澳大利亚最大的五金零售商 Bunnings 近期获得行政复审法庭(Administrative Review Tribunal, ART)的裁决,为其恢复对顾客使用高强度人脸识别技术(FRT)开了绿灯。这不仅仅是一项技术性的法律裁决,它更是对数字时代基本隐私权的一次实质性、结构性的打击。这项裁决推翻了隐私专员关于非法使用的认定,从本质上证实了一个关键漏洞:公司打击犯罪的商业利益可以被视为一种“获许可的一般情况”('permitted general situation'),从而凌驾于收集敏感生物特征数据时需要明确客户同意的必要性之上。
这一结果清楚地说明了澳大利亚过时的隐私法(该法案起源于1988年)如何完全不适合管理一个充斥着实时、侵入性人工智能的世界。如果没有根本性的立法重置,每一个走进零售店、穿梭于公共场所或使用政府服务的澳大利亚人,都面临着在实时、国家级人工智能实验中成为不知情参与者的风险。
Bunnings的漏洞:安全凌驾于同意之上
2024年,澳大利亚信息专员办公室(OAIC)裁定,Bunnings 在2019年至2021年期间在62家门店部署 FRT,违反了多项《澳大利亚隐私原则》(APPs)。核心裁定是该零售商在未经同意的情况下收集了顾客的敏感生物特征信息(违反了 APP 3.3)。
行政复审法庭于2026年2月部分推翻了这一核心裁定。虽然法庭_同意_ Bunnings 违反了与透明度、通知以及未能进行适当风险评估相关的原则(APPs 1 和 5),但它关键性地裁定,收集生物特征数据是合理的。ART 认定此种使用属于一项例外情况:“获许可的一般情况”(具体来说,是为了打击严重的零售犯罪和保护员工免受暴力侵害的必要性)。
这就是转折点。这项裁决默认批准了这样一种观点:组织对其自身安全风险的评估足以绕过获取敏感生物特征数据客户同意的高门槛。使用 FRT——一种不加区分地捕获每一位顾客(而不仅仅是嫌疑犯)面部特征的技术——被认为是一种相称的回应。这实际上降低了针对零售和公共生活中一系列人工智能应用的监管护栏。
40年前的法律遭遇21世纪的人工智能
《1988年隐私法》(Privacy Act 1988)是为基于纸质文件的模拟世界设计的。尽管澳大利亚政府一直在推行改革——最值得注意的是通过《2024年隐私及其他立法修正案》(Privacy and Other Legislation Amendment Act 2024),该法案引入了新的 OAIC 执行权以及最终针对严重侵犯隐私行为的法定诉因——但与人工智能的超高速普及相比,其速度仍显得过于缓慢。
Bunnings 案展示了现有法律框架面对能够在毫秒内处理和丢弃数据的AI时的脆弱性。虽然改革要求企业最终必须在其隐私政策中披露自动化决策的使用(将于2026年12月生效),但 ART 的裁决表明,在实践中,一项广泛的安全例外条款现在就可以用来证明在未事先批准的情况下进行最具侵入性的数据收集是合理的。
实时反乌托邦实验
除了零售业,这种法律环境鼓励了高强度人工智能向日常生活的扩张,使澳大利亚公民成为一个不断扩大、不受约束的监视网络的主体。
- 政府越权: 在疫情期间,州政府试行了结合 GPS 追踪和人脸识别检查的居家隔离应用程序,引发了人们对任务蔓延和数据集中化的担忧。
- 国家数据库雄心: 协调国家人脸识别数据库和身份识别系统(“国家面部生物特征匹配能力”)的努力一直在进行中,澳大利亚联邦警察局(AFP)等执法机构已经使用了从第三方供应商获取的有争议的社交媒体衍生数据库。
- 无形零售监控: 人工智能的转变并不局限于 FRT。零售商越来越多地实施人工智能驱动的视频分析、智能摄像头和用于欺诈检测、供应链优化和个性化营销的算法系统。这些旨在“运营效率”的系统,收集店内行为、移动和购买模式的实时数据,所有这些都汇入了巨大的商业数据流。
当一项重大的法庭裁决确认,只需援引“获许可的一般情况”,即可进行最具侵入性的数据收集时,这为企业扩大对我们生物特征和行为信息的捕获提供了危险的绿灯,使得同意成为可选的限制。
唯一的监管切入点:“瞬间收集”
ART 裁决中出现了一个虽小但至关重要的隐私胜利点。法庭确认了 OAIC 的立场:FRT 系统对人脸数据稍纵即逝的、毫秒级的捕获,仍构成《隐私法》(Privacy Act)下的正式**“收集”**行为。
这种法律解释是一个胜利,因为它意味着实时数据处理——现代人工智能的引擎——不能仅仅通过声称数据只被保留了一瞬间就逃避监管。这一原则对广告技术、算法验证以及任何瞬间处理生物特征或个人身份信息的系统具有深远影响。然而,在没有强有力的、基于同意的规则的情况下,仅靠这一法律切入点不足以阻止监控的浪潮;它仅仅意味着监控必须被正确记录。
澳大利亚人接下来可以做什么
随着监管改革滞后和法律漏洞被利用,推动立即变革的责任落在了消费者、行业和倡导者身上。我们需要一个有_红线_的立法框架,而不仅仅是合规清单。
对消费者和行业的行动呼吁:
| 行动领域 | 实际步骤 | 在Bunnings裁决后为何重要 |
|---|---|---|
| 要求明确 | 始终寻找并阅读隐私标识和政策。如果提到了 FRT,以_书面形式_向店经理询问有关数据保留和谁有权访问的详细信息。 | ART 维持了关于透明度和通知的违规认定。只有消费者要求,行业才会改进标识。 |
| 推动政策 | 支持呼吁全面实施《隐私法》审查建议的倡导团体,特别是严重侵犯隐私的法定侵权行为。 | 这为个人提供了直接的法律追索权来应对侵入性 AI 实践,而不必仅仅依赖 OAIC。 |
| 行使 APPs | 根据《隐私法》的访问原则,正式向零售商索取其收集的个人数据副本(包括生物特征扫描或矢量集)。 | 这迫使公司充分审计和披露他们持有的关于您的数据,即使收集是“瞬间的”。 |
| 审查 AI 使用 | 当零售商声称 AI 使用是为了“安全”或“效率”时,请考虑其相称性。阻止入店行窃是否足以证明收集_每位_顾客的生物特征档案是合理的? | 相称性是 ART 裁决中的核心问题。社区的反对可以迫使平衡向隐私倾斜。 |
对人工智能采取“轻触式”监管方法的时代已经结束。Bunnings 的裁决证实,澳大利亚目前的法律是这种反乌托邦自动化循环的一个特点,而非缺陷。是时候像对待基本人权一样对待生物特征数据,并相应立法了,以免实验完成,监控状态成为不可逆转的现实。
