住店強制“刷臉”於法無據，敏感個人資訊應受嚴格保護

今後再入住酒店，可以不用刷臉了？據媒體近日報道，目前上海、浙江等多地已取消入住酒店“強制刷臉”的規定。比如，上海市旅館業治安管理信息系統明確要求：嚴禁對已出示本人有效身份證件的旅客進行“強制刷臉”覈驗；嚴禁發生不“刷臉”不能入住問題。

對此，浙江大學網絡空間安全學院雙聘教授、工信部信息通信經濟專家委員會委員王春暉認爲，入住酒店“強制刷臉”本身於法無據，是一種侵害自然人人格權益的行爲，全國各類酒店都應當依法取消“刷臉”入住的強制性流程，保護敏感個人信息不受非法侵犯。

近幾年，老百姓接觸到最常見的數智技術應用場景就是“人臉識別”，比如“刷臉”進站、“刷臉”住宿、“刷臉”支付、“刷臉”簽到等。人臉與指紋、虹膜等相比，具有弱隱私性的生物特徵，因此，這一技術的濫用對於公民隱私保護造成的威脅後果極爲嚴重，應當引起有關部門的高度重視。

縱觀這些年採集個人生物信息態勢，“刷臉”已經滲透到幾乎每一個角落，濫用人臉識別技術有愈演愈烈之勢。目前，國內幾乎所有省市的賓館、酒店、民宿等住宿酒店都設置了人臉識別系統，消費者入住酒店使用有效身份證已經無法滿足入住的條件，要求必須強制“刷臉”，不“刷臉”不能入住。

事實上，我國現行的法律法規中，沒有任何有關要求入住酒店必須強制刷臉的規定。反之，我國現行的法律行政法規、司法解釋及部門規則均規定，不得違法採集個人的人臉生物信息。筆者注意到，近期在上海市旅館業治安管理信息系統中相繼有通知和提示發佈，嚴禁對已出示本人有效身份證件的旅客進行“強制刷臉”覈驗，嚴禁發生不“刷臉”不能入住問題。

筆者認爲，在酒店加裝人臉識別設備終端，並實行強制人臉識別，是一種侵害自然人人格權益的行爲，既沒有明確的法律和行政法規規定，也沒有部門規章規定。全國各類酒店應當依法取消刷臉入住的強制性流程，保護敏感個人信息不受非法侵犯。以下，筆者將從相關法律法規、司法解釋及部門規章有關使用自然人生物識別技術的規定等幾個方面，來簡要解讀爲何說住店“強制刷臉”於法無據。

2021年11月1日實施的個人信息保護法第二十八條規定，敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。

個人信息保護法明確要求，只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息，且處理敏感個人信息應當取得個人的單獨同意，如果法律、行政法規規定處理敏感個人信息應當取得書面同意的，應當從其規定。

從個人信息保護法上述規定可以知曉，採集人臉識別信息屬於違法行爲。首先，人臉識別信息屬於敏感個人信息，一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身和財產安全受到危害。由此，法律給予最嚴格的保護；其次，人臉識別信息非必要不採集，只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息；第三，處理人臉識別信息應當取得個人的單獨同意，只要個人不同意，任何組織和個人不得違法採集和處理，如果法律、行政法規規定處理敏感個人信息應當取得書面同意的，應當從其規定。

2021年，最高人民法院發佈《關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（以下簡稱《規定》）。《規定》第二條認定了八類處理人臉信息的情形屬於侵害自然人人格權益的行爲，其中第一項爲“在賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經營場所、公共場所違反法律、行政法規的規定使用人臉識別技術進行人臉驗證、辨識或者分析”的情形。

在《規定》第二條第八項專門設置了一項兜底條款，即“違反合法、正當、必要原則處理人臉信息的其他情形”，該項要求，只要違反合法、正當、必要原則處理人臉信息，均爲侵犯自然人人格權益的行爲。

《規定》明確了符合以下五類情形之一，可以處理人臉信息：一是爲應對突發公共衛生事件，或者緊急情況下爲保護自然人的生命健康和財產安全所必需而處理人臉信息；二是爲維護公共安全，依據國家有關規定在公共場所使用人臉識別技術；三是爲公共利益實施新聞報道、輿論監督等行爲在合理的範圍內處理人臉信息；四是在自然人或者其監護人同意的範圍內合理處理人臉信息；五是符合法律、行政法規規定的其他情形。

2023年8月，國家網信辦公開發布《人臉識別技術應用安全管理規定（試行）（徵求意見稿）》（以下簡稱“徵求意見稿”）。“徵求意見稿”提出，賓館、銀行、車站、體育場館、博物館等經營場所，除法律、行政法規規定應當使用人臉識別技術驗證個人身份的，不得以辦理業務、提升服務質量等爲由強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。

“徵求意見稿”要求，使用人臉識別技術必須遵循“最少使用”和“最小存儲”。“最少使用”，即只有在具有特定的目的和充分的必要性，並採取嚴格保護措施的情形下，方可使用人臉識別技術處理人臉信息。實現相同目的或者達到同等業務要求，存在其他非生物特徵識別技術方案的，應當優先選擇非生物特徵識別技術方案；“最小存儲”，即除法定條件或者取得個人單獨同意外，人臉識別技術使用者不得保存人臉原始圖像、圖片、視頻，經過匿名化處理的人臉信息除外。使用人臉識別技術處理人臉信息應當儘量避免採集與提供服務無關的人臉信息，無法避免的，應當及時刪除或者進行匿名化處理。

個人信息保護法明確規定，採集人臉識別信息必須取得本人的單獨同意，否則屬於違法行爲。然而，個人信息保護法已經實施兩年多，爲什麼全國各類酒店仍然要求消費者住店必須強制刷臉？法律的生命力在於實施，法律的權威也在於實施。如果法律得不到遵守和執行，再好的法律也只會是一紙空文。希望在此次上海等地酒店業新政的示範帶動下，全國各地酒店行業都能知錯就改，儘快依法取消“刷臉”入住的強制性流程，保護敏感個人信息不受非法侵犯。（王春暉）

（作者系浙江大學網絡空間安全學院雙聘教授、工信部信息通信經濟專家委員會委員）