文|化妝品財經在線CBO

雅詩蘭黛因通過官網虛擬試妝工具非法收集用戶面部數據，于近日面臨消費者的集體訴訟。AR試妝工具是近年來廣受關注的新興技術，該技術在幫助美妝企業實現數字化發展的同時，也帶來了不小的法律風險。

01虛擬試妝工具擅自收集用戶面部數據

近日，雅詩蘭黛公司因未能披露對消費者面部生物特征掃描數據的收集行為，在美國伊利諾伊州面臨集體訴訟。

根據集體訴訟組織的文件，消費者對面部掃描技術感到非常擔憂，雅詩蘭黛沒有達到伊利諾伊州生物識別信息隱私法案（BIPA）規定的明確要求。雅詩蘭黛在收集面部識別信息之前，并未征得用戶的同意，同時拒絕告知用戶，如果他們使用虛擬“試一試”工具會被收集面部識別信息。

消費者在使用該工具時，只會看到雅詩蘭黛隱私政策的相關鏈接，而不是公司全面披露的面部掃描圖像。根據訴訟，隱私政策中并未包括披露雅詩蘭黛收集、捕獲、擁有或以其他方式獲取消費者的敏感生物特征數據。

訴訟方稱，雅詩蘭黛違反了國際廣告法，并同時違反了BIPA（伊利諾伊州立法機構2008年通過的生物識別信息隱私法），每當伊利諾伊州的網站訪問者使用雅詩蘭黛的虛擬試穿工具時，都會被雅詩蘭黛收集和存儲生物識別信息或生物識別碼，且沒有告知在其網站上試用化妝品的任何消費者或征得他們同意。

為了覆蓋過去四年在伊利諾伊州被虛擬試穿工具捕獲生物識別碼的所有消費者，訴訟方要求雅詩蘭黛必須以書面形式披露收集、存儲和使用生物識別數據的“特定目的和期限”。

這并非雅詩蘭黛首次因用戶隱私問題引發爭議，2020年，雅詩蘭黛的官方服務器曾遭到黑客攻擊，導致其未加密的云數據庫數據泄露，該數據庫包含超過4億名客戶的敏感數據，包含客戶記錄、內部日志、電子郵件地址等重要隱私信息。

網絡安全意識倡導者Erich Kron表示，“數據泄漏事件足以證明一個非常簡單的錯誤可能會產生非常嚴重的后果，就像這次，雅詩蘭黛的員工在共享驅動器或數據庫中設置了錯誤的權限。”

02 AR美妝大熱的同時，法律隱患也需重視

隨著電商時代的崛起，消費者期望可以在線上獲得更多的消費服務和體驗，美妝品牌為了解決線上購物難以試妝的難題，通過AR技術打造了可以在線上試妝的網絡工具，技術正在成為美妝產業不可或缺的一部分。

日前，玩美移動宣布將在納斯達克上市，這一成立于2015年的年輕公司主要通過AI、AR技術開發美妝、時尚產業SaaS科技服務，具體解決方案包括3D臉部和手部建模、AI幾乎檢測和模擬、AR影像支援咨詢、實時虛擬產品試用以及個人化臉部特征偵測與推薦等。

玩美移動私募股權投資交易得到了香奈兒、資生堂等投資者的支持，資生堂還決定通過投資玩美移動進一步幫助企業布局數字化美容版塊。雅詩蘭黛曾于2020年聯手玩美移動推出了一個AR美妝培訓直播課程，并應用了玩美移動開發的AR美妝App——玩美彩妝（YouCam Makeup）。

雅詩蘭黛的官網上也安置了AR虛擬試妝功能，只要有照片就能測試用戶喜歡的化妝品。除了試妝方便外，該功能還會根據實際模型的質地完成一些產品，比如用來區別光滑唇膏和啞光唇膏，此外面部追蹤工具還能現場捕捉用戶的眼睛和嘴唇輪廓。

但技術發展在帶來便利的同時，也帶來了隱私安全風險。不僅雅詩蘭黛在美國面臨集體訴訟，在國內，這類技術運用也同樣存在法律隱患。

去年315晚會，央視曝光了一批經營主體在經營過程中存在未經顧客同意，違法獲取消費者人臉識別信息的行為，引發輿論關注。經排查，共有八家經營主體與上海一家電子科技有限公司簽訂人臉識別技術服務合同后，違法收集人臉信息。截止到2021年3月，這八家經營主體在經營過程中共計違法采集人臉識別面部數據2600余萬張，涉及284個人臉識別設備，143家門店。

根據相關法律規定，人臉信息屬于生物識別信息，也屬于個人敏感信息，是受到法律保護的，在收集時應獲得個人信息主體的同意。相關經營單位在未告知的情況下，以非正當方式強制收集消費者的人臉信息，侵犯了不特定多數消費者的合法權益，損害了社會公共利益。

同時，這些經營單位采集的人臉識別數據流通路徑無法監測，存在數據在二次利用、加工后泄漏，被用于盜竊、詐騙等違法犯罪活動的衍生風險。

人臉識別技術是信息科技發展的結果，但技術的發展應接受法律的監管，技術的應用應該有邊界感，不可觸犯用戶隱私權益，其中的法律風險值得警惕。