在酒店办理入住登记时,很多旅客都习惯了“刷脸”。不过,上海近日发布,严禁对已出示本人有效身份证件的旅客进行“强制刷脸”核验。不少旅客表示,新规实施后入住酒店更加方便,个人隐私也得到了保护。事实上,不只是上海,国内多地已开始调整此项政策。深圳、杭州、苏州等地多个酒店明确:不再要求“强制刷脸”,只需要登记身份证即可入住。(4月24日央视财经)
大数据应用带来了机遇与便利,也带来了用户对自身隐私安全的担忧。特别是,如今连进小区、住酒店都要“刷脸”,人脸识别技术被滥用,势必会造成数据泄露。据《人脸识别应用公众调研报告(2020)》显示,六成受访者认为人脸识别技术有滥用趋势,三成受访者表示已因人脸信息泄露、滥用而遭受隐私或财产损失。基于此,今年3月,全国政协委员戴斌提交了一份《关于限制旅游场景过度使用“人脸识别”的提案》,建议取消入住酒店必须“刷脸”的规定。特别是,上海等多地酒店入住不再要求“强制刷脸”。
2021年11月1日实施的《个人信息保护法》第二十七条明确,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、个人身份特征信息只能用于维护公共安全的目的,不得公开或者向他人提供;取得个人单独同意或者法律、行政法规另有规定的除外。对照此规定,入住酒店必须“刷脸”,不是为了公共安全考虑,而是酒店为了维护自身利益,这显然不具备强制使用人脸识别的必要性。
事实上,2022年颁布实施的《旅馆业治安管理办法》第六条规定:“旅馆接待旅客住宿必须登记。登记时,应当查验旅客的身份证件,按规定的项目如实登记。接待境外旅客住宿,还应当在24小时内向当地公安机关报送住宿登记表”。其中,并未对“刷脸”作出明确规定。依据“法无授权不可行”的原则,旅馆酒店等场所不应再要求旅客履行“刷脸”义务,也不能要求旅游住宿机构履行查验身份证件之外,履行生物信息和涉及旅客隐私数据的采集义务。
特别是,对人脸识别的监管,逐渐进入“深水区”。2022年4月,《信息安全技术人脸识别数据安全要求》国家标准出台,提出刷脸必须征得明示同意,并不得用于预测个人经济状况。同年5月1日,《常见类型移动互联网应用程序必要个人信息范围规定》正式实施。其中明确了APP运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用APP基本功能服务。特别是,2023年8月,《人脸识别技术应用安全管理规定(试行)》发布,从公共场所、经营场所、可能侵害他人隐私的场所等作出要求,同时针对人脸识别技术远距离、无感式辨识等划线。上述规定的实施,填补了人脸识别应用领域的空白。
换言之,必须厘清“刷脸”边界,不让个人隐私“丢脸”。相关法律应对人脸识别作出专项规定,明确人脸识别的有权使用主体、使用目的、使用范围、使用禁区等,以及被识别对象的救济路径、追责手段。比如,禁止企事业单位、行业协会、商会等采集人脸、指纹、声音等生物识别信息。同时,使用人脸识别技术需遵循事前申请原则,事前向政府主管部门申请,说明人脸识别的目的、范围、数据存储方案、安全措施等,经批准后才能开始进行。特别是,需要有专业机构对人脸识别划定使用边界,即对人脸识别的适用范围、使用过程中落实“事先告知、事后删除”等条款作出持续的规范和跟进。(汪昌莲)