人臉識(shí)別是基于人的臉部特征信息進(jìn)行身份識(shí)別的一種生物識(shí)別技術(shù)。隨著人工智能技術(shù)的發(fā)展,人臉識(shí)別技術(shù)得到了快速發(fā)展。2020 年,由于新冠肺炎疫情期間各地對(duì)人員出入、到訪的精確管控,人臉識(shí)別技術(shù)被迅速推廣到社會(huì)治理的各類(lèi)場(chǎng)景;同時(shí)由于電話號(hào)碼、身份證號(hào)等個(gè)人信息已被廣泛地收集應(yīng)用,為了掌握更多精確的用戶個(gè)人信息及實(shí)施更高要求的風(fēng)險(xiǎn)控制,越來(lái)越多的 App 運(yùn)營(yíng)者在各類(lèi)場(chǎng)景中提出了人臉識(shí)別的要求。人臉信息作為個(gè)人信息中最為敏感的一類(lèi)“個(gè)人生物識(shí)別信息”,應(yīng)該成為重點(diǎn)關(guān)注和保護(hù)的對(duì)象。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(TC260)新修訂發(fā)布的 GB/T 35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》,對(duì)人臉信息等生物識(shí)別信息保護(hù)也提出“增強(qiáng)型”要求。
2021 年“兩會(huì)”期間,多位與會(huì)代表圍繞人臉識(shí)別問(wèn)題提交了提案,提出了申報(bào)審批、合法審核、主體自愿、依法打擊、專(zhuān)項(xiàng)治理、行業(yè)自律等建議。在現(xiàn)實(shí)生活中,為了防止被售樓處采集人臉信息,有人“戴頭盔”看房,越來(lái)越多的小區(qū)、樓宇通過(guò)變相“強(qiáng)制”的方式,推行刷臉開(kāi)門(mén)的現(xiàn)象屢屢被推上熱搜。人臉信息收集的問(wèn)題引起全社會(huì)強(qiáng)烈關(guān)注,人們對(duì)人臉信息能否得到有效保護(hù)提出了質(zhì)疑。App 作為人臉收集的重要渠道,是否做到了合法、正當(dāng)、必要的個(gè)人信息收集基本原則,對(duì)部分智能門(mén)禁系統(tǒng)、網(wǎng)上購(gòu)物、同城服務(wù)等服務(wù)類(lèi)型 App 的調(diào)研顯示,這些 App 在收集人臉信息方面主要存在問(wèn)題,同時(shí),部分 App 在實(shí)踐中也提供了較好的實(shí)現(xiàn)方案,可為同行借鑒。
一、App 收集人臉信息的方式和場(chǎng)景
App 在功能運(yùn)行或注冊(cè)過(guò)程中,由于業(yè)務(wù)需求和合規(guī)化要求,通常會(huì)采用以下兩種方式向用戶提出收集人臉信息的要求。
?。ㄒ唬┲苯邮占四樥掌?/p>
App 通過(guò)直接收集用戶人臉照片且關(guān)聯(lián)個(gè)人實(shí)名身份的方式進(jìn)行注冊(cè),從而滿足識(shí)別身份的功能要求。智能門(mén)禁類(lèi) App 通過(guò)線下或收集用戶房產(chǎn)證明確認(rèn)其為小區(qū)居民后,要求用戶線上上傳人臉照片,用于門(mén)禁開(kāi)門(mén)時(shí)對(duì)比人臉使用;注冊(cè)時(shí)收集用戶身份證正反面照片、用戶手持身份證照片,采用圖像識(shí)別技術(shù)提取身份、照片信息后驗(yàn)證用戶身份。通過(guò)這種方式收集的人臉信息與個(gè)人身份信息密切關(guān)聯(lián)起來(lái),一旦泄露,易被他人惡意使用。
(二)刷臉活體驗(yàn)證
App 通過(guò)其嵌入的人臉識(shí)別功能軟件開(kāi)發(fā)工具包(SDK)或調(diào)用相關(guān)數(shù)據(jù)接口等,采用動(dòng)作指令、近紅外人臉、3D 人臉等活體檢測(cè)方式驗(yàn)證用戶身份真實(shí)性。網(wǎng)上購(gòu)物類(lèi) App 在開(kāi)店或者訂單金額達(dá)到一定數(shù)額確認(rèn)支付時(shí),同城服務(wù)類(lèi) App 在用戶提現(xiàn)或發(fā)布房源信息時(shí),金融類(lèi) App 在用戶取款、借款、轉(zhuǎn)賬、支付綁定銀行卡時(shí),在商城第一次信用支付等場(chǎng)景下,均可能使用刷臉活體驗(yàn)證的方式核驗(yàn)用戶真實(shí)身份。這種驗(yàn)證方式收集的人臉信息更全面,可在驗(yàn)證用戶真實(shí)性的同時(shí)確認(rèn)其為真人、活體。
二、收集使用問(wèn)題分析
依據(jù)《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》,參考 GB/T 35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》有關(guān)要求,可以發(fā)現(xiàn) App 在收集使用人臉信息時(shí)存在違規(guī)現(xiàn)象,安全隱患較多。總的來(lái)看,存在六個(gè)方面問(wèn)題。
?。ㄒ唬┱T騙用戶提供人臉信息
部分 App 以實(shí)名認(rèn)證為由收集用戶人臉信息,卻在用戶提供相關(guān)信息后不做真實(shí)性核驗(yàn)。測(cè)試發(fā)現(xiàn),當(dāng)用戶 A 使用本人姓名,輸入用戶 B 的身份證號(hào)碼,或用戶 C 的人臉信息進(jìn)行實(shí)名認(rèn)證時(shí),實(shí)名認(rèn)證系統(tǒng)卻顯示認(rèn)證成功。究其原因,一是由于App 在調(diào)用第三方接口進(jìn)行用戶身份真實(shí)性驗(yàn)證,需要支付一定的費(fèi)用,當(dāng)數(shù)據(jù)達(dá)到一定量時(shí),對(duì)于運(yùn)營(yíng)者而言是一筆不小的開(kāi)支,因?yàn)闆](méi)有確實(shí)的業(yè)務(wù)需求,提出虛假真實(shí)身份驗(yàn)證功能以誘騙用戶真實(shí)信息;二是由于數(shù)據(jù)潛在的商用價(jià)值,運(yùn)營(yíng)者為獲取更多個(gè)人信息以備未來(lái)業(yè)務(wù)擴(kuò)容需求或增強(qiáng)安全風(fēng)控的不時(shí)之需,假借實(shí)名認(rèn)證的要求欺騙用戶提供人臉信息。這種“以欺詐、誘騙等不正當(dāng)方式誤導(dǎo)用戶同意收集個(gè)人信息”的做法即可被認(rèn)定為《App 違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》(以下簡(jiǎn)稱《認(rèn)定方法》)中第二類(lèi)“未經(jīng)用戶同意收集使用個(gè)人信息”。
?。ǘ┤四樞畔鬏敽痛鎯?chǔ)不安全
國(guó)家標(biāo)準(zhǔn) GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》要求“傳輸和存儲(chǔ)個(gè)人敏感信息時(shí),應(yīng)采用加密等安全措施”“僅存儲(chǔ)個(gè)人生物識(shí)別信息的摘要信息,摘要信息通常具有不可逆特點(diǎn),無(wú)法回溯到原始信息?!辈糠?App 在識(shí)別人臉過(guò)程中未采取加密等安全措施,明文傳輸用戶人像照片等信息或者在隱私政策中聲明存儲(chǔ)人臉信息的特征值,但對(duì)其所述特征值是否能滿足不可逆的、無(wú)法回溯原始信息的要求未進(jìn)行評(píng)估。人臉信息在采集、傳輸、保存、使用以及第三方調(diào)用過(guò)程中,可能會(huì)出現(xiàn)信息泄露,都可能導(dǎo)致人臉信息被進(jìn)一步濫用,從而給個(gè)人人身財(cái)產(chǎn)等造成危害。
(三)超范圍收集人臉信息
《網(wǎng)絡(luò)安全法》第四十一條規(guī)定“網(wǎng)絡(luò)運(yùn)營(yíng)者在收集、使用個(gè)人信息,應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則,公開(kāi)收集、使用規(guī)則,明示收集、使用信息的目的、方式、范圍,并經(jīng)被收集者同意”,《認(rèn)定方法》也將“用戶明確表示不同意后,頻繁征求用戶同意、干擾用戶正常使用”行為認(rèn)定為“未經(jīng)用戶同意收集使用個(gè)人信息”。部分 App 在未得到法律法規(guī)授權(quán),或未涉及社會(huì)公共利益、個(gè)人重大利益等場(chǎng)景下,強(qiáng)制要求用戶或使用頻繁打擾方式誘導(dǎo)用戶使用人臉識(shí)別功能。如在注冊(cè)、綁定銀行卡等情形時(shí)強(qiáng)制要求開(kāi)通人臉識(shí)別功能,或隱藏其他支付渠道,在每次訂單支付時(shí)反復(fù)提醒開(kāi)通人臉識(shí)別功能。將人臉信息作為綁定銀行卡、網(wǎng)上支付的必要信息,強(qiáng)制用戶提供,是一種變相的超范圍收集個(gè)人信息的形式。
(四)人臉信息處理規(guī)則不明
《消費(fèi)者權(quán)益法》第二十九條要求“經(jīng)營(yíng)者收集、使用消費(fèi)者個(gè)人信息,應(yīng)當(dāng)公開(kāi)其收集、使用規(guī)則,不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息”。于 2020 年 10 月公開(kāi)征求意見(jiàn)的《個(gè)人信息保護(hù)法(草案)》也以“告知—同意”規(guī)則為支點(diǎn),明確了同意處理個(gè)人信息的一般規(guī)則,即同意必須在充分知情前提下,自愿、明確地作出。部分 App 在隱私政策中,或在提醒用戶開(kāi)通人臉識(shí)別功能時(shí),對(duì)收集人臉信息的目的、方式和范圍未作明確地告知。由于國(guó)家對(duì)網(wǎng)絡(luò)實(shí)名制的要求并不適用于全部行業(yè)所有業(yè)務(wù)功能,僅僅注明“實(shí)名認(rèn)證”不能成為收集個(gè)人信息甚至敏感個(gè)人信息的合理理由。部分 App 在實(shí)名認(rèn)證收集人臉信息時(shí),應(yīng)將其所依據(jù)的國(guó)家法律法規(guī)、行業(yè)管理辦法的條款及要求明確說(shuō)明或援引,而大部分 App 將實(shí)名認(rèn)證目的描述籠統(tǒng)寫(xiě)成“依據(jù)法律法規(guī)及監(jiān)管要求”“相關(guān)規(guī)定”,有打政策擦邊球,泛化政策法規(guī)要求超范圍收集個(gè)人信息之嫌。
?。ㄎ澹┏诹舸嫒四樞畔?/p>
《網(wǎng)絡(luò)安全法》第四十三條規(guī)定,網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)按照雙方的約定收集、使用其個(gè)人信息。以實(shí)名認(rèn)證為由收集的人臉信息上傳至服務(wù)器端,應(yīng)按照與用戶約定的實(shí)名認(rèn)證功能使用,在調(diào)用第三方接口進(jìn)行真實(shí)身份比對(duì),目的已實(shí)現(xiàn)后刪除原圖像。很多 App 在實(shí)名認(rèn)證時(shí),沒(méi)有說(shuō)明此信息在完成相應(yīng)功能后將被刪除,在實(shí)踐中,大部分運(yùn)營(yíng)者會(huì)將此信息進(jìn)行留存。在國(guó)家法律法規(guī)提出了存儲(chǔ)要求時(shí),應(yīng)對(duì)企業(yè)的個(gè)人信息安全作充分地影響評(píng)估,確保系統(tǒng)信息保護(hù)機(jī)制達(dá)到相應(yīng)的要求。
(六)用戶權(quán)利缺乏保障
用戶個(gè)人信息的撤回同意權(quán)的保障是個(gè)人信息保護(hù)的重要內(nèi)容,《個(gè)人信息保護(hù)法(草案)》第四十七條規(guī)定,個(gè)人撤回同意時(shí),個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)或根據(jù)個(gè)人的請(qǐng)求刪除個(gè)人信息。絕大部分 App 沒(méi)有向用戶提供可以選擇刪除人臉信息的機(jī)制,用戶一旦開(kāi)通人臉識(shí)別,無(wú)法單獨(dú)撤回對(duì)人臉信息的同意。除非放棄賬戶里的所有權(quán)益,通過(guò)注銷(xiāo)賬號(hào)的方式才能刪除包括人臉信息的全部個(gè)人信息。部分 App 在開(kāi)通人臉識(shí)別功能的服務(wù)協(xié)議中,加入了不合理的“霸王條款”。比如“對(duì)完成認(rèn)證的用戶身份的準(zhǔn)確性不做任何保障”“用戶同意對(duì)認(rèn)證時(shí)提交的資料,不可撤銷(xiāo)地授權(quán)由 App 運(yùn)營(yíng)者保留”“向第三方共享認(rèn)證信息時(shí) App 運(yùn)營(yíng)者有權(quán)不告知用戶而直接提供”等。
三、人臉識(shí)別技術(shù)應(yīng)用良好實(shí)踐
試用測(cè)試除發(fā)現(xiàn)以上問(wèn)題外,同時(shí)也注意到部分 App 在收集人臉信息時(shí),從安全性和用戶權(quán)利保障方面提供了良好實(shí)踐。
一是直接使用移動(dòng)終端設(shè)備提供的人臉識(shí)別功能。如將人臉信息加密存儲(chǔ)在移動(dòng)終端設(shè)備的硬件中,在使用刷臉支付等功能時(shí),服務(wù)端并不回傳人臉信息,在移動(dòng)終端完成人臉信息的比對(duì),服務(wù)端僅接收終端設(shè)備驗(yàn)證結(jié)果。
二是為用戶提供單獨(dú)刪除人臉信息的功能。如門(mén)禁類(lèi) App 在用戶選擇關(guān)閉刷臉開(kāi)門(mén)服務(wù)時(shí),即視為不再使用該服務(wù),運(yùn)營(yíng)者承諾刪除此服務(wù)對(duì)應(yīng)收集的人臉信息。如用戶再次申請(qǐng)使用刷臉開(kāi)門(mén)服務(wù)時(shí),則需重新采集人臉信息。
三是將人臉識(shí)別作為一種可選方式供用戶自由選擇。如門(mén)禁類(lèi) App 除支持人臉識(shí)別開(kāi)門(mén),還可以提供手機(jī)呼叫開(kāi)門(mén)、密碼開(kāi)門(mén)、門(mén)禁卡開(kāi)門(mén)等多種方式,既保障生活的便利性又為用戶是否讓渡個(gè)人信息換取便利生活提供了選擇的權(quán)利。
四、對(duì)收集使用人臉信息的合規(guī)建議
人臉識(shí)別從剛出現(xiàn)到逐步推廣應(yīng)用,其“爭(zhēng)議”一直存在。事實(shí)上,這也是每個(gè)新技術(shù)新應(yīng)用出現(xiàn)時(shí)都要面臨的狀況。隨著廣大網(wǎng)民個(gè)人信息保護(hù)意識(shí)的不斷覺(jué)醒,安全和隱私的保障已逐漸成為人們決定是否嘗試新功能前的首要顧慮,網(wǎng)絡(luò)運(yùn)營(yíng)者單獨(dú)靠新鮮感、便捷度,已不足以對(duì)用戶產(chǎn)生足夠的吸引力。只有切實(shí)解決好人臉識(shí)別的安全問(wèn)題,才能讓人臉識(shí)別應(yīng)用之路走得寬、走得遠(yuǎn)、走得穩(wěn)。
除以上 App 收集使用人臉信息存在的問(wèn)題外,現(xiàn)實(shí)生活中,還存在未經(jīng)用戶同意通過(guò)智能攝像頭收集人臉信息等多種問(wèn)題。《人臉識(shí)別應(yīng)用公眾調(diào)研報(bào)告(2020)》顯示,被調(diào)研網(wǎng)民中半數(shù)以上給出了“人臉識(shí)別技術(shù)”有被濫用趨勢(shì)的判斷。人臉信息是極為敏感的個(gè)人信息,與個(gè)人切身利益息息相關(guān),一旦泄露,無(wú)法更改,亟待得到各方充分的重視。
對(duì)于監(jiān)管部門(mén)來(lái)說(shuō),一是應(yīng)盡快完善人臉識(shí)別、實(shí)名認(rèn)證相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范的編制,分應(yīng)用場(chǎng)景明確收集人臉信息的要求,為運(yùn)營(yíng)者合規(guī)化提供方向指引和操作指南;二是為達(dá)到一定規(guī)模的人臉識(shí)別技術(shù)的應(yīng)用設(shè)立審批制度,審核其合法、正當(dāng)和必要性,并依法打擊非法濫用和不合規(guī)安裝、使用人臉識(shí)別技術(shù);三是加強(qiáng)人臉識(shí)別技術(shù)、相關(guān)信息系統(tǒng)和終端設(shè)備的安全性的檢測(cè)與認(rèn)證,推動(dòng)人臉識(shí)別技術(shù)成熟度不斷提升,防止人臉信息的偽造、冒用、泄露、丟失。
對(duì)于運(yùn)營(yíng)者來(lái)說(shuō),應(yīng)著重考慮:1. 明確評(píng)估人臉識(shí)別技術(shù)應(yīng)用的必要性,在不會(huì)影響個(gè)人重大利益或社會(huì)公共利益的情形應(yīng)下,不優(yōu)先考慮使用人臉識(shí)別技術(shù)進(jìn)行個(gè)人身份準(zhǔn)確性核驗(yàn);2. 不宜將人臉識(shí)別技術(shù)設(shè)置為唯一的身份核驗(yàn)的手段,不應(yīng)強(qiáng)制要求或頻繁推薦用戶開(kāi)通基于人臉識(shí)別的相關(guān)功能;3. 向用戶明示人臉信息收集使用的規(guī)則,并建立嚴(yán)格的內(nèi)部管理措施,刪除人臉圖片等原始樣本,僅存儲(chǔ)人臉信息摘要,且與用戶身份信息分開(kāi)存儲(chǔ),防止人臉信息被濫用、非法提供給第三方。