全文要旨
旅游景区违规采集、使用和存储游客人脸信息数据,强制要求游客必须“刷脸”入园,未充分保障游客的知情权和选择权。在行政主管部门提出整改要求后积极执行,切实保护游客个人信息安全、维护社会公共利益。
基本案情及处理结果
A景区由G公司负责实际运营。2020年7月,A景区通过招标委托H科技有限公司建设完成人脸识别系统,并投入运行。系统使用期间,A景区现场购票除要求游客提供身份证外,还要求游客进行“刷脸”认证,且未告知“刷脸”入园的必要性及后续如何处理刷脸信息,对游客人脸信息储存和使用缺乏具体制度规范。
行政主管部门接群众举报后,对G公司提出整改要求。2021年11月,G公司回复已委托H公司通过远程操作,将A景区违规收集的人脸信息数据进行删除。为确保删除工作符合规范,切实维护游客信息安全,主管部门组织技术力量会同办案人员赴现场开展技术勘验。在相关人员的监督下,A景区前期采集、储存游客人脸信息共计120万余条完全删除,同时G公司已建立起人脸信息采集和使用的制度规范。
景区门口和购票处已设置告知牌,告知游客“刷脸”入园的相关事项,征求游客意愿,游客可以自由选择人脸识别、购买纸质门票、网络购票等多种方式进入景区。对于采用人脸识别进入景区的游客,景区会根据游客入园的需要合理设置人脸数据删除的期限,并在游客游玩结束后自动删除人脸信息,确保游客信息安全。
评析指引
人脸信息作为生物识别信息的一种,属于法律上的“敏感个人信息”,一旦泄露或者非法使用,容易导致人格尊严受到侵害或者人身、财产安全受到危害。因此,《个人信息保护法》规定,“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”,而且“处理敏感个人信息应当取得个人的单独同意”。本案中,A景区在采集游客人脸信息时未依法履行告知义务,并未对采集到的人脸信息定期予以删除,致使游客个人信息被侵害。在行政主管部门发现并提出整改要求后,A景区及时纠正了违规行为,做到了依法处理游客敏感个人信息。
此外,针对A景区存在强制要求购票游客录入人脸信息的情形,实际上是侵犯了游客的自主选择权。随着科技的发展,一方面不得不承认先进技术给人们的出行带来了越来越多的便利,比如刷智能手机即可乘坐地铁等交通工具;但另一方面也需要保障部分消费者的自主选择权,比如老年人不习惯使用智能手机刷微信或支付宝付款,就有权选择使用现金进行消费,这是法律赋予他们的权利。所以,A景区可以提供“刷脸”入园这一便捷的入园方式,但不能要求所有游客必须通过这种方式入园,尤其是考虑到一些注重隐私的游客,应当提供多样的入园方式供其选择。(杨溢)