刷脸才能住酒店，这合理吗

当前，入住宾馆酒店时，到专门人脸识别设备前“刷脸”，已经习惯成自然。但此举似是于法无据？与此同时，随着人脸信息越来越多地被获取和使用，相关侵犯隐私权、肖像权，甚至用人脸信息来实施诈骗的案例已屡见不鲜。

2024年全国两会召开之际，全国政协委员、中国旅游研究院院长戴斌提交《关于限制旅游场景过度使用“人脸识别”的提案》，呼吁取消强制“刷脸”。

戴斌在提案中表示，在酒店加装人脸识别设备终端，既没有明确的法律和行政法规规定，也没有正式成文的部门规章规定，“当前让游客‘刷脸入住’，都是按照‘告知且同意’的原则来实施。即公安部门告知旅馆、酒店、民宿，然后旅馆、酒店、民宿也同意做，所以就做了。”

全国政协委员、中国旅游研究院院长戴斌接受采访

该举措不仅降低服务效率，容易引起游客的不满和投诉，而且增加了企业的经营成本，建议公安部指导地方取消入住酒店必须刷脸的规定，并召回相关软硬件设备。

旅馆和酒店是否有权进行人脸识别？法律争议亟待厘清，隐私和数据使用也应当受到法律更严苛的规制。

取消强制“刷脸”，支持还是反对

在该份提案中，戴斌列举反对酒店在客人入住时要求进行人脸识别的原因主要在于：

其一，要求在酒店安装人脸识别设备终端缺少法律依据，而“法无明文授权不可为”。

其二，酒店安装人脸识别设备终端，会大幅增加企业的经营成本。

其三，人脸个人信息广泛收集会带来信息泄露和滥用风险。

按照个人信息保护法，人脸信息属于高度敏感的个人信息，一旦泄露就会导致个人的人格尊严受到侵害，或是人身、财产安全受损。个人信息保护法对此类信息的保护强度也最高，唯有具备“特定目的”、满足“充分必要”，且受到严格保护的前提下才可收集。

入住“刷脸”等过程中，如未严守上述法律界限，人脸信息的泄露和滥用风险已经暴露。例如，很多人脸数据已在黑市买卖流通，和其他个人数据结合后，很容易就被用于精准的盗窃和电信诈骗等刑事犯罪。

在去年曝出的“某校大学学生信息被泄露案”中，涉案者也是先窃取该校学生的人脸信息，再在网站上对学生容貌进行评分，来侵犯个人隐私和进行人格贬损。

但该份提案发表后也同样遭遇反对声音。反对意见主要在于：

其一，在入住酒店时收集人脸信息是为了更好的安全保障。

一个代表性观点认为，“好人是不怕刷脸不怕摄像头的”，只有心怀不轨者才会忌惮人脸识别和信息收集。

安全保障不仅惠及入住酒店的个人，使其有更安全洁净的入住环境，也惠及整体的公共安全和公共秩序，即可阻塞不法人员借由酒店这种封闭式环境进行涉黄涉赌等违法活动和犯罪。在此，安全成为干预隐私的重要事由。

其二，针对认为入住酒店时要求人脸识别没有法律依据的质疑，反对者认为，治安管理处罚法和《旅馆业治安管理办法》都要求酒店必须按照公安机关的要求进行登记。

由此，酒店在要求入住客人予以登记时，所承担的就是公安机关委托其进行的查验身份职能，酒店在此似乎已成为公务活动的手臂和延伸。

又根据个人信息保护法第13条第（三）项和第（五）项，公权机关“为履行法定职责或者法定义务所必需”或是“为了公共利益”的需要，都可在不获得知情同意的前提下收集个人信息。相应地，作为其职权承担者的酒店经营者也具备了上述权力。

酒店是否有权进行人脸识别？

要厘清酒店是否有权对住客进行人脸识别，其实可从这些反对意见入手，观察其是否成立。

首先，治安管理处罚法和《旅馆业治安管理办法》，的确规定了旅馆在接待旅客住宿时必须履行登记义务，但登记事项也仅限于姓名、身份证件种类和号码。

而《治安管理处罚法》对此的处罚事由，也只是旅馆业的工作人员不按规定登记，明知住宿的旅客将危险物品带入旅馆不予制止，及明知住宿的旅客是犯罪嫌疑人员或者被公安机关通缉的人员，旅馆业的工作人员不向公安机关报告。

这里既没有授权旅馆业经营者，可在登记姓名和身份证信息之外采集其他个人信息，也没有规定入住者鱼目混珠进入酒店进行违法犯罪活动，旅馆业从业者就需同时承担连带性法律责任。

其次，相比传统的登记身份证信息，收集人脸信息的确查验精准度更高，因此也更安全。但安全和自由或者隐私权利之间，本就存在一定的矛盾和张力，从法律而言，追究绝对的安全就一定会带来自由的压制和缩减，两者必须达至大众都能接受的平衡，而绝不能为追求绝对安全，就彻底牺牲个人自由。

正因如此，法治国家所追求的都只能是相对安全，无论是公权机关和普通大众，都必须接受和容忍一定的风险存在。无差别地将所有住客都视为潜在违法犯罪人，由此对个人信息进行巨细靡遗的收集，本身就隐含着对普通大众的有罪推定，隐含着对风险过度防御的倾向。

再次，认为“只有坏人才怕刷脸和摄像头”的典型观念，同样严重忽略了人脸信息对于个人的珍贵，以及此类信息被过度收集后可能导致的泄露、误用甚至滥用的风险。

由全国信息安全标准化技术委员会等机构发布的《人脸识别应用公众调研报告》显示，在两万名受访者中，有94.7%的人表示使用过人脸识别技术，而近30.86%的人反映已出现过隐私泄露和权利受损的问题。

而司法实务中，因人脸信息泄露所导致的“被贷款”“被诈骗”等案件也日渐增多。所以，相比毕竟数量寥寥的坏人，无限度的刷脸带来的，还有极大概率的好人“脸面尽失”。

最后，将酒店要求“刷脸”解释为公安机关的手臂延伸，可以表示其负担有某种程度上的公共职能，必须在登记核验入住者的身份信息后才能允许其入住，而非只服从于简单的双方合意的私法规则。但这种授权，并不能被理解为是将公安机关所有的安全检查权限，都概括性授予酒店经营者。

其实，即使是公安机关本身，也并非在所有情形下都可以随意采集包括人脸在内的个人生物信息。

例如，去年发布的治安管理处罚法（修订草案）第100条曾规定，“为了确定违反治安管理行为人、被侵害人的某些特征、伤害情况或者生理状态，经公安机关办案部门负责人批准，可以对人身进行检查，可以提取或者采集肖像、指纹等人体生物识别信息和血液、尿液等生物样本”。

该条在发布后曾引发巨大喧嚣，被法学界普遍认为是严重违反了比例原则和无罪推定原则，且极易导致信息泄露和滥用。

由此来看，即使是公安机关为履行职务和公共利益，也不是一定就有权收集敏感个人信息，“履行公务”“公共利益”，也绝不能豁免公安机关在收集敏感个人信息时的所有实体和程序要求。

综上，那些认为旅馆和酒店有权进行人脸识别的典型意见，其实在法律上都无法证立。

个人信息收集如何规制？

对个人信息的精准化和大规模收集，虽然带来社会治理和政府监管的极大赋能，但也不可避免地，带有个人信息泄露，乃至被数据监控和数据操纵的极大风险。

法律所要做的是尽力平衡可能的收益和风险，避免新兴技术反而成为压制个人自由甚至吞噬个人主体的工具。

在新兴技术适用上，技术可能引发的风险大小和强度以及是否可逆，都是考虑是否可被允许适用的基准。

如果某项技术应用可能带来无法估量且难以逆转的风险，在道德与伦理层面也受到一致批判，就应为法律所完全禁止，例如基因编辑技术；如果某项技术应用虽然带来较大效益但风险难以预测，其中蕴含的政治性和社会性风险，甚至会对自由、民主和人权都构成严重威胁，就只应例外适用而原则禁止——而欧盟对人脸识别技术采取原则上禁止的立场就是基于这一考虑。

当地时间2023年6月14日，法国斯特拉斯堡，欧洲议会全体会议上，欧洲议会议员参加关于人工智能法案的投票会议

但民法典和个人信息保护法，对人脸信息的收集和适用的规定都较为粗疏，典型的仅有“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息”“处理敏感个人信息应当取得个人的单独同意，法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定”等规定。

规定粗疏也就直接导致人脸识别技术适用的严重失范。

正因上述原因，国家网信办在去年8月出台《人脸识别技术应用安全管理规定（征求意见稿）》。该《规定》对人脸识别技术应用的门槛、设备安装到图像采集、数据的处理、存储、提供、删除以及技术应用的准度、精度到置信度阈值、技术适用者或服务提供者的责任都做了针对性的规定。

该《规定》中首先明确，为防止人脸识别的滥用，在公共浴室、卫生间、酒店客房、更衣室等涉及个人隐私等场所，不得安装图像采集和个人身份识别设备。

而在宾馆、银行、车站、机场、体育场馆、博物馆、图书馆等经营场所，除非法律、行政法规有明确规定，否则不得以办理义务、提升服务质量等为由强制个人接受人脸识别验证身份。

由此来看，这部尚未生效的《规定》也是将酒店宾馆适用人脸识别技术的门槛提高到必须“有法律、行政法规”的明确授权。这其实符合个人信息保护法中对个人信息，尤其是敏感个人信息的采集，必须要有法律、行政法规的隐含规定。

另外，即使是酒店宾馆有授权可以采集个人的人脸信息，也必须坚守“特定目的”和“充分必要”的要求，换言之，人脸识别终端的安装和使用，对于酒店和宾馆也非强制，如果可采用其他非人脸识别技术就可达到核实客人身份的目的，就不能再采用人脸识别。

相应地，对公共场所所适用的人脸识别技术，个人不仅可征询其法律依据，对于人脸等生物识别信息，个人完全可基于自主权和控制力，对人脸识别说“不”。

宾馆酒店除要在采用人脸识别技术时严格履行“告知同意”义务，也必须为拒绝进行人脸采集的个人提供其他身份查验可能。

而此前在全国首例人脸识别纠纷案中，法院就已判决杭州野生动物园删除原告在办理年卡时，提交的指纹以及照片在内的面目特征信息。

最后，该《规定》为落实数据安全，避免可能发生的人脸信息被违规查阅、复制、公开和传播，围绕设备安全、安装安全、运行安全、数据库安全、管理人员安全等要素设定了安全管理标准，且从数据采集、存储、处理、转移、使用、销毁等各个环节规范了数据处理的流程。

若从这一尚未生效的规定来看，现阶段酒店宾馆在无法律、行政法规的授权，且无法确保数据安全，也无法证明信息收集符合“充分必要”的前提下，大规模的、普遍性的收集人脸信息的确既缺乏法律依据，也会造成数据泄露和数据操控的风险。而未来伴随上述《规定》的生效颁行，酒店宾馆在适用人脸识别技术上也需符合更严格的实体和程序要求，由此才可防范技术风险。

没有人愿意活在他人无时不在的窥视之下，也没有人愿意成为他人数据操纵的对象。为避免这种危险的发生，强制性收集包括人脸在内的敏感个人信息，就需要受到法律更严苛的规制。