- 联系电话:0551-65318348
- kaiyunty传真:0551-65329389
- www.kaiyun.com地址:合肥市高新区安徽轻工国际中心C座5楼
近日,上海市旅馆业治安管理信息系统发布通知和提示,严禁对已出示本人有效身份证件的旅客进行“强制刷脸”核验,严禁发生不“刷脸”不能入住问题,不少酒店已陆续落实新规。
早在一年前,松江的朱女士就注意到家附近的泳乐游泳馆(云间粮仓店)更衣室采用了人脸识别的方式开启更衣柜。“站在设备前,摄影头打光灯一亮,屏幕前就出现了附近来往顾客没穿衣服的画面。我连忙用毛巾把摄像头挡住,赶紧用浴巾裹好身体!”工作人员获知后进行了“整改”,屏幕不再显示实时画面,仅显示识别比对后的结果。但这仍然让朱女士感到不安,“看不到就从另一方面代表着没有在采集信息吗?为什么更衣室一定要使用人脸识别技术呢?”
4月23日,这家泳乐游泳馆的云间粮仓店内,在面向消费者的购买票卡广告上提到,购票后需要在小程序“酷学体育”上进行人脸认证,进出闸机也是依靠人脸识别。
进入场馆内,健身区与游泳区都设置了人脸识别闸机。人脸识别屏幕处于常亮的状态,实时显示来往人流。
在女更衣室里,2个人脸识别设备安装在更衣柜集中的区域。屏幕上显示存、取、换三个功能项,下方一行小字提示“此处刷手环可直接开启更衣柜”。但咨询工作人员得知,场馆已取消手环存取方式。点击“存”字按钮后,进入到人脸识别、微信扫码、会员密码等选项。点击人脸识别后,屏幕确实没再次出现更衣室内场景的画面,工作人员在屏幕前站定一会后,出现了比对成功的消息,显示了原先注册时录入进系统的人脸信息,柜门自动开启。
不用人脸识别,用微信扫码、会员密码等方式能开启吗?有消费者说,用手机扫码后,手机要放进柜子里存着,回来就无法开启,是个悖论。会员账号和密码还要手动输入,基本没人会用这个功能。
场馆的一名负责这个的人说,游泳场馆常见的感应式手环容易掉落、遗失,引入了人脸识别方式开关柜门、管理人员进出就会简便很多。对方强调,更衣室内的设备虽有摄像头,但并不记录、存储信息,仅仅是用作比对。比对后有关信息都会自动删除。对方还提到,引进该设备的一个重要理由是厂家声称其设备及技术经过公安机关备案,由此认定厂家不敢乱来。
4月23日,在松江三湘财富广场的华联超市出入口附近,原本小票打印式的寄存柜更换成人脸识别设备。触摸屏幕上显眼地设置了“存”与“取”两个功能,点击“存”字后,选择需要的箱体大小。随后在不到1秒钟的时间里,设备完成了人脸信息采集,柜门也同步打开。“这就好了?小票呢?”一旁的阿姨一时间反应不过来,向工作人员询问。“没有小票,直接存就好了!回来脸再照一下。”
没有询问告知获取同意就采集了人脸信息,这合规吗?超市店长斩钉截铁地答复,设备不存在隐私泄露的问题。但问起设备厂家是否有提供一些数据存储与保护的承诺材料,其又称不清楚,无法提供。
市民王女士也遇到类似烦恼,其在“悟空体育”机构上为孩子购买了多节篮球课程。每次需要在小程序线上约课,线下去场馆上课。近期,她突然被教练告知,机构上线了学员签到系统课程,学员需通过人脸识别进行线上签到。当她打开小程序的人脸识别采集环节时,弹窗显示的“人脸采集协议”提到“您了解并同意,小麦助教手机并存储您的人脸特征数据,否则您没办法使用我们的人脸考勤服务。”
“机构以考勤为由强制采集未成年人的人脸信息,合规吗?”面对王女士的质疑,教练表示这是公司的规定,且人脸识别采集早就针对教练开展。王女士记得,此前课程的签到只需要教练通过手机拍照记录一下小朋友的出勤情况即可,因此没办法理解现在采集人脸信息的必要性。如果仅是为了方便机构管理,其无法认可。
《个人隐私信息保护法》第二十八条规定“生物识别”信息属于“敏感个人隐私信息”,并明确只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人隐私信息处理者方可处理敏感个人隐私信息,且处理敏感个人信息应当取得个人的单独同意,如果法律、行政法规规定处理敏感个人信息应当取得书面同意的,应当从其规定。
2023年8月,国家网信办公开发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称“征求意见稿”)并规定,宾馆、银行、车站、体育场馆、博物馆等经营场所,除法律、行政法规规定应当使用人脸识别技术验证个人身份的,不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
“征求意见稿”还要求,使用人脸识别技术一定要遵循“最少使用”和“最小存储”。“最少使用”,即只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求,存在别的非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案;“最小存储”,即除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。使用人脸识别技术处理人脸信息应当尽可能的避免采集与提供服务无关的人脸信息,没办法避免的,应当及时删除或进行匿名化处理。
业内人士指出,存取物品、考勤签到都并非一定要使用人脸识别的场景,强制以人脸识别作为主要且单一的通道,其合法性存疑。当下,人脸信息应用如雨后春笋,但存储环境的安全性却没做到同步匹配,容易留下个人隐私信息泄漏、毁损、非法使用甚至非法出境的隐患,全社会都应当重新审视生活情景下的“刷脸”便利,认认真真地对待权利让渡带来的风险与侵害。由于公众往往无法确知敏感信息在前端的获取情况,在后端又能否真正的完成加密保护或依法删除,有关部门应依据职责、形成合力,加强对人脸识别技术使用的全生命周期监管,指导督促人脸识别技术使用者履行各项法定义务,避免敏感个人信息安全风险失控蔓延。