图片来源:视觉中国

文丨史宇航(法学博士,人脸识别执业律师,评论注册信息安全专业人员(CISP),限制需法IAPP注册隐私管理人员(CIPM))

在2024全国两会期间,酒店接和人脸识别技术又一次被推上了风口浪尖。过度全国政协委员戴斌提交了一份《关于限制旅游场景过度使用“人脸识别”的使用身份手段提案》,指出在酒店加装人脸识别设备终端既没有明确的律衔法律和行政法规规定,也没有正式成文的提供部门规章规定,该举措不仅降低服务效率,验证容易引起游客的人脸识别不满和投诉,而且增加了企业的评论经营成本,建议公安部指导地方取消入住酒店必须刷脸的限制需法规定,并召回相关软硬件设备。酒店接和

在过去几年中,过度人脸识别技术引起关注并不是使用身份手段酒店行业的特例,一直都是各方争议的焦点。2021年的“3·15晚会”集中曝光了多家知名企业在营业场所采用人脸识别技术收集顾客信息。2021年4月法院也就杭州野生动物园强制要求收集人脸信息进行宣判,被业界称为“人脸识别第一案”。近期,成都铁路运输中级法院判决了一起火车站闸机使用人脸识别技术进行身份验证的案件。

酒店行业使用人脸识别技术是否合法?核验身份是否可以通过其他配套政策?作为被“人脸识别”的旅客等,是否应该享受被告知权利?哪些场景可以合理合法使用人脸识别技术?……

人脸识别的法律要求

近年来,关于人脸识别的法律法规、国家标准层出不穷。2021年7月,最高院发布《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。2022年10月,国家推荐标准《信息安全技术 人脸识别数据安全要求》与《信息技术 生物特征识别 人脸识别系统技术要求》正式颁布并于次年5月1日正式施行。2023年8月,国家网信办就《人脸识别技术应用安全管理规定(试行)(征求意见稿)》征求意见。

即使不考虑这些专门针对人脸信息的法规文件,我国《个人信息保护法》也已经在2021年11月正式施行,将人脸信息这样的生物识别信息定义为敏感个人信息,并且提出了更高标准的保护要求。根据《个人信息保护法》,任何单位处理人脸信息应当同时满足:

在上述成都法院审理的火车站闸机收集人脸信息的案件中,法院就认为火车站可以使用具备人脸识别功能的闸机,但需要改进告知方式。法院认为:铁路部门基于履行维护公共安全的法定义务,处理乘客人脸信息,符合个人信息保护法不需取得乘客个人同意的情形。但是,取得同意义务的免除并不免除告知义务,成都铁路局未对采集乘客人脸信息的目的、方式、信息处理等事项履行告知义务,存在告知缺陷。法院也就此向中国国家铁路集团有限公司发送司法建议,建议在互联网以及车站进站口以多种方式对个人信息处理进行明确告知。中国国家铁路集团有限公司于2023年8月就司法建议的整改情况正式复函,立即推动全国铁路运输企业及时采取更新网站、优化设备等措施,履行人脸信息采集告知义务。

回到酒店收集人脸信息的场景,进行人脸核验的法律依据主要是依据《旅馆业治安管理办法》第6条:“旅馆接待旅客住宿必须登记。登记时,应当查验旅客的身份证件,按规定的项目如实登记。接待境外旅客住宿,还应当在24小时内向当地公安机关报送住宿登记表”。但该规定仅说明验证身份证件的必要性,对是否需要通过人脸信息来验证并未明确。

在戴斌委员要求落实到的《人脸识别技术应用安全管理规定(试行)(征求意见稿)》第9条规定: “宾馆……等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。”可见,该征求意见稿计划严格限制人脸识别技术的使用,仅以全国人大制定的法律、国务院制定的行政法规为使用人脸识别的前提条件。但该规定目前并未生效,且我国法律法规普遍没有强制要求人脸识别,仅要求身份核验,而人脸识别技术只是若干身份核验技术之一。

因此,虽然酒店行业可以参考我国法律实践,参考火车站闸人脸识别机案中收集人脸信息以履行法定义务作为合法性基础,不用获取旅客同意。但酒店行业仍需要履行告知与个人信息保护影响评估的义务,并且确保处理人脸信息的设备具备足够的保护措施。

比如,某酒店集团在自己的隐私政策中说明自己会如何处理人脸信息: