7月的一天上午，在北京一家游樂(lè)園門口出現(xiàn)了僵持的一幕——帶著孩子來(lái)游玩的李明想要辦理一張園區(qū)年卡，卻被工作人員告知必須拍攝照片，因?yàn)楹罄m(xù)需要“刷臉”入園。李明提出刷身份證、驗(yàn)指紋等身份驗(yàn)證方式，也都被拒絕——不錄入人臉信息，年卡就辦不成。

北京歡樂(lè)谷年卡會(huì)員中心。

為何年卡用戶必須“刷臉”入園？南都·隱私護(hù)衛(wèi)隊(duì)多次走訪調(diào)查發(fā)現(xiàn)，隨著人臉識(shí)別技術(shù)應(yīng)用的推廣，當(dāng)前，“刷臉”已成為一些景區(qū)主流甚至唯一身份驗(yàn)證方式，且尤其針對(duì)月卡、年卡等VIP會(huì)員。對(duì)此，景區(qū)普遍給出的理由是防止會(huì)員卡被盜刷，“刷臉”可確保入園者與購(gòu)卡者系同一人。

景區(qū)年卡為防盜刷，“刷臉”是必要的嗎？人臉信息又如何儲(chǔ)存？南都·隱私護(hù)衛(wèi)隊(duì)在深入走訪調(diào)查的同時(shí)也關(guān)注到，近年來(lái)，針對(duì)強(qiáng)制“刷臉”現(xiàn)象，監(jiān)管方面多有關(guān)注。今年6月起，國(guó)家網(wǎng)信辦、公安部聯(lián)合制定的新規(guī)《人臉識(shí)別技術(shù)應(yīng)用安全管理辦法》正式施行，其中就明確：任何機(jī)構(gòu)不得以脅迫方式采集人臉信息，公共場(chǎng)所必須提供非生物特征驗(yàn)證選項(xiàng)。今年上半年以來(lái)，上海、重慶、北京等多地開(kāi)展相關(guān)行動(dòng)，整治濫用人臉識(shí)別技術(shù)等行為。

探訪：辦年卡首先錄入人臉信息，入園時(shí)也需“刷臉”

近日，李明帶著孩子去北京歡樂(lè)谷游玩，決定辦理一張“單人金卡電子年卡”，購(gòu)卡后可以在一年內(nèi)無(wú)限次入園。工作人員告知他辦理需拍攝上傳一張本人照片，后續(xù)也需通過(guò)“刷臉”驗(yàn)證身份入園。溝通無(wú)果后，李明無(wú)奈之下只得拍照并辦理了年卡。

辦理景區(qū)年卡，“刷臉”是必要的嗎？在接到線索后，南都·隱私護(hù)衛(wèi)隊(duì)多次探訪北京歡樂(lè)谷景區(qū)。

據(jù)了解，辦理該園區(qū)年卡有線上線下兩種渠道，但首先都需要“交出你的臉”。線下在園區(qū)會(huì)員中心辦理，現(xiàn)場(chǎng)激活后使用；線上需在相關(guān)小程序或者美團(tuán)大眾點(diǎn)評(píng)、抖音等第三方平臺(tái)上購(gòu)卡后，在小程序上自助激活。

年卡會(huì)員中心的一名工作人員表示，無(wú)論辦理哪種級(jí)別的年卡，都需要提交手機(jī)號(hào)、身份證號(hào)以及一張照片，沒(méi)有合適照片的需現(xiàn)場(chǎng)拍攝，后續(xù)通過(guò)“刷臉”入園。他還強(qiáng)調(diào)說(shuō)，“刷臉”是年卡用戶唯一的入園方式，目的是確?！八⒛槨闭吲c購(gòu)卡者系同一人。而在線下辦理年卡整個(gè)過(guò)程中，園區(qū)未以任何形式告知用戶其人臉信息的處理者、保存使用情況等。

而對(duì)于線上買卡、再激活的用戶，“北京歡樂(lè)谷電子年卡”小程序則要求填寫(xiě)姓名、身份證號(hào)、手機(jī)號(hào)，且必須提供一張符合要求的面部照片，否則無(wú)法線上提交激活年卡。

小程序年卡激活頁(yè)面。

南都·隱私護(hù)衛(wèi)隊(duì)在該園區(qū)檢票處看到，每個(gè)入園通道都架設(shè)有檢票機(jī)器，每臺(tái)都帶有人臉識(shí)別功能。在工作人員指引下，年卡用戶紛紛在機(jī)器前停留，核驗(yàn)自己的臉后入園。

北京歡樂(lè)谷檢票口。

還有檢票口工作人員告訴南都·隱私護(hù)衛(wèi)隊(duì)，年卡用戶只能“刷臉”進(jìn)入。當(dāng)記者詢問(wèn)能否刷身份證確認(rèn)年卡用戶身份、由工作人員肉眼對(duì)比身份證照片與入園者的面容時(shí)，也被拒絕。工作人員特別提到，如果年卡用戶擔(dān)心因面容變化、帶濃妝等“刷臉”失敗，可隨時(shí)重拍照片。

南都·隱私護(hù)衛(wèi)隊(duì)還實(shí)測(cè)了北京另一大游樂(lè)園——北京環(huán)球度假區(qū)，發(fā)現(xiàn)情況有所不同。在其App上購(gòu)買年卡需提供姓名、身份證號(hào)碼，購(gòu)買后自動(dòng)激活。

北京環(huán)球度假區(qū)App頁(yè)面。

App內(nèi)明確告知年卡用戶可以“使用人像比對(duì)或持證件入園”。如果用戶自愿上傳照片，后續(xù)可“刷臉”入園；不使用人像比對(duì)，可出示身份證件入園。環(huán)球度假區(qū)工作人員也確認(rèn)了兩種核驗(yàn)方式的可行性，“可以刷身份證入園，工作人員會(huì)人工核驗(yàn)身份?！?/p>

實(shí)測(cè)：人臉信息處理情況告知不到位，共享未經(jīng)單獨(dú)同意

從實(shí)測(cè)情況看，“刷臉”是北京歡樂(lè)谷年卡用戶必須經(jīng)歷的身份驗(yàn)證步驟。那么收集的人臉信息由誰(shuí)保管，如何處理？

根據(jù)《人臉識(shí)別技術(shù)應(yīng)用安全管理辦法》規(guī)定，個(gè)人信息處理者應(yīng)用人臉識(shí)別技術(shù)處理人臉信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語(yǔ)言真實(shí)、準(zhǔn)確、完整地向個(gè)人告知個(gè)人信息處理者的名稱或者姓名和聯(lián)系方式，人臉信息的處理目的、處理方式，處理的人臉信息保存期限等。

南都·隱私護(hù)衛(wèi)隊(duì)在探訪中發(fā)現(xiàn)，在線下辦理年卡到檢票入園，整個(gè)過(guò)程中園區(qū)未以任何形式告知用戶其人臉信息處理的相關(guān)情況，僅相關(guān)小程序提供的協(xié)議中有提及。

最近更新日期為2022年8月4日的《歡樂(lè)谷官方小程序隱私政策》顯示，“在您使用年卡入園、虛擬排隊(duì)時(shí)，我們建議您上傳人臉生物特征信息，以便線下核實(shí)您的身份，享受更便利的游玩樂(lè)園的服務(wù)。當(dāng)您上傳后我們會(huì)搜集并保存您的人臉信息，頻率為您每次主動(dòng)使用相關(guān)功能時(shí)。如您不希望我們搜集您的人臉信息，您可以選擇不上傳?！彪[私政策內(nèi)容并未規(guī)定入園必須“刷臉”，但也未提及其他身份驗(yàn)證方式。

根據(jù)《個(gè)人信息保護(hù)法》規(guī)定，生物識(shí)別信息屬于敏感個(gè)人信息，處理這類信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意，敏感個(gè)人信息處理者還應(yīng)當(dāng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響等。

就此，浙江理工大學(xué)數(shù)據(jù)法治研究院執(zhí)行院長(zhǎng)郭兵向南都·隱私護(hù)衛(wèi)隊(duì)分析，線下辦理年卡時(shí)園區(qū)未充分履行告知義務(wù)，以及僅在隱私政策中提及、“一攬子”告知的做法，都涉嫌違法。

而在信息共享、轉(zhuǎn)讓和公開(kāi)披露方面，《歡樂(lè)谷官方小程序隱私政策》還寫(xiě)道，“我們可能會(huì)與我們的關(guān)聯(lián)公司共享您的個(gè)人信息（含人臉信息），使我們能夠向您提供與歡樂(lè)谷相關(guān)的產(chǎn)品或者其他服務(wù)的信息，所有采取您的信息會(huì)采取不低于本隱私政策同等嚴(yán)格的保護(hù)措施。”

對(duì)此，北京理工大學(xué)智能科技法律研究中心研究員王磊指出，園區(qū)將游客人臉信息與第三方共享，依據(jù)《個(gè)人信息保護(hù)法》應(yīng)當(dāng)向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類等，并取得個(gè)人的單獨(dú)同意?！皢为?dú)同意應(yīng)通過(guò)彈窗、紙質(zhì)頁(yè)面或分項(xiàng)選擇機(jī)制等顯著方式實(shí)現(xiàn)，避免與其他處理活動(dòng)混同?！彼榻B。

另外，南都·隱私護(hù)衛(wèi)隊(duì)還查看了歡樂(lè)谷小程序、美團(tuán)、攜程、抖音等多個(gè)購(gòu)票渠道的年卡用戶購(gòu)買須知，有關(guān)入園方式的表述多為“憑‘刷臉入園’（激活后）直接入園”“電子年卡激活后入園時(shí)可直接刷臉入園”，未提及“刷臉”為激活年卡后唯一入園方式。

用戶協(xié)議顯示可刷二維碼入園，工作人員仍稱只能刷臉

南都·隱私護(hù)衛(wèi)隊(duì)注意到，事實(shí)上，北京歡樂(lè)谷在一份不易被關(guān)注到的協(xié)議中提到了其他的身份驗(yàn)證方式：在小程序上激活年卡時(shí)，會(huì)彈窗出現(xiàn)《生物識(shí)別服務(wù)協(xié)議》，用戶需點(diǎn)擊同意才能開(kāi)始拍照認(rèn)證。

小程序《生物服務(wù)識(shí)別協(xié)議》。

這份協(xié)議中寫(xiě)道：用戶需使用本人生物識(shí)別信息發(fā)出電子年卡激活指令，并提醒“如果您對(duì)您使用的收集或其他設(shè)備上的生物識(shí)別功能存有疑慮，我們建議您使用二維碼或選擇其他驗(yàn)證方式的卡種。”在刷臉驗(yàn)證服務(wù)方面，協(xié)議顯示，用戶也可以選擇其提供的其他驗(yàn)證方式（如掃描訂購(gòu)二維碼等）完成身份驗(yàn)證，但根據(jù)服務(wù)性質(zhì)及風(fēng)險(xiǎn)控制等原因必須以刷臉?lè)绞竭M(jìn)行驗(yàn)證的除外。協(xié)議承諾稱，將嚴(yán)格保護(hù)用戶的生物信息，采集的生物信息僅做入園核驗(yàn)身份對(duì)比使用。從該協(xié)議可得知，激活年卡必須提交照片，但后續(xù)入園可以選擇“刷二維碼”驗(yàn)證身份。

南都·隱私護(hù)衛(wèi)隊(duì)在實(shí)測(cè)中也找到了這一被深藏的入口——“北京歡樂(lè)谷電子年卡”小程序中可查看會(huì)員身份，點(diǎn)擊“立即使用”后可生成入園二維碼。但當(dāng)記者致電該景區(qū)，一名工作人員仍稱，年卡會(huì)員只能“刷臉”入園。

7月中旬，在被迫“刷臉”辦理年卡數(shù)日后，李明再次來(lái)到園區(qū)游玩。在多次要求“不刷臉”的交涉后，工作人員人工比對(duì)了李明的身份證件，最終放行入園。可以看出，盡管景區(qū)具備“刷二維碼”入園的核驗(yàn)?zāi)芰Γ部梢酝ㄟ^(guò)刷身份證方式入園，但這些方法往往隱藏較深，用戶協(xié)議中“刷二維碼可入園”的規(guī)定成為“一紙空文”。

在實(shí)踐中，北京歡樂(lè)谷“刷臉”辦卡入園的做法，并非個(gè)例。

歡樂(lè)谷文化旅游發(fā)展有限公司官網(wǎng)顯示，公司目前管理深圳、北京、成都、上海、武漢、天津、重慶、南京、西安、南昌、衡陽(yáng)等地8個(gè)歡樂(lè)谷和10個(gè)瑪雅海灘水公園，以及25個(gè)主題公園，遍布全國(guó)13個(gè)城市；年接待游客約4000萬(wàn)人次，累計(jì)接待游客近3億人次。南都·隱私護(hù)衛(wèi)隊(duì)致電數(shù)家其他地區(qū)歡樂(lè)谷，客服大多表示年卡用戶必須“刷臉”入園。

從更廣視角看，人臉識(shí)別技術(shù)在景區(qū)場(chǎng)景中的應(yīng)用日益普遍。全國(guó)各地景區(qū)紛紛將“一臉游xx地”當(dāng)作便捷安全、智能化管理的標(biāo)志，“刷臉”高效入園游玩成為吸引游客的重要賣點(diǎn)被廣泛宣傳。

有景區(qū)工作人員告訴南都·隱私護(hù)衛(wèi)隊(duì)，使用“刷臉”技術(shù)可以明顯縮短檢票時(shí)間，避免出現(xiàn)排隊(duì)擁堵、影響游客體驗(yàn)的情況；傳統(tǒng)票務(wù)存在偽造門票、黃牛倒賣等問(wèn)題，給景區(qū)造成經(jīng)濟(jì)損失，“刷臉”也可避免冒用他人票證入園等情況。

一家專為景區(qū)提供票務(wù)系統(tǒng)軟硬件解決方案的頭部公司工作人員也告訴南都·隱私護(hù)衛(wèi)隊(duì)，當(dāng)前，集二維碼、身份證、IC卡、人臉識(shí)別等驗(yàn)證功能于一體的智能三輥閘是當(dāng)下各大景區(qū)首選的“爆款”產(chǎn)品，有帶人臉庫(kù)和不帶人臉庫(kù)兩種選擇，人臉識(shí)別機(jī)與閘機(jī)分開(kāi)出售。

據(jù)介紹，該公司出售的帶人臉庫(kù)人臉識(shí)別機(jī)12800元一臺(tái)，使用了支付寶人臉庫(kù)作比對(duì)，景區(qū)商家無(wú)需留存人臉信息，后續(xù)每年1000元人臉庫(kù)授權(quán)費(fèi)；不帶人臉庫(kù)的3800元一臺(tái)，“如果用不帶人臉庫(kù)的，自己建庫(kù)，（存儲(chǔ)數(shù)量）超過(guò)10萬(wàn)（用戶）要到相關(guān)部門做備案審批流程。”銷售人員強(qiáng)調(diào)，這類檢票設(shè)備能極大降低景區(qū)人力成本，減少管理問(wèn)題。

多地景點(diǎn)推“刷臉”高效入園

細(xì)數(shù)人臉識(shí)別技術(shù)應(yīng)用的演變，國(guó)內(nèi)消費(fèi)者起訴商家的“人臉識(shí)別第一案”不可忽視，該案情況與北京歡樂(lè)谷有不少相似之處。

2019年，杭州野生動(dòng)物世界將入園方式從刷指紋改成“刷臉”，因不愿意使用人臉識(shí)別，浙江理工大學(xué)數(shù)據(jù)法治研究院執(zhí)行院長(zhǎng)、時(shí)任浙江理工大學(xué)副教授郭兵將該動(dòng)物園告上了法庭。2021年4月，浙江省杭州市中級(jí)人民法院終審宣判，被告杭州野生動(dòng)物世界不僅要賠償原告郭兵合同利益損失，并刪除其面部特征信息以及指紋識(shí)別信息。

在郭兵看來(lái)，北京歡樂(lè)谷的做法屬于強(qiáng)制用戶“刷臉”，其涉嫌違反《個(gè)人信息保護(hù)法》以及《人臉識(shí)別技術(shù)應(yīng)用安全管理辦法》等。在核驗(yàn)用戶身份這一場(chǎng)景下，人臉識(shí)別技術(shù)并非唯一驗(yàn)證方式，人工審核也完全可以實(shí)現(xiàn)相同目的。

值得一提的是，《人臉識(shí)別技術(shù)應(yīng)用安全管理辦法》中明確規(guī)定，實(shí)現(xiàn)相同目的或者達(dá)到同等業(yè)務(wù)要求，存在其他非人臉識(shí)別技術(shù)方式的，不得將人臉識(shí)別技術(shù)作為唯一驗(yàn)證方式。個(gè)人不同意通過(guò)人臉信息進(jìn)行身份驗(yàn)證的，應(yīng)當(dāng)提供其他合理、便捷的方式。

王磊也認(rèn)為該行為屬于強(qiáng)制“刷臉”。他還提到，收集個(gè)人信息應(yīng)當(dāng)遵循的“最小必要原則”中暗含“比例原則”，人臉識(shí)別信息系敏感程度較高的生物識(shí)別信息，用此類信息處理入園核驗(yàn)這類低風(fēng)險(xiǎn)場(chǎng)景，明顯超出原則。該場(chǎng)景下，業(yè)務(wù)的核心需求是證明持卡人與購(gòu)票人一致，指紋、動(dòng)態(tài)二維碼或口令、身份證識(shí)別均能滿足這一需求，且風(fēng)險(xiǎn)成本可控。

面對(duì)強(qiáng)制“刷臉”的景區(qū)，游客可以怎么做？

王磊表示，游客有權(quán)要求園區(qū)刪除已收集的人臉識(shí)別信息，同時(shí)要求園區(qū)立即進(jìn)行合規(guī)整改。對(duì)于違法違規(guī)處理人臉信息的行為，任何組織、個(gè)人有權(quán)向網(wǎng)信部門、公安部門等相關(guān)部門投訴、舉報(bào)。此外，年卡用戶還可以向法院提起訴訟，要求景區(qū)承擔(dān)違約責(zé)任或者侵權(quán)責(zé)任，并賠償其損失。

郭兵特別提到，用戶還可以向?qū)俚貦z察機(jī)關(guān)反饋，景區(qū)強(qiáng)制刷臉的情況或可成為一條公益訴訟線索，由屬地的檢察機(jī)關(guān)代表公眾提起訴訟。

為防盜刷便于管理要求刷臉核驗(yàn)，專家稱并非“最優(yōu)解”

從整個(gè)走訪過(guò)程可發(fā)現(xiàn)，“人臉識(shí)別”被不少景區(qū)當(dāng)作主要甚至是唯一方案提供給游客，月卡、年卡VIP用戶更是重點(diǎn)“刷臉”的對(duì)象?！八⒛槨痹谏矸蒡?yàn)證方式中的權(quán)重占比如此之高，反映了什么問(wèn)題？

王磊分析，這種現(xiàn)象看似是實(shí)現(xiàn)商業(yè)目的和遵守法律要求的解決之道，但并非“唯一解”“最優(yōu)解”。景區(qū)將人臉識(shí)別作為主要甚至是唯一的身份驗(yàn)證方式，本質(zhì)上是經(jīng)營(yíng)者利用其與消費(fèi)者地位的不平等，通過(guò)技術(shù)權(quán)力對(duì)消費(fèi)者選擇權(quán)的擠壓，暗藏著一系列法律、倫理與社會(huì)風(fēng)險(xiǎn)。

一方面，景區(qū)以“防盜刷”為由，難以論證“排除其他驗(yàn)證方式”的必要性。另一方面，景區(qū)并非專業(yè)數(shù)據(jù)保護(hù)機(jī)構(gòu)，其數(shù)據(jù)保護(hù)能力與其采集的數(shù)據(jù)價(jià)值難以匹配，一旦泄露或?qū)⒃斐芍卮笊鐣?huì)風(fēng)險(xiǎn)?！皥@區(qū)有責(zé)任在實(shí)現(xiàn)商業(yè)目的與提升效率的同時(shí)，尊重用戶的選擇自由，提升數(shù)據(jù)安全保護(hù)能力?！彼f(shuō)。

郭兵認(rèn)為景區(qū)的做法反映出便利性和安全性的權(quán)衡問(wèn)題。商家以及很多用戶會(huì)更多考慮便利性，比如提高入園效率、減少帶身份證件的負(fù)擔(dān)等，體現(xiàn)出當(dāng)前對(duì)人臉識(shí)別技術(shù)濫用潛在風(fēng)險(xiǎn)的感知度仍然不高，個(gè)人信息安全意識(shí)薄弱。近年來(lái)監(jiān)管力度不斷加強(qiáng)，取得了一些治理成效，但還有些頑固情況未能觸及。

“臉”為何會(huì)成為各界關(guān)注焦點(diǎn)？多位專家曾向南都·隱私護(hù)衛(wèi)隊(duì)強(qiáng)調(diào)，人臉信息作為敏感個(gè)人信息，具有唯一性、不可更改性等特性，一旦泄露或者被非法使用，將對(duì)個(gè)人的人身和財(cái)產(chǎn)安全造成極大危害，甚至還可能威脅公共安全。

郭兵指出，目前人臉信息被越來(lái)越多地用于電信網(wǎng)絡(luò)詐騙，人臉識(shí)別技術(shù)濫用在一定程度上助力了電詐增長(zhǎng)。

今年6月，《人臉識(shí)別技術(shù)應(yīng)用安全管理辦法》施行后，地方層面也在加緊行動(dòng)。7月，北京市網(wǎng)信辦會(huì)同有關(guān)部門，聚焦交通運(yùn)輸、住宿旅游、教育培訓(xùn)、文化體育等領(lǐng)域，開(kāi)展公共場(chǎng)所違法違規(guī)收集使用人臉識(shí)別信息專項(xiàng)治理。此外，今年以來(lái)，上海、重慶等多地也開(kāi)展了濫用人臉識(shí)別技術(shù)治理行動(dòng)，并針對(duì)人臉識(shí)別過(guò)度采集、強(qiáng)制收集、誘導(dǎo)索取、違規(guī)使用等問(wèn)題，多次發(fā)布典型案例并通報(bào)治理成果。