有市民在入住某大型连锁长租公寓时,被要求必须"刷脸"进门。虹口区检察院公益检察室跟进线索后,最终让公寓增设了24小时保安人工服务、IC门禁卡等非生物识别验证出入方式。在近日举办的"2023年度检察公益诉讼精品案例"评选活动上,《上海市虹口区人民检察院督促长租公寓规范使用人脸识别门禁系统行政公益诉讼案》获评精品案例。

虹口区检察院相关负责人介绍,去年初,该院技术人员通过自行研发的公益诉讼线索研判平台,从海量网络信息中巡查发现,这家长租公寓将"人脸识别"作为唯一的门禁出入方式。而人脸信息是生物识别信息中社交属性最强、最易采集的个人信息,具有唯一性和不可更改性,一旦泄露将对个人的人身和财产安全造成极大危害。根据国家和上海市有关规定,一方面,公共场所、居住小区等区域不得以图像采集、个人身份识别技术作为出入的唯一验证方式,并且处理个人敏感信息前应履行相应告知程序;另一方面,处理个人信息过程中应采取保障信息安全相关的必要措施。

检察官在调查中也发现,公寓在采集入住租客人脸信息时并未以显著方式准确、完整告知处理敏感个人信息应当告知的事项,如:处理个人信息的目的、方式、种类、保存期限,处理者的姓名、联系方式,以及处理敏感个人信息对个人权益的影响和行使权利的方式、程序等法定事项。同时,未采取保障信息安全相关的必要保障措施。公寓未制定相关的数据安全内部管理制度和操作规程,未对工作人员进行相关安全教育和培训。管理门禁和保存数十万条人脸信息的电脑及主机都没有进行加密处理,门禁系统的账号密码直接保存在电脑中,直接点击就能登录……系统管理区域就位于大堂出入口旁,公寓出入人员较多,信息泄露的风险性较高。门禁系统中还长期存储有退租人员、外卖配送员、访客等人员的人脸信息。

针对住房租赁这一新业态领域发展中的新技术使用监管问题,检察机关向相关部门制发检察建议后,依据数据安全地方性法规,聚焦行业主管,进行释法说理,最终得到了行政机关的认同,并且立即督促涉案企业整改。

之后,检察官联合本院技术人员、"益心为公"志愿者以及属地居委会工作人员对整改情况进行现场回访。公寓已采取了一系列整改措施:增设24小时保安人工服务、IC门禁卡等非生物识别验证出入方式;通过在微信管理群中发布《入住告知书》、在大堂放置《入住贴士》、在人脸识别门禁处张贴提示标识等方式,告知新老客户处理敏感个人信息相关的法定事项;制定《客户信息保密管理办法》、与工作人员签订保密承诺书、对工作人员进行保密培训等,完善数据安全内部管理制度和操作规程。

但现场回访中发现,大家发现公寓在敏感信息的处理管理中仍需完善:人脸识别门禁系统中仍存储有大量陌生人脸信息,系统电脑中安装有远程协助软件、仍接入互联网等,于是进一步向行政机关制发书面《提示函》督促落实整改。经跟进监督,公寓已将门禁系统电脑改为内网运行,删除远程协助软件、并建立陌生人脸信息定期删除制度。公寓落实整改后,其上级公司在全市范围内开展了合规审查,重新研究制定了《客户信息保密管理办法》和新版《租赁合同》,专版新增告知说明。

作者:单颖文 刘庆 申腾

文:单颖文 刘庆 申腾 图:受访者提供 编辑:占悦 责任编辑:王嘉旖

转载此文请注明出处。