图片来源网络

　　上海、杭州等多地取消酒店“强制刷脸”的消息一经发布引发热议，当前各地执行情况不一，但取消“强制刷脸”将是大势所趋。事实上，早在去年8月8日，国家网信办曾发布《人脸识别技术应用安全管理规定（试行）（征求意见稿）》，目前该规定尚未出台，但有关人脸信息保护法治化治理已在路上。

　　禁止“强制刷脸”应在多种经营场所落地

　　人脸信息一旦被非法收集、违法处理，将对个人人身和财产安全造成极大危害，甚至可能威胁公共安全。酒店新政迈出了禁止“强制刷脸”的第一步，其他场景也应有序跟进。

　　上海政法学院张继红教授在接受本报《新法讯》采访时表示，人脸信息是《民法典》《个人信息保护法》规定的“生物识别信息”，属于“敏感个人信息”。因此，处理包括人脸在内的个人信息，必须遵循合法、正当、必要和诚信原则。目前最高院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》《证券期货业网络和信息安全管理办法》《上海市数据条例》等都明确不得将人脸等生物特征作为唯一身份认证方式。酒店禁止“强制刷脸”是一个良好开端，未来还应当在物业、商场、超市、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆、公园、景区等经营场所加以落地。

　　在北京航空航天大学法学院赵精武副教授看来，美术馆、展览馆、健身房等经营场所强制刷脸缺乏必要性。部分24小时健身房出于节省人力成本的目的，在进出口设置刷脸闸机，作为唯一验证身份的工具，但此种使用人脸信息的目的完全可以通过手机扫码等其他方式实现。对于禁止强制刷脸的落实，更需要进行技术应用的必要性评估，例如美术馆等场所为了合理控制人流，可以采取刷脸进出核验方式；但如果涉及到举办演唱会的体育馆等经营场所，倘若现有技术在治理黄牛囤票时难以生效，强制刷脸进出的必要性则需要进一步论证。

　　消费者可以明确拒绝“强制刷脸”

　　“征求意见稿”罗列了诸多禁止强制刷脸的场所，包括银行、车站、机场、体育场馆、博物馆、美术馆、图书馆等。目前新规尚未出台，如果消费者在这些场所遭遇“强制刷脸”，可以通过哪些方式维护自己的权益？

　　对此，张继红表示，消费者可以与场所经营者协商，明确拒绝“强制刷脸”、要求其说明刷脸的法律依据，并提供替代性的身份验证方式。如果协商无效，则可以向有关监管部门如网信部门、市场监管部门以及消费者协会投诉或举报。消费者也有权向人民法院提起诉讼，要求经营者承担民事责任，包括但不限于停止侵害、消除影响、恢复名誉、赔礼道歉以及赔偿损失。此外，还可以通过媒体及其他公共舆论的力量，曝光侵犯个人信息权益的行为，形成社会压力，督促经营者合法合规经营，尊重并保护消费者的个人信息权益，切实履行法律法规规定的义务和责任。

　　赵精武则认为，消费者可以通过《个人信息保护法》维护自身权利，人脸信息属于“个保法”规定的敏感个人信息，经营场所在采集这类信息时需要履行更为严格的安全保护义务，如需要事前明确告知消费者有关人脸信息收集目的、收集范围等事项，并单独获得消费者明示同意，不得以强制或变相强制的方式采集消费者人脸信息。

　　需进一步明确“删除”具体方式

　　消费者使用刷脸服务后，是否可以要求商家删除“人脸信息”？《民法典》和《个人信息保护法》对个人的撤回权与删除权做出明确规定。《信息安全技术  人脸识别数据安全要求》规定，如果个人撤回同意或明示停止使用，数据处理者应在15日内删除人脸识别数据并确保不可恢复。

　　张继红告诉记者，虽然立法已有明确规定，但“徒法不足以自行”，后续还要依靠监管引导和行业自律，督促企业将个人信息保护要求内化为履行义务的实际行动。经营者若违反“个保法”规定，未取得个人单独或书面同意、未采取严格保护措施，或处理人脸信息不具有充分必要性等，则应当按照实际情形承担没收违法所得、罚款等行政责任，以及赔偿损失等民事责任。

　　赵精武认为，未来的法律治理仍需进一步明确“删除”的具体方式，应对“删除”和“销毁”做更加精细化的区分，如针对法律没有强制要求存储期限时，商家的“删除”不仅包括用户账号存在的人脸信息，还包括后台信息系统所存储的人脸信息，并且应当采用无法复原的匿名化技术对人脸信息进行处理，以符合个人信息保护法的要求。

　　张继红则表示，目前上海已经迈出了第一步，4月2日发布的《公共场所人脸识别分级分类应用指南》贯彻了风险动态治理的思路与理念，为企业提供了更为明确的行为指引。（记者  朱非）