近期，曝光了一系列和人脸识别相关的新闻，引发了普遍关注。有某高校强制使用网课系统打开摄像头使用人脸监控，有犯罪分子通过人工软件制作的3D头像通过支付宝人脸识别认证，人脸识别技术应用的问题和风险可见一斑。当然，人脸识别技术非接触式的特点，使其应用优势也显而易见，在机场、车站，人脸识别提高了进出站效率，远程身份核验为在线服务提供保障，甚至最近有组织在防疫期间使用其进行身份核验来避免人员接触。

有人认为，人脸并不是什么“保密”的信息，人不可能把脸藏起来，平时就是公开的。然而，这种说法并没有考虑当人脸和个人财产、行踪等产生绑定和关联时，还有谁会觉得人脸被随意收集使用没有风险？人脸识别的背后是对人脸特征个人信息的收集使用，自然需要遵守个人信息保护的原则。可是，以使用人脸识别功能的App为例，到底做的如何呢？

0 1

举报问题情况

截至目前，“App个人信息举报”举报平台收到的超过1万条的有效举报信息中，与人脸识别相关举报信息有500余条，涉及50余款App。包括了使用人脸进行身份核验、认证，或使用人工智能技术生成虚拟人脸、预测分析等场景。其中，大部分App将人脸识别技术用于身份核验，确保必须是本人亲自参与完成某些业务功能，以此解决仅用姓名、手机号码、身份证号码等“实名制”信息核验带来的可信度不足等问题，典型的有金融账户开户、支付环节、司乘认证、会员身份核验等。随着人脸识别技术的日趋成熟，2019年下半年开始，引入人脸识别技术的App逐渐增多，很多App都将其视为创新点。除了App以外，智能摄像头、支付终端等都开始逐步加载人脸识别功能，人脸识别的大范围应用迹象已现端倪。当下，很多网友对人脸识别应用过程中的个人信息保护问题提出了疑问，可见，在逐步进入“刷脸”社会时，如何处理便利性和安全性的平衡关系成为当务之急。

0 2

典型现象和问题分析

梳理上述被举报的50余款App在应用人脸识别技术时发现，大多数在处理人脸信息方面存在一些共性现象和问题，主要包括：

1.强制要求用户提供人脸信息（占比约60%）

比如，在提现时的身份核验环节要求刷脸，网友表示“当问及客服，强制收集人脸信息的理由，平台表示因涉及提现交易必须确保为本人操作，除非提供人脸信息，否则不能提取账户钱款”；而在社区门禁解锁、高校监督课堂行为等环节，要求必须使用App上线的人脸识别功能。这其中，有些App将采用人脸识别核验身份作为了可选的补充措施，但是大部分App将其列为“必选项”，但是，并没有给出充分的理由。这其中，常见的理由是为了满足法律法规或行业监管有关“实名制要求”、确保用户身份真实性、实现反欺诈等业务风险控制，需要收集用户真实身份信息，对此，我们曾经分析过“手持身份证照片”的必要性，其逻辑类似，文章见：。而与收集的身份证照片相比，如果人脸识别过程对人脸各个角度原始照片均做保留，恐怕其一旦被滥用、泄露，后果更甚。

身份核验也好、安全风控也罢，其方式方法多种多样，采取强制，或者以提升其它操作方式复杂度“变相”强制方式获取人脸信息，既没有足够充分的法律依据，也没有照顾用户的隐私体验。面对新兴的人脸识别技术，用户往往处于“到处在收，却没得选”的境地，怎能不让用户心存芥蒂，杭州动物园强制使用人脸识别被人起诉成为“中国人脸识别第一案”是最好的例证。

2.未清晰说明收集使用人脸信息的规则（占比约90%）

既然人脸信息的收集往往不可避免，那么如何处理、保护人脸信息自然成为网友们关心的问题。就从身份核验的目的出发，完全可以在提取人脸特征信息后，及时删除原始的人脸图像，以避免数据泄露造成影响，如果能够告知用户能及时删除人脸信息或直接核验不做保留，相信大家对其接受度会有提升。可见，清晰、合理的个人信息处理规则可以让用户了解原委，为使用人脸识别的功能建立信心。

然而，核验发现，绝大部分相关App只在隐私政策中笼统提及“个人信息的保存将在法律法规要求的最短保存限期内，当超出上述保存期限，会对其进行匿名化处理”、“我们收集的个人信息，将在中国内地存储和使用”等，对于用户关心的人脸信息是否会留存原始图像信息，留存多长时间，使用范围如何，是否向第三方提供，采取了何种安全措施等均是只字不提。有网友问及App客服人脸信息是否会被保存时，却被告知“公司会使用加密方式保证客户信息安全，但因商业机密拒绝提供人脸信息识别出处、处理方式等”。一方面，面对完全“黑盒”的人脸识别功能，另一方面，面对时常曝光的人脸原始照片被贩卖的新闻，怎能不让用户心生戒备。

3.没有提供撤回同意收集使用人脸信息的方法（占比接近100%）

有网友在尝试使用人脸识别的功能后，担心人脸信息被挪作他用，想撤回之前同意提交的人脸信息，可是与客服沟通发现，并没有提供这样的撤回机制。实现撤回同意的机制往往被视为保障用户选择权的重要体现，比如，手机提供了控制提供可收集个人信息权限的机制，用户可以通过关闭地理位置、摄像头等方式改变之前的同意决定，防止个人信息被继续处理。

就人脸识别而言，对“撤回同意”的理解与实践存在一定的复杂性。比如，由于在App端，用户自行决定不再使用刷脸支付可以避免人脸信息被继续处理，是否算是对刷脸支付的撤回？因此就无需额外提供人脸识别的撤回机制。然而，这个理由所阐述的逻辑并不完备，如果用户计划以后不再使用人脸识别功能，而又无渠道和机制向App运营者反馈其意愿，而App运营者则可能以其不清楚用户是否还会再次使用为由，“在服务期间”长期保留用户的人脸特征信息，而事实上，所保留的这些信息已经超出达成前期的处理目的需要，有不符合最短期限内存储原则的嫌疑，无意之间增加了泄露、滥用隐患。因此，向用户提供撤回收集人脸信息的明确方法和机制是一种向用户负责的体现。否则，用户面临“一旦提供人脸，则无追回余地”的境地，怎能不让用户心生顾虑。

此外，人脸识别技术准确性的问题也不可忽略，此前“小学生使用打印照片破解人脸识别功能的新闻”让人大跌眼镜。当然，人脸相关的原始图片、特征信息等还可能应用到人脸识别相应技术、模型的训练、优化，这些虽然与为用户提供服务不直接相关，但与服务过程的安全息息相关。此时，如果希望得到用户理解与支持，将规则透明化则显得尤为重要，否则换来的可能是更多的猜疑和反感。

而除了App普遍存在的以上现象和问题，其他应用人脸识别技术的场景下，用户“知情权”和“选择权”的丧失也非常普遍，由此带来的用户对大数据时代下隐私保护现状的“失望”，是对利用大数据造福社会的一种“看似无形”而又“无法忽视”的阻碍。

0 3

几点建议

随着人脸识别技术广泛应用于各App及生活场景下，人脸信息的保护成为个人信息保护工作中的重中之重，必须高度重视对此类信息的收集使用行为，保障用户知情权和选择权，确保各环节安全。以下建议供相关方参考：

1、收集人脸信息前，需确保其目的合法、正当、必要，只有业务本身涉及用户重大利益或特殊监管需求时考虑使用，不把人脸识别作为提供所有业务功能的前提；

2、除了在隐私政策等文本中体现外，单独向个人信息主体告知收集、使用人脸信息的目的、方式和范围，以及存储时间等用户关心的规则，并征得个人信息主体的明示同意；

3、原则上不存储原始的人脸信息（如样本、图像等），优先在采集终端中直接使用人脸实现身份识别、认证等功能，如需通过服务器端实现的，在实现功能后选择删除可提取人脸特征信息的原始图像；

4、使用人脸识别技术时，需采取加密传输、存储及严密的权限控制、审计等措施确保收集使用环境的安全可信；

5、使用人脸信息进行身份核验、比对时，应选择与公安部门等官方授权机构进行合作；

6、逐步完善用户对其人脸信息的控制权，比如查询收集使用情况，撤回对收集人脸信息的同意，以及查询是否还继续持续留存了人脸信息等；

7、原则上避免对人脸信息的共享、转让，杜绝未经用户明示同意，私自对外提供人脸信息行为；

8、可优先将人脸识别作为辅助手段进行应用，以兼顾便捷性与安全性，比如小额支付、快速通道等。

人脸识别等新技术、新应用自出现以来，可谓争议不断，很多时候究其原因，是忽视了用户的“选择权”“知情权”，如此做法，谈何消除顾虑，获取用户信任。随着民众安全意识的提升，个人信息保护早已成为衡量民众在互联网上“获得感”“安全感”的重要砝码。企业不应只盯着新技术、新应用的商业价值，而是赋予其更多社会价值，才是赢得更多发展空间的一剂良方。