7- 11未经用户同意就收集面部图像，侵犯了用户隐私

Posted 2021-11-23 宛如清风

 

澳大利亚信息专员发现，7- 11在没有充分通知客户或得到客户同意的情况下，收集了客户的敏感生物识别信息，侵犯了客户的隐私。

从2020年6月到2021年8月，7- 11开展了一项调查，要求顾客在带有内置摄像头的平板电脑上填写信息。这些平板电脑分别安装在700家商店中，在调查过程中的两个时间点捕捉顾客的面部图像——当顾客第一次接触平板电脑时和他们完成调查后。

澳大利亚信息专员在去年7月开始注意到这一行为后，澳大利亚信息专员办公室(OAIC)建议对7- 11的行为进行了调查。

在调查过程中，OAIC发现7- 11将面部图像存储在平板电脑上约20秒，然后将它们上传到微软Azure基础设施中（位于澳大利亚的安全服务器上）。这家便利店巨头称，这些面部图像会作为算法保存在服务器上7天。

OAIC称，7- 11还利用个人信息来了解完成调查的顾客的人口结构。

7- 11声称，他们得到了参与调查的顾客的同意，因为他们在网站上发布了一则通知，称7- 11可能会收集用户的照片或生物识别信息。

截至2021年3月，已完成了约160万份调查答复。

澳大利亚信息专员和隐私专员Angelene Falk认为，这种大规模收集敏感生物识别信息的行为违反了澳大利亚的隐私法，对于理解和改善顾客的店内体验而言，这并不是合理必要的存在。

在澳大利亚，组织被禁止收集个人的敏感信息，除非得到被收集人的同意。

福尔克说，显示个人面部的面部图像是敏感信息。并补充道，面部图像的任何算法表示都是敏感信息。关于7- 11声称已经得到了客户的同意，福尔克表示，7- 11没有提供任何关于客户面部图像将如何使用或存储的信息，这意味着7- 11在收集图像时没有收到客户任何形式的同意。

他说:“要想让一个人具有‘可识别性’，并不一定要从所处理的特定信息中识别出他。如果可以从可用信息中识别出那个人，那么，那个人可以就是‘可识别的’，包括但不限于问题信息，”福尔克说。

“虽然我承认，对7- 11的业务来说，了解和改善顾客体验的系统是一个合法的系统，但收集生物识别信息对业务的任何好处，都与对隐私的影响不成比例。”

作为裁决的一部分和顾客反馈机制的一部分，福尔克下令7- 11停止收集面部图像和指纹。

7- 11还被要求销毁收集到的所有指纹。（本文出自SCA安全通信联盟，转载请注明出处。）