出品|虎嗅汽車組
作者|梓楠法師
有人壞規矩了。
在網際網路大資料時代,技術進步帶給人們更便利的生活體驗。但收集使用者資訊這件事,一直以來都存在界限。小鵬汽車,跨過了這個界限。
12月14日,據天眼查APP顯示,造車新勢力小鵬汽車因線下門店擅自採集43萬張消費者的人臉照片被罰款10萬元。
車企一般收集的都是車主資訊,且很少收集人臉資訊,小鵬汽車這個屬於收集沒買車的人的人臉資訊。
自2021年315消費者權益日曝光部分商超門店違規採集使用者人像資訊後,消費者對企業商家違規採集資訊的容忍度再次降低。而小鵬汽車的這一訊息發出後,即刻便衝上微博熱搜。有微博網友表示:“以後去買車,是不是要戴面具了”。
隨後,小鵬汽車公開回應稱:引起使用者擔心,對此深表歉意,並對此事做出深刻反省。而對於違規採集人像事件的起因,小鵬方面解釋稱,由於對相關法律條款不熟悉,誤採購並使用了違反相關法律條款的第三方供應商的產品。
這是一家服務超過10萬名使用者的上市公司對違規採集使用者資訊的迴應——對相關法律條款不熟悉。
進店就被拍
徐彙區市場監督管理局的一份檔案,還原了整個事情經過。
2019年3月1日,上海小鵬汽車銷售服務有限公司與某公司簽訂了《小鵬汽車門店客流監測專案框架合同》,併購買相應的門店客流監測專案服務。
在該事件中,小鵬花費了173822。77元購買了相關軟體及硬體。
在2021年的1月-6月,這些門店中的裝置一共採集並上傳了431612張人臉照片。目前,收集的人臉資訊已刪除,涉事公司無違法所得。
雖然徐彙區監督管理局的檔案顯示小鵬汽車並無違法所得。但小鵬付出的代價也並不高,僅為採買裝置的17。38萬元及10萬元罰款。這筆錢還買不到一輛高配版的小鵬P7。
這個過程中,小鵬汽車未經消費者同意,也無明示,並告知消費者收集人臉的使用目的。
但在小鵬汽車的迴應中,小鵬汽車強調了其知錯就改的“端正態度”。其表示,門店在3月18日上海市監局檢查前,就透過內部自查自糾撤下了所有的採集裝置。
雖然小鵬強調主動停止了採集行為,但從時間點上看,小鵬的採集或許存在“受迫性”。
整個採集行為在2021年315晚會曝光科勒、寶馬4S店等的違法行為後才停止。在2019年安裝至2021年前,這些裝置到底收集了多少人臉資訊,不得而知。
在整個事件中,偷拍使用者人臉資訊,並非經銷商或者單個門店的個別行為,而是小鵬汽車官方存在違法行為。這些採集人臉的裝置被安裝在7家小鵬門店中,其中5家為直營店,2家為加盟店。而收集人臉資訊的用途,則是改善接待流程,更好地服務於到店客戶(更好地賣車)。
在消費者用車過程中收集使用者資訊,在某種程度上是受到法律認可的。但在消費者進店的過程中收取個人人臉資訊,是違法且不道德的。
“人臉屬於生物特徵資訊,影響一個人的生命財產安全,一般企業收集使用者資訊是為了改進產品服務使用者,但對於進店這種單人低頻次的行為進行資訊獲取,就是拿使用者當演算法的食品餵給機器了,在整個過程中消費者被矇蔽被戲弄”,一位資料演算法工程師對虎嗅表示。
在小鵬汽車偷拍人臉事件中,消費者隱私權被侵犯,且並未獲得明顯的收益。但人臉資訊一旦洩露,企業的可操作空間就非常大了。
據前述工程師介紹,這類人臉資訊被收集後,演算法會對消費者的進店頻次、年齡、衣著打扮、離店後去往何處等資訊作出評估判斷,以分析消費者的潛在購物可能。更過分的企業,會在收集人臉資訊後,進行人臉情緒分析,得知某種情緒對應的行為,並最終實現對人物情緒的預測及影響。而最過分的做法,則是售賣人臉資訊。
小鵬汽車用這些人臉資訊實現了什麼目的,不得而知。但其需要作出進一步解釋。
“大資料最可怕的地方不僅在於資訊有可能被洩露,還在於資料掌握的一方可以對人的行為作出預測,當一個人的行為可以被預測後,人權很難得到保障”,前述工程師說。
而在我國的法律上,收集人臉資訊也有嚴格的限制要求。今年7月,最高人民法院釋出的《關於審理使用人臉識別技術處理個人資訊相關民事案件適用法律若干問題的規定》第一條明確,處理“人臉資訊”和“基於人臉識別技術生成的人臉資訊”均是需規制的物件。該《規定》第二條中明確指出,在賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經營場所、公共場所違反法律、行政法規的規定使用人臉識別技術進行人臉驗證、辨識或者分析的情形屬於侵害自然人人格權益的行為。
這次算小鵬汽車運氣好,由於小鵬的違法行為發生在個人資訊保護法頒佈前,所以有關部門只能以消費者權益保護法作為參考。
一位律師對虎嗅表示,最新的個人資訊保護法中提到,有違規處理個人資訊的違法行為,情節嚴重的,由省級以上履行個人資訊保護職責的部門責令改正,沒收違法所得,並處五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高階管理人員和個人資訊保護負責人。
違法情節是否嚴重,需要有關部門去做判斷。
但我們可以透過一則舊聞進行比對。此前315中被曝光的寶馬4S店在被查獲時,共抓拍並儲存了4617個到店消費者的人臉資訊。
小鵬的43萬張人臉資訊,約是前述寶馬4S店的100倍。
有“前科”
從有關部門披露的資訊來看,這不是小鵬汽車第一次栽在使用者個人資訊上。
今年1月11日,廣東省通訊管理局通報顯示,小鵬汽車作為旅行交通類APP被查出存在三項侵害使用者權益行為及一項安全隱患問題。
即1。App首次執行未經使用者閱讀並同意隱私政策前行為監控發現獲取GET_TASK檢索了應用程式、Android ID、MAC地址、IMEI、IMSI;2。未在隱私政策等公示文字中逐一列明APP所整合第三方SDK收集使用個人資訊的目的、方式和範圍;3。每次點選“我的積分、我的鵬友值、邀請好友賺積分”,App收集一次MAC地址和IMEI資訊,非服務所必需且無合理應用場景,超出實現產品或服務的業務功能所必需的最低頻率。另外,小鵬汽車App還存在介面劫持安全的安全隱患問題。
值得注意的是,發生在1月11日的這一次相關處罰,並未讓小鵬意識到使用者個人資訊的重要性。在此之後,小鵬的門店還收集了兩個月的個人資訊。到底是不想改,還是有關部門說的不夠明白?
個人隱私偷取,對企業而言是一件成本不高但收益巨大的事情。在這方面,除了監管外,企業全憑自覺。而我們可以看到,企業與企業之間的差距還是很大的。
比如曾在美國被曝出違規收集車內人臉資訊的特斯拉,在中國市場就直接關閉了車內收集人臉資訊的攝像頭。
而本文作者在此前查閱多個車企的使用者隱私協議時就曾發現,多數新能源車企的選擇都是人臉等敏感資訊進行脫敏且不上傳,行為資料儲存的期限也多在7-30天。這些車企在使用者隱私收集上行為上,都比工信部的法規更為保守。
只有少數企業在違法的邊緣試探,甚至越過邊界。
在造車這件事上,違法收集使用者資訊的行為屬於捨本逐末。用心造好車,做好一個正常的車企該做的事情,比起收集使用者資訊琢磨怎麼讓使用者買車,更靠譜。
