商业

小心,别靠近小鹏,会被偷拍!

来源|虎嗅

有人坏规矩了。

在互联网大数据时代,技术进步带给人们更便利的生活体验。但收集用户信息这件事,一直以来都存在界限。小鹏汽车,跨过了这个界限。

12月14日,据天眼查APP显示,造车新势力小鹏汽车因线下门店擅自采集43万张消费者的人脸照片被罚款10万元。

车企一般收集的都是车主信息,且很少收集人脸信息,小鹏汽车这个属于收集没买车的人的人脸信息。

自2021年315消费者权益日曝光部分商超门店违规采集用户人像信息后,消费者对企业商家违规采集信息的容忍度再次降低。而小鹏汽车的这一消息发出后,即刻便冲上微博热搜。有微博网友表示:“以后去买车,是不是要戴面具了”。

随后,小鹏汽车公开回应称:引起用户担心,对此深表歉意,并对此事做出深刻反省。而对于违规采集人像事件的起因,小鹏方面解释称,由于对相关法律条款不熟悉,误采购并使用了违反相关法律条款的第三方供应商的产品。

这是一家服务超过10万名用户的上市公司对违规采集用户信息的回应--对相关法律条款不熟悉。

进店就被拍

徐汇区市场监督管理局的一份文件,还原了整个事情经过。

2019年3月1日,上海小鹏汽车销售服务有限公司与某公司签订了《小鹏汽车门店客流监测项目框架合同》,并购买相应的门店客流监测项目服务。

在该事件中,小鹏花费了173822.77元购买了相关软件及硬件。

在2021年的1月-6月,这些门店中的设备一共采集并上传了431612张人脸照片。目前,收集的人脸信息已删除,涉事公司无违法所得。

虽然徐汇区监督管理局的文件显示小鹏汽车并无违法所得。但小鹏付出的代价也并不高,仅为采买设备的17.38万元及10万元罚款。这笔钱还买不到一辆高配版的小鹏P7。

这个过程中,小鹏汽车未经消费者同意,也无明示,并告知消费者收集人脸的使用目的。

但在小鹏汽车的回应中,小鹏汽车强调了其知错就改的“端正态度”。其表示,门店在3月18日上海市监局检查前,就通过内部自查自纠撤下了所有的采集设备。

虽然小鹏强调主动停止了采集行为,但从时间点上看,小鹏的采集或许存在“受迫性”。

整个采集行为在2021年315晚会曝光科勒、宝马4S店等的违法行为后才停止。在2019年安装至2021年前,这些设备到底收集了多少人脸信息,不得而知。

在整个事件中,偷拍用户人脸信息,并非经销商或者单个门店的个别行为,而是小鹏汽车官方存在违法行为。这些采集人脸的设备被安装在7家小鹏门店中,其中5家为直营店,2家为加盟店。而收集人脸信息的用途,则是改善接待流程,更好地服务于到店客户(更好地卖车)。

在消费者用车过程中收集用户信息,在某种程度上是受到法律认可的。但在消费者进店的过程中收取个人人脸信息,是违法且不道德的。

“人脸属于生物特征信息,影响一个人的生命财产安全,一般企业收集用户信息是为了改进产品服务用户,但对于进店这种单人低频次的行为进行信息获取,就是拿用户当算法的食品喂给机器了,在整个过程中消费者被蒙蔽被戏弄”,一位数据算法工程师对虎嗅表示。

在小鹏汽车偷拍人脸事件中,消费者隐私权被侵犯,且并未获得明显的收益。但人脸信息一旦泄露,企业的可操作空间就非常大了。

据前述工程师介绍,这类人脸信息被收集后,算法会对消费者的进店频次、年龄、衣着打扮、离店后去往何处等信息作出评估判断,以分析消费者的潜在购物可能。更过分的企业,会在收集人脸信息后,进行人脸情绪分析,得知某种情绪对应的行为,并最终实现对人物情绪的预测及影响。而最过分的做法,则是售卖人脸信息。

小鹏汽车用这些人脸信息实现了什么目的,不得而知。但其需要作出进一步解释。

“大数据最可怕的地方不仅在于信息有可能被泄露,还在于数据掌握的一方可以对人的行为作出预测,当一个人的行为可以被预测后,人权很难得到保障”,前述工程师说。

而在我国的法律上,收集人脸信息也有严格的限制要求。今年7月,最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》第一条明确,处理“人脸信息”和“基于人脸识别技术生成的人脸信息”均是需规制的对象。该《规定》第二条中明确指出,在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析的情形属于侵害自然人人格权益的行为。

这次算小鹏汽车运气好,由于小鹏的违法行为发生在个人信息保护法颁布前,所以有关部门只能以消费者权益保护法作为参考。

一位律师对虎嗅表示,最新的个人信息保护法中提到,有违规处理个人信息的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。

违法情节是否严重,需要有关部门去做判断。

但我们可以通过一则旧闻进行比对。此前315中被曝光的宝马4S店在被查获时,共抓拍并储存了4617个到店消费者的人脸信息。

小鹏的43万张人脸信息,约是前述宝马4S店的100倍。

有“前科”

从有关部门披露的信息来看,这不是小鹏汽车第一次栽在用户个人信息上。

今年1月11日,广东省通信管理局通报显示,小鹏汽车作为旅行交通类APP被查出存在三项侵害用户权益行为及一项安全隐患问题。

即1.App首次运行未经用户阅读并同意隐私政策前行为监控发现获取GET_TASK检索了应用程序、Android ID、MAC地址、IMEI、IMSI;2.未在隐私政策等公示文本中逐一列明APP所集成第三方SDK收集使用个人信息的目的、方式和范围;3.每次点击“我的积分、我的鹏友值、邀请好友赚积分”,App收集一次MAC地址和IMEI信息,非服务所必需且无合理应用场景,超出实现产品或服务的业务功能所必需的最低频率。另外,小鹏汽车App还存在界面劫持安全的安全隐患问题。

值得注意的是,发生在1月11日的这一次相关处罚,并未让小鹏意识到用户个人信息的重要性。在此之后,小鹏的门店还收集了两个月的个人信息。到底是不想改,还是有关部门说的不够明白?

个人隐私偷取,对企业而言是一件成本不高但收益巨大的事情。在这方面,除了监管外,企业全凭自觉。而我们可以看到,企业与企业之间的差距还是很大的。

比如曾在美国被曝出违规收集车内人脸信息的特斯拉,在中国市场就直接关闭了车内收集人脸信息的摄像头。

而本文作者在此前查阅多个车企的用户隐私协议时就曾发现,多数新能源车企的选择都是人脸等敏感信息进行脱敏且不上传,行为数据储存的期限也多在7-30天。这些车企在用户隐私收集上行为上,都比工信部的法规更为保守。

只有少数企业在违法的边缘试探,甚至越过边界。

在造车这件事上,违法收集用户信息的行为属于舍本逐末。用心造好车,做好一个正常的车企该做的事情,比起收集用户信息琢磨怎么让用户买车,更靠谱。