21世纪经济报道见习记者肖潇 北京报道
在酒店前台登记入住时,验完身份证,还需要在一台人脸识别设备前“刷脸”核实,确保人证合一才能入住,这一场景在前几年经常发生。
不过,上海市旅馆业管理系统中的公告近日显示,上海市公安局强调禁止对已带身份证的旅客强制“刷脸”,并制作了标准的《旅客住宿登记问询流程图》,要求酒店收集人脸识别前需要征求同意。
上海市旅馆业治安管理信息系统内发布的提示
4月21日上午,记者致电上海亚朵、桔子、如家、全季、希尔顿欢朋等酒店,酒店均表示携带身份证可以直接入住。只有在旅客没带身份证的情况下,征求旅客同意后,才能进行人脸识别。
上海浦东新区一酒店告诉21世纪经济报道,2023年1月他们就接到了取消“刷脸”的要求。也有酒店表示,本月才接到派出所的通知和培训。该连锁酒店的经理告诉记者,不同门店关于人脸识别的要求来自各自所属片区的派出所,集团没有统一规定,所以执行情况可能不同。
除了上海,还有多地酒店都在近期接到了新要求,杭州、广州的华住会集团旗下酒店向记者确认了这一点。此外,珠海一连锁酒店前台告诉21世纪经济报道,片区派出所在去年10月已经通知酒店不能强制人脸识别,该酒店相关的设备也因此撤走。
公共场所的人脸识别问题一直饱受关注。今年3月的全国两会期间,全国政协委员、中国旅游研究院院长戴斌就曾提交《关于限制旅游场景过度使用“人脸识别”的提案》,戴斌指出几乎所有省市的宾馆、酒店、民宿等旅游住宿机构都设置了人脸识别设备,并且要身份证、人脸“双重识别”后才能入住。戴斌认为这一做法既没有法律规定,还存在安全风险,呼吁尽快调整。
但另一方面,也有网友认为人脸数据由公安系统对接,安全风险不大,没有刷脸认证反而会影响安全管理。酒店强制人脸识别有何问题?不再强制“刷脸认证”,会为酒店带来安全问题吗?
争议一:酒店强制“刷脸”是否合法合理?
受访专家均表示,酒店强制使用人脸识别,没有法律支持。
上海汇业律师事务所合伙人史宇航告诉21世纪经济报道记者,尽管《旅馆业治安管理办法》第6条要求:“旅馆接待旅客住宿必须登记。登记时应当查验旅客的身份证件。” 但身份查验并不等于人脸识别,人脸识别只是多种查验方法之一。
史宇航指出,在我国《个人信息保护法》中,人脸信息这样的生物识别信息属于敏感信息,有着更高标准的保护要求。如果要采集人脸信息,必须满足一系列条件——需要取得单独同意、采取必要的保护措施、向旅客告知处理方式、完成个人信息保护影响评估。“在没有法律支持的情况下强制刷脸,属于变相剥夺了旅客‘是否同意’的权利,不符合《个人信息保护法》的规定。”史宇航说。
除了剥夺旅客的知情权、同意权等,酒店强制“刷脸”也会带来实际的安全风险。
记者以开民宿、购买身份验证设备为由,咨询了一家人脸识别技术厂家。该厂家销售部人员表示,要使用这一设备必须对接当地公安监管旅业管理系统,数据传入至公安部旅业管理系统。
在21记者表示担忧自己的人脸数据后,前述上海连锁酒店的经理也向记者透露,酒店此前用于入住的人脸识别设备,数据只对接公安系统,酒店人员无法查看,也不存储数据。不过该集团的隐私政策并没有公开写明酒店到底如何处理人脸识别数据、数据传输给谁、保存多久。
史宇航指出,酒店通常不会公开告知客人人脸信息会如何处理、保护措施是什么、除了与公安机构联网是否还会提供给第三方。人脸识别技术具有极高的敏感性,一旦滥用或者窃取,影响不可小觑,比如可能会被用于电信诈骗、AI训练等旅客完全不了解的用途。
上海申伦律师事务所的律师夏海龙也表示,尤其在酒店数量众多、个人信息保护水平参差不齐的背景下,采集的个人信息越多,信息泄露和被滥用的风险就越大。
夏海龙还指出,人脸数据接入至公安系统,实际上也是一种越权行为。从“法无授权不可为”的行政法基本原则来看,在法律没有明确授权的情况下,如果行政机关擅自大量采集人脸等敏感个人信息,极大突破了必要性原则。
争议二:如何保障公共安全?
酒店主动或被动地使用人脸识别,多是为了确保人证合一,比如阻止犯罪分子的入住,保障公共安全。因此部分网友也对取消“强制刷脸”感到担忧。
夏海龙认为需要平衡个人隐私和公共安全。在他看来,原有核验入住者身份证件的方式其实足以确保入住者的真实身份,也足以满足公共安全的监管目的,这种情况下就应当充分保护入住者的隐私和个人信息安全。“既不能将追求安全的负担压在入住者身上,更不应借安全之名行获取个人信息之实。” 夏海龙说。
史宇航指出,新要求没有完全禁止酒店用人脸识别进行身份核验,但前提是,酒店要履行人脸识别伴随的义务。
我国《个人信息保护法》规定,“在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。”因此酒店需要明确给予旅客选择的权利,向旅客告知人脸信息会如何处理,完成个人信息保护影响评估等等。
史宇航提醒,各地监管部门不能因为管理的方便就向酒店提出超越法律的要求,要在《个人信息保护法》等法律法规的框架下履行监管职责。在法律没有授权的情况下,避免将"刷脸"作为身份核验的唯一方式。
而对于酒店来说,因为在经营过程中会处理大量的个人信息,很多还是敏感个人信息。史宇航因此建议,酒店也要高度重视个人信息保护的工作,从管理制度、硬件设备等领域提升保护旅客个人信息、隐私的能力。