全文要旨

旅游景区违规采集、使用和存储游客人脸信息数据，强制要求游客必须“刷脸”入园，未充分保障游客的知情权和选择权。在行政主管部门提出整改要求后积极执行，切实保护游客个人信息安全、维护社会公共利益。

基本案情及处理结果

A景区由G公司负责实际运营。2020年7月，A景区通过招标委托H科技有限公司建设完成人脸识别系统，并投入运行。系统使用期间，A景区现场购票除要求游客提供身份证外，还要求游客进行“刷脸”认证，且未告知“刷脸”入园的必要性及后续如何处理刷脸信息，对游客人脸信息储存和使用缺乏具体制度规范。

行政主管部门接群众举报后，对G公司提出整改要求。2021年11月，G公司回复已委托H公司通过远程操作，将A景区违规收集的人脸信息数据进行删除。为确保删除工作符合规范，切实维护游客信息安全，主管部门组织技术力量会同办案人员赴现场开展技术勘验。在相关人员的监督下，A景区前期采集、储存游客人脸信息共计120万余条完全删除，同时G公司已建立起人脸信息采集和使用的制度规范。

景区门口和购票处已设置告知牌，告知游客“刷脸”入园的相关事项，征求游客意愿，游客可以自由选择人脸识别、购买纸质门票、网络购票等多种方式进入景区。对于采用人脸识别进入景区的游客，景区会根据游客入园的需要合理设置人脸数据删除的期限，并在游客游玩结束后自动删除人脸信息，确保游客信息安全。

评析指引

人脸信息作为生物识别信息的一种，属于法律上的“敏感个人信息”，一旦泄露或者非法使用，容易导致人格尊严受到侵害或者人身、财产安全受到危害。因此，《个人信息保护法》规定，“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息”，而且“处理敏感个人信息应当取得个人的单独同意”。本案中，A景区在采集游客人脸信息时未依法履行告知义务，并未对采集到的人脸信息定期予以删除，致使游客个人信息被侵害。在行政主管部门发现并提出整改要求后，A景区及时纠正了违规行为，做到了依法处理游客敏感个人信息。

此外，针对A景区存在强制要求购票游客录入人脸信息的情形，实际上是侵犯了游客的自主选择权。随着科技的发展，一方面不得不承认先进技术给人们的出行带来了越来越多的便利，比如刷智能手机即可乘坐地铁等交通工具；但另一方面也需要保障部分消费者的自主选择权，比如老年人不习惯使用智能手机刷微信或支付宝付款，就有权选择使用现金进行消费，这是法律赋予他们的权利。所以，A景区可以提供“刷脸”入园这一便捷的入园方式，但不能要求所有游客必须通过这种方式入园，尤其是考虑到一些注重隐私的游客，应当提供多样的入园方式供其选择。（杨溢）