從中國「人臉識別第一案」一審宣判到售樓處暗中使用人臉識別,從北京推出人臉識別垃圾桶到東莞公廁停用人臉識別供紙機,過去一年中,人臉識別應用正在經歷越來越嚴格的公眾審視。
12月22日,由南都個人信息保護研究中心主辦的「2020啄木鳥數據治理論壇」在北京舉行。南都人工智慧倫理課題組在會上發布了《移動端人臉識別應用合規報告》(以下簡稱「報告」),其中的技術測評由中國金融認證中心(CFCA)提供支持。
報告顯示,四成被測應用(包括App、小程序和公眾號)的隱私政策透明度處於較低及以下水平,學校管理、商業零售類應用的透明度平均分最低,甚至有商場欺騙誘導用戶「刷臉」;部分小區門禁App明文傳輸人臉照片、房產證、租房合同等敏感信息,存在較高的安全風險。
四成應用隱私政策透明度較低 人臉信息共享不合規現象突出
結合多個應用商店的下載量排名和網絡公開平臺的用戶投訴情況,南都人工智慧倫理課題組(以下簡稱「課題組」)選取了50款具有人臉識別功能的移動應用進行測評,涉及園區門禁、開戶銷戶、支付轉帳、商業零售、學校管理、政府辦事、換臉娛樂等七個類別。
50款被測人臉識別應用。
隱私政策透明度,是本次測評的項目之一。透明度越高,意味著隱私政策中有關個人信息處理規則的描述越清晰。依據得分,透明度可劃分為五級:高(91分及以上)、較高(76分至90分)、中等(61分至75分)、較低(41分至60分)、低(40分及以下)。
測評顯示,隱私政策透明度處於中等及以上的應用有30款,佔比60%;透明度處於較低及以下水平的應用有20款,佔比40%,其中4款應用沒有隱私政策,得分為0。
從七類應用的平均分來看,支付轉帳與開戶銷戶類應用的隱私政策透明度較高,分別得到88分和86.7分;換臉娛樂(54.5分)、園區門禁(41.9分)、政府辦事(40.5分)類應用的隱私政策透明度較低;學校管理(40分)和商業零售類(36.83分)應用的隱私政策透明度則處於低水平。
相較於一般的移動網際網路應用,人臉識別應用的特殊之處在於,在很多情況下需要通過間接方式獲取人臉照片等個人信息。
然而,測評結果顯示,41款應用(約佔82%)沒有明確披露第三方可能使用個人信息的情況;39款應用(約佔78%)沒有說明是否通過間接方式收集個人信息,也沒有承諾確認信息來源的合法性。
與之相對應的,是現實中突出的個人信息共享不合規現象。
這種情況,以小區門禁應用最為典型。課題組實際走訪多個小區後發現,人臉照片等個人信息通常不是由居民自行上傳,而是由物業統一收集。還有部分小區將業主與租房者區分,租房者的個人信息由業主收集。
據課題組調研,物業人員和業主在收集個人信息時,普遍不會向居民告知個人信息處理規則。在一些小區,物業或業主完成人臉採集、信息登記等操作後,居民便自動開通相關App或小程序帳號,許多居民甚至不知道這些帳號的存在。
一款App自動開通了居民的帳號,而且居民只能修改部分個人信息。
類似的問題,在學校管理、商業零售類應用中同樣普遍存在:學生、顧客的人臉照片由老師、商家收集,作為個人信息主體的學生、顧客並未作出授權同意,甚至對個人信息收集毫不知情。
這樣的信息收集與共享行為,顯然違背了現行法律法規中關於告知和知情同意的要求。
學校管理與商業零售類應用擴張迅速 但隱私政策透明度最低
2019年,「人臉識別進校園」案例密集出現,引來頗多社會爭議。一些學校引進了可以分析學生情緒的人臉識別應用,又在受到輿論質疑後紛紛停用。
一年過去,課題組調研發現,校園內的情緒識別應用雖已「銷聲匿跡」,其他類型的人臉識別應用卻仍然呈現擴張態勢,涉及校園門禁、考勤管理、迎新註冊、餐飲消費等場景。
課題組選取了六款學校管理類應用進行測評,發現其隱私政策的平均透明度得分僅為40分。
在這些應用的隱私政策中,還有一些令人哭笑不得的「霸王條款」。例如,「籤到莢」隱私政策聲稱,「本網站及APP不擔保服務一定滿足用戶的要求,也不擔保服務不會中斷,對服務的及時性、安全性、出錯發生都不作擔保」,「用戶自己承擔所有的風險和責任」。
「籤到莢」隱私政策。
比學校管理類應用表現更差的是商業零售類應用,平均透明度僅有36.83分,在七大類應用中排名最低。
商業零售類應用隱私政策透明度情況。
商業零售類應用主要是為了幫助商家識別用戶的身份,統計用戶數量、獲取用戶畫像。但這樣的精準識別與接待往往追求用戶「無感知」,商家普遍不會向用戶告知個人信息的處理情況。
值得注意的是,部分商家與工作人員甚至會巧立名目,以欺騙誤導的方式用戶刷臉。
以北京秀水街為例,該商場自2017年開始推廣基於人臉識別的導遊返利系統。導遊只要提前在秀水街App內填寫行程信息並上傳遊客人臉照片,就能獲得遊客消費的返利。據課題組調查,為了避免引起遊客反感,導遊往往會將拍照用途解釋為「保障遊客安全」「防止遊客走失」。
事實上,秀水街App不僅沒有隱私政策,還在註冊協議中把正當獲取遊客照片的責任推給導遊。協議稱,用戶應「合法獲得遊客肖像權」,並「獲得肖像權者授權在本站的使用」,「如用戶與遊客之間因肖像權產生糾紛,本站不承擔任何責任」。
「秀水街」隱私政策。
部分小區門禁停用後仍留存人臉信息 多款應用沒有註銷功能
根據《中華人民共和國網絡安全法》,個人信息主體有權要求網絡運營者刪除其個人信息。但報告顯示,在50款應用中,27款沒有提及產品或服務停止運營的情況,佔比54%。
事實上,即便隱私政策中有相關條款,運營者也未必真正落實。
以睿視App為例,其隱私政策提到,停止運營後將通知用戶,同時刪除或匿名化處理用戶個人信息。然而,課題組成員走訪發現,一些小區的人臉識別設備已經停用,居民的個人信息卻仍然留存在睿視App內。部分居民甚至不知道自己擁有睿視App帳號,很難掌握後續的個人信息處理情況。
在CFCA的技術支持下,課題組還針對50款應用中的20款做了進一步的數據安全檢測,其中園區門禁類應用10款,商業零售類應用6款,學校管理類應用4款。
20款被測應用。
進一步測評顯示,20款應用中的14款存在難以註銷或刪除人臉信息的情況,約佔70%。
需要指出的是,小區門禁難以註銷的問題尤為突出。例如,達管家、移動和小區、美關公、店客雲及、籤到莢等App只有退出登錄/切換帳號等按鈕,沒有註銷按鈕。瞳景社區有註銷按鈕,但需要電話聯繫客服操作。
報告認為,網絡運營者應通過調整移動端應用的功能設置,為個人信息主體提供更明確、更好操作的信息刪除或註銷方式。在個人提出刪除要求後,或是網絡運營者的產品或服務停止後,運營者經及時刪除相關的人臉信息。法律法規另有要求的,運營者也應向個人信息主體作出說明。
有應用明文傳輸人臉照片及房產證 存在較高的信息洩露風險
數據傳輸安全是保障個人信息安全的關鍵環節。據CFCA安全專家介紹,網絡攻擊者可能截獲傳輸的數據包,進行數據竊聽、數據篡改、身份偽造等。因此,移動應用有必要採取加密等數據保護措施,降低人臉信息被攻擊者惡意獲取或破解的風險。
本次技術檢測顯示,20款被測應用中,有5款採用HTTP協議作為應用的網絡傳輸協議,其中2款採用該協議明文傳輸人臉照片(景區門禁1款,商業零售1款)。
一款應用採用HTTP協議明文傳輸人臉照片。
HTTP協議屬於明文傳輸協議,數據傳輸過程沒有任何信息安全保護措施,通信過程非常容易遭遇劫持、監聽、篡改,進而引發個人隱私洩露等嚴重的安全問題。
另有9款應用傳輸人臉照片時使用HTTPS安全傳輸協議,但沒有採取進一步的保護措施。信息安全從業人員認為,對人臉此類高度敏感的個人信息而言,不能僅依賴公開的安全傳輸協議,建議再添加一層單獨的數據保護。
今年以來,小區門禁應用呈現加速落地態勢,有效推動了基層管理與居民通行效率的提升。為了驗證居民身份,一些小區門禁應用會要求用戶上傳房產證、租房合同等信息。
本次檢測發現,3款小區門禁應用上了傳用戶的房產證或租房合同,其中一款為明文上傳,另兩款僅使用HTTPS協議。在網絡傳輸過程中,這些信息均存在洩漏風險。
門禁應用上傳房產證或租房合同。
技術檢測還發現,6款應用將用戶的人臉照片、身份證照片等個人信息上傳伺服器後,伺服器返回的連結可被網際網路公開訪問。將相關連結複製到瀏覽器中,可以直接查看對應的照片。
一款應用伺服器返回的連結可被網際網路公開訪問。
這意味著,攻擊者一旦截獲傳輸數據包,就將獲得用戶的一系列個人敏感信息。例如,一款在安卓平臺下載量超過200萬的小區門禁應用明文上傳身份證正反面照片、房產證照片,伺服器返回的圖片連結能被直接瀏覽或下載。
報告建議網絡運營者通過加密等多種數據保護措施,降低人臉信息被攻擊者惡意獲取或破解的風險。同時,網絡運營者需建立嚴格的內部管理措施,防止人臉信息被濫用,或是被非法提供給第三方。如無必要,網絡運營者應儘量避免存儲人臉原始圖片。
採寫:南都記者馮群星
編輯:馮群星
責任編輯:王超