专家:体育健身服务场所不该随意收集敏感个人信息 “游泳馆有权要求消费者‘刷脸’进入吗?”近日,北京市民张先生团购了一张某游泳馆的单次券,结果到店验券时却被告知入场需要注册会员,不仅要登记姓名、身份证号码,还要刷脸才能换取入场手环,否则就无法进入游泳馆。 “就想用体验券游个泳,不仅要收集个人身份信息,还得采集人脸信息,这不是侵犯个人隐私嘛。”张先生对此表达不满。 张先生的遭遇并非个例。《法治日报》记者近日调查发现,不少消费者在进入健身房、游泳馆、网球场等体育健身服务场所时,都有被要求录入人脸信息的经历,现场有工作人员明确表示“不进行人脸识别,无法进入场馆,也无法享受后续服务”。 多位受访专家指出,人脸、指纹等生物信息属于敏感个人信息,只有在具有特定目的和充分必要性、明确取得个人同意的情况下才能够收集。而游泳馆等体育健身服务场所,是否收集人脸信息与消费者入场消费、接受服务并不必然构成关联,因此不应强制收集人脸信息等生物信息。这类经营场所普遍违规收集个人信息的现象应引起相关部门重视,加强网络监测和线下实地执法检查,对违法行为及时查处。 随意采集人脸信息 存在泄露隐私风险 重庆市民刘女士是一名高校教师,她最近因为拒绝提供人脸信息而被健身房拒之门外。 2023年,刘女士在重庆某健身房购买了健身私教课程。2024年年中,该健身房因经营不善将场地、业务及剩余会员的课时打包出售给了维×健身房。门店重新装修后于今年10月开张营业。 门店重新营业后,与之前的老会员签署了自愿转课协议,承认此前购买的所有会员服务和私教课程依然有效。可让刘女士没想到的是,10月底,她接到健身房通知,要求会员“自愿”绑定门店的人脸识别系统。 “只有自愿绑定人脸识别系统,才能进入门店健身场所并进行课程核销。我当时就质疑店家无权收集会员的人脸信息,万一信息泄露了怎么办?”经过一番交涉,店家同意刘女士无需绑定人脸识别系统出入健身房公共区域,但“私教课区域和公共区域是分开的,不进行人脸识别就无法上私教课”。 对这个处理结果,刘女士并不满意,目前双方协商失败,刘女士正准备提起诉讼。 记者走访北京、天津多家健身房、游泳馆、网球场等体育健身服务场所发现,不同店面对于是否需要收集人脸信息等生物信息的规定不尽相同,有些需要刷脸才能入内,有些则刷会员卡、会员码就可以;有些只是部分场景需要用到人脸识别,如上私教课、使用个人储物柜等。 在社交平台和第三方投诉平台上,体育健身服务场所强制要求收集人脸、指纹等生物信息的行为,受到不少消费者诟病。 今年7月,家住上海的王女士购买了20节街舞课,在第一次去舞蹈房上课时却被告知,需采用人脸识别系统签到,就连跳舞后冲洗的淋浴间也需要刷脸才能进入。 对此,商家称“刷脸上课是方便点名、确认顾客身份、防止代约”“不刷脸就无法上课”。对于这样的说辞,王女士无法认同,目前双方仍在协商退款。 对于为何要安装人脸识别系统,天津市河东区某健身房老板李先生解释说,在2022年以前,他们健身房会员都是刷卡进店,但因此逃单的人不少,有的会员刷一次卡带两三个人进来,还出现了倒卖健身卡、私教课的现象,影响了经营秩序。为此,健身房升级了系统,刷脸才能进店、专人盯在闸机口确保一人一杆、储物柜指纹解锁。 记者在调查中发现,人脸识别甚至成了一些体育健身服务场所的卖点。北京一24小时营业的健身房称自己“高效管理,通过人脸识别技术,会员直接刷卡进入,又方便又高效”。 充分必要性为前提 未经同意不得收集 据报道,今年4月,有人发现在上海市松江区某游泳馆购票后,需在相关小程序上先进行人脸认证,进出闸机也依靠人脸识别;在女更衣室,2个人脸识别设备安装在更衣柜集中的区域。之后,松江网信部门依法对其运营主体上海酷学体育投资管理有限公司进行了警告的行政处罚。 健身房、游泳馆等提供体育健身服务的经营场所是否可以收集人脸、指纹等生物信息? 受访专家认为,消费者作为个人信息的主体,有权自主决定是否向他人披露敏感个人信息,消费者可以拒绝商家采集其生物信息。 西南政法大学民商法学院教授孙莹告诉记者,人脸、指纹等生物信息属于敏感个人信息,依据个人信息保护法第二十八条,上述服务场所只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可处理此类敏感个人信息。 “在合法收集程序方面,首先,服务场所收集处理生物信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。其次,服务场所需获得个人单独同意,单独同意是指独立且明确的、没有混同其他个人信息的专项同意。有法律、行政法规要求时应当获得个人书面同意。最后,在履行个人信息处理一般告知义务的基础上,服务场所需向个人告知处理敏感个人信息的必要性以及对个人权益的影响。”孙莹说,在合法收集和使用的界限方面,应遵循“特定目的”与“充分必要性”要求,即收集的生物信息应当与提供服务的目的相关,并且限于最小必要范围。 孙莹指出,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务,除非处理个人信息属于提供产品或者服务所必需。游泳馆、健身房等体育健身服务场所并不必然依赖人脸识别技术来实现其核心服务功能(如提供游泳场地、健身器材使用等),传统的会员卡、门禁卡等方式同样可以用于身份识别和服务管理,人脸识别信息收集并非其提供产品或服务必需。因此,在用户不愿提供人脸识别相关信息的情况下,服务场所不能拒绝提供相应服务。 北京航空航天大学法学院副教授赵精武认为,如果收集人脸信息导致用户信息泄露,服务场所存在过错,应承担损害赔偿责任;一旦出现信息泄露,应当及时向网信部门和用户报告信息泄露的具体情况。此外,如果服务提供者存在故意泄露、恶意怠于管理信息安全等情形,服务场所及其相关负责人将面临行政处罚,严重的还可能构成侵犯公民个人信息罪。 那么,为何目前服务场所不规范收集生物信息的情况较为普遍? 赵精武认为,部分服务场所未能真正树立个人信息安全保护意识,存在个人信息“不值钱”“没人关注”等侥幸心理,怠于履行个人信息保护义务。也有部分机构自身个人信息业务合规能力较弱,存在敷衍履行个人信息保护义务的倾向。 “生物信息收集场景繁杂、涉及行业广泛,监管部门难以全方位无死角监督,且法规执行时存在模糊与滞后之处,新技术应用时产生的诸多监管空白使得部分机构有机可乘。个人与个人信息处理者之间存在信息不对称,即便个人得知其信息被泄露也可能受诉讼成本所限难以有效维权。”孙莹指出。 强化违规查处力度 规范信息收集使用 近段时间以来,多地对滥用人脸识别、违规收集个人生物信息的情况“亮剑”。 如今年6月,上海市网信、市场监管等协同多个部门启动“亮剑浦江·2024”消费领域个人信息权益保护专项执法行动,明确提出公共场所“不刷脸为原则、刷脸为例外”“收集端总体减量、存储端确保安全”的治理目标,同时还强调遵循“为公共安全所必需”“有法律依据”“做到单独告知”等三大原则。上海已推动全市70余家公共体育场馆,1200余个游泳馆、健身场所完成“强制性”“滥用化”刷脸的自查整改。 赵精武认为,针对违规收集和使用个人生物信息,个人信息保护法等现行立法已经规定得较为充分,现阶段更重要的是在法律实施过程中,推动各类个人信息处理者树立正确的个人信息保护意识,充分发挥地方网信部门的监管功能,严厉打击不提供个人生物信息就拒绝提供服务的经营场所;同时,网信部门应当结合监管实践定期对外公布个人信息业务合规指南和过度收集个人信息黑名单。 “立法层面应细化完善相关法律法规,明确个人信息处理者收集、使用等环节的责任义务,通过高额罚款强化威慑作用。执法层面应多部门联动协同,提升监测技术,强化日常检查与违规查处力度。”孙莹建议,还可通过行业协会结合国家标准制定相关文件,要求服务机构自律,构建内部安全管理制度,明确信息收集、使用、存储等各个环节的操作规范和责任人员,确保生物信息合法、安全收集和使用。 在孙莹看来,现有法律法规对生物识别信息处理采纳“原则允许模式”,在保障人脸、指纹等敏感性个人信息方面具有一定局限性。未来有必要对现行的生物信息处理模式进行重新审视,考虑“原则禁止模式”可能性,对游泳馆、健身馆等经营服务场所原则禁止其收集、使用人脸识别这一高敏感性个人信息,仅在法律有例外规定时可以突破限制。 “如果服务场所拒绝提供服务,消费者可通过多种途径维权。消费者可请求消费者协会调解,调解不成可依据消费者权益保护法向法院提起诉讼,要求机构停止侵权、赔偿损失,也可依据与游泳馆、健身房等服务场所间的服务合同提起诉讼。此外,消费者可向市场监管或网信部门反映,由其调查处罚,或通过媒体曝光经营者不合理行为。”孙莹说。 |