他建议取消！“缺乏法律依据”

  对于当前游客入住几乎所有的宾馆酒店都必须到专门人脸识别设备前“刷脸”的现象，全国政协委员、中国旅游研究院院长戴斌提交提案，呼吁取消“刷脸”环节。

  记者获悉，2024年全国两会之际，戴斌提交了一份《关于限制旅游场景过度使用“人脸识别”的提案》，直言在酒店加装人脸识别设备终端既没有明确的法律和行政法规规定，也没有正式成文的部门规章规定，该举措不仅降低服务效率，会造成游客的不满和投诉，而且增加了企业的经营成本，建议公安部指导地方取消入住酒店必须刷脸的规定，并召回相关软硬件设备。

  戴斌在调研中关注到，当前，几乎所有省市的宾馆、酒店、民宿等旅游住宿机构都设置有人脸识脸系统，入住前，游客除了要出示身份证件由接待人员查验，还要到专门的人脸识别设备前“刷脸”才能入住。

  调研显示，酒店用人脸识别终端的单价从数千到数万不等，酒店需要安排1-4台终端，厂家还会收取年度系统维护费用。该措施不仅降低了服务效率，会造成游客的不满和投诉，而且增加了企业的经营成本。

  “当前让游客‘刷脸入住’，都是按照‘告知且同意’的原则来实施。即公安部门告知旅馆、酒店、民宿，然后旅馆、酒店、民宿也同意做，所以就做了。”戴斌在提案中指出，而事实上，在酒店加装人脸识别设备终端，既没有明确的法律和行政法规规定，也没有正式成文的部门规章规定。

  据了解，2022年颁布的《旅馆业治安管理办法》第六条规定：“旅馆接待旅客住宿必须登记。登记时，应当查验旅客的身份证件，按规定的项目如实登记。接待境外旅客住宿，还应当在24小时内向当地公安机关报送住宿登记表”。其中，并未对“刷脸”作出明确规定。

  在戴斌看来，依据“法无授权不可行”的原则，旅馆酒店等场所不应再要求旅游者履行“刷脸”义务，也不能要求旅游住宿机构履行查验身份证件之外履行生物信息和涉及旅游者隐私数据的采集义务。

  结合调研了解到的情况，戴斌在提案中呼吁，建议公安部全面摸底排查强制酒店、度假村、民宿等旅游住宿机构购买和使用人脸识别终端的情况，摸清要求安装的法律依据、要求安装的部门和层级、是否指定厂家品牌、是否与原有的身份证查验系统并行，是否要求同步上传信息等情况，及时指导各地取消游客入住宾馆酒店必须“刷脸”的规定，并召回相关软硬件设备。

  他还建议，考虑到景区、车站等各类旅游流量入口和消费场景安装人脸识别终端也越发普遍且强制使用的场合慢慢的变多，建议进一步对度假区、主题公园和交通企业的同类情况做专项调查。

  南都记者关注到，2023年8月，国家网信办发布的《人脸识别技术应用安全管理规定（试行）（征求意见稿）》，对人脸信息采集、人脸信息使用、人脸识别技术安全保障做出了具体规定。

  征求意见稿中规定“宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所，除法律、行政法规规定应当使用人脸识别技术验证个人身份的，不得以办理业务、提升服务质量等为由强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份”。

  戴斌建议，尽快根据征求意见情况制定并实施《人脸识别技术应用安全管理规定》，并加强对上述条款的监督检查；对实践中存在的“告知且同意”等涉嫌侵权的变通做法做出明确提示并做要求整改；此外，还需就数据安全和个人隐私保护，对设备供应商、信息采集部门、管理部门提出具体的、可执行、可查验的要求，建立有效的法制管理体系。

  戴斌还建议全国人大常委会法工委对旅游者在旅行、观光、住宿、餐饮、购物的过程中，可能涉及的“强制刷脸”行为进行专项检查，对有关制度、规定和标准做合法性审查。

  随着信息技术发展，公众生活进入“刷脸”时代，人脸识别成为身份鉴定、访问认证、核验查证的重要载体，被广泛应用于支付认证、考勤打卡、门禁识别、公共安防等各种工作和生活场景。与此同时，人脸识别潜藏的信息泄露隐患日益凸显，亟待引起重视和警惕。

  据南都此前报道，随着人脸信息慢慢的变多地被获取和使用，相关侵犯隐私权、肖像权甚至用人脸信息来实施诈骗的案例已陆续爆出。

  比如，有的公开售卖违规抓取的人脸数据，某平台2元钱可购上千张“定制”人脸照片；有的对人脸数据管理不严，某娱乐特效App用户换脸视频可在网上公开访问和下载；还有的利用AI换脸技术对照片做处理，来盗取网络账号牟利、实施精准电信诈骗等。

  多位业内专家学者就人脸识别技术应用向南都记者谈道，“刷脸”时代警惕信息泄露，非必要场景拒绝强制人脸识别；此外，还需进一步制定有关规定法律法规规范人脸识别技术应用的落地。

  清华大学法学院教授劳东燕也曾就人脸识别规范向南都记者谈道：人脸识别涉及对个人重要的生物学数据的收集，相关组织或机构在收集之前，必须证明这样的做法的合法性。如果政府是作为收集的主体，显然需要法律明确予以授权；法无授权即不可为，政府无权以安全为名，来搜集普通公民的生物识别数据。倘若是企业或其他机构所为，则其收集个人的生物学数据，起码需要获得被收集人的明示同意；不经同意而收集，属于非法获取公民个人隐私信息的行为。