随意采集人脸信息
存在泄露隐私风险
重庆市民刘女士是一名高校教师,她最近因为拒绝提供人脸信息而被健身房拒之门外。
2023年,刘女士在重庆某健身房购买了健身私教课程。2024年年中,该健身房因经营不善将场地、业务及剩余会员的课时打包出售给了维×健身房。门店重新装修后于今年10月开张营业。
门店重新营业后,与之前的老会员签署了自愿转课协议,承认此前购买的所有会员服务和私教课程依然有效。可让刘女士没想到的是,10月底,她接到健身房通知,要求会员“自愿”绑定门店的人脸识别系统。
“只有自愿绑定人脸识别系统,才能进入门店健身场所并进行课程核销。我当时就质疑店家无权收集会员的人脸信息,万一信息泄露了怎么办?”经过一番交涉,店家同意刘女士无需绑定人脸识别系统出入健身房公共区域,但“私教课区域和公共区域是分开的,不进行人脸识别就无法上私教课”。
对这个处理结果,刘女士并不满意,目前双方协商失败,刘女士正准备提起诉讼。
记者走访北京、天津多家健身房、游泳馆、网球场等体育健身服务场所发现,不同店面对于是否需要收集人脸信息等生物信息的规定不尽相同,有些需要刷脸才能入内,有些则刷会员卡、会员码就可以;有些只是部分场景需要用到人脸识别,如上私教课、使用个人储物柜等。
在社交平台和第三方投诉平台上,体育健身服务场所强制要求收集人脸、指纹等生物信息的行为,受到不少消费者诟病。
充分必要性为前提
未经同意不得收集
健身房、游泳馆等提供体育健身服务的经营场所是否可以收集人脸、指纹等生物信息?
受访专家认为,消费者作为个人信息的主体,有权自主决定是否向他人披露敏感个人信息,消费者可以拒绝商家采集其生物信息。
西南政法大学民商法学院教授孙莹告诉记者,人脸、指纹等生物信息属于敏感个人信息,依据个人信息保护法第二十八条,上述服务场所只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理此类敏感个人信息。
“在合法收集程序方面,首先,服务场所收集处理生物信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。其次,服务场所需获得个人单独同意,单独同意是指独立且明确的、没有混同其他个人信息的专项同意。有法律、行政法规要求时应当获得个人书面同意。最后,在履行个人信息处理一般告知义务的基础上,服务场所需向个人告知处理敏感个人信息的必要性以及对个人权益的影响。”孙莹说。
那么,为何目前服务场所不规范收集生物信息的情况较为普遍?北京航空航天大学法学院副院长赵精武认为,部分服务场所未能真正树立个人信息安全保护意识,存在个人信息“不值钱”“没人关注”等侥幸心理,怠于履行个人信息保护义务。也有部分机构自身个人信息业务合规能力较弱,存在敷衍履行个人信息保护义务的倾向。
“生物信息收集场景繁杂、涉及行业广泛,监管部门难以全方位无死角监督,且法规执行时存在模糊与滞后之处,新技术应用时产生的诸多监管空白使得部分机构有机可乘。个人与个人信息处理者之间存在信息不对称,即便个人得知其信息被泄露也可能受诉讼成本所限难以有效维权。”孙莹指出。
强化违规查处力度
规范信息收集使用
近段时间以来,多地对滥用人脸识别、违规收集个人生物信息的情况“亮剑”。
如今年6月,上海市网信、市场监管等协同多个部门启动“亮剑浦江·2024”消费领域个人信息权益保护专项执法行动,明确提出公共场所“不刷脸为原则、刷脸为例外”“收集端总体减量、存储端确保安全”的治理目标,同时还强调遵循“为公共安全所必需”“有法律依据”“做到单独告知”等三大原则。上海已推动全市70余家公共体育场馆,1200余个游泳馆、健身场所完成“强制性”“滥用化”刷脸的自查整改。
赵精武认为,针对违规收集和使用个人生物信息,个人信息保护法等现行立法已经规定得较为充分,现阶段更重要的是在法律实施过程中,推动各类个人信息处理者树立正确的个人信息保护意识,充分发挥地方网信部门的监管功能,严厉打击不提供个人生物信息就拒绝提供服务的经营场所;同时,网信部门应当结合监管实践定期对外公布个人信息业务合规指南和过度收集个人信息黑名单。
(法治日报)