人臉識別技術正在越來越多的場景得到應用：多款手機推出人臉解鎖功能；支付寶、微信先後推出刷臉支付設備並對外推廣；部分寫字樓、小區引入人臉識別門禁系統；廣州地鐵APM線近日也正式啟用刷臉過閘設備…… 但也有不少人對人臉識別技術的安全性和隱私洩露風險提出質疑。近期引發廣泛關注的AI換臉APP“ZAO”就因為隱私政策不完善、存在安全風險而被要求整改。

為了解目前人臉識別技術的應用情況和安全性，南都民調中心近日抽選了5款手機品牌、10款常用APP和2處門禁系統，對其人臉識別功能的識別方式、數據存儲以及隱私政策等方面進行實際測試。結果發現，部分APP並未向用戶提供刪除人臉數據的途徑；還有部分APP隱私政策不完善，用戶使用相關服務存在一定的隱私洩露風險。南都民調中心同時發起的網絡調查結果也顯示，超過九成受訪者擔心人臉信息會在不知情的情況下被濫用，希望有關部門製定相關法律法規，完善公民生物識別數據的監管。

手機測評：小米、華為未將面部數據列入隱私政策內

測評員共對5款帶有人臉解鎖功能的智能手機進行了實際測試。在本次測試中，測評員嘗試使用提前拍攝的照片或視頻解開手機鎖屏，5款被測手機均提醒未檢測到人臉，無法解鎖。但測評員發現部分手機品牌的隱私政策並未將人臉數據列為用戶個人信息，對相關數據的去向也未有明確告知。

蘋果自iPhone X開始使用原深感攝像頭系統為用戶提供人臉識別解鎖以及手機支付授權。在實際測試中，蘋果手機僅提供5次的人臉識別嘗試機會，如果連續5次識別均未能成功解開手機鎖屏，則會要求使用者輸入密碼，降低手機鎖屏被惡意破解的可能性。雖然本次測試中照片和視頻未能解開蘋果的人臉識別，但自蘋果推出該項服務以來，國內外都曾報導過有雙胞胎或外貌相似的兩人可解鎖對方手機。其面容ID的安全性似乎仍有提升空間。

而在蘋果的面容ID隱私說明中，蘋果則承諾會對用戶的面部特徵數據作加密處理，並且只保存在設備的本地空間內，不會共享給第三方。

另外4款測評手機的品牌分別是華為、小米、錘子科技和摩托羅拉。由於這幾款手機都只是採用普通的前置攝像頭完成人臉識別，所以設置頁面中都有對用戶作出提示：人臉識別的安全性較指紋識別及密碼低，有可能被他人利用照片等方式騙過識別系統，解鎖手機。但在本次測試中，測評員多次嘗試都未能使用照片或視頻通過這幾款手機的人臉識別。

值得注意的是，在《華為消費者業務隱私聲明》和《小米隱私政策》中，測評員均未能找到關於人臉數據採集的說明條款。華為手機僅在開通人臉解鎖功能時展示一份《免責聲明》，表示相關數據僅存儲在設備的本地空間內；而小米手機則僅展示一段簡單的風險提示，說明人臉識別的安全性較低，但並未提及人臉數據的去向。

相較之下，錘子科技和摩托羅拉的隱私政策內均有提及人臉數據的採集。其中，摩托羅拉更明確告知相機、相冊等部分應用也會使用臉部檢測功能，但其相關數據僅保留在手機中，不會上傳給摩托羅拉或其他第三方。

支付寶、京東可用刷臉登錄和刷臉支付

測評員本次共對10款提供人臉識別服務的手機APP進行了測評。同樣地，這些APP都拒絕使用提前拍攝的照片或視頻來完成人臉識別驗證。測評員在測試過程中還發現，目前不少APP會選擇使用身份證件照片作為人臉識別的比對基準，確保用戶身份的真實性。也有部分企業在隱私政策中承諾建立信息安全部門，保障用戶信息安全。

其中，支付寶目前允許用戶使用人臉識別方式進行賬戶登錄、刷臉支付等操作。在測評員實際測試過程中，支付寶的人臉識別速度非常快，沒有要求用戶作出眨眼、搖頭、讀數等動作來配合活體識別，一瞬間就完成了識別驗證。

作為國民級的支付工具，支付寶在隱私政策中承諾在內部建立個人信息保護責任部門以及相關內控制度，保障用戶的個人信息安全。

但值得注意的是，測評員查閱支付寶的隱私政策以及自助客服說明後，發現目前支付寶並不允許用戶自行變更身份實名認證，相關人臉數據也不允許進行修改。也就是說，雖然人臉識別服務可以由用戶自行選擇是否開啟，但當用戶初次綁定個人身份信息，並錄入人臉數據後，除非徹底註銷支付寶賬號，否則相關資料將一直保留且無法修改。

同樣地，京東APP內也提供刷臉登錄和刷臉支付服務，但兩項功能有單獨的入口和數據上傳方式。其中，刷臉登錄需要用戶使用手機攝像頭拍攝人臉數據。在測評員實際測試過程中，如果嘗試使用提前錄製的視頻來登錄，APP會識別到視頻畫面中的眨眼動作，但隨後仍會拒絕登錄請求，似乎是APP的活體識別機制發揮了作用。而在刷臉支付功能中，用戶則可以選擇直接使用手機自拍，或上傳手機相冊中的照片提供人臉數據，而且，用戶還可以隨時在APP中更換作為人臉比對基準的照片。

而在京東的隱私政策中，測評員看到，京東也承諾建立信息安全委員會，由專人負責個人信息安全事務，並定期舉辦相關培訓課程，加強員工對保護個人信息重要性的認識。此外，京東還承諾，用戶的個人信息僅保存至賬號註銷之日後的一個月。

銀行類應用：微眾銀行人臉識別標準十分嚴格

本次測評的APP中，包括微眾銀行、中國工商銀行、招商銀行3款銀行類應用。3家銀行的人臉識別應用場景均有所區別。

其中，微眾銀行APP在開設賬戶或綁定其它銀行賬戶時，需要用戶進行人臉識別完成身份驗證。該APP的人臉識別標準十分嚴格，用戶需要在APP內採用屏幕反光進行識別，然後把錄製下來的視頻上傳，進行審核。測評員在第一次識別的過程中還由於角度及光線問題被告知審核失敗。如果嘗試使用照片或視頻進行識別，APP更會停留在頭像識別的步驟，無法開始下一步的視頻錄製。

而在中國工商銀行（工銀融e行）中，雲保管和設備保護兩項功能均涉及人臉識別認證。在實際測試中，用戶需要正對手機屏幕並眨眼完成活體識別，照片及視頻均無法通過該識別環節。由於銀行業務的特殊性，其只能通過註銷電子銀行賬戶的方式刪除用戶的所有個人信息。

招商銀行APP則允許用戶自行開通刷臉支付功能。測評員在使用過程中發現，開通這一功能只需輸入支付密碼，APP並未重新錄入用戶人臉數據。但用戶可以點擊上傳輔助驗證照片，再次拍攝一張個人照片，以免證件照比對不通過，影響支付體驗。值得注意的是，在招商銀行的刷臉支付協議中，測評員並未看到銀行對人臉數據的使用範圍、共享範圍以及存儲方式作出承諾。雖然用戶可以自行關閉刷臉支付功能，但APP中並未提及會否一併刪除用戶自行上傳的輔助驗證照片。

廣州地鐵官方APP未發現人臉數據刪除方式

目前，廣州地鐵已在APM線廣州塔站正式啟用刷臉過閘設備。市民如果想體驗刷臉過閘，需要提前在廣州地鐵官方APP中錄入人臉數據。測評員在實際操作過程中發現，用戶在開通刷臉過閘功能前，需要先登錄APP賬戶，並且通過微警認證模塊完成相關的實名認證以及活體認證。身份識別通過後，app還會要求用戶提供一張個人正面頭像照作為刷臉過閘的比對基準照片。

但在廣州地鐵的《人臉業務開通服務協議》中，僅提及廣州地鐵會按照公安部規範獲取相關資料，而未提及用戶提交的個人照片會存儲於何處以及有何數據保護措施。而且，測評員在APP內也找不到自行刪除相關人臉數據以及關閉該服務的方式。

百度APP未說明人臉數據會否刪除

百度APP目前為用戶提供刷臉登錄的功能。但測評員在百度的隱私政策等協議中均未找到與人臉數據相關的說明條款，只在APP的登錄設置中看到了一段簡單的《刷臉登錄規則說明》，提醒用戶的人臉數據可能會提交給法律法規允許或政府機關授權的機構進行比對核驗。

在實際測試過程中，測評員嘗試使用照片和視頻進行登錄，都被APP拒絕了請求。雖然在關閉刷臉登錄後，需要再次錄入面部數據方可重新使用這一功能，但整個過程中都未說明關閉刷臉登錄是否意味著此前提交的人臉數據一併作刪除處理。

小區門禁系統：照片存儲在管家電腦內

在廣州大道中某寫字樓，人臉識別技術已經應用在了門禁系統上。員工需要提交個人照片作為識別系統的比對基準照片。在實際測試過程中，測評員使用其中一位男員工的照片順利通過了該寫字樓的門禁系統，但當再嘗試使用其他員工的照片時，門禁系統卻又能正確判斷出該照片並非真人。儘管不是任意照片都能通過人臉識別，但已經說明該系統存在一定的安全漏洞。

而在番禺的某大型住宅小區，同樣採用了人臉識別作為小區的門禁系統。該識別系統的比對基準照片也是由業主提交給小區的片區管家或管家助理。測評員使用其中一名業主的照片嘗試通過識別，多次測試均被門禁系統拒絕。此外，測評員還了解到，該小區物管採集到的業主照片，會存儲在負責該片區的管家電腦中，作簡單的加密處理。

網絡調查：近九成受訪者用過人臉識別

近日，南都民調中心就人臉識別技術話題聯合“熱點站站隊”平台發起網絡調查，在一周之內共收到3052位網友的投票。結果顯示，79.7%的受訪者對人臉識別技術有一定的了解，僅20.3%的受訪者不清楚人臉識別技術。

進一步問及人臉識別技術的使用情況時，僅10.1%的受訪者未使用過人臉識別技術，而手機解鎖（55.7%）、申請辦理證件（49.4%）和門禁系統（43%）則是最常使用人臉識別技術的場合。由此可見，目前人臉識別技術已逐漸滲透到市民的日常生活中。

九成受訪者擔憂人臉識別安全隱患

儘管人臉識別技術的應用已經十分普遍，但依然有不少受訪者表示對該技術並不放心。本次調查中，有41.8%的受訪者表示非常擔心人臉識別技術存在安全隱患，有55.7%表示有一定擔心但可以多加防範，完全不擔心的僅佔2.5%。

而問及對人臉識別技術的使用存在哪些擔憂時，受訪者最擔心的3種情況是“人臉信息會在不知情的情況下被濫用”“犯罪分子利用該技術製造違反法律和道德的軟件”和“人臉信息被非法販賣”，分別佔93.7%，86.1%和83.5%。

受訪者呼籲完善公民生物識別數據監管

面對上述擔憂，有92.4%的受訪者希望有關部門製定相關法律法規，完善公民生物識別數據的監管；而希望“有關服務平台提陞技術甄別手段，防止人臉信息被盜用”“限制人臉識別技術的使用主體和使用範圍”“使用該技術的機構或企業必須與用戶簽訂使用協議”的受訪者分別佔81%，79.7%和75.9%。

完善相關數據監管，讓大家放心刷臉

從本次的測試結果來看，雖然有門禁系統憑照片便通過了識別，但也並非任意照片都能順利通過，依靠偷拍、網上抓取等渠道獲取的照片視頻騙過人臉識別系統的可能性較低。人臉識別相關技術已經較為成熟。但部分服務平台在使用人臉識別技術時，並未對人臉數據保護作出明確承諾，甚至連數據的去向都未能說明，則難免令用戶產生擔憂。

毫無疑問，人臉識別技術的普及方便了不少市民的日常生活，其市場潛力十分巨大。但在人臉識別技術逐漸走向成熟，應用場景越來越多的同時，有關的行業標準、隱私保護政策也應盡快出台。保護用戶隱私不僅需要靠相關企業和機構的自律，更需要在有關部門的引導下建立起整個行業的統一規範，共同築起保護用戶隱私的防火牆。

項目出品：南都民調中心