景区有权采集游客的人脸信息吗

涂思敏

检察官发现无论是现场购票的还是通过自助购票机上，人脸采集都被设为购票的必经程序，不进行人脸采集就无法购票

3月，志愿者再次来到寻梦古镇景区买票入园，他们发现入园购票可以自由选择多种方式：刷脸入园、凭借身份证入园、网络购票的还可以凭二维码。志愿者很快入园并愉快走完全程。不过半年前，该景区入园环节却没这么多的“选择权”。

2021年国庆假期，市民陈先生在寻梦古镇景区买票时被要求需刷脸录入信息，陈先生认为是否刷脸，消费者应有自由选择权。他有权拒绝刷脸，但景区工作人员坚持：“不刷脸就进不了景区。”

陈先生认为，景区的这种行为侵害了自己的权益，便通过“益心为公检察云平台”进行了举报，这个渠道是检察院面向全社会征集公益诉讼案件线索的平台，他希望借助检察院公益诉讼的力量来督促整改景区强制录脸的违法行为，维护自己的合法权益。

景区强制要求游客录入人脸信息

浙江省湖州市检察院在收到该线索后，决定先进行“暗访”，检察官和志愿者以普通游客的身份，带着摄像机和录音设备走完了从买票到游园的全流程。

寻梦古镇景区有现场购票和网上购票两种方式。检察官发现无论是现场购票的还是通过自助购票机上，人脸采集都被设为购票的必经程序，不进行人脸采集就无法购票。检察官还了解到，寻梦古镇景区由寻梦古镇旅游发展有限公司（以下简称寻梦公司）管理，寻梦公司委托了广东深圳的一家技术公司对人脸识别技术进行全方位管理。

2021 年10 月，寻梦古镇景区售票窗口的电脑上仍可以查看到近一个月内进入景区游客的人脸信息。（来源：受访者供图）

人脸信息是重要的个人生物识别信息，包括基因、指纹、声纹、掌纹、耳郭、虹膜、面目特征等，因具有唯一性、不可更改性，确保了其认证的安全可靠，但生物识别信息也因此与个人财产、人格权益联系紧密。个人信息保护法第28条规定，包括人脸识别信息的生物识别信息属于敏感个人信息，一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害，损害社会公共利益。那么，寻梦古镇景区的人脸识别措施是否合法呢？

法律如何规范采集人脸信息行为

景区采集人脸信息可能涉及三方面的问题：一是哪些主体有权力进行人脸信息的采集;二是被采集人脸信息者的权益应该如何保障;三是采集完毕后的人脸识别信息应该如何处理与保存。

2021年11月1日实施的个人信息保护法对这三方面问题作了明确规定。

个人信息保护法第13条规定，只有在订立履行劳动合同的必需、法定职责的必需、应对突发的公共卫生事件、紧急情况下为保护自然人的生命健康和財产安全的必需、为公共利益实施新闻报道和舆论监督的情况下，才能在合理范围内处理个人信息。除此外，均需取得个人的同意。

湖州市检察院第五检察部副主任姚金珏告诉记者，寻梦古镇这类景区并没有对游客的人脸信息进行强制收集的权力，其将刷脸纳入买票必需流程的行为涉嫌违法。

姚金珏说，个人信息保护法严格保护个人敏感信息的规定，强制采集人脸信息并非维护公共安全所必需，如需采集应对被采集者依法履行告知义务。履行合法合规的人脸信息收集告知义务应包括对刷脸后所获取的公民个人信息的处理目的、方式、范围、保存期限、后续应如何处理刷脸者信息等方面予以告知。然而，寻梦古镇的景区购票中心、景区主入口等区域均没有针对游客刷脸入园必要性的相关告知，涉嫌违法。

姚金珏说，刷脸涉及人脸信息采集的三个环节：收集、使用、储存。而“储存”环节最容易被忽视，成为信息监管的真空地带。根据个人信息保护法的规定，个人信息处理者应当对其信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。除法律另有规定外，个人信息的保存期限应当实现处理目的所必要的最短时间。个人信息处理者应当定期对其处理个人信息遵守法律的情况进行合规审计。所以，景区对收集的人脸信息理应在游客门票过期后自动删除。

检察机关发现，技术公司与寻梦公司签订的服务合同中，竟没有一条是关于采集到的人脸信息后续应该如何管理和储存的。对个人敏感信息的管理和储存的相关法律规定，技术公司工作人员却表示“不太清楚，只要服务对象的景区没提出要处理信息，他们就不会删除”。

事实上，2020年7月至2021年的16个月里，该景区收集的120余万条游客的人脸信息都被储存在技术公司的云盘服务器里，未被删除。而景区售票窗口的电脑上仍可以查看到近一个月内进入景区游客的人脸信息。这些行为是对游客知情权、选择权的侵害。

启动民事公益诉讼规范人脸识别

那么，下一步该如何对寻梦公司进行督促整改，保障游客的合法权益呢？这不仅需要对寻梦公司的违法行为进行纠正，更需要从长远方向上对寻梦公司开展“企业合规”的建设。

2021年11月3日至9日，浙江省检察院、湖州市检察院及相关区检察院三级院开展调查取证工作。11月12日，检察机关同当地旅游度假区管委会、寻梦公司等景区运营主体，同时邀请浙江省消保委相关工作人员和法律专家，就涉案人脸信息被侵害问题召开磋商会。11月18日，检察机关根据磋商情况，向寻梦公司制发民事公益诉讼检察建议，督促其积极整改，确保合规运营。

姚金珏说：“在人脸识别案件里，制发民事公益诉讼检察建议书还属首例。而这也是检察院公益诉讼的一种探索，通过先行制发建议书的形式给企业一段时间去履行其主体责任，如果期限已到还未履行，便可以直接进行民事公益诉讼。这种自发性的建议其实对于督促企业履职有更重大的意义。”

2021年11月24日，寻梦公司根据检察建议书中提出的问题进行了整改。第一，他们在售票窗口、景区主出入口、人脸识别道闸前等醒目位置采用了张贴告示、播放滚动音频等形式向游客告知采集人脸信息的相关内容。第二，景区管理处修改了游客入园规则，根据游客意愿实现了多元化入园的方式。现在，游客可通过自行选择刷脸入园、绑定身份证后凭借身份证入园、网络购票凭身份证或二维码等多种方式入园游玩。同时，在当地人大代表和人民监督员的见证下，寻梦公司前期采集、储存游客的120万余条人脸信息已删除，并根据游客入园的合理设置了人脸数据删除的期限。另外，寻梦古镇也在积极寻找企业合规的专家团队，并向检察院寻求企业合规体系建设上的法律帮助。

全程指导该案办理的最高人民检察院第八检察厅主办检察官邱景辉特别指出，在涉及互联网、人工智能等新技术应用的检察监督中应当鼓励科技向善。防止“一刀切”，把人脸技术“妖魔化”。2021年8月1日起施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第14条，将信息处理者处理人脸信息的违法行为纳入民事公益诉讼案件范围。2021年11月1日起施行的信息保护法第70条，授权检察机关对个人信息处理者违法处理个人信息，侵害众多个人的权益的行为提起公益诉讼。这都体现了对人脸识别信息从严保护的立法、司法导向。另外，国家鼓励智慧旅游景区建设，需要为人脸识别技术留有合理应用空间。浙江检察机关很好地统筹发展和安全，不追求提起首例人脸识别民事公益诉讼的宣传效应，而致力于通过检察建议促进企业合规，且协同网信部门推动完善行业规则，体现了检察公益诉讼以“我管”促“都管”的能动履职，实现了双赢多赢共赢，值得复制推广。84003780-4469-4046-ABA3-481582E11380