过去一年,人脸识别的相关立法和监管措施相继出台。7月,最高人民法院出台《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》;11月,《中华人民共和国个人信息保护法》正式生效。法规出台后,人脸识别应用乱象是否得到遏制?公众对人脸识别应用的态度又如何?
12月17日,由南都个人信息保护研究中心主办的“2021啄木鸟数据治理论坛”在北京举行。南都人工智能伦理课题组在会上发布了《人脸识别应用场景合规报告(2021)》(以下简称“报告”)。报告从线下落地和线上应用两方面对人脸识别应用场景做了测评和调研,并针对一些焦点问题收集了公众意见。
北京小区强制刷脸进门现象仍普遍
在对北京市十个安装人脸识别门禁的小区调查中发现,尽管文件明令禁止,但强制刷脸现象在北京仍然普遍存在。所测十个小区中,有六个以不同形式强制居民录入人脸。
在一些小区,尽管设备是“刷脸刷卡一体机”,但刷卡区形同虚设。测评组从各小区保安、物业处了解到,六个强制刷脸的小区中,有的刷卡区不能工作;有的刷卡区被人为遮盖;有的虽然仍可以刷卡,但安装人脸识别后就不再给新来的居民办理门禁卡;有的则是不给租户提供门禁卡。报告认为,这些做法对小区的全部或部分居民构成“强制”。
此外,所测小区在收集人脸信息的“告知”方面都问题较大。本次测评的十个小区人脸识别门禁的办理流程都较为简单,一般只需“身份证+房产证”或“身份证+租房协议”,不需要居民签署任何书面授权同意书,也不会主动明示处理人脸信息的规则或者处理的目的、方式、范围等。
居民的人脸信息怎么储存、存在哪里?在这些公众关心的问题上,小区做法不一。有的小区明确存在本地,有的小区与第三方App合作,会将人脸照片上传到云端。不过,还有一些小区物业对人脸信息存储在哪儿并不清楚。
人脸信息删除方面,报告显示,所测小区都可以联系物业要求删除人脸信息,不过对租户有所不同。有的会根据租房合同的期限,在到期后自动删除租户的信息。而有的小区则不会主动删除,需要住户搬离小区时自己联系物业删除。而在两个必须绑定第三方App或小程序的小区,住户还需要联系App或小程序的客服注销账号,个人信息才会被删除。
此外,测评发现,大部分小区都不会向住户承诺对因人脸识别发生的安全风险负责。
报告还发现,一些写字楼物业同样强制楼内不同公司的员工刷脸进入,并且在对人脸信息的存储、使用、删除等流程中存在明显漏洞,可能有敏感个人信息泄露的风险。
六成应用无单独的人脸识别规则
除了线下落地测评,报告还结合多个安卓应用商店内App下载排名情况和互联网公开平台的用户投诉情况,选择支付转账、实名验证、物业门禁、娱乐特效等20款App进行测评。
结果显示,仅有8款App在用户使用人脸识别功能前单独提示相关规则,包括“云闪付”“中国工商银行”“支付宝”“京东金融”“淘宝”“京东”“中国农业银行”“QQ”。
人脸识别应用软件在规则告知方面呈现出良莠不齐的现象,不同场景的应用在合规方面差距明显。在刷脸支付场景下,被测App都会在用户开通刷脸支付时向其显示人脸识别规则。在一次性的实名验证场景下,只有少数App显示了人脸识别规则。而娱乐特效、物业门禁领域的被测App都没有单独的人脸识别规则。
报告显示,在8款提供单独人脸识别规则的App中,也存在提示不到位的情况。比如“支付宝”“淘宝”“中国工商银行”三款App开通人脸支付功能时,没有获得用户的明示同意。
测评发现,不同App的人脸识别协议的框架不同,其详细程度、内容差别也较大。很多App人脸识别规则没有告知存储时限或位置,仅有6款App提及人脸信息存储情况。
报告还利用技术手段检测了20款App在真实环境下的个人信息收集、网络传输情况。
测评结果显示,20款App中,16款对个人信息作了信息加密和传输加密处理,另有4款娱乐特效App存在问题。其中,“趣演”没有对人脸信息进行加密处理,用户的换脸视频的链接可被公开访问。这意味着,换脸视频可能被任何人获取。“ZAO”“更美”“新氧医美”等3款App,尽管使用了HTTPS安全传输协议,但没有对数据本身加密,导致用户人脸照片等信息被上传服务器后,服务器返回链接可被互联网公开访问。这意味着,攻击者一旦截获传输数据包,就将获得用户的一系列敏感个人信息。
近半数公众认为人脸识别有滥用趋势
报告显示,公众对人脸识别门禁的接受度较高——超过75%的受访者认为,出于安全防控需求,一些小区、写字楼等场所必须刷脸出入“有必要”,而只有约15%的受访者表示明确反对。
相比门禁管理,公众对在商业营销中使用人脸识别的接受度低一些,但仍有近半数的受访者可以接受线下门店使用人脸识别摄像头分析消费者行为。
在人脸识别技术落地成熟的同时,隐私泄露、网络攻击等风险逐渐显现,这可能对公众对人脸识别的信任度产生影响。报告显示,约63%的受访者认为人脸识别比较安全,而认为非常安全和不太安全的比例相当,都约为18%。
在认为人脸识别不太安全的受访者中,逾九成担心人脸信息被泄露、贩卖、冒用、盗用、挪作他用等,也有过半受访者因不知道原始人脸信息如何处理和保管、是否会被删除而感到担忧,其次才是对可能发生网络攻击、识别错误等技术层面的担忧。
近年来,因人脸识别造成的财产损失或隐私泄露事件屡被曝出,报告发现,这样的事件不是个例——约14%的受访者因人脸识别遭受过财产损失或隐私被侵犯,另有约19%的受访者不确定自己是否遭受损失。
报告认为,从受访者对人脸识别落地场景所表现的积极态度可以看出,大多数公众并不会因存在风险而抗拒人脸识别技术,而是更希望人脸识别的监管能够跟上,包括政府监管、立法监管、检测认证等。
