一年来，从央视315晚会曝光多家线下门店违规使用人脸识别摄像头分析消费者行为，到部分社区居民“不刷脸不能回家”的无奈，再到“深度伪造”等技术的使用门槛，人脸识别的应用面临诸多挑战。

12月17日，由杜南个人信息保护研究中心主办的2021啄木鸟数据治理论坛在京举行。会上，杜南人工智能伦理研究组发布了《人脸识别应用场景合规报告(2021)》(以下简称《报告》)，对20款移动人脸识别应用的合规性进行了评估分析。

报告显示，60%具有人脸识别功能的app没有单独的人脸识别规则。从具体场景来看，支付和转账类整体表现较好，而娱乐特效、门禁等领域的App缺乏规则通知。此外，通过技术评测，测试的四款娱乐特效app不加密传输个人信息，人脸图片的链接可以公开访问，存在很大的安全隐患。

其中六成没有单独的人脸识别协议，刷脸的“知情同意”支付更合规

今年7月3日，“人脸识别必须穿衣服”这个词条火了。很多用户误以为人脸识别系统只会上传人脸部分的信息，所以可能会在躺在被子下、洗澡、拥抱另一半的时候做人脸识别。众所周知，脸部以外的部分也被摄像头记录下来，被别人看到。

这种尴尬反映出在App人脸识别功能普及的同时，个人信息的收集方式与公众认知存在一定差异。结合多个安卓应用商店app下载排名和开放互联网平台用户投诉情况，课题组选取了支付转账、实名验证、财产门禁、娱乐特效等20款app进行测评。

结果显示，在用户使用人脸识别功能前，单独提示相关规则的app只有8款，包括中国银联快通、工商银行、支付宝、京东金融、淘宝、JD.COM、农行、QQ。

具体到场景类别——在刷脸支付场景下，测试的App会在用户开启刷脸支付时向用户显示人脸识别规则。比如支付宝和淘宝的生物特征识别服务通用规则，JD.COM和京东金融的JD.COM人脸服务协议，中国银联快通的人脸识别服务协议，人脸支付协议和中国工商银行的人脸支付服务协议。

在一次性实名验证场景下，只有QQ、农行、淘宝三个app显示人脸识别规则。

娱乐特效领域的四款app都没有单独的人脸识别规则。但是，“趣味秀”和“ZAO”会有一个简短的规则来提示人脸信息的处理。比如用户触发“AI换装”功能时，会弹出“视频合成后会立即删除人脸照片，不会保留你的人脸照片和数据”。

“趣味表演”的弹出通知

两个物业门禁app中，“御景小区”在入脸前未显示任何协议；如果“近邻开门”，会弹出近邻人脸开门服务协议。但是，该协议并不专门用于人脸信息的处理，也没有规定人脸信息的处理规则。

报告显示，在8款提供单独人脸识别规则的app中，也存在提示不到位的情况。比如支付宝、淘宝、工商银行三个app，在开启刷脸支付功能时，并没有得到用户的明确同意。

此外，“工商银行”有支付转账、实名验证等多种刷脸场景，但有些场景提示人脸识别规则，有些则没有。具体来说，开启“线下商户刷脸支付”功能时，App会向用户展示刷脸支付服务协议；在使用“云存储”(一种云存储功能)时，虽然要求用户使用人脸登录，但这个链接不会向用户显示任何人脸识别规则——用户只需点击一个按钮就可以直接进入人脸验证。

2]人脸识别规则差距很大，存放地点和时限不详

报告显示，与隐私政策不同，不同app的人脸识别协议框架不同，细节和内容也有较大差异。

比如QQ人脸识别服务协议中只有短短的三段话，没有规定人脸信息的保存期限、保存方式、处理规则等信息。《中国银联快通App人脸识别服务协议》讲述了关闭人脸登录服务的具体步骤和人脸识别失败时的解决方案，并表示将根据隐私政策保护用户信息，协议更新时将告知用户并征求其许可。

测评结果显示，很多App人脸识别规则都没有告知存储时限或位置，只有6款App提到人脸信息的存储。

JD.COM、淘宝、中国农业银行和京东金融四家app表示，将在必要的期限内保存人脸信息。淘宝进一步承诺，完成验证服务后将及时删除原人脸图像。与淘宝相反，中国工商银行表示，每次验证时拍摄的照片可能会被保存，以帮助纠正算法。

至于存储位置，只有支付宝1 App承诺输入的生物特征信息存储在设备本地——“您输入的生物特征信息只会存储在设备上，一旦更换设备，您需要在新设备上重新输入生物特征信息”。

3]娱乐专题App人脸图片链接可公开访问

报告还利用技术手段对20款app做了数据安全测试。安全检测通过安装启动待测app，登录实体账号并触发人脸采集上传功能，利用逆向分析、数据抓取等技术手段，检测真实环境下相关应用的个人信息采集和网络传输。

测评结果显示，20款app中，16款存在加密个人信息和加密传输的情况，另外4款娱乐特效app存在问题。

比如“趣秀”不加密人脸信息。App的“AI换装”功能是用户上传照片，然后选择视频模板，生成换脸视频。但由于没有加密措施，用户的变脸视频的链接是可以公开访问的。这意味着任何人都可以获得变脸视频。

《趣味秀》的变脸视频可以公开访问。

“ZAO”、“更美”、“新氧医美”等三款app虽然使用了HTTPS安全传输协议，但数据本身并没有加密，导致用户的脸部照片等信息上传到服务器后，服务器返回的链接可以被互联网公开访问。通过将相关链接复制到浏览器，课题组可以直接查看相应的信息。这意味着一旦攻击者截获传输数据包，他将获得用户的一系列敏感个人信息。

报告显示，人脸识别的应用软件在规则告知和技术安全方面呈现出良莠不齐的现象，不同场景下的应用之间合规性存在明显差距。头部银行和互联网平台企业在规则制定上相对规范，但在政策透明度上仍存在明显问题，而一些娱乐特效app存在明显的安全漏洞，可能成为人脸识别领域隐私泄露的“重灾区”，应引起开发者的重视。

文/杜南人工智能伦理研究组研究员李胡更硕