App收集使用人脸信息现状研究

文│ 中国网络安全审查技术与认证中心 樊华；中国电子技术标准化研究院 何延哲；信息产业信息安全测评中心 陈萍

人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术。随着人工智能技术的发展，人脸识别技术得到了快速发展。2020 年，由于新冠肺炎疫情期间各地对人员出入、到访的精确管控，人脸识别技术被迅速推广到社会治理的各类场景；同时由于电话号码、身份证号等个人信息已被广泛地收集应用，为了掌握更多精确的用户个人信息及实施更高要求的风险控制，越来越多的 App 运营者在各类场景中提出了人脸识别的要求。人脸信息作为个人信息中最为敏感的一类“个人生物识别信息”，应该成为重点关注和保护的对象。全国信息安全标准化技术委员会（TC260）新修订发布的 GB/T 35273-2020《信息安全技术个人信息安全规范》，对人脸信息等生物识别信息保护也提出“增强型”要求。

2021 年“两会”期间，多位与会代表围绕人脸识别问题提交了提案，提出了申报审批、合法审核、主体自愿、依法打击、专项治理、行业自律等建议。在现实生活中，为了防止被售楼处采集人脸信息，有人“戴头盔”看房，越来越多的小区、楼宇通过变相“强制”的方式，推行刷脸开门的现象屡屡被推上热搜。人脸信息收集的问题引起全社会强烈关注，人们对人脸信息能否得到有效保护提出了质疑。App 作为人脸收集的重要渠道，是否做到了合法、正当、必要的个人信息收集基本原则，对部分智能门禁系统、网上购物、同城服务等服务类型 App 的调研显示，这些 App 在收集人脸信息方面主要存在问题，同时，部分 App 在实践中也提供了较好的实现方案，可为同行借鉴。

一、App 收集人脸信息的方式和场景

App 在功能运行或注册过程中，由于业务需求和合规化要求，通常会采用以下两种方式向用户提出收集人脸信息的要求。

（一）直接收集人脸照片

App 通过直接收集用户人脸照片且关联个人实名身份的方式进行注册，从而满足识别身份的功能要求。智能门禁类 App 通过线下或收集用户房产证明确认其为小区居民后，要求用户线上上传人脸照片，用于门禁开门时对比人脸使用；注册时收集用户身份证正反面照片、用户手持身份证照片，采用图像识别技术提取身份、照片信息后验证用户身份。通过这种方式收集的人脸信息与个人身份信息密切关联起来，一旦泄露，易被他人恶意使用。

（二）刷脸活体验证

App 通过其嵌入的人脸识别功能软件开发工具包（SDK）或调用相关数据接口等，采用动作指令、近红外人脸、3D 人脸等活体检测方式验证用户身份真实性。网上购物类 App 在开店或者订单金额达到一定数额确认支付时，同城服务类 App 在用户提现或发布房源信息时，金融类 App 在用户取款、借款、转账、支付绑定银行卡时，在商城第一次信用支付等场景下，均可能使用刷脸活体验证的方式核验用户真实身份。这种验证方式收集的人脸信息更全面，可在验证用户真实性的同时确认其为真人、活体。

二、收集使用问题分析

依据《App 违法违规收集使用个人信息行为认定方法》，参考 GB/T 35273-2020《信息安全技术个人信息安全规范》有关要求，可以发现 App 在收集使用人脸信息时存在违规现象，安全隐患较多。总的来看，存在六个方面问题。

（一）诱骗用户提供人脸信息

部分 App 以实名认证为由收集用户人脸信息，却在用户提供相关信息后不做真实性核验。测试发现，当用户 A 使用本人姓名，输入用户 B 的身份证号码，或用户 C 的人脸信息进行实名认证时，实名认证系统却显示认证成功。究其原因，一是由于App 在调用第三方接口进行用户身份真实性验证，需要支付一定的费用，当数据达到一定量时，对于运营者而言是一笔不小的开支，因为没有确实的业务需求，提出虚假真实身份验证功能以诱骗用户真实信息；二是由于数据潜在的商用价值，运营者为获取更多个人信息以备未来业务扩容需求或增强安全风控的不时之需，假借实名认证的要求欺骗用户提供人脸信息。这种“以欺诈、诱骗等不正当方式误导用户同意收集个人信息”的做法即可被认定为《App 违法违规收集使用个人信息行为认定方法》（以下简称《认定方法》）中第二类“未经用户同意收集使用个人信息”。

（二）人脸信息传输和存储不安全

国家标准 GB/T 35273-2020《信息安全技术 个人信息安全规范》要求“传输和存储个人敏感信息时，应采用加密等安全措施”“仅存储个人生物识别信息的摘要信息，摘要信息通常具有不可逆特点，无法回溯到原始信息。”部分 App 在识别人脸过程中未采取加密等安全措施，明文传输用户人像照片等信息或者在隐私政策中声明存储人脸信息的特征值，但对其所述特征值是否能满足不可逆的、无法回溯原始信息的要求未进行评估。人脸信息在采集、传输、保存、使用以及第三方调用过程中，可能会出现信息泄露，都可能导致人脸信息被进一步滥用，从而给个人人身财产等造成危害。

（三）超范围收集人脸信息

《网络安全法》第四十一条规定“网络运营者在收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式、范围，并经被收集者同意”，《认定方法》也将“用户明确表示不同意后，频繁征求用户同意、干扰用户正常使用”行为认定为“未经用户同意收集使用个人信息”。部分 App 在未得到法律法规授权，或未涉及社会公共利益、个人重大利益等场景下，强制要求用户或使用频繁打扰方式诱导用户使用人脸识别功能。如在注册、绑定银行卡等情形时强制要求开通人脸识别功能，或隐藏其他支付渠道，在每次订单支付时反复提醒开通人脸识别功能。将人脸信息作为绑定银行卡、网上支付的必要信息，强制用户提供，是一种变相的超范围收集个人信息的形式。

（四）人脸信息处理规则不明

《消费者权益法》第二十九条要求“经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息”。于 2020 年 10 月公开征求意见的《个人信息保护法（草案）》也以“告知—同意”规则为支点，明确了同意处理个人信息的一般规则，即同意必须在充分知情前提下，自愿、明确地作出。部分 App 在隐私政策中，或在提醒用户开通人脸识别功能时，对收集人脸信息的目的、方式和范围未作明确地告知。由于国家对网络实名制的要求并不适用于全部行业所有业务功能，仅仅注明“实名认证”不能成为收集个人信息甚至敏感个人信息的合理理由。部分 App 在实名认证收集人脸信息时，应将其所依据的国家法律法规、行业管理办法的条款及要求明确说明或援引，而大部分 App 将实名认证目的描述笼统写成“依据法律法规及监管要求”“相关规定”，有打政策擦边球，泛化政策法规要求超范围收集个人信息之嫌。

（五）超期留存人脸信息

《网络安全法》第四十三条规定，网络运营者应按照双方的约定收集、使用其个人信息。以实名认证为由收集的人脸信息上传至服务器端，应按照与用户约定的实名认证功能使用，在调用第三方接口进行真实身份比对，目的已实现后删除原图像。很多 App 在实名认证时，没有说明此信息在完成相应功能后将被删除，在实践中，大部分运营者会将此信息进行留存。在国家法律法规提出了存储要求时，应对企业的个人信息安全作充分地影响评估，确保系统信息保护机制达到相应的要求。

（六）用户权利缺乏保障

用户个人信息的撤回同意权的保障是个人信息保护的重要内容，《个人信息保护法（草案）》第四十七条规定，个人撤回同意时，个人信息处理者应当主动或根据个人的请求删除个人信息。绝大部分 App 没有向用户提供可以选择删除人脸信息的机制，用户一旦开通人脸识别，无法单独撤回对人脸信息的同意。除非放弃账户里的所有权益，通过注销账号的方式才能删除包括人脸信息的全部个人信息。部分 App 在开通人脸识别功能的服务协议中，加入了不合理的“霸王条款”。比如“对完成认证的用户身份的准确性不做任何保障”“用户同意对认证时提交的资料，不可撤销地授权由 App 运营者保留”“向第三方共享认证信息时 App 运营者有权不告知用户而直接提供”等。

三、人脸识别技术应用良好实践

试用测试除发现以上问题外，同时也注意到部分 App 在收集人脸信息时，从安全性和用户权利保障方面提供了良好实践。

一是直接使用移动终端设备提供的人脸识别功能。如将人脸信息加密存储在移动终端设备的硬件中，在使用刷脸支付等功能时，服务端并不回传人脸信息，在移动终端完成人脸信息的比对，服务端仅接收终端设备验证结果。

二是为用户提供单独删除人脸信息的功能。如门禁类 App 在用户选择关闭刷脸开门服务时，即视为不再使用该服务，运营者承诺删除此服务对应收集的人脸信息。如用户再次申请使用刷脸开门服务时，则需重新采集人脸信息。

三是将人脸识别作为一种可选方式供用户自由选择。如门禁类 App 除支持人脸识别开门，还可以提供手机呼叫开门、密码开门、门禁卡开门等多种方式，既保障生活的便利性又为用户是否让渡个人信息换取便利生活提供了选择的权利。

四、对收集使用人脸信息的合规建议

人脸识别从刚出现到逐步推广应用，其“争议”一直存在。事实上，这也是每个新技术新应用出现时都要面临的状况。随着广大网民个人信息保护意识的不断觉醒，安全和隐私的保障已逐渐成为人们决定是否尝试新功能前的首要顾虑，网络运营者单独靠新鲜感、便捷度，已不足以对用户产生足够的吸引力。只有切实解决好人脸识别的安全问题，才能让人脸识别应用之路走得宽、走得远、走得稳。

除以上 App 收集使用人脸信息存在的问题外，现实生活中，还存在未经用户同意通过智能摄像头收集人脸信息等多种问题。《人脸识别应用公众调研报告（2020）》显示，被调研网民中半数以上给出了“人脸识别技术”有被滥用趋势的判断。人脸信息是极为敏感的个人信息，与个人切身利益息息相关，一旦泄露，无法更改，亟待得到各方充分的重视。

对于监管部门来说，一是应尽快完善人脸识别、实名认证相关法律法规、标准规范的编制，分应用场景明确收集人脸信息的要求，为运营者合规化提供方向指引和操作指南；二是为达到一定规模的人脸识别技术的应用设立审批制度，审核其合法、正当和必要性，并依法打击非法滥用和不合规安装、使用人脸识别技术；三是加强人脸识别技术、相关信息系统和终端设备的安全性的检测与认证，推动人脸识别技术成熟度不断提升，防止人脸信息的伪造、冒用、泄露、丢失。

对于运营者来说，应着重考虑：1. 明确评估人脸识别技术应用的必要性，在不会影响个人重大利益或社会公共利益的情形应下，不优先考虑使用人脸识别技术进行个人身份准确性核验；2. 不宜将人脸识别技术设置为唯一的身份核验的手段，不应强制要求或频繁推荐用户开通基于人脸识别的相关功能；3. 向用户明示人脸信息收集使用的规则，并建立严格的内部管理措施，删除人脸图片等原始样本，仅存储人脸信息摘要，且与用户身份信息分开存储，防止人脸信息被滥用、非法提供给第三方。

（本文刊登于《中国信息安全》杂志2021年第4期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。