入住酒店，你被“強制刷臉”了嗎？

劉雪云

近日，上海市旅館業治安管理信息系統發布通知和提示，嚴禁對已出示本人有效身份證件的旅客進行“強制刷臉”核驗、嚴禁發生不“刷臉”不能入住問題。“多地酒店不再要求‘強制刷臉”這一話題引發熱議。

多地取消“強制”刷臉

記者在采訪中了解到，國內多地酒店近期已經開始調整“強制刷臉”入住的規定。北京、深圳、杭州、蘇州等地多家酒店明確不再要求“強制刷臉”，只需登記身份證即可入住。

今年全國兩會期間，全國政協委員、中國旅游研究院院長戴斌提交了《關于限制旅游場景過度使用“人臉識別”的提案》。戴斌調研發現，幾乎所有省市的賓館、酒店等旅游住所都設置了人臉識別系統，游客除出示身份證件還要“刷臉”。同時，他發現并沒有明確的法律和行政法規規定，也沒有正式成文的部門規章規定提到能夠在酒店加裝人臉識別設備終端。

“《中華人民共和國反恐怖主義法》中部分規定提到，住宿、長途客運、機動車租賃等業務經營者、服務提供者未按規定對客戶身份進行查驗的將進行罰款。但法律當中沒有明確必須要采取人臉識別的方式對入住者進行身份核實。所以在很長一段時間里，酒店等場合的人臉識別技術使用是沒有直接法律依據的，甚至可以說是過度收集了我們的個人敏感信息。”浙江理工大學數據法治研究院副院長郭兵告訴《中國報道》記者。

“人臉識別”用來進行身份認證已多年，現在重申取消“強制刷臉”，還能起到什么樣的現實作用？

中國政法大學數據法治研究院助理教授、數字社會治理研究院研究員張濤對《中國報道》記者表示，再次強調取消“強制刷臉”，一是從源頭上遏制人臉信息的過度收集；二是為了更好地遵守個人信息保護法的規定；三是一定程度上可以減少酒店自身的運營成本，有助于跨境旅游業的發展。

方女士上周剛從上海出差回來，她告訴記者，自己所入住的酒店仍需進行刷臉認證。記者致電北京、杭州等熱門景點附近的各級酒店，得到的回答也并不統一。例如北京王府井錦江之星酒店的前臺工作人員就表示還需要進行相應的信息錄入，但消費者可以選擇不刷臉。

“現在上海等地采取的禁止‘強制刷臉，也并未有統一的要求。”郭兵說。

在張濤看來，長期以來大家習慣了刷臉行為，當前酒店取消“強制刷臉”，短時間內一部分人會對酒店的安全管理產生擔心。此外，不同地區不同酒店在執行類似要求時也很難做到整齊劃一。與此同時，技術對接方面也需要考慮，后續可能涉及技術改造和設備更新等問題。

邊界與透明是關鍵

近年來，有關“人臉識別”問題的案件層出不窮。2020年，清華大學法學院教授勞東燕拒絕小區使用人臉識別作為門禁方式引發網絡關注；2021年央視3·15晚會曝光了許多國際品牌在未經消費者同意的情況下，利用人臉識別攝像頭獲取消費者人臉信息及相關數據。2021年，依托清華大學人工智能研究院成立的瑞萊智慧團隊利用人臉識別技術的漏洞，15分鐘內解鎖了19個陌生智能國產手機……

人們對個人信息保護的擔憂從未停止，甚至從“人臉識別技術是否安全”轉變為“人臉識別數據的保存和使用是否安全”。

“除酒店外，目前還有很多地方仍在使用‘刷臉。從個人信息處理規則角度看，并非要對‘人臉識別一禁了之，而是要求使用此項技術時要符合個人信息保護的一般要求，即最基礎的告知同意。即便如此，‘變相強迫的問題仍十分普遍，也并沒有得到有效的規制。”郭兵說。

刷臉的特殊性在于它被廣泛應用于社會主體不同身份的認證和行為識別場景。北京大學法學院副教授胡凌在相關研究中指出，刷臉技術的使用首先要服從制度的目標，也就是流動性的社會和法律治理，而人臉具有普遍性、真實性和唯一性，可以作為成本較低的一種生物信息標識符。基于公共安全而設置的刷臉超越了私法意義的個人信息使用的“知情同意”原則，但仍需要在形式上告知展示。

銀行認證、刷臉支付……刷臉技術正取代不同的賬號信息，被相當廣泛地在公共領域和私人領域中使用，這也造成公共和私人用于認證身份的人臉信息可能被混同。“個人信息保護法有相關規定提到出于公共安全可以使用人臉識別等技術，但是不能為了商業利益也同樣去使用。”郭兵表示。

提升人臉識別技術使用過程的透明性是關鍵。受訪專家們均表示，目前相關機構在使用人臉識別技術時，幾乎并未向社會公眾披露使用相關技術的方式目的，以及后續數據存儲與處理的具體流程。

郭兵向記者表示，作為一名研究者，哪怕他自身已經經歷了多次個人身份核驗、人臉識別，但他仍然不知道這些技術是由誰提供的，應用技術的這些機構是否采取了足夠的安全保障措施，有沒有進行相應的影響評估等。“這些都是之后我們可以進一步去推動的空間。”

“相關部門需要增強公眾對于技術本身運行理解的透明性，從而提升公眾的信任感，當然監管也是十分重要的。”張濤告訴《中國報道》記者，個人信息保護領域要建立一個相對獨立的監管機構，來行使個人信息保護的監管職責。對于公權力機關或者是私營部門使用人臉識別技術的情況進行一體的監督，這樣才能夠保證技術能夠在合法的邊界里面去運行。”

加強信息保護是一項系統性工程

2019年，郭兵因杭州野生動物世界強制刷臉入園而將動物園告上了法庭，此案當時被媒體稱作中國“人臉識別第一案”。但當年該案的判決僅要求野生動物世界刪除收集的郭兵個人人臉識別信息，并未觸及人臉識別技術的使用邊界、人臉信息的處理規范等核心問題，也未對景區強制年卡游客刷臉的問題進行調整。

5年過去了，談起人臉識別問題，郭兵表示，對于個人信息保護而言，普通個人想通過司法或者法院起訴進行維權的難度很大。2019年的案件，他第一時間希望檢察機關能夠通過公益訴訟的方式介入，但當時我國有關個人信息保護的法律還沒有制定，也沒有非常明確的支持個人信息保護的公益訴訟制度。

如今，有關個人信息保護的法律依據與公益訴訟制度已經非常充分。《中華人民共和國個人信息保護法》自2021年11月1日起已經正式施行。2023年8月國家網信辦公開征求關于《人臉識別技術應用安全管理規定（試行）（征求意見稿）》的意見。

2023年7月6日，大連，2023中國國際數字和軟件服務交易會開幕。中國移動人臉識別客流客群分析。

2023年，廣州互聯網法院公布了一起買賣公民個人信息案件，涉案人員利用人工智能將人臉照片生成視頻，偽造人臉識別認證，以此非法牟利。在追究涉案人員刑事責任之外，檢察機關以4名被告人的行為侵害社會公共利益為由，依法向法院提起個人信息保護民事公益訴訟。

郭兵坦言，對于沒有法律基礎的普通大眾來說，向檢察機關等公權力部門尋求幫助雖然是比較好的方式，但公益訴訟本身也有一定的難度，對于法律基礎的要求依然很高，公眾自身還是要敢于對不合理的要求提出異議。“我國的個人信息保護法已經實施兩年多，相關的普及宣傳也越來越多。不論是政府還是企業，如果公眾提出關于個人信息保護的質疑，他們也都會以比較慎重的態度對待。”

人工智能技術的飛速發展加速了大眾對于“人臉識別”信息泄露的擔憂與恐懼，深度偽造、AI換臉造成的詐騙不斷發生。張濤表示，當前技術發展十分迅速，相關法律法規卻相對滯后，涉及信息泄露與倒賣的黑灰產業鏈條也在變得越來越復雜，監管的難度越來越大，這也解釋了雖然有關個人信息保護的法規和措施在不斷強化，但個人信息泄露的事件仍在發生。

“加強個人信息保護是一個系統性工程。一是法律法規仍是必要手段，要樹立‘規制技術的理念。通過立法宣示國家態度，同時可以通過國際合作打擊一些黑灰產業鏈的野蠻生長。二是可以利用技術增強隱私保護，用技術規制技術。三是要加強執法的力度和強度，加強信息保護宣傳。只有這樣，才可能為公眾構建一個較為安全的信息環境，讓大家在數字社會也能夠有尊嚴地生活。”張濤說。