过去一年,从央视315晚会上曝出多家线下门店违规使用人脸识别摄像头分析消费行为,部分社区居民面对“不刷脸不能回家”的无奈,以及“深度伪造”等技术使用门槛的不断降低,人脸识别应用面临诸多挑战挑战。12月17日,由南都个人信息保护研究中心主办的“2021啄木鸟数据治理论坛”在京召开。南都电源人工智能伦理研究组在会上发布了《人脸识别应用场景合规报告(2021)》(以下简称“报告”),对20款手机人脸识别应用的合规性进行了评估分析。报告显示,60%具有人脸识别功能的APP没有单独的人脸识别规则。从具体场景来看,支付、转账等整体表现较好,而娱乐特效、门禁等领域的APP在规则通知方面相对欠缺。此外,经过技术评估,受测的4款娱乐特效APP均未对个人信息进行加密传输,人脸图片链接可公开访问,存在较大安全隐患。60%没有单独的人脸识别协议,刷脸支付的“信息和同意”更加合规。今年7月3日,一条“人脸识别必须穿衣服”的词条登上热搜。很多用户误认为人脸识别系统只会上传人脸的信息,所以可能会在躺在被子里、洗澡时、拥抱另一半时进行人脸识别。殊不知,人脸以外的部分,也是被摄像头记录下来,被别人看到的。这种尴尬反映出,虽然该应用程序的人脸识别功能正在普及,但其收集个人信息的方式与公众的认知存在一定差异。研究团队结合多个Android应用商店的App下载量排名和互联网开放平台的用户投诉,选取了20款支付转账、实名认证、物业门禁、娱乐特效等应用进行测评。结果显示,仅有8款APP在用户使用人脸识别功能前分别提示相关规则,包括“银联闪付”、“工商银行”、“支付宝”、“京东金融”、“淘宝”、“京东””和“中国农业银行”。“QQ”。具体到场景类别——在刷脸支付场景下,被测APP会在用户开启刷脸支付时,将人脸识别规则展示给用户。比如“支付宝”和“淘宝”的《京东人脸服务协议》,“京东”和“京东金融”的《京东人脸服务协议》,“银联闪付”的《人脸识别服务协议》《面容支付协议》,“工行”的《刷脸支付业务协议》。在一次性实名认证场景下,只有“QQ”、“农行”、“淘宝”APP显示了人脸识别规则。娱乐特效领域的四款App都没有单独的人脸识别规则。不过《趣味秀》和《ZAO》都会对人脸信息的处理规则进行简单提示。例如,“趣秀”会在用户触发“AI换装”功能时弹出提示,告知“视频合成后会立即显示人脸照片”。删除,你的人脸照片和数据将不被保留。”“趣秀”弹窗提示,两款物业门禁APP中,“同景社区”进入人脸前未显示任何同意;“打开有亲戚的门”会弹出《亲邻人脸开门服务协议》。不过,该协议并没有专门针对人脸信息的处理,也没有规定人脸信息的处理规则。报告显示,在提供个人人脸识别的8款APP中规则,也有提示不到位的情况,比如“支付宝”、“淘宝”、“工商银行”三个APP在开通刷脸支付功能时,没有获取快递另外,“工商银行”有支付转账、实名验证等多种人脸识别场景,但有的场景提示人脸识别规则,有的场景没有。具体表现是hat启用“线下商户刷脸支付”功能后,应用会向用户显示《刷脸支付业务协议》;使用“云存储”(一种云存储功能)时,虽然要求用户进行人脸登录,但此链接不会向用户显示任何人脸识别规则——用户可以直接点击按钮进入人脸验证.2)人脸识别规则差异较大,存储位置和时间限制不明。报告显示,与隐私政策不同,不同应用程序的人脸识别协议框架不同,详细程度和内容也大不相同。例如,《QQ人脸识别功能服务协议》一共只有三段短文,并没有说明人脸信息的保存期限、保存方式、处理规则等信息。《云闪付App人脸识别服务协议》通知了关闭人脸登录服务的具体步骤及人脸识别失败时的解决办法,并表示将按照隐私政策保护用户信息,并在协议更新时通知用户并征求同意。测评结果显示,很多App人脸识别规则并没有告知存储时限和位置,只有6款App提到了人脸信息的存储。“京东”、“淘宝”、“农行”、“京东金融”四款APP声称将在“必要时限”内保存人脸信息;“淘宝”进一步承诺在完成验证服务后及时删除原人脸图片。对比“淘宝”,“工商银行”表示,每次验证时拍摄的图片可能会被保存,以帮助修正算法。至于存储位置,只有“支付宝”APP承诺会存储设备本地输入的生物识别信息——》您输入的生物识别信息只会存储在本设备上,一旦更换设备,需要保存在新设备上。重新输入生物特征信息”。3)娱乐特效类APP人脸图片链接可公开访问。报告还通过技术手段对20款APP的数据安全性进行了测试。数据安全检测安装并启动被测APP,登录实体账户并触发人脸采集上传功能,通过逆向分析、数据包抓包等技术手段,检测被测APP个人信息采集、网络传输等行为。实际环境中的相关应用。评估结果显示,20款APP中,有16款对个人信息进行了信息加密和传输加密,4款娱乐特效APP存在问题。比如《欢乐秀》就没有对人脸信息进行加密。该应用的“AI换脸”功能是在用户上传照片后选择视频模板生成换脸视频。但在没有加密的情况下,用户换脸视频的链接是可以公开访问的。这意味着任何人都可以获得换脸视频。“趣颜”的换脸视频可在“造”、“更美”、“新氧一美”三个APP中公开。虽然使用了HTTPS安全传输协议,但数据本身并没有加密,导致用户的面部照片等信息上传到服务器后,服务器返回的链接可以在互联网上公开访问。课题组将相关链接复制到浏览器中,即可直接查看相应信息。这意味着一旦攻击者截获了传输的数据包,他将获得用户的一系列敏感个人信息。报告称,人脸识别应用软件存在规则通报和技术安全参差不齐的现象,不同场景的应用合规性存在明显差距。龙头银行和互联网平台公司在规则制定上更加规范,但政策透明度仍存在明显问题,部分娱乐特效APP存在非常明显的安全漏洞,可能成为隐私泄露的“攻坚战”人脸识别领域。灾区”,应该引起开发者的重视。文/南都人工智能伦理课题组研究员李亚宁、胡更硕
