2023年8月23日,三名纽约市民对星巴克和亚马逊提起集体诉讼,指控两家公司在未事先告知的情况下收集顾客生物识别信息,违反纽约市《生物识别信息保护法》。争议围绕 Amazon Go-Starbucks 门店使用的 Amazon One 掌纹支付和 Just Walk Out 无接触购物技术:原告称门店未在入口张贴显著告示,而张贴的少量标志也未如实说明店内收集范围。案件尚未审结,但它把一个问题摆到台前——依靠“用户已同意隐私政策”能否替代法律要求的现场告知义务。
TL;DR
2023年4月,星巴克在西雅图扩展了 Amazon One 生物识别支付试点,顾客在店内自助机注册并登记掌纹即可挥手付款。此前星巴克已在纽约市两家 Amazon Go 概念店使用该系统,这次是首度在既有门店铺开。Amazon One 通过绑定信用卡或借记卡完成注册,将掌纹与预设卡片关联;Just Walk Out 则用一组传感器和摄像头追踪顾客取放的商品,离店时自动结算,省去排队结账。
原告 Alfredo Rodriguez Perez、Suzanne Mallouk 和 Arjun Dhawan 主张,纽约市《生物识别信息保护法》2022年1月生效时,两家公司未在门店入口张贴告示;媒体报道后虽于3月补贴标志,但“令人失望地”未达法律要求——一家有六个客户通道的门店仅在一处放了单一标志,且标志称只有使用掌纹扫描仪者才会被收集信息。原告认为,Just Walk Out 追踪的身体尺寸与形状等特征同样落入该法对生物识别信息的定义,因此无论顾客是否用掌纹机,进店都会被收集个人信息。
亚马逊抗辩称,其技术不收集可识别特定购物者的生物识别信息,而是依靠广泛、有区别的特征区分同时在店内的顾客;且用应用进店的顾客都同意了隐私政策,允许其用摄像头、传感器收集店内活动信息。2023年5月,亚马逊申请驳回诉讼,称“无接触购物”技术甚至不涉及原告援引的法律。综合双方主张,本案争议聚焦三点:
第三点尤其关键:亚马逊称三人此前都接受过其服务条款与隐私通知,应视为知情同意;原告则强调告知义务发生在“进入生物识别数据提取区之前”,一份宽泛的隐私政策难以替代现场的显著告示。
生物识别信息作为人的生物属性,具有唯一、不易变更的特性,一旦泄露难以补救,因此各国普遍对其施加更严的处理要求。美国的相关规则以州与市为主:伊利诺伊州《生物识别信息隐私法》(BIPA)设定了知情同意与私人诉权,纽约市则以现场告示义务为核心。这条监管线上的案例并不少,可参考美国个人生物特征信息保护法案综述、伊利诺伊州 BIPA 修正案,以及 Meta 以14亿美元与得州就生物识别数据诉讼达成和解。
在使用生物识别技术前,企业应先做数据保护影响评估,论证业务必要性:与非生物识别方式相比是否有显著优势、是否提供了非生物识别的替代选择、数据主体是否完全自愿参与,以及是否涉及未成年人。本案争议正落在“自愿性”上——数据主体在进入采集区前,控制者负有告知义务。技术层面则应建立全生命周期的安全保障:多因素身份认证、加密传输与存储、防火墙与入侵防护,避免原始生物识别数据批量泄露。英国 ICO 也曾就此发布《生物识别数据指南》草案。
星巴克-亚马逊案提醒在美经营的企业:同意不等于告知。即便用户在应用内勾选过隐私政策,只要现场采集生物识别信息,纽约市等法域仍要求在入口张贴清晰、显著、覆盖所有采集技术的告示。落地上,部署掌纹、人脸等生物识别方案的门店应确保:告示位置覆盖每个入口和通道、如实说明店内所有会收集生物识别信息的技术(而非只提掌纹机)、并为顾客保留非生物识别的替代支付方式。本案最终判决仍待跟踪,但其争议焦点已足以成为合规自查的清单。