【案例回顾】
退休的郭某花了1360元购买了一张某风景区“畅游365天”的双人年卡,确定进入景区方式为指纹识别。郭某和老伴儿两人登记了姓名、身份证号码、电话号码,并采集了指纹。后来,景区引进人脸识别系统,将年卡客户进入景区方式从指纹识别调整为“刷脸”。随后,该景区两次向郭某发短信,通知年卡进入景区识别系统更换事宜,要求激活人脸识别系统,否则将无法正常进入景区。郭某认为公园以“刷脸”入景区采集个人信息的方式,存在个人信息泄露的安全隐患,不愿意更换进入景区方式,双方就相关事宜协商未果,郭某向法院提起诉讼,以景区违约为由提出赔偿年卡卡费、交通费,删除景区采集的个人信息等诉讼请求。
【法律分析】
本案双方因购买景区年卡而形成服务合同关系,后因进入景区方式变更引发纠纷,其争议焦点实为经营者处理消费者个人信息的问题,尤其是采集指纹和人脸等个人生物识别信息行为的评价和规范问题。
出于对大数据开发,促进人工智能技术发展的需要,我国民法典立法时对于个人信息在消费领域的收集、使用未予禁止,但强调对个人信息处理过程中的监督和管理,即个人信息的收集要遵循“合法、正当、必要”的原则,并要征得当事人同意;个人信息的利用要遵循确保安全原则,不得泄露、出售或者非法向他人提供;个人信息被侵害时,经营者需承担相应的侵权责任。
本案中,某景区要求客户在办理年卡时,必须采集郭某及其妻子的个人信息,超出了法律意义上的必要原则要求,故不具有正当性,且某景区在合同履行期间将原指纹识别进入景区方式变更为人脸识别方式,属于单方变更合同的违约行为,故法院判决景区应赔偿郭某合同利益损失及交通费,并按郭某的要求删除其夫妇的个人信息。
【法条链接】
《中华人民共和国民法典》第一千零三十四条 自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
