進健身房還得刷臉,有這個必要嗎
專家:體育健身服務(wù)場所不該隨意收集敏感個人信息
“游泳館有權(quán)要求消費者‘刷臉’進入嗎?”近日,北京市民張先生團購了一張某游泳館的單次券,結(jié)果到店驗券時卻被告知入場需要注冊會員,不僅要登記姓名、身份證號碼,還要刷臉才能換取入場手環(huán),否則就無法進入游泳館。
“就想用體驗券游個泳,不僅要收集個人身份信息,還得采集人臉信息,這不是侵犯個人隱私嘛?!睆埾壬鷮Υ吮磉_不滿。
張先生的遭遇并非個例。《法治日報》記者近日調(diào)查發(fā)現(xiàn),不少消費者在進入健身房、游泳館、網(wǎng)球場等體育健身服務(wù)場所時,都有被要求錄入人臉信息的經(jīng)歷,現(xiàn)場有工作人員明確表示“不進行人臉識別,無法進入場館,也無法享受后續(xù)服務(wù)”。
多位受訪專家指出,人臉、指紋等生物信息屬于敏感個人信息,只有在具有特定目的和充分必要性、明確取得個人同意的情況下才能夠收集。而游泳館等體育健身服務(wù)場所,是否收集人臉信息與消費者入場消費、接受服務(wù)并不必然構(gòu)成關(guān)聯(lián),因此不應(yīng)強制收集人臉信息等生物信息。這類經(jīng)營場所普遍違規(guī)收集個人信息的現(xiàn)象應(yīng)引起相關(guān)部門重視,加強網(wǎng)絡(luò)監(jiān)測和線下實地執(zhí)法檢查,對違法行為及時查處。
隨意采集人臉信息
存在泄露隱私風險
重慶市民劉女士是一名高校教師,她最近因為拒絕提供人臉信息而被健身房拒之門外。
2023年,劉女士在重慶某健身房購買了健身私教課程。2024年年中,該健身房因經(jīng)營不善將場地、業(yè)務(wù)及剩余會員的課時打包出售給了維×健身房。門店重新裝修后于今年10月開張營業(yè)。
門店重新營業(yè)后,與之前的老會員簽署了自愿轉(zhuǎn)課協(xié)議,承認此前購買的所有會員服務(wù)和私教課程依然有效??勺寗⑴繘]想到的是,10月底,她接到健身房通知,要求會員“自愿”綁定門店的人臉識別系統(tǒng)。
“只有自愿綁定人臉識別系統(tǒng),才能進入門店健身場所并進行課程核銷。我當時就質(zhì)疑店家無權(quán)收集會員的人臉信息,萬一信息泄露了怎么辦?”經(jīng)過一番交涉,店家同意劉女士無需綁定人臉識別系統(tǒng)出入健身房公共區(qū)域,但“私教課區(qū)域和公共區(qū)域是分開的,不進行人臉識別就無法上私教課”。
對這個處理結(jié)果,劉女士并不滿意,目前雙方協(xié)商失敗,劉女士正準備提起訴訟。
記者走訪北京、天津多家健身房、游泳館、網(wǎng)球場等體育健身服務(wù)場所發(fā)現(xiàn),不同店面對于是否需要收集人臉信息等生物信息的規(guī)定不盡相同,有些需要刷臉才能入內(nèi),有些則刷會員卡、會員碼就可以;有些只是部分場景需要用到人臉識別,如上私教課、使用個人儲物柜等。
在社交平臺和第三方投訴平臺上,體育健身服務(wù)場所強制要求收集人臉、指紋等生物信息的行為,受到不少消費者詬病。
今年7月,家住上海的王女士購買了20節(jié)街舞課,在第一次去舞蹈房上課時卻被告知,需采用人臉識別系統(tǒng)簽到,就連跳舞后沖洗的淋浴間也需要刷臉才能進入。
對此,商家稱“刷臉上課是方便點名、確認顧客身份、防止代約”“不刷臉就無法上課”。對于這樣的說辭,王女士無法認同,目前雙方仍在協(xié)商退款。
對于為何要安裝人臉識別系統(tǒng),天津市河?xùn)|區(qū)某健身房老板李先生解釋說,在2022年以前,他們健身房會員都是刷卡進店,但因此逃單的人不少,有的會員刷一次卡帶兩三個人進來,還出現(xiàn)了倒賣健身卡、私教課的現(xiàn)象,影響了經(jīng)營秩序。為此,健身房升級了系統(tǒng),刷臉才能進店、專人盯在閘機口確保一人一桿、儲物柜指紋解鎖。
記者在調(diào)查中發(fā)現(xiàn),人臉識別甚至成了一些體育健身服務(wù)場所的賣點。北京一24小時營業(yè)的健身房稱自己“高效管理,通過人臉識別技術(shù),會員直接刷卡進入,又方便又高效”。
充分必要性為前提
未經(jīng)同意不得收集
據(jù)報道,今年4月,有人發(fā)現(xiàn)在上海市松江區(qū)某游泳館購票后,需在相關(guān)小程序上先進行人臉認證,進出閘機也依靠人臉識別;在女更衣室,2個人臉識別設(shè)備安裝在更衣柜集中的區(qū)域。之后,松江網(wǎng)信部門依法對其運營主體上??釋W(xué)體育投資管理有限公司進行了警告的行政處罰。
健身房、游泳館等提供體育健身服務(wù)的經(jīng)營場所是否可以收集人臉、指紋等生物信息?
受訪專家認為,消費者作為個人信息的主體,有權(quán)自主決定是否向他人披露敏感個人信息,消費者可以拒絕商家采集其生物信息。
西南政法大學(xué)民商法學(xué)院教授孫瑩告訴記者,人臉、指紋等生物信息屬于敏感個人信息,依據(jù)個人信息保護法第二十八條,上述服務(wù)場所只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可處理此類敏感個人信息。
“在合法收集程序方面,首先,服務(wù)場所收集處理生物信息,應(yīng)當事前進行個人信息保護影響評估,并對處理情況進行記錄。其次,服務(wù)場所需獲得個人單獨同意,單獨同意是指獨立且明確的、沒有混同其他個人信息的專項同意。有法律、行政法規(guī)要求時應(yīng)當獲得個人書面同意。最后,在履行個人信息處理一般告知義務(wù)的基礎(chǔ)上,服務(wù)場所需向個人告知處理敏感個人信息的必要性以及對個人權(quán)益的影響?!睂O瑩說,在合法收集和使用的界限方面,應(yīng)遵循“特定目的”與“充分必要性”要求,即收集的生物信息應(yīng)當與提供服務(wù)的目的相關(guān),并且限于最小必要范圍。
孫瑩指出,個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產(chǎn)品或者服務(wù),除非處理個人信息屬于提供產(chǎn)品或者服務(wù)所必需。游泳館、健身房等體育健身服務(wù)場所并不必然依賴人臉識別技術(shù)來實現(xiàn)其核心服務(wù)功能(如提供游泳場地、健身器材使用等),傳統(tǒng)的會員卡、門禁卡等方式同樣可以用于身份識別和服務(wù)管理,人臉識別信息收集并非其提供產(chǎn)品或服務(wù)必需。因此,在用戶不愿提供人臉識別相關(guān)信息的情況下,服務(wù)場所不能拒絕提供相應(yīng)服務(wù)。
北京航空航天大學(xué)法學(xué)院副教授趙精武認為,如果收集人臉信息導(dǎo)致用戶信息泄露,服務(wù)場所存在過錯,應(yīng)承擔損害賠償責任;一旦出現(xiàn)信息泄露,應(yīng)當及時向網(wǎng)信部門和用戶報告信息泄露的具體情況。此外,如果服務(wù)提供者存在故意泄露、惡意怠于管理信息安全等情形,服務(wù)場所及其相關(guān)負責人將面臨行政處罰,嚴重的還可能構(gòu)成侵犯公民個人信息罪。
那么,為何目前服務(wù)場所不規(guī)范收集生物信息的情況較為普遍?
趙精武認為,部分服務(wù)場所未能真正樹立個人信息安全保護意識,存在個人信息“不值錢”“沒人關(guān)注”等僥幸心理,怠于履行個人信息保護義務(wù)。也有部分機構(gòu)自身個人信息業(yè)務(wù)合規(guī)能力較弱,存在敷衍履行個人信息保護義務(wù)的傾向。
“生物信息收集場景繁雜、涉及行業(yè)廣泛,監(jiān)管部門難以全方位無死角監(jiān)督,且法規(guī)執(zhí)行時存在模糊與滯后之處,新技術(shù)應(yīng)用時產(chǎn)生的諸多監(jiān)管空白使得部分機構(gòu)有機可乘。個人與個人信息處理者之間存在信息不對稱,即便個人得知其信息被泄露也可能受訴訟成本所限難以有效維權(quán)?!睂O瑩指出。
強化違規(guī)查處力度
規(guī)范信息收集使用
近段時間以來,多地對濫用人臉識別、違規(guī)收集個人生物信息的情況“亮劍”。
如今年6月,上海市網(wǎng)信、市場監(jiān)管等協(xié)同多個部門啟動“亮劍浦江·2024”消費領(lǐng)域個人信息權(quán)益保護專項執(zhí)法行動,明確提出公共場所“不刷臉為原則、刷臉為例外”“收集端總體減量、存儲端確保安全”的治理目標,同時還強調(diào)遵循“為公共安全所必需”“有法律依據(jù)”“做到單獨告知”等三大原則。上海已推動全市70余家公共體育場館,1200余個游泳館、健身場所完成“強制性”“濫用化”刷臉的自查整改。
趙精武認為,針對違規(guī)收集和使用個人生物信息,個人信息保護法等現(xiàn)行立法已經(jīng)規(guī)定得較為充分,現(xiàn)階段更重要的是在法律實施過程中,推動各類個人信息處理者樹立正確的個人信息保護意識,充分發(fā)揮地方網(wǎng)信部門的監(jiān)管功能,嚴厲打擊不提供個人生物信息就拒絕提供服務(wù)的經(jīng)營場所;同時,網(wǎng)信部門應(yīng)當結(jié)合監(jiān)管實踐定期對外公布個人信息業(yè)務(wù)合規(guī)指南和過度收集個人信息黑名單。
“立法層面應(yīng)細化完善相關(guān)法律法規(guī),明確個人信息處理者收集、使用等環(huán)節(jié)的責任義務(wù),通過高額罰款強化威懾作用。執(zhí)法層面應(yīng)多部門聯(lián)動協(xié)同,提升監(jiān)測技術(shù),強化日常檢查與違規(guī)查處力度。”孫瑩建議,還可通過行業(yè)協(xié)會結(jié)合國家標準制定相關(guān)文件,要求服務(wù)機構(gòu)自律,構(gòu)建內(nèi)部安全管理制度,明確信息收集、使用、存儲等各個環(huán)節(jié)的操作規(guī)范和責任人員,確保生物信息合法、安全收集和使用。
在孫瑩看來,現(xiàn)有法律法規(guī)對生物識別信息處理采納“原則允許模式”,在保障人臉、指紋等敏感性個人信息方面具有一定局限性。未來有必要對現(xiàn)行的生物信息處理模式進行重新審視,考慮“原則禁止模式”可能性,對游泳館、健身館等經(jīng)營服務(wù)場所原則禁止其收集、使用人臉識別這一高敏感性個人信息,僅在法律有例外規(guī)定時可以突破限制。
“如果服務(wù)場所拒絕提供服務(wù),消費者可通過多種途徑維權(quán)。消費者可請求消費者協(xié)會調(diào)解,調(diào)解不成可依據(jù)消費者權(quán)益保護法向法院提起訴訟,要求機構(gòu)停止侵權(quán)、賠償損失,也可依據(jù)與游泳館、健身房等服務(wù)場所間的服務(wù)合同提起訴訟。此外,消費者可向市場監(jiān)管或網(wǎng)信部門反映,由其調(diào)查處罰,或通過媒體曝光經(jīng)營者不合理行為?!睂O瑩說。(記者 張守坤 見習記者 丁一)