楊智杰

圖/EG365

出示身份證件，再面對攝像頭進行人臉識別，已成為過去幾年人們入住國內酒店的標準流程。近日，北京、上海、深圳等城市的酒店取消“強制刷臉”，引發(fā)熱議。

日前，《中國新聞周刊》致電國內多個城市的酒店，北京、秦皇島、武漢等地部分酒店表示，目前入住不需要強制人臉識別，如果顧客未帶身份證，只需現(xiàn)場掃碼，填寫電子身份證信息驗證即可。

中國人民大學法學院教授、民商事法律科學研究中心執(zhí)行主任石佳友向《中國新聞周刊》提到，強制要求旅客入住酒店時進行人臉識別，并沒有直接的法律依據(jù)。人臉識別技術濫用的風險已被探討多年，近幾年全國兩會代表和委員也多次呼吁加強人臉識別安全監(jiān)管。在石佳友看來，取消酒店“強制刷臉”，即便目前只局限在部分城市，仍是個人信息保護領域的一次重要進步。

酒店“強制刷臉”沒有法律依據(jù)

4月下旬，浙江理工大學數(shù)據(jù)法治研究院副院長郭兵到上海開會，入住酒店時，他敏銳地注意到，前臺工作人員只查驗了身份證，并未要求他“刷臉”?！拔耶敃r很納悶，以為是會務組預訂的原因。”郭兵說。他長期研究個人信息保護的法律問題，更為人熟知的身份，是“國內人臉識別第一案”主訴人。2019年，他因不滿杭州野生動物世界有限公司強制入園游客“刷臉”，將其告上法庭，最終勝訴。

上海市旅館業(yè)管理系統(tǒng)的公告顯示，4月7月，上海市公安局治安總隊、出入境管理局發(fā)布通知，要求當?shù)芈灭^業(yè)在住宿登記問詢流程中，必須經過旅客同意，才能采集人臉信息。4月12日，該系統(tǒng)再次發(fā)布《溫馨提示》，嚴禁上海的旅館業(yè)對已出示本人有效身份證件的旅客進行“強制刷臉”核驗，嚴禁發(fā)生不“刷臉”不能入住等事件。有媒體從上海市公安工作人員處獲悉，上海在2023年就已開展嚴禁酒店“強制刷臉”的專項工作部署，近期又開始重申和強調。

4月底，《中國新聞周刊》致電北京、秦皇島、南京、重慶等多地的部分酒店，工作人員均表示，近兩個月內，酒店相繼收到屬地派出所通知，不用強制讓旅客“刷臉”，入住效率得到提升。秦皇島一家五星級酒店前臺工作人員向《中國新聞周刊》介紹，當?shù)毓膊块T為了監(jiān)督酒店、賓館是否按規(guī)定登記、上傳、如實錄入旅客信息，同時核驗入住旅客的信息資料，要求當?shù)厮芯频?、旅館使用公安部門統(tǒng)一管理的旅館業(yè)治安信息管理系統(tǒng)。大約今年春節(jié)過后，該系統(tǒng)進行了更新，不再強制要求旅客人臉識別。北京朝陽區(qū)一家連鎖酒店的前臺提到，如果顧客未帶身份證，可以在現(xiàn)場掃碼，填寫電子身份證信息，向屬地派出所登記報備即可。

受訪專家提到，酒店是人臉識別技術濫用時間最久的場景之一。今年全國兩會期間，全國政協(xié)委員、中國旅游研究院院長戴斌曾提交《關于限制旅游場景過度使用“人臉識別”的提案》。他通過對云南、廣東、北京等地的酒店企業(yè)、旅游和商務主管部門、基層派出所和地方公安廳局的調研發(fā)現(xiàn)，酒店加裝人臉識別設備終端，沒有明確的法律和行政法規(guī)規(guī)定，也沒有正式成文的部門規(guī)章規(guī)定。讓游客做人臉識別的地方，都是按照“告知且同意”的原則實施的，即公安部門告知旅館、酒店、民宿，然后后者也同意，所以就做了。

石佳友向《中國新聞周刊》介紹，《旅館業(yè)治安管理辦法》和《反恐怖主義法》都提到，旅館等住宿服務提供者，應當查驗旅客的身份證件，確保人證一致，但現(xiàn)行規(guī)章中并沒有提到必須要人臉識別。近些年，該技術在全國各地的酒店推廣，一方面，是因為人臉識別技術方便，且準確度更高；另一方面，相關技術公司出于商業(yè)化考慮，積極推銷人臉識別的設備。

過去幾年，郭兵注意到，一些高檔或大型連鎖酒店，會購置看上去更專業(yè)的人臉識別設備，系統(tǒng)會依據(jù)《個人信息保護法》等要求，讓旅客事先勾選是否同意采集人臉信息，“但從法律角度上看，這只是設備商為了避免承擔連帶責任的操作，顧客實際上沒有選擇權，并非真正的同意”。

在郭兵看來，更大的安全隱患在于，酒店的人臉識別設備是不透明的。他入住酒店時，常常會詢問工作人員，“但很多工作人員答不上來這些設備是誰提供的”。據(jù)他了解，一些中小酒店為了節(jié)約成本，可能會和小型人臉識別技術服務提供商合作，“他們使用的人臉識別技術，我們不知道從哪里來，更不知道酒店有沒有安全保障措施”。

郭兵分析，此前酒店使用人臉識別，更多是為了保障傳統(tǒng)的社會安全，近期多地開始取消“強制刷臉”，或是國家相關部門逐漸關注到，人臉識別技術潛在的安全風險，比傳統(tǒng)的安全風險危害更大?！霸谛滦蝿菹?，取消不合理的人臉識別應用有很大的緊迫性，否則，人臉信息泄露后，我們應對新型電信網絡詐騙的挑戰(zhàn)將越來越大?！?/p>

人臉信息具有唯一性和不可更改性，是最敏感的個人信息之一。世輝律師事務所合伙人、律師王新銳向《中國新聞周刊》提到，社會對人臉識別技術風險的認知，需要經歷一個過程。早期，大家更關注技術的優(yōu)點，但近年來，生成式人工智能快速發(fā)展，放大了人臉數(shù)據(jù)泄露帶來的風險。

“只需要一張人臉照片，再加上一小段音頻，就可以惟妙惟肖地復刻一個人的數(shù)字形象。我見過許多例子，肉眼幾乎看不出區(qū)別。這些潛在的技術風險，會使得采用技術的收益比發(fā)生變化?！蓖跣落J舉例，2023年4月，重慶市石油路派出所曾抓獲3名嫌疑人，他們在網上購買一批醫(yī)生的敏感個人信息，并通過網絡查找到醫(yī)生的照片，利用AI換臉技術，制作出醫(yī)保平臺所需的動態(tài)人臉識別視頻，通過平臺實名認證，盜刷醫(yī)生的醫(yī)?？?。

有網友擔心，酒店取消強制人臉識別后，是否會增加治安風險？在郭兵看來，這一擔憂大可不必。公安部門有一套成熟的身份證查驗系統(tǒng)。取消強制人臉識別后，酒店工作人員用肉眼對比人證是否一致，難度可能會增加，但即便是人臉識別技術，準確度也不可能達到100％。更關鍵的是，從事違法犯罪活動的人占極少數(shù)，這些人會采用各種方式逃避真實身份的核驗，最終反而讓遵紀守法的人交出了人臉信息，承擔更大風險。

消費者在四川成都一家酒店刷臉自助辦理入住。圖/視覺中國

需在更多場景下明確“刷臉”邊界

4月下旬，郭兵因參加學術會議入住杭州一家五星級連鎖酒店時，仍被要求人臉識別。該酒店工作人員明確表示，并未收到通知取消“強制刷臉”。在郭兵的爭取下，工作人員最終放棄了“刷臉”，只查驗了他的身份證便可入住。

《中國新聞周刊》注意到，青島、鄭州等地的一些酒店均沒有取消“強制刷臉”，青島黃島區(qū)的一家酒店前臺稱，屬地派出所近期甚至提升了監(jiān)管力度。同一城市的不同地區(qū)，酒店接到的要求也不同。南京鼓樓區(qū)的一家中高端連鎖酒店前臺向《中國新聞周刊》表示，目前旅客入住仍需“刷臉”，但玄武區(qū)的一家酒店表示，已接到轄區(qū)派出所取消“刷臉”的通知。武漢、重慶等地的部分酒店雖未接到通知，但工作人員稱，因上海等地出臺新規(guī)，如有旅客拒絕“刷臉”，前臺會尊重其意愿，只查驗身份證。

石佳友認為，酒店取消強制人臉識別，是政府真正落實依法行政的體現(xiàn)，而且有助于優(yōu)化營商環(huán)境。他建議各地公安和文旅部門盡早取消酒店強制人臉識別。目前，多是地方文旅和公安部門內部發(fā)布通知，公安部和文旅部作為旅館業(yè)的兩大監(jiān)管部門，應發(fā)布全國性政策文件，確保各地有統(tǒng)一的政策，避免損害法治的統(tǒng)一性和嚴肅性。

除了旅館業(yè)，人臉識別技術已在許多場景廣泛應用。去年，戴斌曾進行三個半月的調研，發(fā)現(xiàn)度假區(qū)、滑雪場、索道、主題公園、博物館、圖書館等旅游流量入口和消費場景安裝人臉識別終端也已是普遍現(xiàn)象，強制使用的場合也越來越多。

近年來，相關法律法規(guī)不斷明確人臉識別技術的使用邊界。2021年8月，最高人民法院出臺《關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規(guī)定》，其中提到，在賓館、商場、銀行、車站、機場等經營場所、公共場所，信息處理者違反法律、行政法規(guī)的規(guī)定，使用人臉識別技術進行人臉驗證、辨識或者分析，應被認定屬于侵害自然人人格權益。一個月后，《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）出臺，明確不能過度收集個人信息。

一般的應用場景，比如商場、小區(qū)、學校、地鐵等也引進了人臉識別技術。圖/視覺中國

2023年8月，國家網信辦起草《人臉識別技術應用安全管理規(guī)定（試行）（征求意見稿）》，提出“只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，方可使用人臉識別技術處理人臉信息”。多位專家指出，該規(guī)定雖是征求意見稿，但對外釋放了明確的政策導向。石佳友解釋，所謂“充分的必要性”，主要是根據(jù)《反恐怖主義法》規(guī)定，為維護國家安全、公共安全，或在緊急情況下保護自然人生命健康與財產安全時，可以使用人臉識別。一般的應用場景，比如商場、小區(qū)、學校、地鐵，甚至一些手機App，都沒有必要強制使用人臉識別技術。

郭兵補充道，人臉識別技術應用的另一個邊界是尊重個人意愿，即個人在知情的前提下，能自己決定是否使用該技術?！叭绻恍┤酥浪酗L險，還愿意選擇‘刷臉，這是可以的。但如果對方對人臉識別有顧慮，經營者或服務提供方應當給出其他核驗身份的方式?！惫岬剑谏虾３雠_的住宿登記問詢流程，并非“一刀切”取消人臉識別，而是強調尊重旅客意愿。

石佳友認為，除了旅館業(yè)，其他應用場景的相關機構和企業(yè)，應對照有關法律要求，自行糾正過去不合規(guī)的做法，“誰主管，誰來發(fā)布規(guī)范要求”。

據(jù)報道，國內許多酒店已撤掉人臉識別設備，或用紙蓋住攝像頭。但取消強制人臉識別，并非拿掉設備這么簡單。鄭州一家連鎖酒店的前臺向《中國新聞周刊》提到，酒店采集旅客的人臉信息，只是將其與公安系統(tǒng)的人臉數(shù)據(jù)對照，不會保存。但一位受訪專家坦言，這些人臉識別的應用并不透明，“我們很愿意相信酒店，但事實上我們對此一無所知”。此外，在學校、物業(yè)、手機軟件等其他應用場景下，收集的人臉信息明確會被上傳至數(shù)據(jù)庫，數(shù)據(jù)是否被完善保護，也存在隱患。

在王新銳看來，這些數(shù)據(jù)就像“堰塞湖”，“一旦決口后果嚴重”，不強制收集人臉信息后，個人信息被泄露的風險不會自動解除。《個人信息保護法》明確提到，“處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要”時，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除。多位專家提醒，未來，當更多場景不再“強制刷臉”時，相關機構需按規(guī)定刪除和銷毀數(shù)據(jù)。