2）人脸识别规则差距大 ， 存储位置和时限告知不明
报告显示 ， 与隐私政策不同 ， 不同App的人脸识别协议的框架不同 ， 其详细程度、内容差别也较大 。
例如 ， 《QQ人脸识别功能服务协议》一共只有简短的三段 ， 并未说明人脸信息的储存期限、储存方式、处理规则等信息 。 《云闪付App人脸识别服务协议》告知了关闭人脸登录服务的具体步骤和人脸识别未通过时的解决办法等内容 ， 并表明将依据隐私政策保护用户信息 ， 在协议更新时将告知用户并征求同意 。
测评结果显示 ， 很多App人脸识别规则没有告知存储时限或位置 ， 仅有6款App提及人脸信息存储情况 。
“京东”“淘宝”“中国农业银行”“京东金融”4款App称将在“必需的时限”内保存人脸信息；“淘宝”进一步承诺 ， 完成验证服务后将及时删除人脸原始图像 。 与“淘宝”形成对照的是 ， “中国工商银行”表示 ， 每次验证中拍的图片都可能被保存 ， 以帮助修正算法 。
关于存储位置 ， 只有“支付宝”1款App承诺录入的生物识别信息保存在设备本地——“您录入的生物识别信息将仅保存在该设备上 ， 一旦您更换设备 ， 你需要在新的设备上重新录入生物识别信息” 。

文章图片

3）娱乐特效App人脸图片链接可被公开访问
报告还利用技术手段对20款App做了数据安全检测 。 数据安全检测通过安装启动被测App、登录实体账号并触发人脸采集上传功能 ， 采用逆向分析、数据抓包等技术手段检测相关应用在真实环境下的个人信息收集、网络传输情况 。
测评结果显示 ， 20款App中 ， 16款对个人信息作了信息加密和传输加密处理 ， 另有4款娱乐特效App存在问题 。
比如“趣演”没有对人脸信息进行加密处理 。 该App的“AI换装”功能是通过用户上传照片 ， 然后选择视频模板后可生成一段换脸视频 。 但由于没有加密措施 ， 用户的换脸视频的链接可被公开访问 。 这意味着 ， 换脸视频可能被任何人获取 。

文章图片

“趣演”的换脸视频可被公开访问
“ZAO”“更美”“新氧医美”等3款App ， 尽管使用了HTTPS安全传输协议 ， 但没有对数据本身加密 ， 导致用户的人脸照片等信息被上传服务器后 ， 服务器返回链接可被互联网公开访问 。 课题组将相关链接复制到浏览器中 ， 可以直接查看对应的信息 。 这意味着 ， 攻击者一旦截获传输数据包 ， 就将获得用户的一系列敏感个人信息 。
报告认为 ， 人脸识别应用软件在规则告知和技术安全方面呈现出良莠不齐的现象 ， 不同场景的应用在合规方面差距明显 。 头部银行和互联网平台企业在规则制定方面较为规范 ， 但仍在政策透明度方面有明显问题 ， 而部分娱乐特效类App则出现了非常明显的安全漏洞 ， 可能成为人脸识别领域隐私泄露的“重灾区” ， 应当引起开发者的重视 。
文/南都人工智能伦理课题组研究员李娅宁 胡耕硕