進健身房還得刷臉,有這個必要嗎
“游泳館有權要求消費者‘刷臉’進入嗎?”近日,北京市民張先生團購了一張某游泳館的單次券,結果到店驗券時卻被告知入場需要注冊會員,不僅要登記姓名、身份證號碼,還要刷臉才能換取入場手環(huán),否則就無法進入游泳館。
“就想用體驗券游個泳,不僅要收集個人身份信息,還得采集人臉信息,這不是侵犯個人隱私嘛。”張先生對此表達不滿。
張先生的遭遇并非個例?!斗ㄖ稳請蟆酚浾呓照{查發(fā)現(xiàn),不少消費者在進入健身房、游泳館、網球場等體育健身服務場所時,都有被要求錄入人臉信息的經歷,現(xiàn)場有工作人員明確表示“不進行人臉識別,無法進入場館,也無法享受后續(xù)服務”。
多位受訪專家指出,人臉、指紋等生物信息屬于敏感個人信息,只有在具有特定目的和充分必要性、明確取得個人同意的情況下才能夠收集。而游泳館等體育健身服務場所,是否收集人臉信息與消費者入場消費、接受服務并不必然構成關聯(lián),因此不應強制收集人臉信息等生物信息。這類經營場所普遍違規(guī)收集個人信息的現(xiàn)象應引起相關部門重視,加強網絡監(jiān)測和線下實地執(zhí)法檢查,對違法行為及時查處。
隨意采集人臉信息
存在泄露隱私風險
重慶市民劉女士是一名高校教師,她最近因為拒絕提供人臉信息而被健身房拒之門外。
2023年,劉女士在重慶某健身房購買了健身私教課程。2024年年中,該健身房因經營不善將場地、業(yè)務及剩余會員的課時打包出售給了維×健身房。門店重新裝修后于今年10月開張營業(yè)。
門店重新營業(yè)后,與之前的老會員簽署了自愿轉課協(xié)議,承認此前購買的所有會員服務和私教課程依然有效??勺寗⑴繘]想到的是,10月底,她接到健身房通知,要求會員“自愿”綁定門店的人臉識別系統(tǒng)。
“只有自愿綁定人臉識別系統(tǒng),才能進入門店健身場所并進行課程核銷。我當時就質疑店家無權收集會員的人臉信息,萬一信息泄露了怎么辦?”經過一番交涉,店家同意劉女士無需綁定人臉識別系統(tǒng)出入健身房公共區(qū)域,但“私教課區(qū)域和公共區(qū)域是分開的,不進行人臉識別就無法上私教課”。
對這個處理結果,劉女士并不滿意,目前雙方協(xié)商失敗,劉女士正準備提起訴訟。
記者走訪北京、天津多家健身房、游泳館、網球場等體育健身服務場所發(fā)現(xiàn),不同店面對于是否需要收集人臉信息等生物信息的規(guī)定不盡相同,有些需要刷臉才能入內,有些則刷會員卡、會員碼就可以;有些只是部分場景需要用到人臉識別,如上私教課、使用個人儲物柜等。
在社交平臺和第三方投訴平臺上,體育健身服務場所強制要求收集人臉、指紋等生物信息的行為,受到不少消費者詬病。
今年7月,家住上海的王女士購買了20節(jié)街舞課,在第一次去舞蹈房上課時卻被告知,需采用人臉識別系統(tǒng)簽到,就連跳舞后沖洗的淋浴間也需要刷臉才能進入。
對此,商家稱“刷臉上課是方便點名、確認顧客身份、防止代約”“不刷臉就無法上課”。對于這樣的說辭,王女士無法認同,目前雙方仍在協(xié)商退款。
對于為何要安裝人臉識別系統(tǒng),天津市河東區(qū)某健身房老板李先生解釋說,在2022年以前,他們健身房會員都是刷卡進店,但因此逃單的人不少,有的會員刷一次卡帶兩三個人進來,還出現(xiàn)了倒賣健身卡、私教課的現(xiàn)象,影響了經營秩序。為此,健身房升級了系統(tǒng),刷臉才能進店、專人盯在閘機口確保一人一桿、儲物柜指紋解鎖。
記者在調查中發(fā)現(xiàn),人臉識別甚至成了一些體育健身服務場所的賣點。北京一24小時營業(yè)的健身房稱自己“高效管理,通過人臉識別技術,會員直接刷卡進入,又方便又高效”。
充分必要性為前提
未經同意不得收集
據報道,今年4月,有人發(fā)現(xiàn)在上海市松江區(qū)某游泳館購票后,需在相關小程序上先進行人臉認證,進出閘機也依靠人臉識別;在女更衣室,2個人臉識別設備安裝在更衣柜集中的區(qū)域。之后,松江網信部門依法對其運營主體上??釋W體育投資管理有限公司進行了警告的行政處罰。
健身房、游泳館等提供體育健身服務的經營場所是否可以收集人臉、指紋等生物信息?
受訪專家認為,消費者作為個人信息的主體,有權自主決定是否向他人披露敏感個人信息,消費者可以拒絕商家采集其生物信息。
西南政法大學民商法學院教授孫瑩告訴記者,人臉、指紋等生物信息屬于敏感個人信息,依據個人信息保護法第二十八條,上述服務場所只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可處理此類敏感個人信息。
“在合法收集程序方面,首先,服務場所收集處理生物信息,應當事前進行個人信息保護影響評估,并對處理情況進行記錄。其次,服務場所需獲得個人單獨同意,單獨同意是指獨立且明確的、沒有混同其他個人信息的專項同意。有法律、行政法規(guī)要求時應當獲得個人書面同意。最后,在履行個人信息處理一般告知義務的基礎上,服務場所需向個人告知處理敏感個人信息的必要性以及對個人權益的影響。”孫瑩說,在合法收集和使用的界限方面,應遵循“特定目的”與“充分必要性”要求,即收集的生物信息應當與提供服務的目的相關,并且限于最小必要范圍。
孫瑩指出,個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務,除非處理個人信息屬于提供產品或者服務所必需。游泳館、健身房等體育健身服務場所并不必然依賴人臉識別技術來實現(xiàn)其核心服務功能(如提供游泳場地、健身器材使用等),傳統(tǒng)的會員卡、門禁卡等方式同樣可以用于身份識別和服務管理,人臉識別信息收集并非其提供產品或服務必需。因此,在用戶不愿提供人臉識別相關信息的情況下,服務場所不能拒絕提供相應服務。
北京航空航天大學法學院副教授趙精武認為,如果收集人臉信息導致用戶信息泄露,服務場所存在過錯,應承擔損害賠償責任;一旦出現(xiàn)信息泄露,應當及時向網信部門和用戶報告信息泄露的具體情況。此外,如果服務提供者存在故意泄露、惡意怠于管理信息安全等情形,服務場所及其相關負責人將面臨行政處罰,嚴重的還可能構成侵犯公民個人信息罪。
那么,為何目前服務場所不規(guī)范收集生物信息的情況較為普遍?
趙精武認為,部分服務場所未能真正樹立個人信息安全保護意識,存在個人信息“不值錢”“沒人關注”等僥幸心理,怠于履行個人信息保護義務。也有部分機構自身個人信息業(yè)務合規(guī)能力較弱,存在敷衍履行個人信息保護義務的傾向。
“生物信息收集場景繁雜、涉及行業(yè)廣泛,監(jiān)管部門難以全方位無死角監(jiān)督,且法規(guī)執(zhí)行時存在模糊與滯后之處,新技術應用時產生的諸多監(jiān)管空白使得部分機構有機可乘。個人與個人信息處理者之間存在信息不對稱,即便個人得知其信息被泄露也可能受訴訟成本所限難以有效維權。”孫瑩指出。
強化違規(guī)查處力度
規(guī)范信息收集使用
近段時間以來,多地對濫用人臉識別、違規(guī)收集個人生物信息的情況“亮劍”。
如今年6月,上海市網信、市場監(jiān)管等協(xié)同多個部門啟動“亮劍浦江·2024”消費領域個人信息權益保護專項執(zhí)法行動,明確提出公共場所“不刷臉為原則、刷臉為例外”“收集端總體減量、存儲端確保安全”的治理目標,同時還強調遵循“為公共安全所必需”“有法律依據”“做到單獨告知”等三大原則。上海已推動全市70余家公共體育場館,1200余個游泳館、健身場所完成“強制性”“濫用化”刷臉的自查整改。
趙精武認為,針對違規(guī)收集和使用個人生物信息,個人信息保護法等現(xiàn)行立法已經規(guī)定得較為充分,現(xiàn)階段更重要的是在法律實施過程中,推動各類個人信息處理者樹立正確的個人信息保護意識,充分發(fā)揮地方網信部門的監(jiān)管功能,嚴厲打擊不提供個人生物信息就拒絕提供服務的經營場所;同時,網信部門應當結合監(jiān)管實踐定期對外公布個人信息業(yè)務合規(guī)指南和過度收集個人信息黑名單。
“立法層面應細化完善相關法律法規(guī),明確個人信息處理者收集、使用等環(huán)節(jié)的責任義務,通過高額罰款強化威懾作用。執(zhí)法層面應多部門聯(lián)動協(xié)同,提升監(jiān)測技術,強化日常檢查與違規(guī)查處力度。”孫瑩建議,還可通過行業(yè)協(xié)會結合國家標準制定相關文件,要求服務機構自律,構建內部安全管理制度,明確信息收集、使用、存儲等各個環(huán)節(jié)的操作規(guī)范和責任人員,確保生物信息合法、安全收集和使用。
在孫瑩看來,現(xiàn)有法律法規(guī)對生物識別信息處理采納“原則允許模式”,在保障人臉、指紋等敏感性個人信息方面具有一定局限性。未來有必要對現(xiàn)行的生物信息處理模式進行重新審視,考慮“原則禁止模式”可能性,對游泳館、健身館等經營服務場所原則禁止其收集、使用人臉識別這一高敏感性個人信息,僅在法律有例外規(guī)定時可以突破限制。
“如果服務場所拒絕提供服務,消費者可通過多種途徑維權。消費者可請求消費者協(xié)會調解,調解不成可依據消費者權益保護法向法院提起訴訟,要求機構停止侵權、賠償損失,也可依據與游泳館、健身房等服務場所間的服務合同提起訴訟。此外,消費者可向市場監(jiān)管或網信部門反映,由其調查處罰,或通過媒體曝光經營者不合理行為。”孫瑩說。(記者 張守坤 見習記者 丁一)