圖為嬌蘭官網虛擬試妝工具

文丨化妝品報記者 鄒欣晨

在消費者不便前往專柜試妝的后疫情時代，面部掃描技術已經成為美容化妝品企業提供虛擬試妝、皮膚狀態診斷和其他服務的重要方式，旨在滿足消費者的個性化需求或改善消費者的購物體驗。

然而，這種“看上去很美”的新技術并非毫無風險，近日，歐萊雅與雅詩蘭黛就因使用面部掃描工具侵犯用戶隱私權被雙雙告上法庭。

禍起AR試妝

據Bloomberg Law（彭博法律）的資料，起訴雅詩蘭黛的案卷編號為第1：22-cv-04157號，起訴歐萊雅的案卷則為第1:22-cv-01453號，兩起訴訟均將于伊利諾伊州法院開庭審理。

根據兩則案卷，雅詩蘭黛方被告的品牌包括Too Faced、M·A· C、Smashbox、雅詩蘭黛、Bobbi Brown；歐萊雅方被告的品牌則包括巴黎歐萊雅、美寶蓮、植村秀、蘭蔻、阿瑪尼、伊夫圣羅蘭、NYX、Urban Decay和卡尼爾。文件中稱，以上品牌都設有網站，消費者如果想虛擬“試用”化妝品，就必須通過網站上傳他們的臉部照片，或通過品牌的面部識別小程序啟動實時視頻進行試妝。

在編號1:22-v-04157的案卷中，以Celia·Castelaz為代表的伊利諾伊州消費者作為原告，指控雅詩蘭黛公司“在伊利諾斯州秘密收集消費者的面部生物識別掃描信息”，這違反了《伊利諾伊州生物識別信息隱私法》(下稱BIPA)。

當消費者使用雅詩蘭黛的虛擬試妝工具Virtual Try-On進行自拍或上傳自己的照片“試妝”時，他們的面部識別信息和其他隱私數據都被雅詩蘭黛收集和存儲，而雅詩蘭黛并未向任何在其網站上試用化妝品的消費者告知這一事實，或征得他們的同意。

圖為伊利諾伊州法院公布的第1:22-v-04157案卷封面

據悉，用戶在使用該工具時僅僅會彈出一個雅詩蘭黛公司關于消費者隱私政策的彈窗鏈接，且該政策并不包括該公司將會“收集、捕獲、擁有或以其他方式獲得消費者的敏感生物識別數據”這一重要信息。

案件原告稱：“每有一位消費者訪問雅詩蘭黛的網站并使用一次虛擬試妝工具，雅詩蘭黛就違反了一次BIPA——并且這樣的違法行為還在繼續。”

無獨有偶，第1:22-cv-01453號案卷中，歐萊雅也因未向用戶告知收集生物識別信息，被以Morgan·Kukovec為代表的芝加哥消費者群體起訴。

圖為第1:22-cv-01453號案卷封面

原告Kukovec稱，當她點開虛擬試妝工具時，僅僅收到了一個關于“如何使用該工具”的彈出式通知。“歐萊雅沒有告訴我這個工具將收集、儲存或使用我的面部信息，也沒有告訴我這些信息會在他們那留存多久，他們什么都沒說，這完全是小偷行為。”Kukovec指責道。

在這起訴訟中，原告方援引BIPA的法條指出，凡是收集、存儲或捕捉某些特定的“生物識別特征”(包括指紋、視網膜掃描、聲紋和面部幾何圖形)的私人企業，必須采取一系列措施來保護這類數據。具體來說，私人企業在采集消費者的生物數據之前，必須事先以書面形式告知消費者以下信息：

1.消費者的生物識別信息正在被企業收集或存儲的事實;

2.企業收集、存儲和使用這些信息的具體目的和時間長度;

3.企業保護這些數據的規則，并說明數據何時被銷毀。

當告知完畢后，企業還必須獲得消費者的一份書面授權，表明消費者對以上事實知情，并同意企業使用自己的生物識別信息。此外，伊利諾伊州法律還禁止擁有生物識別信息的公司出售、租賃、交易這類數據或以其他方式從其中獲利。

盡管雅詩蘭黛和歐萊雅都自稱已經試圖通過各自的隱私政策告知客戶，但原告方認為，這些政策中的“粗略”聲明并不等于BIPA法條中規定的“詳細告知”。

根據這些訴訟，為了覆蓋過去四年所有在伊利諾伊州使用虛擬試妝工具時被獲取生物信息的消費者的權益，雅詩蘭黛和歐萊雅被要求以書面形式告知消費者它們收集、存儲和使用這些隱私信息的具體目的和使用期限，并按時銷毀這些數據。最后，它們還必須從消費者那里收到一份書面聲明，授權這些公司收集他們的生物識別信息。

最高或賠5000萬美元

在記者咨詢彭博法律的律師Erin·Shaak時，她援引法國數據保護監管機構CNIL對谷歌違反歐盟新隱私法《通用數據保護條例》（下稱GDPR）擅自收集用戶數據一案的處罰為例。“相比雅詩蘭黛等企業，谷歌的行為甚至稱得上收斂，”Shaak說，“它做到了告知用戶將收集他們的哪些信息、信息的用途和保護方案以及使用期限等，但監管機構認為，用戶注冊谷歌賬戶時要瀏覽大量的文字，并點擊鏈接跳轉8次才能完整了解谷歌在收集哪些數據，這一流程顯然不夠簡單透明。因此，CNIL對它開出了5000萬美元的罰單。”

Shaak認為，對谷歌的處罰金額或許可以作為本次訴訟的判罰參考。她還表示，這些對雅詩蘭黛及歐萊雅提起的訴訟，代表著消費者與監管機構對美妝巨頭“濫用”虛擬試妝工具侵害用戶隱私的行為發起的第一波攻擊。“自問世以來，虛擬試妝工具一直毫無障礙地收集客戶的個人數據——不僅僅是歐萊雅和雅詩蘭黛這么操作，幾乎整個美妝行業擁有虛擬試妝工具的品牌都在這么干，比如LVMH旗下的嬌蘭；隸屬于科蒂集團的CoverGirl等。”Shaak說，“這些行為必須得到限制，受到應有的法律監管。”

圖為Fenty Beauty官網虛擬試妝工具

在美國最大的論壇Reddit的美妝板塊，此案也頗受關注。有一些悲觀的聲音認為歐萊雅和雅詩蘭黛會與原告達成庭外和解，草草賠錢了事。“原告想要他們（指美妝品牌）去征求每個消費者的書面許可，這無異于天方夜譚。”一位網名為Alice Chang的網友評論道。但更多積極的網友認為，此事將推動各大品牌更加重視用戶的隱私權，并紛紛回復她說：“獲得每個人的書面許可的確不容易，但是至少能讓企業告知我們收集這些信息的用途，嚴加保管我們的數據，而且及時銷毀它們，不讓它們落入黑客和二道販子之手。”

《Global Cosmetic Industry》（環球化妝品工業）的專欄作者Jeb·Gleason-Allured也參與了該貼的討論，并總結道：“誠然，虛擬試妝工具為消費者提供便捷、即時和個性化的方式來測試產品，貢獻了一種逼真又新穎的購物體驗——但這不代表我們就得把自己的隱私權拱手讓人。”目前，國內已有企業開始通過虛擬試妝銷售化妝品，歐萊雅和雅詩蘭黛事件或將為這些企業敲響警鐘。