識,存在個人信息“不值錢”“沒人關注”等僥倖心理,怠於履行個人信息保護義務。也有部分機構自身個人信息業務合規能力較弱,存在敷衍履行個人信息保護義務的傾向。
“生物信息收集場景繁雜、涉及行業廣泛,監管部門難以全方位無死角監督,且法規執行時存在模糊與滯後之處,新技術應用時產生的諸多監管空白使得部分機構有機可乘。個人與個人信息處理者之間存在信息不對稱,即便個人得知其信息被泄露也可能受訴訟成本所限難以有效維權。”孫瑩指出。
強化違規查處力度
規範信息收集使用
近段時間以來,多地對濫用人臉識別、違規收集個人生物信息的情況“亮劍”。
如今年6月,上海市網信、市場監管等協同多個部門啓動“亮劍浦江·2024”消費領域個人信息權益保護專項執法行動,明確提出公共場所“不刷臉爲原則、刷臉爲例外”“收集端總體減量、存儲端確保安全”的治理目標,同時還強調遵循“爲公共安全所必需”“有法律依據”“做到單獨告知”等三大原則。上海已推動全市70餘家公共體育場館,1200餘個游泳館、健身場所完成“強制性”“濫用化”刷臉的自查整改。
趙精武認爲,針對違規收集和使用個人生物信息,個人信息保護法等現行立法已經規定得較爲充分,現階段更重要的是在法律實施過程中,推動各類個人信息處理者樹立正確的個人信息保護意識,充分發揮地方網信部門的監管功能,嚴厲打擊不提供個人生物信息就拒絕提供服務的經營場所;同時,網信部門應當結合監管實踐定期對外公佈個人信息業務合規指南和過度收集個人信息黑名單。
“立法層面應細化完善相關法律法規,明確個人信息處理者收集、使用等環節的責任義務,通過高額罰款強化威懾作用。執法層面應多部門聯動協同,提升監測技術,強化日常檢查與違規查處力度。”孫瑩建議,還可通過行業協會結合國家標準制定相關文件,要求服務機構自律,構建內部安全管理制度,明確信息收集、使用、存儲等各個環節的操作規範和責任人員,確保生物信息合法、安全收集和使用。
在孫瑩看來,現有法律法規對生物識別信息處理採納“原則允許模式”,在保障人臉、指紋等敏感性個人信息方面具有一定侷限性。未來有必要對現行的生物信息處理模式進行重新審視,考慮“原則禁止模式”可能性,對游泳館、健身館等經營服務場所原則禁止其收集、使用人臉識別這一高敏感性個人信息,僅在法律有例外規定時可以突破限制。
“如果服務場所拒絕提供服務,消費者可通過多種途徑維權。消費者可請求消費者協會調解,調解不成可依據消費者權益保護法向法院提起訴訟,要求機構停止侵權、賠償損失,也可依據與游泳館、健身房等服務場所間的服務合同提起訴訟。此外,消費者可向市場監管或網信部門反映,由其調查處罰,或通過媒體曝光經營者不合理行爲。”孫瑩說。
作者|法治日報全媒體記者 張守坤 見習記者 丁 一