7月的一天上午,在北京一家游乐园门口出现了僵持的一幕——带着孩子来游玩的李明想要办理一张园区年卡,却被工作人员告知必须拍摄照片,因为后续需要“刷脸”入园。李明提出刷身份证、验指纹等身份验证方式,也都被拒绝——不录入人脸信息,年卡就办不成。
为何年卡用户必须“刷脸”入园?南都·隐私护卫队多次走访调查发现,随着人脸识别技术应用的推广,当前,“刷脸”已成为一些景区主流甚至唯一身份验证方式,且尤其针对月卡、年卡等VIP会员。对此,景区普遍给出的理由是防止会员卡被盗刷,“刷脸”可确保入园者与购卡者系同一人。
景区年卡为防盗刷,“刷脸”是必要的吗?人脸信息又如何储存?南都·隐私护卫队在深入走访调查的同时也关注到,近年来,针对强制“刷脸”现象,监管方面多有关注。今年6月起,国家网信办、公安部联合制定的新规《人脸识别技术应用安全管理办法》正式施行,其中就明确:任何机构不得以胁迫方式采集人脸信息,公共场所必须提供非生物特征验证选项。今年上半年以来,上海、重庆、北京等多地开展相关行动,整治滥用人脸识别技术等行为。
近日,李明带着孩子去北京欢乐谷游玩,决定办理一张“单人金卡电子年卡”,购卡后可以在一年内无限次入园。工作人员告知他办理需拍摄上传一张本人照片,后续也需通过“刷脸”验证身份入园。沟通无果后,李明无奈之下只得拍照并办理了年卡。
办理景区年卡,“刷脸”是必要的吗?在接到线索后,南都·隐私护卫队多次探访北京欢乐谷景区。
据了解,办理该园区年卡有线上线下两种渠道,但首先都需要“交出你的脸”。线下在园区会员中心办理,现场激活后使用;线上需在相关小程序或者美团大众点评、抖音等第三方平台上购卡后,在小程序上自助激活。
年卡会员中心的一名工作人员表示,无论办理哪种级别的年卡,都需要提交手机号、身份证号以及一张照片,没有合适照片的需现场拍摄,后续通过“刷脸”入园。他还强调说,“刷脸”是年卡用户唯一的入园方式,目的是确保“刷脸”者与购卡者系同一人。而在线下办理年卡整个过程中,园区未以任何形式告知用户其人脸信息的处理者、保存使用情况等。
而对于线上买卡、再激活的用户,“北京欢乐谷电子年卡”小程序则要求填写姓名、身份证号、手机号,且必须提供一张符合要求的面部照片,否则无法线上提交激活年卡。
南都·隐私护卫队在该园区检票处看到,每个入园通道都架设有检票机器,每台都带有人脸识别功能。在工作人员指引下,年卡用户纷纷在机器前停留,核验自己的脸后入园。
还有检票口工作人员告诉南都·隐私护卫队,年卡用户只能“刷脸”进入。当记者询问能否刷身份证确认年卡用户身份、由工作人员肉眼对比身份证照片与入园者的面容时,也被拒绝。工作人员特别提到,如果年卡用户担心因面容变化、带浓妆等“刷脸”失败,可随时重拍照片。
南都·隐私护卫队还实测了北京另一大游乐园——北京环球度假区,发现情况有所不同。在其App上购买年卡需提供姓名、身份证号码,购买后自动激活。
App内明确告知年卡用户可以“使用人像比对或持证件入园”。如果用户自愿上传照片,后续可“刷脸”入园;不使用人像比对,可出示身份证件入园。环球度假区工作人员也确认了两种核验方式的可行性,“可以刷身份证入园,工作人员会人工核验身份。”
从实测情况看,“刷脸”是北京欢乐谷年卡用户必须经历的身份验证步骤。那么收集的人脸信息由谁保管,如何处理?
根据《人脸识别技术应用安全管理办法》规定,个人信息处理者应用人脸识别技术处理人脸信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知个人信息处理者的名称或者姓名和联系方式,人脸信息的处理目的、处理方式,处理的人脸信息保存期限等。
南都·隐私护卫队在探访中发现,在线下办理年卡到检票入园,整个过程中园区未以任何形式告知用户其人脸信息处理的相关情况,仅相关小程序提供的协议中有提及。
最近更新日期为2022年8月4日的《欢乐谷官方小程序隐私政策》显示,“在您使用年卡入园、虚拟排队时,我们建议您上传人脸生物特征信息,以便线下核实您的身份,享受更便利的游玩乐园的服务。当您上传后我们会搜集并保存您的人脸信息,频率为您每次主动使用相关功能时。如您不希望我们搜集您的人脸信息,您可以选择不上传。”隐私政策内容并未规定入园必须“刷脸”,但也未提及其他身份验证方式。
根据《个人信息保护法》规定,生物识别信息属于敏感个人信息,处理这类信息应当取得个人的单独同意,敏感个人信息处理者还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响等。
就此,浙江理工大学数据法治研究院执行院长郭兵向南都·隐私护卫队分析,线下办理年卡时园区未充分履行告知义务,以及仅在隐私政策中提及、“一揽子”告知的做法,都涉嫌违法。
而在信息共享、转让和公开披露方面,《欢乐谷官方小程序隐私政策》还写道,“我们可能会与我们的关联公司共享您的个人信息(含人脸信息),使我们能够向您提供与欢乐谷相关的产品或者其他服务的信息,所有采取您的信息会采取不低于本隐私政策同等严格的保护措施。”
对此,北京理工大学智能科技法律研究中心研究员王磊指出,园区将游客人脸信息与第三方共享,依据《个人信息保护法》应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类等,并取得个人的单独同意。“单独同意应通过弹窗、纸质页面或分项选择机制等显著方式实现,避免与其他处理活动混同。”他介绍。
另外,南都·隐私护卫队还查看了欢乐谷小程序、美团、携程、抖音等多个购票渠道的年卡用户购买须知,有关入园方式的表述多为“凭‘刷脸入园’(激活后)直接入园”“电子年卡激活后入园时可直接刷脸入园”,未提及“刷脸”为激活年卡后唯一入园方式。
南都·隐私护卫队注意到,事实上,北京欢乐谷在一份不易被关注到的协议中提到了其他的身份验证方式:在小程序上激活年卡时,会弹窗出现《服务协议》,用户需点击同意才能开始拍照认证。
这份协议中写道:用户需使用本人信息发出电子年卡激活指令,并提醒“如果您对您使用的收集或其他设备上的生物识别功能存有疑虑,我们建议您使用二维码或选择其他验证方式的卡种。”在刷脸验证服务方面,协议显示,用户也可以选择其提供的其他验证方式(如扫描订购二维码等)完成身份验证,但根据服务性质及风险控制等原因必须以刷脸方式进行验证的除外。协议承诺称,将严格保护用户的生物信息,采集的生物信息仅做入园核验身份对比使用。从该协议可得知,激活年卡必须提交照片,但后续入园可以选择“刷二维码”验证身份。
南都·隐私护卫队在实测中也找到了这一被深藏的入口——“北京欢乐谷电子年卡”小程序中可查看会员身份,点击“立即使用”后可生成入园二维码。但当记者致电该景区,一名工作人员仍称,年卡会员只能“刷脸”入园。
7月中旬,在被迫“刷脸”办理年卡数日后,李明再次来到园区游玩。在多次要求“不刷脸”的交涉后,工作人员人工比对了李明的身份证件,最终放行入园。可以看出,尽管景区具备“刷二维码”入园的核验能力,也可以通过刷身份证方式入园,但这些方法往往隐藏较深,用户协议中“刷二维码可入园”的规定成为“一纸空文”。
欢乐谷文化旅游发展有限公司官网显示,公司目前管理深圳、北京、成都、上海、武汉、天津、重庆、南京、西安、南昌、衡阳等地8个欢乐谷和10个玛雅海滩水公园,以及25个主题公园,遍布全国13个城市;年接待游客约4000万人次,累计接待游客近3亿人次。南都·隐私护卫队致电数家其他地区欢乐谷,客服大多表示年卡用户必须“刷脸”入园。
从更广视角看,人脸识别技术在景区场景中的应用日益普遍。全国各地景区纷纷将“一脸游xx地”当作便捷安全、智能化管理的标志,“刷脸”高效入园游玩成为吸引游客的重要卖点被广泛宣传。
有景区工作人员告诉南都·隐私护卫队,使用“刷脸”技术可以明显缩短检票时间,避免出现排队拥堵、影响游客体验的情况;传统票务存在伪造门票、黄牛倒卖等问题,给景区造成经济损失,“刷脸”也可避免冒用他人票证入园等情况。
一家专为景区提供票务系统软硬件解决方案的头部公司工作人员也告诉南都·隐私护卫队,当前,集二维码、身份证、IC 卡、人脸识别等验证功能于一体的智能三辊闸是当下各大景区首选的“爆款”产品,有带人脸库和不带人脸库两种选择,人脸识别机与闸机分开出售。
据介绍,该公司出售的带人脸库人脸识别机12800元一台,使用了支付宝人脸库作比对,景区商家无需留存人脸信息,后续每年1000元人脸库授权费;不带人脸库的3800元一台,“如果用不带人脸库的,自己建库,(存储数量)超过10万(用户)要到相关部门做备案审批流程。”销售人员强调,这类检票设备能极大降低景区人力成本,减少管理问题。
细数人脸识别技术应用的演变,国内消费者起诉商家的“人脸识别第一案”不可忽视,该案情况与北京欢乐谷有不少相似之处。
2019年,杭州野生动物世界将入园方式从刷指纹改成“刷脸”,因不愿意使用人脸识别,浙江理工大学数据法治研究院执行院长、时任浙江理工大学副教授郭兵将该动物园告上了法庭。2021年4月,浙江省杭州市中级人民法院终审宣判,被告杭州野生动物世界不仅要赔偿原告郭兵合同利益损失,并删除其面部特征信息以及指纹识别信息。
在郭兵看来,北京欢乐谷的做法属于强制用户“刷脸”,其涉嫌违反《个人信息保护法》以及《人脸识别技术应用安全管理办法》等。在核验用户身份这一场景下,人脸识别技术并非唯一验证方式,人工审核也完全可以实现相同目的。
值得一提的是,《人脸识别技术应用安全管理办法》中明确规定,实现相同目的或者达到同等业务要求,存在其他非人脸识别技术方式的,不得将人脸识别技术作为唯一验证方式。个人不同意通过人脸信息进行身份验证的,应当提供其他合理、便捷的方式。
王磊也认为该行为属于强制“刷脸”。他还提到,收集个人信息应当遵循的“最小必要原则”中暗含“比例原则”,人脸识别信息系敏感程度较高的生物识别信息,用此类信息处理入园核验这类低风险场景,明显超出原则。该场景下,业务的核心需求是证明持卡人与购票人一致,指纹、动态二维码或口令、身份证识别均能满足这一需求,且风险成本可控。
王磊表示,游客有权要求园区删除已收集的人脸识别信息,同时要求园区立即进行合规整改。对于违法违规处理人脸信息的行为,任何组织、个人有权向网信部门、公安部门等相关部门投诉、举报。此外,年卡用户还可以向法院提起诉讼,要求景区承担违约责任或者侵权责任,并赔偿其损失。
郭兵特别提到,用户还可以向属地检察机关反馈,景区强制刷脸的情况或可成为一条公益诉讼线索,由属地的检察机关代表公众提起诉讼。
从整个走访过程可发现,“人脸识别”被不少景区当作主要甚至是唯一方案提供给游客,月卡、年卡VIP用户更是重点“刷脸”的对象。“刷脸”在身份验证方式中的权重占比如此之高,反映了什么问题?
王磊分析,这种现象看似是实现商业目的和遵守法律要求的解决之道,但并非“唯一解”“最优解”。景区将人脸识别作为主要甚至是唯一的身份验证方式,本质上是经营者利用其与消费者地位的不平等,通过技术权力对消费者选择权的挤压,暗藏着一系列法律、伦理与社会风险。
一方面,景区以“防盗刷”为由,难以论证“排除其他验证方式”的必要性。另一方面,景区并非专业数据保护机构,其数据保护能力与其采集的数据价值难以匹配,一旦泄露或将造成重大社会风险。“园区有责任在实现商业目的与提升效率的同时,尊重用户的选择自由,提升数据安全保护能力。”他说。
郭兵认为景区的做法反映出便利性和安全性的权衡问题。商家以及很多用户会更多考虑便利性,比如提高入园效率、减少带身份证件的负担等,体现出当前对人脸识别技术滥用潜在风险的感知度仍然不高,个人信息安全意识薄弱。近年来监管力度不断加强,取得了一些治理成效,但还有些顽固情况未能触及。
“脸”为何会成为各界关注焦点?多位专家曾向南都·隐私护卫队强调,人脸信息作为敏感个人信息,具有唯一性、不可更改性等特性,一旦泄露或者被非法使用,将对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。
郭兵指出,目前人脸信息被越来越多地用于电信网络诈骗,人脸识别技术滥用在一定程度上助力了电诈增长。
今年6月,《人脸识别技术应用安全管理办法》施行后,地方层面也在加紧行动。7月,北京市网信办会同有关部门,聚焦交通运输、住宿旅游、教育培训、文化体育等领域,开展公共场所违法违规收集使用人脸识别信息专项治理。此外,今年以来,上海、重庆等多地也开展了滥用人脸识别技术治理行动,并针对人脸识别过度采集、强制收集、诱导索取、违规使用等问题,多次发布典型案例并通报治理成果。
