过去一年,从央视315联欢晚会曝光多家线下门店非法使用人脸识别摄像头分析消费者行为,到部分社区居民“刷脸回家”的无奈,对“深造”等技术的使用门槛不断降低,人脸识别应用面临诸多挑战。
12月17日,由南都电源个人信息保护研究中心主办的“2021啄木鸟数据治理论坛”在北京召开。南都电源人工智能伦理研究组在会上发布了《人脸识别应用场景合规报告(2021)》(以下简称《报告》)),对20款手机人脸识别应用的合规性进行了审核. 进行评价分析。
报告显示,60% 的具有人脸识别功能的应用程序没有单独的人脸识别规则。从具体场景来看,支付转账整体表现较好,而娱乐特效、门禁等其他领域的App在规则通知方面相对欠缺。此外,经过技术评估,测试的4款娱乐特效应用均未加密传输个人信息,且人脸图片链接可公开访问,存在较大安全风险。
其中60%没有单独的人脸识别协议,通过人脸识别支付更符合“告知并同意”
今年7月3日,一个“人脸识别必须穿衣服”的热搜火了。很多用户误认为人脸识别系统只会上传人脸部分的信息,所以他们可能会在躺在被子里、洗澡、和另一半拥抱的时候做人脸识别。众所周知,除了人脸,app的部分也是被摄像头记录下来,被别人看到的。
这一尴尬反映了该应用程序的人脸识别功能在流行的同时,它收集个人信息的方式与公众认知不同。结合多家安卓应用商店的应用下载排名和互联网公共平台用户投诉情况,研究团队选取了20款应用进行评估,包括支付转账、实名认证、物业门禁、娱乐特效等。
结果显示,只有8个APP在用户使用人脸识别功能前提示相关规则,包括“云闪付”、“工行”、“支付宝”、“京东金融”、“淘宝”、“京东”、“中国农业银行”、“QQ””。
特定于场景类别——刷脸支付场景下,当用户激活刷脸支付识别规则时,被测应用会显示用户的人脸。例如“支付宝”和“淘宝”的《生物识别服务通则》、“京东”和“京东金融”的“京东人脸服务协议”、“云闪付”的“人脸识别服务协议”、 《人脸识别》《支付协议》、《工行》《刷脸支付业务协议》。
在一次性实名验证场景中,只有“QQ”、“农行”、“淘宝”三个app的人脸识别规则展示。
娱乐特效领域的 4 款应用都没有单独的人脸识别规则。但“趣秀”和“ZAO”会有简单提示人脸信息的处理规则,比如“趣秀”会在用户触发“AI换装”功能时弹出提示,告知“人脸照片将视频合成后立即删除,不会保留你的人脸照片和数据。
“趣味秀”的弹窗提示
在两个物业门禁APP中,“同景社区”在进入刷脸协议前没有刷脸; “亲邻居开门”会弹出“亲戚邻居人脸开门服务协议”,但该协议并没有专门针对人脸信息的处理,也没有规定人脸的处理规则信息。
报告显示,在提供单独人脸识别规则的8款应用中,也存在提示不到位的情况。例如,“支付宝”、“淘宝”、“工行”三款应用开启刷脸支付功能时,并未获得用户的明示同意。
此外,“工行”有支付转账、实名认证等多种人脸识别场景,但有的场景提示人脸识别规则,有的场景不提示。具体表现为,当“线下商户刷脸支付”功能设置为启用时服务号模板消息怎么用,应用会向用户显示“刷脸支付业务协议”;在使用“云存储”(一种云存储功能)时,虽然要求用户使用人脸登录,但是这个链接并没有向用户显示任何人脸识别规则——用户点击一个按钮,可以直接进入人脸验证。
2)人脸识别规则千差万别,存放地点和时限未知
报告显示,与隐私政策不同,不同应用程序的人脸识别协议框架不同,细节层次和内容也有很大差异。
如《QQ人脸识别功能服务协议》一共只有短短的三段,并没有明确人脸信息的存储期限、存储方式、处理规则等信息。 《云闪付App人脸识别服务协议》告知关闭人脸登录服务的具体步骤及人脸识别失败时的解决方法,并注明用户信息将按照隐私政策进行保护,并在协议达成时通知已更新。用户并征求同意。
评估结果显示,很多APP的人脸识别规则没有告知存储时限或位置,只有6个APP提到了人脸信息的存储。
“京东”、“淘宝”、“农行”和“京东金融”四款应用均表示将在“必要时限”内保存人脸信息; “淘宝”进一步承诺服务号模板消息怎么用,在完成验证服务后,及时删除人脸原图。与淘宝相比,工商银行表示,每次验证时拍的照片可能会被保存下来,以帮助修改算法。
关于存储位置,只有“支付宝”App输入的生物识别信息才承诺存储在设备本地——“您输入的生物识别信息将仅存储在此设备上。一旦您更换了设备,您将需要在新设备上重新输入您的生物识别信息。”
3)娱乐特效App人脸图链接可公开获取
该报告还使用技术手段对 20 款车型进行了评估。该应用程序已完成数据安全测试。数据安全检测通过安装并启动被测应用,登录物理账号,触发人脸采集上传功能,检测真实环境下相关应用的个人信息采集和网络传输。
评估结果显示,20款App中,16款对个人信息进行加密和传输加密,4款具有娱乐效果的App存在问题。
例如,“Fun Show”不加密人脸信息。 APP的“AI换装”功能是通过用户上传照片,然后选择视频模板,生成换脸视频。但在没有加密的情况下,用户换脸视频的链接是可以公开访问的。这意味着任何人都可能获得换脸视频。
《趣秀》变脸视频可公开观看
“ZAO”、“更美”、“新氧医美”等三款app,虽然采用了HTTPS安全传输协议,但数据本身并没有加密,这样用户的人脸照片等信息上传到服务器,服务器返回的链接可以在互联网上公开访问。课题组将相关链接复制到浏览器中,您可以直接查看相应信息。这意味着,一旦攻击者截获传输数据包,就会获得用户的一系列敏感个人信息。
报告认为,人脸识别软件的应用在规则通知和技术安全方面呈现出混杂现象,不同场景的应用在合规性方面存在明显差距。头部银行和互联网平台公司在规则制定方面相对规范,但在政策透明度方面仍存在明显问题,而一些娱乐特效应用存在非常明显的安全漏洞,可能成为“互联网行业隐私泄露的重要问题”。人脸识别领域”。灾区”,应该引起开发者的重视。
文/南都人工智能伦理研究组李亚宁、胡更硕研究员