一年来,从央视315晚会曝光多家线下门店违规使用人脸识别摄像头分析消费者行为,到部分社区居民不刷脸不能回家的无奈,再到“深度伪造”等技术使用门槛的不断降低,人脸识别的应用面临诸多挑战。
12月17日,由杜南个人信息保护研究中心主办的“2021啄木鸟数据治理论坛”在京举行。杜南人工智能伦理研究组在会上发布了《人脸识别应用场景合规报告(2021)》(以下简称“报告”),对20款移动人脸识别应用的合规性进行了评估分析。
报告显示,60%具有人脸识别功能的app没有单独的人脸识别规则。从具体场景来看,支付和转账整体表现较好,娱乐特效、门禁等领域的app则缺乏规则通知。此外,经过技术评估,测试的四款娱乐特效app不加密传输个人信息,人脸图片的链接可以公开访问,存在很大的安全隐患。
六成没有单独的人脸识别协议,刷脸支付的“知情同意”更合规。
今年7月3日,一个词条“人脸识别必须穿衣服”被热搜。很多用户误以为人脸识别系统只会上传人脸部分的信息,所以可能会在躺在被子里、洗澡或者拥抱另一半的时候做人脸识别。众所周知,脸部以外的部分也被摄像头记录下来,被别人看到。
这种尴尬反映出App的人脸识别功能在普及的同时,其收集个人信息的方式与公众认知有所不同。课题组根据多个安卓应用商店的App下载量排名和开放互联网平台用户投诉情况,选取了20款App进行测评,包括支付转账、实名验证、财产门禁、娱乐特效等。
结果显示,只有8款app可以在用户使用人脸识别前提示相关规则,包括中国银联快通、中国工商银行、支付宝、京东金融、淘宝、JD.COM、中国农业银行和QQ。
具体到场景类别3354,在刷脸支付场景下,测试的App会在启动刷脸支付时向用户显示人脸识别规则。比如支付宝、淘宝的《生物识别服务通用规则》,JD.COM、京东金融的《京东人脸服务协议》,中国银联快捷通的《人脸识别服务协议》,工商银行的《面容支付协议》。
在一次性实名验证场景下,只有QQ、农行、淘宝三个app显示人脸识别规则。
娱乐领域的四款app都没有单独的人脸识别规则。但是“趣味秀”和“ZAO”会有人脸信息短提示的处理规则。比如,趣秀会在用户触发“AI换装”功能时弹出提示,告知“视频合成后会立即删除人脸照片,不会保留你的人脸照片和数据”。
“趣味表演”的弹出通知
两个物业门禁app中,“御景小区”在入脸前未显示任何协议;“邻居开门”会弹出《刷脸支付业务协议》。但是,该协议并不专门针对人脸信息的处理,也没有规定人脸信息的处理规则。
报告显示,在8款提供个人人脸识别规则的app中,也存在提示不到位的情况。比如支付宝、淘宝、工商银行三个app开通刷脸支付功能时,并没有得到用户的明确同意。
此外,“工商银行”有支付转账、实名验证等多种刷脸场景,但有些场景提示人脸识别规则,有些则没有。具体来说,当设置并开启“线下商户刷脸支付”功能时,App会向用户显示《亲邻人脸开门服务协议》;在使用“云托管”(一种云存储功能)时,虽然要求用户使用人脸登录,但这个链接不会向他们显示任何人脸识别规则。——用户点击一个按钮就可以直接进入人脸验证。
2)人脸识别规则差距较大,存储位置和时限未知。
该报告显示,与隐私政策不同,不同的应用程序有不同的人脸识别协议框架,它们的de
比如《刷脸支付业务协议》只有短短的三段话,没有说明人脸信息的存储周期、存储方式、处理规则等信息。《QQ人脸识别功能服务协议》告知了关闭人脸登录服务的具体步骤以及人脸识别失败时的解决方案,并表示会根据隐私政策保护用户信息,在更新协议时会告知用户并征求同意。
测评结果显示,很多App人脸识别规则都没有告知存储时限或位置,只有6款App提到人脸信息的存储。
JD.COM、淘宝、农行、京东金融四个app表示会在必要期限内保存人脸信息;淘宝进一步承诺,验证服务完成后将及时删除原人脸图像。与淘宝相反,中国工商银行表示,每次验证时拍摄的图片可能会被保存,以帮助纠正算法。
关于存储位置,只有“支付宝”1 App承诺输入的生物识别信息会存储在本地设备3354“您输入的生物识别信息只会存储在这个设备中。一旦更换设备,您需要在新设备中重新输入生物特征信息”。
3)娱乐特效App的人脸图片链接可以公开访问。
报告还利用技术手段对20款app的数据安全性进行了测试。数据安全检测启动待测App,登录实体账号并触发人脸采集上传功能,利用逆向分析、数据抓取等技术手段,检测真实环境中相关应用的个人信息采集和网络传输情况。
测评结果显示,20款app中,有16款对个人信息进行了加密并传输,另有4款娱乐特效app存在问题。
比如“趣秀”没有加密人脸信息。这款应用的“AI换装”功能是,用户可以上传照片,然后选择一个视频模板,生成一个换脸视频。但由于没有加密措施,用户的变脸视频的链接是可以公开访问的。这意味着换脸视频可以被任何人获取。
《趣味秀》的变脸视频可以公开访问。
“ZAO”、“多美”、“新氧医美”等三款app,虽然使用了HTTPS安全传输协议,但并没有对数据本身进行加密。这样一来,用户的脸部照片等信息上传到服务器后,服务器的返回链接就可以被互联网公开访问。把课题组的相关链接复制到浏览器,就可以直接查看相应的信息。这意味着一旦攻击者截获传输包,他将获得用户的一系列敏感个人信息。
报告显示,人脸识别的应用软件在规则告知和技术安全方面呈现出良莠不齐的现象,不同场景下的应用在合规性上存在明显差异。头部银行和互联网平台公司在规则制定上比较规范,但在政策透明度上仍存在明显问题,而一些娱乐特效app存在明显的安全漏洞,可能成为人脸识别领域隐私泄露的“重灾区”,应引起开发者的重视。
文/杜南人工智能伦理研究组研究员李胡更硕