“刷臉”之變：上海地鐵校園商超自動售貨機背後的個人信息保護

guancha

2024-12-03

針對部分公共場所強制和濫用人臉識別技術，2024年，上海深入推進“亮劍浦江•2024”專項執法行動。受上海市委網信辦委託，華東政法大學智能法學科成立評估組，作為第三方對專項執法行動開展評估調研。12月初，評估組將發佈評估報告。

2024年10月底，澎湃新聞曾實地走訪上海不同線路不同區域的10個地鐵站、4所高校校園、部分商超及公園綠地，一探公共場所人臉識別技術應用真實狀況。在評估報告發布前，再次發佈該走訪體驗，是為讓消費者切實感受上海市委網信辦、市場監督管理局等部門專項整治帶來的變化。

刷臉識別、刷臉驗證、刷臉支付……作為一項新的信息技術而被廣泛應用的“人臉識別”，在上海正得到有序規範，尤其是地鐵、校園、商超等消費場景下的自動售貨機“刷臉”問題已得到明顯改觀。

今年8月，上海市網信辦啓動“亮劍浦江·2024”人臉專項整治行動，聚焦多個重要場所“刷臉”問題。如今上海各處情況如何？澎湃新聞記者10月底實地走訪不同線路不同區域的10個地鐵站、4所高校校園、部分商超及公園綠地一探究竟。

與此同時，此前曾帶領學生團隊調研上海多所高校自動售貨機的高校教師劉傑（化名）也告訴澎湃新聞，上海及時發現自動售貨機過度索取個人信息問題，並迅速推動整改，這是推動個人信息保護的必要環節，但目前社會各界仍需加強聯動，以提升公民個人信息保護意識。

不同線路十地鐵站直擊：“刷臉”支付明顯改觀

“售貨機上買瓶水也要‘刷臉’。”今年7月，上海多家媒體報道，地鐵、校園、公園等公共場所的自動售貨機存在過度採集個人信息、誘導使用“刷臉”支付的情況，這可能導致公民個人信息泄露。

前期，針對市民反映的部分地鐵站內自動售貨機存在違規“刷臉”問題，上海市網信辦會同上海市市場監管局、上海市國資委依法聯合約談了三家自動售貨機運營企業，並指導申通地鐵對全市範圍地鐵站內自動售貨機的人臉識別技術濫用問題進行全面排查整治。

就自動售貨機的“刷臉”問題，澎湃新聞記者日前走訪了上海多個地鐵站點。

“申通地鐵對全市地鐵站內租賃經營的自動售貨機進行排摸後，發現有14家企業運營地鐵站1462台自動售貨機，已對其中存在問題的829台暫停人臉支付功能，待整改完成後重新上線。”在10月14日網信上海對外發布的消息中，上海市網信辦同時透露了申通地鐵排查的具體數據及整改措施。

10月24日至28日，澎湃新聞走訪上海不同線路、不同區域的10個地鐵站後發現，誘導使用刷臉支付的情況已得到明顯改善。

在地鐵8號線西藏南路站一處自動售貨機前，澎湃新聞發現，售貨機櫃體上顯示支付方式為刷臉或掃碼。同站點的“黑拾”智能櫃也顯示，支持微信、支付寶和數字人民幣等支付方式，消費者無需擔心個人信息被過度收集。

9號線宜山路地鐵站一處自動售貨機已沒有刷臉支付功能，澎湃新聞隨機選擇一款商品，頁面顯示支持掃碼、現金及刷卡支付。記者支付完成後很快就在售貨機下方取到了商品。

在12號線曲阜路站一個名為“黑拾”的自動售貨機前，澎湃新聞注意到，售貨機下方給出了明確的操作指示：點擊商品-選擇支付方式-支付完成出貨-取貨口取貨。記者隨機選擇一款商品，頁面顯示微信、支付寶和數字人民幣三種支付方式。

在地鐵4號線塘橋站一處自動售貨機前，澎湃新聞隨機選擇一款商品後，售貨機顯示支持手機移動支付客户端掃碼和現金兩種支付方式。在站台一台名為“友寶”的自動販賣機旁，工作人員正在整理櫃內貨品。記者注意到，該設備櫃體顯示“刷臉/掃碼開門，開門結算”。工作人員表示，該機器是新機器，“根據近期接到的通知，刷臉功能要關閉。”

11號線龍耀路站、12號線提籃橋站、9號線陸家浜路站、6號線東方體育中心站等多處地鐵站點的自動售貨機，均彈出微信和支付寶二維碼供消費者掃碼支付。這些售貨機外觀簡潔、支付操作簡單，無需進行復雜的綁定等步驟。龍耀路站一台農夫山泉自動售貨機櫃體更是貼心地顯示“本機推薦微信、支付寶購買”，為消費者提供更明確的支付指引。

此外，3號線宜山路地鐵站、9號線嘉善路地鐵站內的自動售貨機，除了支持支付寶、微信支付外，還支持銀聯和數字人民幣支付。

北京市京師（上海）律師事務所律師吳風虎表示，刷臉支付作為一種新興的支付方式，雖然提供了便利性，但也增加了個人敏感信息暴露的風險，例如刷臉支付需要對用户的面部特徵進行數據採集和存儲，這些個人信息數據可能會被他人非法獲取，從而導致用户面臨人臉信息泄露的風險。不法分子甚至可能利用這些泄露的或者通過非法手段獲得的人臉信息進行復制或者偽造，從而採取冒用身份的方式實施犯罪行為，進而給用户的人格尊嚴乃至人身財產安全造成重大損害。

“上海地鐵對於刷臉支付的整改舉措，無疑是對消費者個人信息保護的有力回應。”吳風虎説。

四所高校校園實測：大多數都支持掃碼支付

今年8月，澎湃新聞以《45台高校自動售賣機中40台索取個人信息，教師呼籲完善立法》為題，報道了高校教師劉傑（化名）指導7名法學生聚焦無人消費場景下的個人信息保護問題。

劉傑稱，通過對上海28所高校內的45台自動售貨機實地測試發現，僅有5台未收集消費者的個人信息。另外40台中多數需要綁定手機號碼，有的還存在誘導使用微信或支付寶刷臉支付的情況。

上海徐匯濱江綠地某自動售貨機存在強制綁定個人手機號的情況

10月24日至28日，澎湃新聞走訪上海4所高校校園。

在上海交通大學醫學院，澎湃新聞發現，校內自動售貨機大多采用微信或支付寶掃碼支付，且部分售貨機引導消費者利用微信支付分開通“免密支付”。記者隨機選取一件商品，機器跳出要求利用微信支付分，開通“先享後付”功能的界面。通過驗證支付密碼確認是本人操作後，即可開通小額免密支付。

上海交通大學醫學院的部分自動售貨機存在引導消費者利用微信支付分，開通“免密支付”的情況

華東師範大學閔行校區在校生反映，校內自動售賣機之前支持掃碼支付和刷臉支付兩種方式，但如今只支持掃碼支付，且不會要求消費者強制綁定。

上海大學寶山校區的自動售貨機大致分為兩種，其中大多數自動售貨機支持掃碼支付，只有部分支持刷臉支付和掃碼支付並行。記者注意到，支持掃碼支付的自動售貨機，在消費者首次使用時會要求用微信支付分，開通小額免密支付。部分之前只支持掃碼支付的自動售貨機，新加上了支持刷臉支付的功能。

澎湃新聞注意到，支持刷臉支付的機器基本上是通過關聯消費者支付寶賬號進行的。點擊刷臉支付後，機器攝像頭便會自動開啓識別人臉。

華東政法大學松江校區內的自動售貨機，也基本支持掃碼和刷臉兩種支付方式。在一個名為“嗨便利”的自動售貨機前，澎湃新聞注意到，該機器僅支持刷臉支付，通過刷臉綁定支付寶賬號後，消費者可以選擇“左門/右門開”，開門後選取商品、關門自動結算。

此外，在一個名為“古佘”的自動售貨機前，記者嘗試微信掃碼支付時，機器彈出了“申請獲取並驗證手機號”的頁面。頁面上有兩個選項，一個是綁定手機號碼，一個是不綁定手機號。當選擇不綁定時，頁面會自動跳回前一頁，也就是説，如果不綁定手機號，就無法完成付款。

在接受澎湃新聞採訪時，世輝律師事務所合夥人王新鋭表示，刷臉支付僅是實現支付方式中的一種，消費者有權選擇輸入密碼或者其他傳統的支付方式。

王新鋭提醒，收集面部識別信息（刷臉支付功能）並不是所有支付場景所必需。強制或誘導消費者刷臉支付，或是消費者拒絕刷臉就無法完成支付和交易等行為，違反了《個人信息保護法》確定的最小必要原則。

商超公園居民區探訪：整體情況良好

10月25日，在上海浦東機場T2航站樓，澎湃新聞發現，航站樓內一層自動售貨機已沒有刷臉支付功能。記者隨機選擇一款商品後，顯示可支持掃碼和現金兩種支付方式。

此外，航站樓內二層一個名為“海諾”的智能貨櫃櫃體雖然顯示可刷臉支付，但實際使用時僅支持掃碼和現金兩種支付方式。

10月25日，在位於上海靜安區的金鷹國際購物中心的“Sense Mart Go”自動售貨機前，澎湃新聞發現，該機器顯示屏顯示可用微信和支付寶支付。點擊“掃碼支付”後，機器顯示“點擊開門選購商品，關門即走自動結算”。點擊“開門購物”後，出現“申請獲取並驗證你的手機號”提示，此時有兩個選擇，一是被機器獲取微信綁定的手機號碼，二是“不允許”被獲取手機號碼。

上海靜安區金鷹國際購物中心內的自動售貨機

在記者選擇“不允許”後，機器依然自動開門。選購好商品後關閉機器門，手機小程序顯示“關門成功，請放心離開”。此時，小程序彈出給微信“發放一次以下消息”，有“拒絕”和“允許”兩個選項，其中“拒絕”選項較為顯眼，點擊“拒絕”也並不影響購物及支付。

在靜安區大寧國際商業廣場一台“豐e足食智能櫃”自動售貨機前，記者掃描二維碼後，機器門自動打開，在是否允許綁定手機號碼的選擇上，點擊“不允許”後，同樣不影響購物。

上海靜安區大寧國際商場內的自動售貨機

10月26日，華東政法大學學生小陳在上海世博園附近路邊，隨機找到一台自動售賣機。她發現，這次購物經歷與之前有了較大變化。

在確定想買的礦泉水後，小陳在自動售貨機上點擊確認，隨後機器顯示支付二維碼。“相比於之前，這次購物不用先關注公眾號、綁定手機號或刷臉。這台自動售賣機簡化了購物流程，且沒有出現索取個人信息的情況。”

在徐匯濱江綠地步道的一台名為“魔盒”的自動販賣機前，當記者嘗試微信掃碼支付時，該機器彈出兩個選項：綁定手機號碼、不綁定手機號。當選擇不綁定後，頁面自動跳回前一頁。也就是説，如果不綁定手機號，就無法完成支付無法購物。

“我只是想買瓶水，為什麼一定要綁定手機號呢？”有市民説。

廣富林遺址公園內的自動售賣機大多可以通過掃碼完成支付，並沒有刷臉支付這一方式，且掃碼後並沒有獲取消費者個人信息的行為。

10月30日，澎湃新聞還隨機走訪了上海虹口區和普陀區的兩處居民區，結果發現，自動售貨機均顯示可通過掃碼完成支付。其中，普陀某小區居民告訴澎湃新聞，她家樓下本來有兩台自動售貨機，需要刷臉後才能開門取貨。但前不久已更換為掃碼開門取貨。“相比留存人臉信息，這樣的支付方式更讓人放心一點，也更有安全感。”

合力共築個人信息安全防線

上海自動售貨機違規刷臉整治行動已初見成效，但要實現全面、有效的個人信息保護，仍需相關部門、涉事企業和消費者共同努力。

中國社會科學院大學法學院副教授、互聯網法治研究中心主任劉曉春認為，由於用户個人難以對人臉信息的具體處理進行了解和追溯，因此要求服務商自行做好內部合規，同時監管部門應做好相應的合規監管、執法和評估工作。

在與用户交互方面，服務商要做到充分的知情同意及讓用户瞭解信息處理的規範化。出於必要原則，服務商一方面要做好信息披露，將信息傳遞給消費者；另一方面自身對信息的處理也必須規範。

世輝律師事務所合夥人王新鋭認為，相關企業在處理人臉識別信息時，要向消費者告知處理面部識別信息的必要性以及對個人權益的影響，並就處理面部識別信息取得消費者的單獨同意。同時對數據的存儲、傳輸採取特定的安全技術措施，避免發生數據安全事件。而作為消費者，應避免在安全技術能力有限的服務商平台使用刷臉支付功能，如果已經開通刷臉支付，可以選擇關閉“刷臉”支付，或向服務商撤回同意要求其刪除相關信息。

“其實不必‘談人臉色變’，關鍵是要有正常的安全標準，保障相關技術的妥善使用。”劉曉春呼籲，未來能有第三方驗證工具，讓用户可以查看個人信息使用情況，類似手機查殺病毒的操作。同時，也期待有政府主導或第三方進行的安全審查評估，並披露相關信息，如對市面上涉及“刷臉”的經營者進行整體情況檢測，通過這種方式為用户提供更加充分的信息，建立消費者的信任和安全感。

劉傑則表示，上海及時發現了自動售貨機過度索取個人信息的問題，並迅速推動整改，取得了階段性成果，使這一司空見慣的“小事兒”成為了輿論關注的焦點，這本身也是推動個人信息保護的必要環節。只有讓更多的公民意識到個人信息保護的重要性、讓更多的企業意識到個人信息保護的責任感、讓更多的監管部門意識到個人信息保護的緊迫性，才能推動個人信息保護成為理所當然的“小事兒”。

劉傑認為，要繼續加強自動售貨機消費場景下的個人信息保護監管力度，通過警示教育、法治培訓、“回頭看”等方式，指導問題平台整改，提醒相關企業開展合規自查，進而提升所有自動售貨機服務商的個人信息保護法治意識和履責能力。

監管部門在行動

據瞭解，上海市網信辦已就自動售貨機涉個人信息保護問題開展整治，主要包括信息收集過度，隱私政策不透明、未獲得同意，以及強制或誘導使用人臉信息等。

在前期調研基礎上，上海市網信辦還將對規模較大、影響力較突出的自動售貨機企業進行集中普法培訓、合規指導，保障消費者個人信息權益，服務並幫助企業樹立合規意識，為新技術新應用依法、健康發展保駕護航。