由OpenAI 执行长 Sam Altman 支持的 Worldcoin 项目近期再度陷入隐私问题的争议。该项目因涉嫌违法收集用户个人信息而在多国遭到调查,近日更因非法收集韩国用户虹膜信息并将其转移至海外,被韩国个人信息保护委员会处以高额罚款。此次罚款金额高达11亿韩元,具体原因是 Worldcoin 在未经适当许可的情况下,非法收集了约3万名韩国用户的虹膜信息,并违反了韩国《个人资料保护法》的相关规定。
Worldcoin 项目由 Sam Altman 创立,旨在通过生物识别技术构建去中心化的全球身份识别系统——World ID。用户需要通过一种名为 Orb 的生物识别设备扫描虹膜,验证其身份后获得 World ID,并有机会领取 Worldcoin 代币。该系统的设计初衷是提供一种去中心化、不可伪造的身份识别方式,让每个人都能证明自己的独特性。
然而,正是这种大规模收集用户虹膜数据的做法,引发了全球范围内的隐私保护担忧。生物识别信息,尤其是虹膜数据,被认为是非常敏感的个人信息,且具有不可更改的特性。因此,Worldcoin 的数据收集方式和信息处理流程受到多国监管机构的密切关注。
据韩联社报道,韩国个人信息保护委员会去年 2 月接到投诉,称 Worldcoin 在韩国以换取虚拟资产的方式非法收集生物信息。这一投诉引发了委员会的调查,最终确认 Worldcoin 确实存在未经许可收集用户虹膜信息的行为。委员会在 9 月 25 日举行的第16次全体会议上,决定对 Worldcoin 基金会及其委托方 TFH 处以罚款。
根据调查结果,Worldcoin 基金会及其合作机构 TFH 在韩国共收集了约3万名用户的虹膜信息,并将这些信息未经充分告知和用户许可的情况下转移至海外,违反了韩国《个人资料保护法》。调查还显示,Worldcoin 在数据收集和处理过程中没有向用户明确说明收集目的、数据使用期限及保存方式,这直接违反了法律中对敏感信息处理的规定。
虹膜数据属于高度敏感的个人信息,能够唯一识别个人,因此根据法律要求,企业在处理此类信息时必须取得用户的明确同意。然而,Worldcoin 在韩国并未做到这一点。此外,Worldcoin 基金会和 TFH 在将这些数据转移至德国等海外国家时,没有告知用户此举,也没有提供让用户删除或停止处理其虹膜数据的途径。
委员会还发现,Worldcoin 在韩国未采取足够的措施避免14岁以下儿童下载 World App 并注册其平台。这意味着 Worldcoin 的数据保护和隐私合规方面存在严重不足,因此委员会决定对 Worldcoin 基金会处以7亿2500万韩元的罚款,并对 TFH 处以3亿7900万韩元的罚款,合计11亿韩元。
除了罚款之外,韩国个人信息保护委员会还向 Worldcoin 基金会提出了三项具体的整改要求,以确保未来的数据处理行为符合个人隐私保护的法律规定:
处理敏感信息时需建立单独的同意程序:Worldcoin 必须确保在收集和处理敏感的生物识别信息(如虹膜数据)时,用户可以明确同意其信息的使用范围和目的。
禁止将个人信息用于初次收集目的以外的用途:Worldcoin 应确保用户信息不会被用于未经用户同意的其他目的,防止数据滥用。
提供删除个人信息的功能:Worldcoin 必须允许用户能够方便地删除其个人信息,尤其是虹膜数据,确保用户对自己数据的掌控权。
此外,TFH 也被要求在其 World App 内增加年龄验证程序,防止14岁以下的未成年人注册。委员会官员表示,Worldcoin 已确认其收集的原始虹膜数据已全部删除,并承诺未来将确保任何用户可以要求删除或销毁其数据。
针对韩国当局的罚款和整改要求,Worldcoin 基金会迅速作出回应,表示完全尊重韩国个人信息保护委员会的决议。基金会还强调,已经实施了一系列保护个人数据的新安全措施,并采用了最新的匿名化技术。Worldcoin 表示将继续与韩国当局展开“有意义的对话”,以确保未来能够更好地遵守隐私保护相关法律。
然而,这并不是 Worldcoin 第一次因隐私问题受到审查。此前,Worldcoin 项目已因涉嫌侵犯个人隐私而在法国、英国、香港、哥伦比亚和阿根廷等多个国家遭到调查。此外,2023年8月,新加坡警方逮捕了五名涉嫌非法出售 Worldcoin 账户和代币的人士,表明 Worldcoin 的运营在全球范围内面临越来越多的监管挑战。
Worldcoin 的初衷是通过生物识别技术推动去中心化身份识别的普及,但这一目标的实现伴随着巨大的隐私保护挑战。生物识别数据,尤其是虹膜信息,具有高度的敏感性和唯一性,一旦泄露或滥用,将对用户造成无法挽回的后果。因此,如何在确保技术创新的同时保护用户隐私,成为 Worldcoin 必须面对的核心问题。
在全球多个国家,生物识别信息的收集和处理受到严格的法律监管。例如,欧盟的《通用数据保护条例》(GDPR)对生物识别数据的收集和跨境转移有着极为严苛的要求。韩国的《个人资料保护法》同样对敏感信息的处理有明确规定,要求企业在处理此类数据时必须获得用户的明确同意,并且要确保用户对其数据拥有完全的掌控权。
Worldcoin 项目面临的隐私问题反映了当今科技创新与个人隐私保护之间的矛盾。随着区块链技术和生物识别技术的快速发展,企业如何在创新过程中确保用户的个人信息不被滥用,已经成为亟待解决的关键问题。
在未来,Worldcoin 需要在合规性方面进行更多的努力,尤其是在数据透明性和用户知情权方面。通过与各国监管机构的合作,建立更加健全的数据保护机制,Worldcoin 才有可能在全球范围内继续推进其去中心化身份识别系统的愿景。
同时,这一事件也提醒用户,在使用涉及生物识别技术的应用时,必须提高警惕,了解数据如何被收集和使用,并确保自身的隐私权利得到充分保障。