转自:广州市消费者委员会
进健身房也要“刷脸”
商家算不算侵权呢?
来一起看看吧!
【案例简介】
消费者杨小姐在某健身房充值开卡成为该健身房会员,但随后在每次前往健身的时候才发现,该店要求会员必须使用人脸识别才可以进入。该健身房解释,因为健身会员服务具有唯一性,“刷脸”可以有效识别会员身份,避免别人随意进入,或者冒名顶替。而且很多会员都默许“刷脸”,认为无可厚非。对此,杨小姐并不认可。她认为,健身房提供服务的整个过程都不需要使用到消费者个人的脸部信息,但健身房却强制会员只能使用人脸识别这一种认证方式进入经营场所,是擅自扩大了获取消费者个人信息的范围,已经侵犯了自己的个人信息。为此,杨小姐请求番禺区消委会调解,要求健身房提供除人脸识别以外的其他认证方式进入健身房。
经区消委会调解,该健身房负责人意识到强制会员必须“刷脸”的不当之处,及时调整了顾客进入健身房的认证方式,并提供了前台登记认证后进入的方式供会员选择。消费者杨小姐对此表示认可和满意。
【案例点评】
随着人脸识别技术的应用和发展,我们已经进入了“刷脸”时代。人脸识别因高效便捷且成本低廉而被广泛使用,但是从信息安全角度看,这一技术在带来便利的同时,也可能引发个人信息安全、隐私保护等方面的担忧。
根据《民法典》第一千零三十四条规定:“自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名……生物识别信息……行踪信息等”,消费者的脸部特征信息属于其个人的生物识别信息,是个人信息的一种,依法受到保护。根据《消费者权益保护法》第十四条规定:“消费者在购买、使用商品和接受服务时,享有人格尊严……享有个人信息依法得到保护的权利”。
本案中,该健身房要求会员必须“刷脸”才能进店,实际上是以获取消费者个人信息作为履行双方服务合同的前提,实质上侵犯到消费者的合法权益。
《个人信息保护法》第十四条中明确,“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定”;第二十八条规定,“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”。
因本案中涉及到的人脸信息属于高度敏感的个人信息,所以只能基于特定目的和充分的必要性,并采取严格保护措施的情形下才可以处理,但健身房提供服务的过程中并不具有收集消费者人脸信息的必要性,也未提供证据证明健身房对收集回来的会员人脸信息采取了严格的保护措施,因此,健身房要求会员“刷脸”才能入内的做法已经违反了相关法律规定。
【消委会敦促】
为此,消委会敦促各位经营者,在处理消费者个人信息时应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息,不得过度收集个人信息。在使用人脸识别技术处理人脸信息时,应充分履行人脸信息处理的告知义务、充分保障个体的信息自决权利,并采取必要措施保障所处理的个人信息的安全。
【消委会提醒】
同时,消委会提醒广大消费者,根据《个人信息保护法》第九条规定,“个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全”,人脸信息属于高度敏感的个人信息,也是生物识别信息中社交属性最强、最易采集的个人信息,一旦泄露,将对个人的人身和财产安全造成极大危害。我们需要认识到,每个人都是自己个人信息的处理者,广大消费者应当学法懂法用法,提升个人信息的保护意识,养成“非必要不提供”的良好习惯。
