人臉識別是基于人的臉部特征信息進行身份識別的一種生物識別技術(shù)。隨著人工智能技術(shù)的發(fā)展，人臉識別技術(shù)得到了快速發(fā)展。2020 年，由于新冠肺炎疫情期間各地對人員出入、到訪的精確管控，人臉識別技術(shù)被迅速推廣到社會治理的各類場景；同時由于電話號碼、身份證號等個人信息已被廣泛地收集應(yīng)用，為了掌握更多精確的用戶個人信息及實施更高要求的風(fēng)險控制，越來越多的 App 運營者在各類場景中提出了人臉識別的要求。人臉信息作為個人信息中最為敏感的一類“個人生物識別信息”，應(yīng)該成為重點關(guān)注和保護的對象。全國信息安全標準化技術(shù)委員會（TC260）新修訂發(fā)布的 GB/T 35273-2020《信息安全技術(shù)個人信息安全規(guī)范》，對人臉信息等生物識別信息保護也提出“增強型”要求。

　　2021 年“兩會”期間，多位與會代表圍繞人臉識別問題提交了提案，提出了申報審批、合法審核、主體自愿、依法打擊、專項治理、行業(yè)自律等建議。在現(xiàn)實生活中，為了防止被售樓處采集人臉信息，有人“戴頭盔”看房，越來越多的小區(qū)、樓宇通過變相“強制”的方式，推行刷臉開門的現(xiàn)象屢屢被推上熱搜。人臉信息收集的問題引起全社會強烈關(guān)注，人們對人臉信息能否得到有效保護提出了質(zhì)疑。App 作為人臉收集的重要渠道，是否做到了合法、正當(dāng)、必要的個人信息收集基本原則，對部分智能門禁系統(tǒng)、網(wǎng)上購物、同城服務(wù)等服務(wù)類型 App 的調(diào)研顯示，這些 App 在收集人臉信息方面主要存在問題，同時，部分 App 在實踐中也提供了較好的實現(xiàn)方案，可為同行借鑒。

　　一、App 收集人臉信息的方式和場景

　　App 在功能運行或注冊過程中，由于業(yè)務(wù)需求和合規(guī)化要求，通常會采用以下兩種方式向用戶提出收集人臉信息的要求。

　?。ㄒ唬┲苯邮占四樥掌?/p>

　　App 通過直接收集用戶人臉照片且關(guān)聯(lián)個人實名身份的方式進行注冊，從而滿足識別身份的功能要求。智能門禁類 App 通過線下或收集用戶房產(chǎn)證明確認其為小區(qū)居民后，要求用戶線上上傳人臉照片，用于門禁開門時對比人臉使用；注冊時收集用戶身份證正反面照片、用戶手持身份證照片，采用圖像識別技術(shù)提取身份、照片信息后驗證用戶身份。通過這種方式收集的人臉信息與個人身份信息密切關(guān)聯(lián)起來，一旦泄露，易被他人惡意使用。

　?。ǘ┧⒛樆铙w驗證

　　App 通過其嵌入的人臉識別功能軟件開發(fā)工具包（SDK）或調(diào)用相關(guān)數(shù)據(jù)接口等，采用動作指令、近紅外人臉、3D 人臉等活體檢測方式驗證用戶身份真實性。網(wǎng)上購物類 App 在開店或者訂單金額達到一定數(shù)額確認支付時，同城服務(wù)類 App 在用戶提現(xiàn)或發(fā)布房源信息時，金融類 App 在用戶取款、借款、轉(zhuǎn)賬、支付綁定銀行卡時，在商城第一次信用支付等場景下，均可能使用刷臉活體驗證的方式核驗用戶真實身份。這種驗證方式收集的人臉信息更全面，可在驗證用戶真實性的同時確認其為真人、活體。

　　二、收集使用問題分析

　　依據(jù)《App 違法違規(guī)收集使用個人信息行為認定方法》，參考 GB/T 35273-2020《信息安全技術(shù)個人信息安全規(guī)范》有關(guān)要求，可以發(fā)現(xiàn) App 在收集使用人臉信息時存在違規(guī)現(xiàn)象，安全隱患較多。總的來看，存在六個方面問題。

　　（一）誘騙用戶提供人臉信息

　　部分 App 以實名認證為由收集用戶人臉信息，卻在用戶提供相關(guān)信息后不做真實性核驗。測試發(fā)現(xiàn)，當(dāng)用戶 A 使用本人姓名，輸入用戶 B 的身份證號碼，或用戶 C 的人臉信息進行實名認證時，實名認證系統(tǒng)卻顯示認證成功。究其原因，一是由于App 在調(diào)用第三方接口進行用戶身份真實性驗證，需要支付一定的費用，當(dāng)數(shù)據(jù)達到一定量時，對于運營者而言是一筆不小的開支，因為沒有確實的業(yè)務(wù)需求，提出虛假真實身份驗證功能以誘騙用戶真實信息；二是由于數(shù)據(jù)潛在的商用價值，運營者為獲取更多個人信息以備未來業(yè)務(wù)擴容需求或增強安全風(fēng)控的不時之需，假借實名認證的要求欺騙用戶提供人臉信息。這種“以欺詐、誘騙等不正當(dāng)方式誤導(dǎo)用戶同意收集個人信息”的做法即可被認定為《App 違法違規(guī)收集使用個人信息行為認定方法》（以下簡稱《認定方法》）中第二類“未經(jīng)用戶同意收集使用個人信息”。

　　（二）人臉信息傳輸和存儲不安全

　　國家標準 GB/T 35273-2020《信息安全技術(shù) 個人信息安全規(guī)范》要求“傳輸和存儲個人敏感信息時，應(yīng)采用加密等安全措施”“僅存儲個人生物識別信息的摘要信息，摘要信息通常具有不可逆特點，無法回溯到原始信息?！辈糠?App 在識別人臉過程中未采取加密等安全措施，明文傳輸用戶人像照片等信息或者在隱私政策中聲明存儲人臉信息的特征值，但對其所述特征值是否能滿足不可逆的、無法回溯原始信息的要求未進行評估。人臉信息在采集、傳輸、保存、使用以及第三方調(diào)用過程中，可能會出現(xiàn)信息泄露，都可能導(dǎo)致人臉信息被進一步濫用，從而給個人人身財產(chǎn)等造成危害。

　?。ㄈ┏秶占四樞畔?/p>

　　《網(wǎng)絡(luò)安全法》第四十一條規(guī)定“網(wǎng)絡(luò)運營者在收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式、范圍，并經(jīng)被收集者同意”，《認定方法》也將“用戶明確表示不同意后，頻繁征求用戶同意、干擾用戶正常使用”行為認定為“未經(jīng)用戶同意收集使用個人信息”。部分 App 在未得到法律法規(guī)授權(quán)，或未涉及社會公共利益、個人重大利益等場景下，強制要求用戶或使用頻繁打擾方式誘導(dǎo)用戶使用人臉識別功能。如在注冊、綁定銀行卡等情形時強制要求開通人臉識別功能，或隱藏其他支付渠道，在每次訂單支付時反復(fù)提醒開通人臉識別功能。將人臉信息作為綁定銀行卡、網(wǎng)上支付的必要信息，強制用戶提供，是一種變相的超范圍收集個人信息的形式。

　　（四）人臉信息處理規(guī)則不明

　　《消費者權(quán)益法》第二十九條要求“經(jīng)營者收集、使用消費者個人信息，應(yīng)當(dāng)公開其收集、使用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息”。于 2020 年 10 月公開征求意見的《個人信息保護法（草案）》也以“告知—同意”規(guī)則為支點，明確了同意處理個人信息的一般規(guī)則，即同意必須在充分知情前提下，自愿、明確地作出。部分 App 在隱私政策中，或在提醒用戶開通人臉識別功能時，對收集人臉信息的目的、方式和范圍未作明確地告知。由于國家對網(wǎng)絡(luò)實名制的要求并不適用于全部行業(yè)所有業(yè)務(wù)功能，僅僅注明“實名認證”不能成為收集個人信息甚至敏感個人信息的合理理由。部分 App 在實名認證收集人臉信息時，應(yīng)將其所依據(jù)的國家法律法規(guī)、行業(yè)管理辦法的條款及要求明確說明或援引，而大部分 App 將實名認證目的描述籠統(tǒng)寫成“依據(jù)法律法規(guī)及監(jiān)管要求”“相關(guān)規(guī)定”，有打政策擦邊球，泛化政策法規(guī)要求超范圍收集個人信息之嫌。

　?。ㄎ澹┏诹舸嫒四樞畔?/p>

　　《網(wǎng)絡(luò)安全法》第四十三條規(guī)定，網(wǎng)絡(luò)運營者應(yīng)按照雙方的約定收集、使用其個人信息。以實名認證為由收集的人臉信息上傳至服務(wù)器端，應(yīng)按照與用戶約定的實名認證功能使用，在調(diào)用第三方接口進行真實身份比對，目的已實現(xiàn)后刪除原圖像。很多 App 在實名認證時，沒有說明此信息在完成相應(yīng)功能后將被刪除，在實踐中，大部分運營者會將此信息進行留存。在國家法律法規(guī)提出了存儲要求時，應(yīng)對企業(yè)的個人信息安全作充分地影響評估，確保系統(tǒng)信息保護機制達到相應(yīng)的要求。

　　（六）用戶權(quán)利缺乏保障

　　用戶個人信息的撤回同意權(quán)的保障是個人信息保護的重要內(nèi)容，《個人信息保護法（草案）》第四十七條規(guī)定，個人撤回同意時，個人信息處理者應(yīng)當(dāng)主動或根據(jù)個人的請求刪除個人信息。絕大部分 App 沒有向用戶提供可以選擇刪除人臉信息的機制，用戶一旦開通人臉識別，無法單獨撤回對人臉信息的同意。除非放棄賬戶里的所有權(quán)益，通過注銷賬號的方式才能刪除包括人臉信息的全部個人信息。部分 App 在開通人臉識別功能的服務(wù)協(xié)議中，加入了不合理的“霸王條款”。比如“對完成認證的用戶身份的準確性不做任何保障”“用戶同意對認證時提交的資料，不可撤銷地授權(quán)由 App 運營者保留”“向第三方共享認證信息時 App 運營者有權(quán)不告知用戶而直接提供”等。

　　三、人臉識別技術(shù)應(yīng)用良好實踐

　　試用測試除發(fā)現(xiàn)以上問題外，同時也注意到部分 App 在收集人臉信息時，從安全性和用戶權(quán)利保障方面提供了良好實踐。

　　一是直接使用移動終端設(shè)備提供的人臉識別功能。如將人臉信息加密存儲在移動終端設(shè)備的硬件中，在使用刷臉支付等功能時，服務(wù)端并不回傳人臉信息，在移動終端完成人臉信息的比對，服務(wù)端僅接收終端設(shè)備驗證結(jié)果。

　　二是為用戶提供單獨刪除人臉信息的功能。如門禁類 App 在用戶選擇關(guān)閉刷臉開門服務(wù)時，即視為不再使用該服務(wù)，運營者承諾刪除此服務(wù)對應(yīng)收集的人臉信息。如用戶再次申請使用刷臉開門服務(wù)時，則需重新采集人臉信息。

　　三是將人臉識別作為一種可選方式供用戶自由選擇。如門禁類 App 除支持人臉識別開門，還可以提供手機呼叫開門、密碼開門、門禁卡開門等多種方式，既保障生活的便利性又為用戶是否讓渡個人信息換取便利生活提供了選擇的權(quán)利。

　　四、對收集使用人臉信息的合規(guī)建議

　　人臉識別從剛出現(xiàn)到逐步推廣應(yīng)用，其“爭議”一直存在。事實上，這也是每個新技術(shù)新應(yīng)用出現(xiàn)時都要面臨的狀況。隨著廣大網(wǎng)民個人信息保護意識的不斷覺醒，安全和隱私的保障已逐漸成為人們決定是否嘗試新功能前的首要顧慮，網(wǎng)絡(luò)運營者單獨靠新鮮感、便捷度，已不足以對用戶產(chǎn)生足夠的吸引力。只有切實解決好人臉識別的安全問題，才能讓人臉識別應(yīng)用之路走得寬、走得遠、走得穩(wěn)。

　　除以上 App 收集使用人臉信息存在的問題外，現(xiàn)實生活中，還存在未經(jīng)用戶同意通過智能攝像頭收集人臉信息等多種問題?！度四樧R別應(yīng)用公眾調(diào)研報告（2020）》顯示，被調(diào)研網(wǎng)民中半數(shù)以上給出了“人臉識別技術(shù)”有被濫用趨勢的判斷。人臉信息是極為敏感的個人信息，與個人切身利益息息相關(guān)，一旦泄露，無法更改，亟待得到各方充分的重視。

　　對于監(jiān)管部門來說，一是應(yīng)盡快完善人臉識別、實名認證相關(guān)法律法規(guī)、標準規(guī)范的編制，分應(yīng)用場景明確收集人臉信息的要求，為運營者合規(guī)化提供方向指引和操作指南；二是為達到一定規(guī)模的人臉識別技術(shù)的應(yīng)用設(shè)立審批制度，審核其合法、正當(dāng)和必要性，并依法打擊非法濫用和不合規(guī)安裝、使用人臉識別技術(shù)；三是加強人臉識別技術(shù)、相關(guān)信息系統(tǒng)和終端設(shè)備的安全性的檢測與認證，推動人臉識別技術(shù)成熟度不斷提升，防止人臉信息的偽造、冒用、泄露、丟失。

　　對于運營者來說，應(yīng)著重考慮：1. 明確評估人臉識別技術(shù)應(yīng)用的必要性，在不會影響個人重大利益或社會公共利益的情形應(yīng)下，不優(yōu)先考慮使用人臉識別技術(shù)進行個人身份準確性核驗；2. 不宜將人臉識別技術(shù)設(shè)置為唯一的身份核驗的手段，不應(yīng)強制要求或頻繁推薦用戶開通基于人臉識別的相關(guān)功能；3. 向用戶明示人臉信息收集使用的規(guī)則，并建立嚴格的內(nèi)部管理措施，刪除人臉圖片等原始樣本，僅存儲人臉信息摘要，且與用戶身份信息分開存儲，防止人臉信息被濫用、非法提供給第三方。