上海出手整治!申通地铁被多部门约谈
媒体曾报道,在上海地铁、校园等公共场所,部分自动贩售机设备出现过度索取个人信息、诱导“刷脸”支付的情况,存在泄露个人信息的风险隐患。
地铁徐家汇站因空间较大,拥有数量较多的自动售货机。其中一台“AI智能识别柜”的屏幕上,“人脸支付”的字样被放在支付选项的上方,框线颜色作加深处理,“扫码支付”则放在下方。点击“人脸支付”,摄像头开始摄取人脸信息,随后识别出记者的支付账号,并请求授权。
记者看到屏幕下方一行“小字”提示可查看《授权付款服务协议》。密密麻麻的条款下,无法辨析出重点内容。在同意并确定后,屏幕又提示“首次使用刷脸功能,请先使用本人扫码授权手机号方可进行购物”。
“人脸支付”的字样被放在支付选项的上方,框线颜色作加深处理
另一处“up售货机”上,硕大的“刷脸付”占据一半的屏幕,伴有“刷脸支付,随机免单”字样。若在底部选择其他支付方式,则还有关注各类公众号、微博号等硕大的二维码干扰消费者扫码支付。
记者蹲点时发现,自动售货机的消费者多为年轻人。消费者在看到醒目的刷脸支付功能时,没有丝毫犹豫就直接点击。人脸被识别后,还需要输入手机尾号4位。随后,屏幕又跳转出广告以及下方的一行“小字”——授权获取性别、手机号、生日、常住城市等信息。没有考虑很久,一名消费者就点击了同意,完成支付。
硕大的“刷脸付”占据一半的屏幕
在地铁肇嘉浜路站,一台售货机将“微信刷脸支付”作为默认的首选项,并占据半个屏幕。选择扫码支付则需再次点击下方的选项。
售货机将“微信刷脸支付”作为默认的首选项
走访下来,地铁场景中也有不少自动售货机因相对老旧,不具备人脸识别支付功能,无需个人信息授权,可直接扫码支付。个别品牌的新设备亦可直接扫码支付。
在徐汇滨江绿地,自动售货机均为同一品牌“云灏智贩”。售货机默认提供扫码支付方式,同时具备人脸支付功能,各自的图标大小区分不明显,并且平行放置。但是,若选择刷脸支付,设备进入捕捉人脸信息的状态,马上比对出付款账号,同时显示“确认付款”的按钮,点击后扣款就会完成。相比上述某些设备的多次授权同意环节,这台设备似乎直接省略了。记者留意到,有一台售货机的人脸识别摄像头被人为刮花,已无法识别出人像信息。
2023年8月,国家网信办公开发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称“征求意见稿”)提到,使用人脸识别技术必须遵循“最少使用”和“最小存储”。其中,“最少使用”就是指,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案。
此外,《消费者权益保护法》也明确规定,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。
业内人士指出,根据《个人信息保护法》、“征求意见稿”以及《消费者权益保护法》的规定,市场上的部分自动售货机存在诱导或强制消费者使用刷脸支付、过度索取个人信息等情况,而且在向用户单独、充分告知上存在不规范的乱象,人脸信息的存储和传输安全上也不透明。而有些商家将收集信息种类、范围等重点内容隐藏在冗长的隐私协议、用户协议里,也是对消费者的误导。消费者购买一瓶水,根本没有时间去看那么长而密的用户协议,点击了所谓的“同意”,本身正是被误导的结果。
上海出手整治!
申通地铁被多部门约谈
伴随着人脸识别技术的广泛应用,为消费者带来便捷的同时,强制性、被动式、随意化“刷脸”消费对于个人信息安全也会带来一定的风险隐患。前期,上海市网信办根据媒体和市民举报,通过调研了解发现,上海部分地铁、公园、校园等场景下自动售货机普遍存在滥用人脸识别技术违规收集个人信息现象。
针对这一事关群众民生权益问题,上海市网信办主动作为,率先以地铁站内自动售货机为突破口,围绕巡查发现的诱导使用“刷脸”支付等违法违规收集人脸信息问题,会同市市场监管局、市国资委联合约谈申通地铁及三家涉事自动售货机运营企业,要求企业立整立改,并对个别重点头部企业开展了延伸检查。同时,指导上海申通地铁资产经营管理有限公司(以下简称:申通地铁)对全市范围地铁站内自动售货机人脸识别技术滥用问题进行全面整治。
申通地铁在上海市网信办的指导下,及时对全市地铁站内租赁经营的自动售货机进行摸排并督促整改,经查,目前共有14家企业运营地铁站1462台自动售货机,已对其中存在问题的829台暂停人脸支付功能,待整改完成后重新上线。
申通地铁表示,后续将进一步加强自动售货机运营企业的日常监管,严格按照《个人信息保护法》等法律法规要求,采取定期组织培训、专项巡查管理、建立处罚机制和纳入合同指标等措施,督促企业切实履行个人信息保护义务,真正从源头杜绝侵犯消费者个人信息问题。
上海市网信办相关负责人指出,人脸信息依法属于敏感个人生物信息,应在确保合规、安全,并取得消费者单独同意的前提下审慎使用。企业在不具有特定目的及充分必要性的场景,强制、诱导消费者使用人脸识别技术进行验证,属于过度收集消费者个人敏感信息的违法行为,因此,对于人脸信息的收集、存储、使用、传输、删除等各环节,企业都应该依法采取严格的保护措施。
下一步,上海市网信办将持续开展“亮剑浦江·2024”人脸专项整治行动,对相关重点场景人脸识别技术运用情况开展现场检查和“回头看”,对于问题严重、屡教不改的企业将予以执法处罚和媒体曝光,督促企业真正筑牢个人信息保护安全“防线”。欢迎广大网民积极参与,在日常消费过程中“非必要不使用、非必要不提供、非必要不许可刷脸”,如遇相关问题可通过以下渠道据实提供举报线索。