过去一年，从央视315晚会曝光多家线下门店违规使用人脸识别摄像头分析消费行为，到一些小区居民遇到“不刷脸就回不了家”的无奈，再到“深度伪造”等技术的使用门槛不断降低，人脸识别应用面临了不少挑战。

12月17日，由南都个人信息保护研究中心主办的“2021啄木鸟数据治理论坛”在北京举行。南都人工智能伦理课题组在会上发布了《人脸识别应用场景合规报告（2021）》（以下简称“报告”），对20款移动端人脸识别应用的合规情况进行了测评分析。

报告显示，六成具有人脸识别功能的App没有单独的人脸识别规则。从具体场景来看，支付转账类整体表现较好，而娱乐特效、门禁等领域的App在规则告知方面较为欠缺。另外经技术测评，所测4款娱乐特效App未对个人信息进行加密传输，人脸图片链接可被公开访问，存在较大的安全风险。

六成没有单独人脸识别协议，刷脸支付“告知同意”较为合规

今年7月3日，一则“人脸识别一定要穿上衣服”的词条火上热搜。很多用户误以为人脸识别系统只会将人脸部分的信息上传，于是他们可能在趴在被子里时、洗澡、和另一半拥抱时做人脸识别。殊不知，人脸以外的部分也被摄像头记录下来，被别人看到。

这一尴尬背后反映了App人脸识别功能在普及的同时，其收集个人信息的方式与公众认知存在一定差异。结合多个安卓应用商店内App下载排名情况和互联网公开平台的用户投诉情况，课题组选择支付转账、实名验证、物业门禁、娱乐特效等20款App进行测评。

结果显示，仅有8款App在用户使用人脸识别功能前单独提示相关规则，包括“云闪付”“中国工商银行”“支付宝”“京东金融”“淘宝”“京东”“中国农业银行”“QQ”。

具体到场景类别——在刷脸支付场景下，被测App都会在用户开通刷脸支付时向其显示人脸识别规则。例如“支付宝”“淘宝”的《生物识别服务通用规则》，“京东”“京东金融”的《京东人脸服务协议》，“云闪付”的《人脸识别服务协议》《面容支付协议》，“中国工商银行”的《刷脸支付业务协议》。

在一次性的实名验证场景下，只有“QQ”“中国农业银行”和“淘宝”3款App显示了人脸识别规则。

娱乐特效领域的4款App都没有单独的人脸识别规则。但“趣演”“ZAO”会有简短提示人脸信息的处理规则，例如，“趣演”在用户触发“AI换装“功能时会弹出提示，告知“人脸照片在视频合成后会立即删除，不会保留你的人脸照片和数据”。

“趣演”的弹窗告知

两款物业门禁类App中，“瞳景社区”则在录入人脸前没有出示任何协议；“亲邻开门”则会弹出《亲邻人脸开门服务协议》。但该协议并非专门针对人脸信息的处理，未对人脸信息的处理规则做具体说明。

报告显示，在8款提供单独人脸识别规则的App中，也存在提示不到位的情况。比如“支付宝”“淘宝”“中国工商银行”三款App开通人脸支付功能时，没有获得用户的明示同意。

此外，“中国工商银行”有支付转账、实名验证等多种刷脸场景，但有的场景提示人脸识别规则，有的场景不提示。具体表现为，在设置开启“线下商户刷脸支付”功能时，App会向用户显示《刷脸支付业务协议》；在使用“云保管”（一项云存储功能）时，尽管需要用户用人脸登录，但这一环节不会向用户出示任何人脸识别规则——用户点击一个按钮，就能直接进入人脸验证。

2）人脸识别规则差距大，存储位置和时限告知不明

报告显示，与隐私政策不同，不同App的人脸识别协议的框架不同，其详细程度、内容差别也较大。

例如，《QQ人脸识别功能服务协议》一共只有简短的三段，并未说明人脸信息的储存期限、储存方式、处理规则等信息。《云闪付App人脸识别服务协议》告知了关闭人脸登录服务的具体步骤和人脸识别未通过时的解决办法等内容，并表明将依据隐私政策保护用户信息，在协议更新时将告知用户并征求同意。

测评结果显示，很多App人脸识别规则没有告知存储时限或位置，仅有6款App提及人脸信息存储情况。

“京东”“淘宝”“中国农业银行”“京东金融”4款App称将在“必需的时限”内保存人脸信息；“淘宝”进一步承诺，完成验证服务后将及时删除人脸原始图像。与“淘宝”形成对照的是，“中国工商银行”表示，每次验证中拍的图片都可能被保存，以帮助修正算法。

关于存储位置，只有“支付宝”1款App承诺录入的生物识别信息保存在设备本地——“您录入的生物识别信息将仅保存在该设备上，一旦您更换设备，你需要在新的设备上重新录入生物识别信息”。

3）娱乐特效App人脸图片链接可被公开访问

报告还利用技术手段对20款App做了数据安全检测。数据安全检测通过安装启动被测App、登录实体账号并触发人脸采集上传功能，采用逆向分析、数据抓包等技术手段检测相关应用在真实环境下的个人信息收集、网络传输情况。

测评结果显示，20款App中，16款对个人信息作了信息加密和传输加密处理，另有4款娱乐特效App存在问题。

比如“趣演”没有对人脸信息进行加密处理。该App的“AI换装”功能是通过用户上传照片，然后选择视频模板后可生成一段换脸视频。但由于没有加密措施，用户的换脸视频的链接可被公开访问。这意味着，换脸视频可能被任何人获取。

“趣演”的换脸视频可被公开访问

“ZAO”“更美”“新氧医美”等3款App，尽管使用了HTTPS安全传输协议，但没有对数据本身加密，导致用户的人脸照片等信息被上传服务器后，服务器返回链接可被互联网公开访问。课题组将相关链接复制到浏览器中，可以直接查看对应的信息。这意味着，攻击者一旦截获传输数据包，就将获得用户的一系列敏感个人信息。

报告认为，人脸识别应用软件在规则告知和技术安全方面呈现出良莠不齐的现象，不同场景的应用在合规方面差距明显。头部银行和互联网平台企业在规则制定方面较为规范，但仍在政策透明度方面有明显问题，而部分娱乐特效类App则出现了非常明显的安全漏洞，可能成为人脸识别领域隐私泄露的“重灾区”，应当引起开发者的重视。（文/南都人工智能伦理课题组研究员李娅宁 胡耕硕）