從中國“人臉識別第一案”一審宣判到售樓處暗中使用人臉識別，從北京推出人臉識別垃圾桶到東莞公廁停用人臉識別供紙機，過去一年中，人臉識別應用正在經歷越來越嚴格的公眾審視。

12月22日，由南都個人信息保護研究中心主辦的“2020啄木鳥數據治理論壇”在北京舉行。南都人工智能倫理課題組在會上發布了《移動端人臉識別應用合規報告》（以下簡稱“報告”），其中的技術測評由中國金融認證中心（CFCA）提供支持。

報告顯示，四成被測應用（包括App、小程序和公眾號）的隱私政策透明度處于較低及以下水平，學校管理、商業零售類應用的透明度平均分最低，甚至有商場欺騙誘導用戶“刷臉”；部分小區門禁App明文傳輸人臉照片、房產證、租房合同等敏感信息，存在較高的安全風險。

四成應用隱私政策透明度較低 人臉信息共享不合規現象突出

結合多個應用商店的下載量排名和網絡公開平臺的用戶投訴情況，南都人工智能倫理課題組（以下簡稱“課題組”）選取了50款具有人臉識別功能的移動應用進行測評，涉及園區門禁、開戶銷戶、支付轉賬、商業零售、學校管理、政府辦事、換臉娛樂等七個類別。

50款被測人臉識別應用。

隱私政策透明度，是本次測評的項目之一。透明度越高，意味著隱私政策中有關個人信息處理規則的描述越清晰。依據得分，透明度可劃分為五級：高（91分及以上）、較高（76分至90分）、中等（61分至75分）、較低（41分至60分）、低（40分及以下）。

測評顯示，隱私政策透明度處于中等及以上的應用有30款，占比60%；透明度處于較低及以下水平的應用有20款，占比40%，其中4款應用沒有隱私政策，得分為0。

從七類應用的平均分來看，支付轉賬與開戶銷戶類應用的隱私政策透明度較高，分別得到88分和86.7分；換臉娛樂（54.5分）、園區門禁（41.9分）、政府辦事（40.5分）類應用的隱私政策透明度較低；學校管理（40分）和商業零售類（36.83分）應用的隱私政策透明度則處于低水平。

相較于一般的移動互聯網應用，人臉識別應用的特殊之處在于，在很多情況下需要通過間接方式獲取人臉照片等個人信息。

然而，測評結果顯示，41款應用（約占82%）沒有明確披露第三方可能使用個人信息的情況；39款應用（約占78%）沒有說明是否通過間接方式收集個人信息，也沒有承諾確認信息來源的合法性。

與之相對應的，是現實中突出的個人信息共享不合規現象。

這種情況，以小區門禁應用最為典型。課題組實際走訪多個小區后發現，人臉照片等個人信息通常不是由居民自行上傳，而是由物業統一收集。還有部分小區將業主與租房者區分，租房者的個人信息由業主收集。

據課題組調研，物業人員和業主在收集個人信息時，普遍不會向居民告知個人信息處理規則。在一些小區，物業或業主完成人臉采集、信息登記等操作后，居民便自動開通相關App或小程序賬號，許多居民甚至不知道這些賬號的存在。

一款App自動開通了居民的賬號，而且居民只能修改部分個人信息。

類似的問題，在學校管理、商業零售類應用中同樣普遍存在：學生、顧客的人臉照片由老師、商家收集，作為個人信息主體的學生、顧客并未作出授權同意，甚至對個人信息收集毫不知情。

這樣的信息收集與共享行為，顯然違背了現行法律法規中關于告知和知情同意的要求。

學校管理與商業零售類應用擴張迅速 但隱私政策透明度最低

2019年，“人臉識別進校園”案例密集出現，引來頗多社會爭議。一些學校引進了可以分析學生情緒的人臉識別應用，又在受到輿論質疑后紛紛停用。

一年過去，課題組調研發現，校園內的情緒識別應用雖已“銷聲匿跡”，其他類型的人臉識別應用卻仍然呈現擴張態勢，涉及校園門禁、考勤管理、迎新注冊、餐飲消費等場景。

課題組選取了六款學校管理類應用進行測評，發現其隱私政策的平均透明度得分僅為40分。

在這些應用的隱私政策中，還有一些令人哭笑不得的“霸王條款”。例如，“簽到莢”隱私政策聲稱，“本網站及APP不擔保服務一定滿足用戶的要求，也不擔保服務不會中斷，對服務的及時性、安全性、出錯發生都不作擔?！?，“用戶自己承擔所有的風險和責任”。

“簽到莢”隱私政策。

比學校管理類應用表現更差的是商業零售類應用，平均透明度僅有36.83分，在七大類應用中排名最低。

商業零售類應用隱私政策透明度情況。

商業零售類應用主要是為了幫助商家識別用戶的身份，統計用戶數量、獲取用戶畫像。但這樣的精準識別與接待往往追求用戶“無感知”，商家普遍不會向用戶告知個人信息的處理情況。

值得注意的是，部分商家與工作人員甚至會巧立名目，以欺騙誤導的方式用戶刷臉。

以北京秀水街為例，該商場自2017年開始推廣基于人臉識別的導游返利系統。導游只要提前在秀水街App內填寫行程信息并上傳游客人臉照片，就能獲得游客消費的返利。據課題組調查，為了避免引起游客反感，導游往往會將拍照用途解釋為“保障游客安全”“防止游客走失”。

事實上，秀水街App不僅沒有隱私政策，還在注冊協議中把正當獲取游客照片的責任推給導游。協議稱，用戶應“合法獲得游客肖像權”，并“獲得肖像權者授權在本站的使用”，“如用戶與游客之間因肖像權產生糾紛，本站不承擔任何責任”。

“秀水街”隱私政策。

部分小區門禁停用后仍留存人臉信息 多款應用沒有注銷功能

根據《中華人民共和國網絡安全法》，個人信息主體有權要求網絡運營者刪除其個人信息。但報告顯示，在50款應用中，27款沒有提及產品或服務停止運營的情況，占比54%。

事實上，即便隱私政策中有相關條款，運營者也未必真正落實。

以睿視App為例，其隱私政策提到，停止運營后將通知用戶，同時刪除或匿名化處理用戶個人信息。然而，課題組成員走訪發現，一些小區的人臉識別設備已經停用，居民的個人信息卻仍然留存在睿視App內。部分居民甚至不知道自己擁有睿視App賬號，很難掌握后續的個人信息處理情況。

在CFCA的技術支持下，課題組還針對50款應用中的20款做了進一步的數據安全檢測，其中園區門禁類應用10款，商業零售類應用6款，學校管理類應用4款。

20款被測應用。

進一步測評顯示，20款應用中的14款存在難以注銷或刪除人臉信息的情況，約占70%。

需要指出的是，小區門禁難以注銷的問題尤為突出。例如，達管家、移動和小區、美關公、店客云及、簽到莢等App只有退出登錄/切換賬號等按鈕，沒有注銷按鈕。瞳景社區有注銷按鈕，但需要電話聯系客服操作。 

報告認為，網絡運營者應通過調整移動端應用的功能設置，為個人信息主體提供更明確、更好操作的信息刪除或注銷方式。在個人提出刪除要求后，或是網絡運營者的產品或服務停止后，運營者經及時刪除相關的人臉信息。法律法規另有要求的，運營者也應向個人信息主體作出說明。

有應用明文傳輸人臉照片及房產證 存在較高的信息泄露風險

數據傳輸安全是保障個人信息安全的關鍵環節。據CFCA安全專家介紹，網絡攻擊者可能截獲傳輸的數據包，進行數據竊聽、數據篡改、身份偽造等。因此，移動應用有必要采取加密等數據保護措施，降低人臉信息被攻擊者惡意獲取或破解的風險。

本次技術檢測顯示，20款被測應用中，有5款采用HTTP協議作為應用的網絡傳輸協議，其中2款采用該協議明文傳輸人臉照片（景區門禁1款，商業零售1款）。

一款應用采用HTTP協議明文傳輸人臉照片。

HTTP協議屬于明文傳輸協議，數據傳輸過程沒有任何信息安全保護措施，通信過程非常容易遭遇劫持、監聽、篡改，進而引發個人隱私泄露等嚴重的安全問題。

另有9款應用傳輸人臉照片時使用HTTPS安全傳輸協議，但沒有采取進一步的保護措施。信息安全從業人員認為，對人臉此類高度敏感的個人信息而言，不能僅依賴公開的安全傳輸協議，建議再添加一層單獨的數據保護。

今年以來，小區門禁應用呈現加速落地態勢，有效推動了基層管理與居民通行效率的提升。為了驗證居民身份，一些小區門禁應用會要求用戶上傳房產證、租房合同等信息。

本次檢測發現，3款小區門禁應用上了傳用戶的房產證或租房合同，其中一款為明文上傳，另兩款僅使用HTTPS協議。在網絡傳輸過程中，這些信息均存在泄漏風險。

門禁應用上傳房產證或租房合同。

技術檢測還發現，6款應用將用戶的人臉照片、身份證照片等個人信息上傳服務器后，服務器返回的鏈接可被互聯網公開訪問。將相關鏈接復制到瀏覽器中，可以直接查看對應的照片。

一款應用服務器返回的鏈接可被互聯網公開訪問。

這意味著，攻擊者一旦截獲傳輸數據包，就將獲得用戶的一系列個人敏感信息。例如，一款在安卓平臺下載量超過200萬的小區門禁應用明文上傳身份證正反面照片、房產證照片，服務器返回的圖片鏈接能被直接瀏覽或下載。

報告建議網絡運營者通過加密等多種數據保護措施，降低人臉信息被攻擊者惡意獲取或破解的風險。同時，網絡運營者需建立嚴格的內部管理措施，防止人臉信息被濫用，或是被非法提供給第三方。如無必要，網絡運營者應盡量避免存儲人臉原始圖片。

采寫：南都記者馮群星

編輯：馮群星

責任編輯：王超