小区刷脸门禁App要求上传人像及房产证

来源：技术交流    发布时间：2024-01-14 19:05:30

  从中国“人脸识别第一案”一审宣判到售楼处暗中使用人脸识别，从北京推出人脸识别垃圾桶到东莞公厕停用人脸识别供纸机，过去一年中，人脸识别应用正在经历越来越严格的公众审视。

  12月22日，由南都个人隐私信息保护研究中心主办的“2020啄木鸟数据治理论坛”在北京举行。南都人工智能伦理课题组在会上发布了《移动端人脸识别应用合规报告》(以下简称“报告”)，其中的技术测评由中国金融认证中心(CFCA)提供支持。

  报告显示，四成被测应用(包括App、小程序和公众号)的隐私政策透明度处于较低及以下水平，学校管理、商业零售类应用的透明度平均分最低，甚至有商场欺骗诱导用户“刷脸”；部分小区门禁App明文传输人脸照片、房产证、租房合同等敏感信息，存在较高的安全风险。

  结合多个应用商店的下载量排名和网络公开平台的用户投诉情况，南都人工智能伦理课题组（以下简称“课题组”）选取了50款具有人脸识别功能的移动应用进行测评，涉及园区门禁、开户销户、支付转账、商业零售、学校管理、政府办事、换脸娱乐等七个类别。

  隐私政策透明度，是本次测评的项目之一。透明度越高，意味着隐私政策中有关个人信息处理规则的描述越清晰。

  测评显示，隐私政策透明度处于中等及以上的应用有30款，占比60%；透明度处于较低及以下水平的应用有20款，占比40%，其中4款应用没有隐私政策，得分为0。

  从七类应用的平均分来看，支付转账与开户销户类应用的隐私政策透明度较高，分别得到88分和86.7分；换脸娱乐（54.5分）、园区门禁（41.9分）、政府办事（40.5分）类应用的隐私政策透明度较低；学校管理（40分）和商业零售类（36.83分）应用的隐私政策透明度则处于低水平。

  相较于一般的移动互联网应用，人脸识别应用的特殊之处在于，在很多情况下需要通过间接方式获取人脸照片等个人信息。

  然而，测评结果为，41款应用（约占82%）没有明确披露第三方可能使用个人隐私信息的情况；39款应用（约占78%）没有说明是否通过间接方式收集个人隐私信息，也没有承诺确认信息源自的合法性。

  这种情况，以小区门禁应用最为典型。课题组实际走访多个小区后发现，人脸照片等个人隐私信息通常不是由居民自行上传，而是由物业统一收集。还有部分小区将业主与租房者区分，租房者的个人隐私信息由业主收集。

  据课题组调研，物业人员和业主在收集个人隐私信息时，普遍不会向居民告知个人信息处理规则。在一些小区，物业或业主完成人脸采集、信息登记等操作后，居民便自动开通相关App或小程序账号，许多居民甚至不知道这些账号的存在。

  类似的问题，在学校管理、商业零售类应用中同样都会存在：学生、顾客的人脸照片由老师、商家收集，作为个人隐私信息主体的学生、顾客并未作出授权同意，甚至对个人隐私信息收集毫不知情。

  这样的信息收集与共享行为，显然违背了现行法律和法规中关于告知和知情同意的要求。

  2019年，“人脸识别进校园”案例密集出现，引来颇多社会争议。一些学校引进了可以分析学生情绪的人脸识别应用，又在受到舆论质疑后纷纷停用。

  课题组选取了六款学校管理类应用进行测评，发现其隐私政策的平均透明度得分仅为40分。

  在这些应用的隐私政策中，还有一些令人哭笑不得的“霸王条款”。例如，“签到荚”隐私政策声称，“本网站及APP不担保服务一定使用户得到满足的要求，也不担保服务不会中断，对服务的及时性、安全性、出错发生都不作担保”，“用户自己承担所有的风险和责任”。

  比学校管理类应用表现更差的是商业零售类应用，平均透明度仅有36.83分，在七大类应用中排名最低。

  部分商家与工作人员甚至会巧立名目，以欺骗误导的方式要求用户刷脸。以北京秀水街为例，该商场自2017年开始推广基于人脸识别的导游返利系统。导游只要提前在秀水街App内填写行程信息并上传游客人脸照片，就能获得游客消费的返利。据课题组调查，为了尽最大可能避免引起游客反感，导游往往会将拍照用途解释为“保障游客安全”“防止游客走失”。

  事实上，秀水街App不仅没有隐私政策，还在注册协议中把正当获取游客照片的责任推给导游。协议称，用户应“合法获得游客肖像权”，并“获得肖像权者授权在本站的使用”，“如用户与游客之间因肖像权产生纠纷，本站不承担任何责任”。

  根据《中华人民共和国网络安全法》，个人隐私信息主体有权要求网络运营者删除其个人隐私信息。但报告数据显示，在50款应用中，27款没有提及产品或服务停止运营的情况，占比54%。

  以睿视App为例，其隐私政策中提到，停止运营后将通知用户，同时删除或匿名化处理用户个人隐私信息。然而，课题组成员走访发现，一些小区的人脸识别设备已经停用，居民的个人隐私信息却仍然留存在睿视App内。部分居民甚至不清楚自己拥有睿视App账号，很难掌握后续的个人信息处理情况。

  在CFCA的技术上的支持下，课题组还针对50款应用中的20款做了进一步的数据安全检测，其中园区门禁类应用10款，商业零售类应用6款，学校管理类应用4款。

  进一步测评显示，20款应用中的14款存在难以注销或删除人脸信息的情况，约占70%。小区门禁难以注销的问题尤为突出。例如，达管家、移动和小区、美关公、店客云及、签到荚等App只有退出登录/切换账号等按钮，没有注销按钮。瞳景社区有注销按钮，但需要电话联系客服操作。

  报告认为，网络运营者应通过调整移动端应用的功能设置，为个人隐私信息主体提供更明确、更好操作的信息删除或注销方式。在个人提出删除要求后，或是网络运营者的产品、服务停止后，运营者应及时删除相关的人脸信息。法律和法规另有要求的，运营者也应向个人隐私信息主体作出说明。

  数据传输安全是保障个人信息安全的关键环节。据CFCA安全专业的人介绍，网络攻击者可能截获传输的数据包，进行数据窃听、数据篡改、身份伪造等。因此，移动应用有必要采取加密等数据保护的方法，降低人脸信息被攻击者恶意获取或破解的风险。

  本次技术检验测试显示，20款被测应用中，有5款采用HTTP协议作为应用的网络传输协议，其中2款采用该协议明文传输人脸照片（景区门禁1款，商业零售1款）。

  HTTP协议属于明文传输协议，数据传输过程没有一点信息安全保护的方法，通信过程很容易遭遇劫持、监听、篡改，进而引发个人隐私泄露等严重的安全问题。

  另有9款应用传输人脸照片时使用HTTPS安全传输协议，但没有采取进一步的保护的方法。信息安全从业人员认为，对人脸此类高度敏感的个人隐私信息而言，不能仅依赖公开的安全传输协议，建议再添加一层单独的数据保护。

  今年以来，小区门禁应用呈现加速落地态势，一些小区门禁应用会要求用户上传房产证、租房合同等信息。本次检验测试发现，3款小区门禁应用上传了用户的房产证或租房合同，其中一款为明文上传，另两款仅使用HTTPS协议。在网络传输过程中，这一些信息均存在泄露风险。

  技术检测还发现，6款应用将用户的人脸照片、身份证照片等个人隐私信息上传服务器后，可被互联网公开访问，直接查看对应的照片。

  这意味着，攻击者一旦截获传输数据包，就将获得用户的一系列个人敏感信息。例如，一款在安卓平台下载量超过200万的小区门禁应用明文上传身份证正反面照片、房产证照片，服务器返回的图片链接能被直接浏览或下载。