图为娇兰官网虚拟试妆工具

文丨化妆品报记者 邹欣晨

在消费者不便前往专柜试妆的后疫情时代，面部扫描技术已经成为美容化妆品企业提供虚拟试妆、皮肤状态诊断和其他服务的重要方式，旨在满足消费者的个性化需求或改善消费者的购物体验。

然而，这种“看上去很美”的新技术并非毫无风险，近日，欧莱雅与雅诗兰黛就因使用面部扫描工具侵犯用户隐私权被双双告上法庭。

祸起AR试妆

据Bloomberg Law（彭博法律）的资料，起诉雅诗兰黛的案卷编号为第1：22-cv-04157号，起诉欧莱雅的案卷则为第1:22-cv-01453号，两起诉讼均将于伊利诺伊州法院开庭审理。

根据两则案卷，雅诗兰黛方被告的品牌包括Too Faced、M·A· C、Smashbox、雅诗兰黛、Bobbi Brown；欧莱雅方被告的品牌则包括巴黎欧莱雅、美宝莲、植村秀、兰蔻、阿玛尼、伊夫圣罗兰、NYX、Urban Decay和卡尼尔。文件中称，以上品牌都设有网站，消费者如果想虚拟“试用”化妆品，就必须通过网站上传他们的脸部照片，或通过品牌的面部识别小程序启动实时视频进行试妆。

在编号1:22-v-04157的案卷中，以Celia·Castelaz为代表的伊利诺伊州消费者作为原告，指控雅诗兰黛公司“在伊利诺斯州秘密收集消费者的面部生物识别扫描信息”，这违反了《伊利诺伊州生物识别信息隐私法》(下称BIPA)。

当消费者使用雅诗兰黛的虚拟试妆工具Virtual Try-On进行自拍或上传自己的照片“试妆”时，他们的面部识别信息和其他隐私数据都被雅诗兰黛收集和存储，而雅诗兰黛并未向任何在其网站上试用化妆品的消费者告知这一事实，或征得他们的同意。

图为伊利诺伊州法院公布的第1:22-v-04157案卷封面

据悉，用户在使用该工具时仅仅会弹出一个雅诗兰黛公司关于消费者隐私政策的弹窗链接，且该政策并不包括该公司将会“收集、捕获、拥有或以其他方式获得消费者的敏感生物识别数据”这一重要信息。

案件原告称：“每有一位消费者访问雅诗兰黛的网站并使用一次虚拟试妆工具，雅诗兰黛就违反了一次BIPA——并且这样的违法行为还在继续。”

无独有偶，第1:22-cv-01453号案卷中，欧莱雅也因未向用户告知收集生物识别信息，被以Morgan·Kukovec为代表的芝加哥消费者群体起诉。

图为第1:22-cv-01453号案卷封面

原告Kukovec称，当她点开虚拟试妆工具时，仅仅收到了一个关于“如何使用该工具”的弹出式通知。“欧莱雅没有告诉我这个工具将收集、储存或使用我的面部信息，也没有告诉我这些信息会在他们那留存多久，他们什么都没说，这完全是小偷行为。”Kukovec指责道。

在这起诉讼中，原告方援引BIPA的法条指出，凡是收集、存储或捕捉某些特定的“生物识别特征”(包括指纹、视网膜扫描、声纹和面部几何图形)的私人企业，必须采取一系列措施来保护这类数据。具体来说，私人企业在采集消费者的生物数据之前，必须事先以书面形式告知消费者以下信息：

1.消费者的生物识别信息正在被企业收集或存储的事实;

2.企业收集、存储和使用这些信息的具体目的和时间长度;

3.企业保护这些数据的规则，并说明数据何时被销毁。

当告知完毕后，企业还必须获得消费者的一份书面授权，表明消费者对以上事实知情，并同意企业使用自己的生物识别信息。此外，伊利诺伊州法律还禁止拥有生物识别信息的公司出售、租赁、交易这类数据或以其他方式从其中获利。

尽管雅诗兰黛和欧莱雅都自称已经试图通过各自的隐私政策告知客户，但原告方认为，这些政策中的“粗略”声明并不等于BIPA法条中规定的“详细告知”。

根据这些诉讼，为了覆盖过去四年所有在伊利诺伊州使用虚拟试妆工具时被获取生物信息的消费者的权益，雅诗兰黛和欧莱雅被要求以书面形式告知消费者它们收集、存储和使用这些隐私信息的具体目的和使用期限，并按时销毁这些数据。最后，它们还必须从消费者那里收到一份书面声明，授权这些公司收集他们的生物识别信息。

最高或赔5000万美元

在记者咨询彭博法律的律师Erin·Shaak时，她援引法国数据保护监管机构CNIL对谷歌违反欧盟新隐私法《通用数据保护条例》（下称GDPR）擅自收集用户数据一案的处罚为例。“相比雅诗兰黛等企业，谷歌的行为甚至称得上收敛，”Shaak说，“它做到了告知用户将收集他们的哪些信息、信息的用途和保护方案以及使用期限等，但监管机构认为，用户注册谷歌账户时要浏览大量的文字，并点击链接跳转8次才能完整了解谷歌在收集哪些数据，这一流程显然不够简单透明。因此，CNIL对它开出了5000万美元的罚单。”

Shaak认为，对谷歌的处罚金额或许可以作为本次诉讼的判罚参考。她还表示，这些对雅诗兰黛及欧莱雅提起的诉讼，代表着消费者与监管机构对美妆巨头“滥用”虚拟试妆工具侵害用户隐私的行为发起的第一波攻击。“自问世以来，虚拟试妆工具一直毫无障碍地收集客户的个人数据——不仅仅是欧莱雅和雅诗兰黛这么操作，几乎整个美妆行业拥有虚拟试妆工具的品牌都在这么干，比如LVMH旗下的娇兰；隶属于科蒂集团的CoverGirl等。”Shaak说，“这些行为必须得到限制，受到应有的法律监管。”

图为Fenty Beauty官网虚拟试妆工具

在美国最大的论坛Reddit的美妆板块，此案也颇受关注。有一些悲观的声音认为欧莱雅和雅诗兰黛会与原告达成庭外和解，草草赔钱了事。“原告想要他们（指美妆品牌）去征求每个消费者的书面许可，这无异于天方夜谭。”一位网名为Alice Chang的网友评论道。但更多积极的网友认为，此事将推动各大品牌更加重视用户的隐私权，并纷纷回复她说：“获得每个人的书面许可的确不容易，但是至少能让企业告知我们收集这些信息的用途，严加保管我们的数据，而且及时销毁它们，不让它们落入黑客和二道贩子之手。”

《Global Cosmetic Industry》（环球化妆品工业）的专栏作者Jeb·Gleason-Allured也参与了该贴的讨论，并总结道：“诚然，虚拟试妆工具为消费者提供便捷、即时和个性化的方式来测试产品，贡献了一种逼真又新颖的购物体验——但这不代表我们就得把自己的隐私权拱手让人。”目前，国内已有企业开始通过虚拟试妆销售化妆品，欧莱雅和雅诗兰黛事件或将为这些企业敲响警钟。