元宇宙时代下的隐私风险——AR虚拟试穿遭到数据隐私诉讼
编译 | 宋佳凯 程旭阳
来源:The Fashion Law
近日,奢侈品品牌路易威登(Louis Vuitton,LV)北美公司因在其网站上的虚拟试穿工具中涉嫌收集消费者的生物识别数据而遭受诉讼指控。
据悉,LV邀请消费者通过其网站的“虚拟试戴”功能虚拟“试戴”其设计师的眼镜以推销奢侈品。
原告认为,通过让LV访问他们的面部图像,消费者向该品牌提供了详细和敏感的生物识别和信息,包括完整的面部扫描,但是该品牌收集和储存这些信息没有首先获得消费者的同意,或告知他们这些数据正在被收集。除了消费者对隐私的关注以及他们对公司在推广和宣传产品时将遵守法律的期望之外,原告表示,LV收集消费者的生物识别数据的做法涉嫌违反了伊利诺伊州《生物识别信息隐私法》(BIPA)规定的“明确授权”。
2008年颁布的BIPA要求私人实体,包括像LV这样的公司,如果收集某些生物识别符或生物识别信息,或导致这些信息和识别符被收集,就必须采取一些具体步骤来保护他们收集、存储或捕获的生物识别数据。根据BIPA,“生物识别符”一般是指“视网膜或虹膜扫描、指纹、声纹、或手或脸部几何形状的扫描”,而“生物识别信息”是指“任何基于个人的生物识别符用于识别个人的信息,无论其如何被捕获、转换、存储或共享”。原告认为,这些步骤包括但不限于在向消费者收集这些数据之前获得他们的知情同意,以及向消费者公开披露他们的用途、保留和销毁他们所收集的生物识别信息或标识符的时间表。原告表示从未向路易威登(LV)提供书面许可,授权其收集、储存或使用她的面部扫描或面部几何图形,从未被告知收集她的生物识别数据的目的,在审查该奢侈品牌的网站条款和条件时,也没有看到任何迹象表明她的生物识别信息将在这些网站条款和条件中被收集或披露。
基于此,原告认为LV违反了BIPA,即在采集、收集或储存生物识别符之前,没有书面通知并获得用户的书面许可,以及没有制定并公开提供保留和销毁生物识别器的书面政策。因此,她正在寻求法院授权该案件可以作为集体诉讼进行,从而使其他个人能够加入,并寻求金钱赔偿和禁令救济,以迫使LV遵守BIPA。
解读
据悉,路易威登并不是唯一因虚拟试穿功能受到BIPA诉讼的公司。2021年10月,伊利诺伊州的一家联邦法院也对Target公司提起了类似的诉讼。原告指控该零售商利用虚拟试穿功能,通过面部几何图形扫描非法捕捉、收集和存储消费者的生物识别数据。在该案中,原告称,Target公司让消费者通过扫描或上传脸部照片到其应用程序来虚拟测试化妆产品,但没有获得同意收集消费者的生物识别数据,也没有告知消费者它正在收集这些数据。
目前,越来越多的零售品牌引入虚拟试穿工具,使用AR等虚拟应用技术为其在线消费者重现试衣间体验。虚拟试穿功能不仅仅是一种流行趋势,更是推动更大的全渠道零售革命的一个显著步骤,这也不可避免地会引发更多通过虚拟试穿功能处理消费者的生物识别数据的风险,特别是未来的元宇宙时代。
在这种背景下,考虑到更多法域可能会出台类似BIPA的法规、政策,对于收集或可能开始收集消费者的生物识别数据的私人实体来说,考虑维持面向公众的隐私政策、适当的同意和通知以及数据安全保障等方面的最佳做法是非常重要的。
主编介绍
王捷
执业律师,垦丁W&W国际法律团队创始人,联合国世界丝绸之路委员会专家,中国国际贸易促进委员会深圳调解中心专家调解员,广东省法学会信息通讯法学研究会理事,荷兰RuG国际经济法与商法硕士,专注于网络法领域的研究和实务,特别是互联网产品合规、出海合规以及全球数据保护与个人信息保护合规,已为多家知名互联网公司及大中型外资企业提供专业法律服务,覆盖智能终端制造、IOT、人工智能、云计算与服务、社交网络平台、移动互联网、电子商务及平台、短视频视听直播、网络游戏、以及个人信息保护、数据安全等行业领域。
王捷律师曾在阿里巴巴大文娱集团、国际律所与海外仲裁委员会工作,拥有10年的科技型公司实务经验与中外律所从业背景,深耕海内外多条业务线。专业能力模块包括产品风险管控、业务流程搭建、风险分析评估、数据保护与合规、纠纷案件处理、竞对攻防布局、政府监管合规、海外公司治理、投资项目管理等。她能更准确理解客户核心需求,快速响应并提供基础到战略的有效支持,并为各类出海互联网企业拓展印度、东南亚、中东、非洲、欧美等新兴及重要市场提供有效的合规解决方案与落地支持。
王捷律师关于《中国与海外多国/地区数据保护及企业合规要点对比》的论文,在全球最高分的六篇论文中,荣获国际知名隐私组织FPF第 12 届政策制定者年度隐私论文奖,该文章同时被评为年度隐私政策制定者 “必读” 文章。与此同时,她还是出海互联网法律观察公众号主理人,输出了多篇专业互联网与数据合规文章,部分刊登于国际知名专业数据库。
联系方式:
欢迎扫码加入全球数据合规讨论群
(敬请备注:姓名 + 单位 + 专业领域 + 沟通意向)
资讯编写
宋佳凯 程旭阳
垦丁律师事务所W&W国际法律团队律师助理、实习生。
协助全球数据合规资讯周刊编写,追踪各国数据合规执法状况。
互联网出海法律实务群
为您提供独家出海资讯、最新信息动态
与同行们一起交流时事热点、分享经典案例
尽享互联网出海法律干货
快添加主理人微信(jie-72)加入我们吧!
新大西洋数据隐私框架协议及声明将对欧美数据跨境传输带来什么新变化?
Meta年报指出Facebook和Instagram因受到欧盟的数据传输规则影响,或妨碍其在欧洲继续提供服务
快讯 | 欧盟议会通过数字服务法案DSA-旨在明确平台服务提供商责任
垦丁律所发布《中国个人信息保护法与海外多国/地区数据合规保护 企业合规要点比较报告》
冬至重磅 |《个人信息保护与数据合规法律汇编》发布(附下载)
重磅蓝皮书 | 《中国个人信息保护法与海外多国/地区数据合规法律企业合规要点比较报告》发布
致敬个人信息保护法正式生效| 全方位解读个人信息保护十大合规要点及十国/地区大比对
重磅原创 | 个人信息保护法(草案)与多国数据保护法要点对比
个人信息保护:
十国/地区数据保护法十大合规要点对比 | #10 数据保护监管机构与违反数据保护法的处罚规定
十国/地区数据保护法十大合规要点对比 | #9个人信息处理者的主要义务
十国/地区数据保护法十大合规要点对比 | #8 数据保护官(DPO/个人信息保护负责人)任命要求
十国/地区数据保护法十大合规要点对比 | #7 发生安全事件时数据泄露通知的要求
十国/地区数据保护法十大合规要点对比 | #6 数据影响评估(DPIA/PIA)要求
十国/地区数据保护法十大合规要点对比 | #5 数据主体在个人信息处理活动中的权利
十国/地区数据保护法十大合规要点对比 | #4 数据跨境传输规则与要求
十国/地区数据保护法十大合规要点对比 | #3 数据本地化存储要求
十国/地区数据保护法十大合规要点对比 | #2 个人信息处理规则与特别注意事项
十国/地区数据保护法十大合规要点对比 | #1 法律适用范围与域外适用效力
精品解读:
美国封杀Tiktok事件法律依据、起诉可行性简要分析及出海应对方程式
【如何做一块安全的饼干】之cookies的用户告知与法律基础
民法典专题系列 | 对比:《民法典》隐私权&个人信息与GDPR视角下的隐私权&个人数据权利
从印度“删除中国APPs”被Google Play下架谈谈平台合规
游戏出海:
干货|Google移动游戏东南亚出海策略
【游戏出海】国产手游厂商如何应对韩国游戏分级?
网络法沙龙 | 垦丁网络法广州站第十一期:游戏作品IP化过程中的风控管理与游戏直播背景下著作权法律关系的再思考
跨境电商:
「大咖观点」卓志科技合规管理中心副总监黄颖|跨境电商零售进口实务分享
你真的读懂社交电商吗?——社交电商生态架构的合规设计(含海外社交电商专题)