進健身房還得刷臉,有這個必要嗎
專家:體育健身服務場所不該隨意收集敏感個人資訊
「遊泳館有權要求消費者‘刷臉’進入嗎?」近日,北京市民張先生團購了一張某遊泳館的單次券,結果到店驗券時卻被告知入場需要註冊會員,不僅要登記姓名、身份證號碼,還要刷臉才能換取入場手環,否則就無法進入遊泳館。
「就想用體驗券遊個泳,不僅要收集個人身份資訊,還得采集人臉資訊,這不是侵犯個人私密嘛。」張先生對此表達不滿。
張先生的遭遇並非個例。【法治日報】記者近日調查發現,不少消費者在進入健身房、遊泳館、網球場等體育健身服務場所時,都有被要求錄入人臉資訊的經歷,現場有工作人員明確表示「不進行人臉辨識,無法進入場館,也無法享受後續服務」。
多位受訪專家指出,人臉、指紋等生物資訊屬於敏感個人資訊,只有在具有特定目的和充分必要性、明確取得個人同意的情況下才能夠收集。而遊泳館等體育健身服務場所,是否收集人臉資訊與消費者入場消費、接受服務並不必然構成關聯,因此不應強制收集人臉資訊等生物資訊。這類經營場所普遍違規收集個人資訊的現象應引起相關部門重視,加強網路監測和線下實地執法檢查,對違法行為及時查處。
隨意采集人臉資訊
存在泄露私密風險
重慶市民劉女士是一名高校教師,她最近因為拒絕提供人臉資訊而被健身房拒之門外。
2023年,劉女士在重慶某健身房購買了健身私教課程。2024年年中,該健身房因經營不善將場地、業務及剩余會員的課時打包出售給了維×健身房。門店重新裝修後於今年10月開張營業。
門店重新營業後,與之前的老會員簽署了自願轉課協定,承認此前購買的所有會員服務和私教課程依然有效。可讓劉女士沒想到的是,10月底,她接到健身房通知,要求會員「自願」繫結門店的人臉辨識系統。
「只有自願繫結人臉辨識系統,才能進入門店健身場所並進行課程核銷。我當時就質疑店家無權收集會員的人臉資訊,萬一資訊泄露了怎麽辦?」經過一番交涉,店家同意劉女士無需繫結人臉辨識系統出入健身房公共區域,但「私教課區域和公共區域是分開的,不進行人臉辨識就無法上私教課」。
對這個處理結果,劉女士並不滿意,目前雙方協商失敗,劉女士正準備提起訴訟。
記者走訪北京、天津多家健身房、遊泳館、網球場等體育健身服務場所發現,不同店面對於是否需要收集人臉資訊等生物資訊的規定不盡相同,有些需要刷臉才能入內,有些則刷會員卡、會員碼就可以;有些只是部份場景需要用到人臉辨識,如上私教課、使用個人儲物櫃等。
在社交平台和第三方投訴平台上,體育健身服務場所強制要求收集人臉、指紋等生物資訊的行為,受到不少消費者詬病。
今年7月,家住上海的王女士購買了20節街舞課,在第一次去舞蹈房上課時卻被告知,需采用人臉辨識系統簽到,就連跳舞後沖洗的淋浴間也需要刷臉才能進入。
對此,商家稱「刷臉上課是方便點名、確認顧客身份、防止代約」「不刷臉就無法上課」。對於這樣的說辭,王女士無法認同,目前雙方仍在協商退款。
對於為何要安裝人臉辨識系統,天津市河東區某健身房老板李先生解釋說,在2022年以前,他們健身房會員都是刷卡進店,但因此逃單的人不少,有的會員刷一次卡帶兩三個人進來,還出現了倒賣健身卡、私教課的現象,影響了經營秩序。為此,健身房升級了系統,刷臉才能進店、專人盯在閘機口確保一人一桿、儲物櫃指紋解鎖。
記者在調查中發現,人臉辨識甚至成了一些體育健身服務場所的賣點。北京一24小時營業的健身房稱自己「高效管理,透過人臉辨識技術,會員直接刷卡進入,又方便又高效」。
充分必要性為前提
未經同意不得收集
據報道,今年4月,有人發現在上海市松江區某遊泳館購票後,需在相關小程式上先進行人臉認證,進出閘機也依靠人臉辨識;在女更衣室,2個人臉辨識裝置安裝在更衣櫃集中的區域。之後,松江網信部門依法對其營運主體上海酷學體育投資管理有限公司進行了警告的行政處罰。
健身房、遊泳館等提供體育健身服務的經營場所是否可以收集人臉、指紋等生物資訊?
受訪專家認為,消費者作為個人資訊的主體,有權自主決定是否向他人披露敏感個人資訊,消費者可以拒絕商家采集其生物資訊。
西南政法大學民商法學院教授孫瑩告訴記者,人臉、指紋等生物資訊屬於敏感個人資訊,依據個人資訊保護法第二十八條,上述服務場所只有在具有特定的目的和充分的必要性,並采取嚴格保護措施的情形下,方可處理此類敏感個人資訊。
「在合法收集程式方面,首先,服務場所收集處理生物資訊,應當事前進行個人資訊保護影響評估,並對處理情況進行記錄。其次,服務場所需獲得個人單獨同意,單獨同意是指獨立且明確的、沒有混同其他個人資訊的專項同意。有法律、行政法規要求時應當獲得個人書面同意。最後,在履行個人資訊處理一般告知義務的基礎上,服務場所需向個人告知處理敏感個人資訊的必要性以及對個人權益的影響。」孫瑩說,在合法收集和使用的界限方面,應遵循「特定目的」與「充分必要性」要求,即收集的生物資訊應當與提供服務的目的相關,並且限於最小必要範圍。
孫瑩指出,個人資訊處理者不得以個人不同意處理其個人資訊或者撤回同意為由,拒絕提供產品或者服務,除非處理個人資訊屬於提供產品或者服務所必需。遊泳館、健身房等體育健身服務場所並不必然依賴人臉辨識技術來實作其核心服務功能(如提供遊泳場地、健身器材使用等),傳統的會員卡、門禁卡等方式同樣可以用於身份辨識和服務管理,人臉辨識資訊收集並非其提供產品或服務必需。因此,在使用者不願提供人臉辨識相關資訊的情況下,服務場所不能拒絕提供相應服務。
北京航空航天大學法學院副教授趙精武認為,如果收集人臉資訊導致使用者資訊泄露,服務場所存在過錯,應承擔損害賠償責任;一旦出現資訊泄露,應當及時向網信部門和使用者報告資訊泄露的具體情況。此外,如果服務提供者存在故意泄露、惡意怠於管理資訊保安等情形,服務場所及其相關負責人將面臨行政處罰,嚴重的還可能構成侵犯公民個人資訊罪。
那麽,為何目前服務場所不規範收集生物資訊的情況較為普遍?
趙精武認為,部份服務場所未能真正樹立個人資訊保安保護意識,存在個人資訊「不值錢」「沒人關註」等僥幸心理,怠於履行個人資訊保護義務。也有部份機構自身個人資訊業務合規能力較弱,存在敷衍履行個人資訊保護義務的傾向。
「生物資訊收集場景繁雜、涉及行業廣泛,監管部門難以全方位無死角監督,且法規執行時存在模糊與滯後之處,新技術套用時產生的諸多監管空白使得部份機構有機可乘。個人與個人資訊處理者之間存在資訊不對稱,即便個人得知其資訊被泄露也可能受訴訟成本所限難以有效維權。」孫瑩指出。
強化違規查處力度
規範資訊收集使用
近段時間以來,多地對濫用人臉辨識、違規收集個人生物資訊的情況「亮劍」。
如今年6月,上海市網信、市場監管等協同多個部門啟動「亮劍浦江·2024」消費領域個人資訊權益保護專項執法行動,明確提出公共場所「不刷臉為原則、刷臉為例外」「收集端總體減量、儲存端確保安全」的治理目標,同時還強調遵循「為公共安全所必需」「有法律依據」「做到單獨告知」等三大原則。上海已推動全市70余家公共體育場館,1200余個遊泳館、健身場所完成「強制性」「濫用化」刷臉的自查整改。
趙精武認為,針對違規收集和使用個人生物資訊,個人資訊保護法等現行立法已經規定得較為充分,現階段更重要的是在法律實施過程中,推動各類個人資訊處理者樹立正確的個人資訊保護意識,充分發揮地方網信部門的監管功能,嚴厲打擊不提供個人生物資訊就拒絕提供服務的經營場所;同時,網信部門應當結合監管實踐定期對外公布個人資訊業務合規指南和過度收集個人資訊黑名單。
「立法層面應細化完善相關法律法規,明確個人資訊處理者收集、使用等環節的責任義務,透過高額罰款強化威懾作用。執法層面應多部門聯動協同,提升監測技術,強化日常檢查與違規查處力度。」孫瑩建議,還可透過行業協會結合國家標準制定相關檔,要求服務機構自律,構建內部安全管理制度,明確資訊收集、使用、儲存等各個環節的操作規範和責任人員,確保生物資訊合法、安全收集和使用。
在孫瑩看來,現有法律法規對生物辨識資訊處理采納「原則允許模式」,在保障人臉、指紋等敏感性個人資訊方面具有一定局限性。未來有必要對現行的生物資訊處理模式進行重新審視,考慮「原則禁止模式」可能性,對遊泳館、健身館等經營服務場所原則禁止其收集、使用人臉辨識這一高敏感性個人資訊,僅在法律有例外規定時可以突破限制。
「如果服務場所拒絕提供服務,消費者可透過多種途徑維權。消費者可請求消費者協會調解,調解不成可依據消費者權益保護法向法院提起訴訟,要求機構停止侵權、賠償損失,也可依據與遊泳館、健身房等服務場所間的服務合約提起訴訟。此外,消費者可向市場監管或網信部門反映,由其調查處罰,或透過媒體曝光經營者不合理行為。」孫瑩說。(記者 張守坤 見習記者 丁一)
來源:法治日報
免責聲明:華聲線上對文中陳述、觀點判斷保持中立,不對所包含內容的準確性、可靠性或完整性提供任何明示或暗示的保證。文章僅是作者個人觀點,不應作為投資依據。讀者應詳細了解所有相關投資風險,並請自行承擔全部責任。 部份文章是網路作者投稿釋出,版權歸投稿作者所有。作者應對文章及圖片的真實性及版權負責。一旦因此引發版權糾紛,權利人提出異議,華聲線上將根據相關法律法規的規定,刪除相應內容。侵權責任由投稿者自行承擔,如由此造成華聲線上損失,投稿者應承擔賠償責任。如對本文有任何異議,請聯系我們38160107#(#改成@)qq.com。
