LV案 | 虚拟试穿AI软件的告知同意风险
双认证课程早鸟特惠价23000元!
特惠:2022年5月1日前,同时报名CDPO和IAPP(任一课程),可享受双认证培训特惠早鸟套餐价23000元(含考试注册费)。
近期排课:CDPO(5月28-29日,线下);CIPP/E(5月18-19日,线上)
联系:微信(徐博士):heguilvshi,手机(朱老师):138 1664 6268
欢迎加入IAPP&CDPO咨询群
作者:汪越洋,上海交大法学院硕士生
1.Theriot诉LV案的简介
近年来,随着互联网经济的蓬勃发展,特别是在服装、时尚领域的消费刺激下,许多线上平台纷纷推出了虚拟试穿(virtually try on)功能。技术在为品牌和消费者带来便利的同时,也制造了不容忽视的隐私风险。
本月早些时候,美国纽约州一名女子以著名时装品牌路易威登(LV)侵犯其隐私为由向法院提起诉讼,目前法院已经受理此案。由于此案属于集体诉讼,因此涉案金额可能达到数百万美元以上。
起诉LV的女子名叫Theriot,她表示她在去年11月和12月4次使用LV的虚拟试穿工具并试戴了LV商店的眼镜,而LV在没有通知她的情况下收集了包括人脸识别信息等在内的敏感生物信息(biometric information)和生物标识符(biometric identifier)。换言之,LV没有履行最基本的告知义务也没有取得Theriot的同意。此外,LV也没有告知用户其收集个人信息的用途和收集、储存、使用、销毁的时间表。
因此LV的行为违反了《伊利诺伊州生物识别信息隐私法案》(Biometric Information Privacy Act,BIPA)的规定,Theriot据此请求法院判决LVNA告知消费者其收集的信息以及销毁已经收集和储存的信息,并请求LVNA承担法定的赔偿责任。
根据伊利诺伊州BIPA的规定,所谓生物信息(Biometric information),是指任何用于识别个体的生物标识符的信息。所谓生物标识符(biometric identifier),则是指视网膜或虹膜扫描、指纹、声纹及手部或脸部的几何扫描(即人脸识别)等标识符。BIPA规定,企业收集上述信息之前,应当告知用户并取得用户同意,同时还要告知收集信息的用途和收集、储存、使用、销毁的时间表。若企业违反规定,则个人可以请求企业赔偿损失。
关于损失数额,若企业的行为属于过失,则用户可以请求赔偿实际损害或1000美元的法定赔偿,以较高者为准;若企业的行为属于故意,则用户可以请求赔偿实际损害或5000美元的法定赔偿,同样以较高者为准。本案属于集体诉讼,涉及的集体成员在100人以上(具体人数可以通过LVNA的记录来查询),索赔总额将超过500万美元。
根据原告的描述,LV的虚拟试穿工具会自动激活摄像头,当识别到人脸后该工具会将眼镜放置于人脸合适的位置,并随着用户的移动来调整眼镜的位置。除了使用摄像头外,用户也可以上传自己的照片来查看穿戴效果。LVNA的穿戴工具是由一款名为“Fitting Box”的程序提供的。
LV网站的程序表明其在收集用户的信息并储存到外部服务器上。
LV对收集的信息进行收集处理之后,将重新打包的数据返回给用户。
在整个用户的使用过程当中,LV没有作出任何提醒,也没有告知应当通知用户的信息,LVNA的网站也没有制定公开的政策来说明保留和销毁收集的信息的时间表。总之,这些行为都违反了伊利诺伊州BIPA,原告进一步指出,这些行为剥夺了其对个人信息的控制,其隐私也因此受到侵犯,因此提出了相应的诉求。
2.类案分析
以“virtually try on”、“BIPA”、“privacy”等为关键词,在Google上展开搜索,笔者发现在最近半年到一年的时间内,在美国至少发生了数次类似的案件,例如Aimee Potter诉Target案、Svoboda诉Amazon案、Javid诉Ulta Beauty案、Garrett诉Mary Kay案等。这些案件的相同之处很多,比如案件事实都涉及虚拟试穿和人脸识别,起诉的法律依据都是《伊利诺伊州生物识别信息隐私法案》(Biometric Information Privacy Act,BIPA),被诉行为主要是违反告知同意规则,都是集体诉讼等等。
案件所依据的法律均为伊利诺伊州《生物识别信息隐私法》(BIPA),这与美国当前的立法有关,因为在目前美国州一级的法律当中,只有伊利诺伊州的隐私法规定了有关个人信息收集、使用的私人诉权,像德克萨斯州《生物识别标识符的收集或使用法案》(CUBI)以及华盛顿州《修订华盛顿法典》第19.375.020条都没有规定有关的私人诉权,即使是规定了私人诉权的加州消费者隐私保护法(CCPA),也只是规定在“由于企业违反执行和维护安全程序和惯例的义务而导致未经授权的访问、盗窃或泄露”情况下私人享有诉讼权。至于在美国市一级的法律当中,已经有纽约市和波特兰市的法律规定了有关的私人诉讼权,不过还未出现相关案例。
此处还有一个细节值得注意,在LV案和Target案中,原告都提出了被告的平台记录可以作为收集个人信息的材料,以说明收集、处理了哪些信息以及收集的次数,后者对于赔偿金额至关重要,因为伊利诺伊州BIPA规定的计算赔偿金的方式是按次数来计算的(过失违法1000美元/次,故意违法5000美元/次)。换言之,被告对于告知同意原则的违反次数决定了其赔偿的额度。此外关于违法收集的次数的举证问题也可能是后期诉讼的关键,有待进一步观察。
对于这些案件涉及的集体诉讼,有观点认为网络平台涉及的消费者范围广泛,很容易引起集体诉讼而付出巨额赔偿(例如Facebook在2020年对600万伊利诺伊州居民付出的6.5亿美元的和解金),不过也有观点指出,平台企业可以通过仲裁协议和集体诉讼豁免条款绕开集体诉讼,如果进入仲裁模式则对平台企业更有利,但是仲裁协议也需要在线上单独呈现给用户并取得同意。总之最终的关键点都指向了告知同意原则。
3.为什么是告知同意原则?
在回答这个问题之前,先要解决的是一个前置问题,即人脸识别/虚拟试穿(此处主要指化妆、眼镜等涉及人脸的试穿)一定会涉及个人信息的处理吗?答案是肯定的。以Aimee Potter诉Target案中涉及的人脸化妆为例,目前常见的虚拟化妆功能几乎都会涉及人脸特征点(facial landmark)的提取,例如LBPH模型能基于像素值对比提取出图像的局部纹理特征。这样的人脸特征点数据是完成化妆、佩戴眼镜的必要数据,也符合BIPA所规定的生物标识符(biometric identifier)的定义,因此人脸识别/虚拟试穿理论上是绕不开个人信息的处理的。
从技术或商业的角度来看,收集和使用个人信息对于虚拟试穿几乎是必须的,而且这种对相关个人信息的处理其实并不违背用户的利益,因为用户也有意愿获得相应的虚拟试穿服务。但是问题在于,法律规定了在收集和使用个人信息之前应当告知个人并取得同意,这是因为法律需要维护个人人格权益、保障个人信息知情权和自决权。所以,这就给平台增加了相应的告知义务。但平台在很多情景下(如上述的收集人脸信息、提供虚拟试穿服务),会默示用户知道并同意平台的处理行为,毕竟一个愿意使用虚拟试穿功能的用户应该能意识到自己的人脸信息将被处理,所以这种默示一定程度上也是合理的。不过这种默示却不是合法的,法律对个体的倾斜保护加强了平台的明示告知义务,平台的不告知行为显然是存在过失的。
除了上述的过失,平台违反告知同意原则也可能出于某种故意。首先,增加告知同意的程序无疑会提高企业的运营成本。其次,增加告知同意的程序也会增加用户拒绝提供的风险,不能排除某些隐私意识较强的用户在收到平台的明示告知的情况下便不再使用该功能的可能性。所以平台也有故意不告知的潜在动机。
4.我国个保法视角下的虚拟试穿
虚拟试穿这一功能也涉及到了我国个人信息保护法的许多规定,总的来说,我国个保法对此的规制相较美国伊利诺伊州BIPA的规制要宽松许多,但是收集相关个人信息也会面临风险。笔者认为可以从以下方面展开分析。
第一,平台企业在运行虚拟试穿功能的时候不一定要取得用户的同意。虽然我国个保法对个人信息处理仍然以同意为原则,但是个保法也规定了几种不需要取得用户同意的情况下,例如第十三条第(二)款规定的“为订立、履行个人作为一方当事人的合同所必需”。因此平台若能够证明虚拟试穿所取得的个人信息是为履行合同所必须的信息,那么也不用再取得个人的同意。即“告知+同意”模式变成了“必要+告知”模式。但是平台必须要警惕所谓的“为履行合同所必须”,去年网信办印发的《常见类型移动互联网应用程序必要个人信息范围规定》就指出,拍摄美化类APP基本功能服务为“拍摄、美颜、滤镜等”,无须个人信息即可使用基本功能服务。换言之,某些虚拟试穿工具可能与“美颜、滤镜”工具比较类似,不需要详尽的个人信息(具体的特征点数据)即可完成相关功能;而某些虚拟试穿工具则需要人脸特征点数据才能完成。因此,平台不能想当然地认为自己的虚拟试穿功能一定需要个人信息,而是要结合自身功能的颗粒度去判断,否则就会违反个保法规定的最小化原则和知情同意原则。
第二,无需取得同意并不意味着不用告知。告知同意其实是两个规则的结合,即告知规则和同意规则。虽然借助个保法第十三条第(二)款规定的“履行合同所必需”可以免除平台取得用户同意的责任,但是平台仍然要告知用户“个人信息的处理目的、处理方式,处理的个人信息种类、保存期限”等法律规定的内容,这与伊利诺伊州BIPA的规定相似。其中值得注意的是所谓的“保存期限”的规定,根据最小必要原则,保存信息的期限应限于提供相关服务所必需的最短时间,换言之平台应该在用户结束虚拟试穿功能后立即删除所处理的个人信息。此外,由于人脸信息属于生物识别信息,应按照敏感个人信息的规定进行管理,换言之平台还应当向个人告知“处理敏感个人信息的必要性以及对个人权益的影响”。
这样的表述其实并不严谨,取得相机权限并不能说明所处理的个人信息的必要性,而且按照法律规定处理敏感个人信息应当取得个人的单独同意,但这种先在隐私政策中笼统地表明“开启设备权限”等于“授权个人信息收集”、再单独取得“设备权限”的模式其实不是真正意义上的单独同意。因此,这样一种概括取得同意的方式是存在风险的。
但如果该APP能适当地说明收集人脸信息是为了完成虚拟试穿功能所必需的个人信息,那么其实也可以免除取得同意的义务。应当指出,这种增加说明论证和告知的方式显然好过隐私政策当中的笼统的同意规则,因为后者既不必要也不安全。只不过由于解释必要性的理由往往需要技术人员来阐述一些程序原理,而隐私政策的制定者通常又是法律或管理方面的人员,因此许多APP的隐私政策当中缺乏对个人信息处理必要性的深入说明,转而选择了有风险的告知同意模式。
5.总结
虚拟试穿是互联网平台对人脸识别、AR等技术的重要应用,但是技术带来便捷的同时也制造了法律上的风险。从近期在美国发生的一系列有关虚拟试穿的案件来看,告知同意程序的缺失是引发风险的重要原因,这当中有技术的问题也有法律的问题。结合我国个保法的规定,涉及虚拟试穿功能的平台可以借助第十三条第(二)款的规定获取同意豁免,但是这需要充分的必要性测试,而由于企业可能缺乏“法律+技术”的复合人才或者说缺乏“法律+技术”的论证视角,因此这种同意豁免的模式没有得到很好的应用。此外,不需要同意并不意味着不需要告知,平台仍需要告知个保法第十七条和三十条规定的内容,特别是涉及到了人脸信息等敏感个人信息需要告知处理行为对个人权益的影响,这也给隐私政策的透明度和完整性提出了更高的要求。
告知同意风险只是虚拟试穿面临的诸多风险当中较为突出的部分,同时也只是主要出现在个人信息的收集和使用环节,但是对个人信息的处理其实还包括了存储、加工、传输、提供、公开、删除等等多个环节,因此其它内容还有待更深入的分析和研究。
PrivacyFish数合规评估平台1.0试用预约申请
试用时间:2022年4月19日—5月18日
预约申请:https://wj.qq.com/s2/9596889/14c0/
● 联系人(朱经理):138 1664 6268
● 邮 箱:[email protected]
● 微 信(徐博士):heguilvshi
加入试用咨询群
点击文末“阅读原文”,立即报名IAPP&CDPO双认证培训课程!
微信扫码关注该文公众号作者