1. 极安网首页
  2. 网络安全新闻

工信部组织发布人脸信息收集标准:不应强制或欺骗用户刷脸

APP人脸信息收集使用行为有望得到一步规范。

从移动支付到美颜美妆,使用人脸识别的APP越来越多,公众对人脸信息的收集使用也越来越关注。此前调研显示,82.57%的受访者关心人脸原始信息是否被留存和处理,31.5%的受访者想知道收集方的信息安全保障措施。

公众关心的种种问题或许将迎来更多的说明和解答——11月27日,工信部组织发布了《APP收集使用个人信息最小必要评估规范 人脸信息》(以下简称“评估规范”)团体标准。APP人脸信息收集使用行为有望得到一步规范。

APP人脸信息收集使用场景被划分为四大类

评估规范由工信部组织中国信息通信研究院、电信终端产业协会(TAF)制定。

评估规范旨在提供统一标准,推动行业落实最小必要原则。此前,行业内还没有从APP收集使用人脸信息必要性出发的最小化评估规范。

评估规范重点明确了信息收集、使用、存储、删除四个环节的要求,并结合四类典型场景进一步说明如何落实上述要求。

根据评估规范,APP收集使用人脸信息的场景可分为以下四类——

智能体验类场景,主要指使用人脸图像进行图像美化、图像合成、图像聚类、皮肤检测、情感分析等应用场景,该类场景中人脸图像的使用不与身份信息相关联。

本地核身类场景,主要指承载APP的设备端进行人脸比对,完成身份认证的应用场景。

远程核身类场景,主要指承载APP对应的远程服务器进行人脸比对,完成身份认证的应用场景。

“本地与远程”核身类主要指APP在通过人脸识别完成身份认证时,根据具体场景的需要,采取本地远程相结合的人脸比对,完成身份认证的应用场景。

收集环节:不应强制或欺骗误导用户刷脸

评估规范提出,在收集环节,不应强制或欺骗误导人脸信息主体进行人脸识别,当人脸信息主体不进行人脸识别时,不应禁止人脸信息主体的正常使用。

而此前调研显示,许多受访者遇到过强制使用问题。

工信部组织发布人脸信息收集标准:不应强制或欺骗用户刷脸-极安网

参与了编制工作的360相关专家告诉南都记者,“不应强制”,就是不能把人脸识别作为所有功能开启的前提,用户不想进行人脸识别的时候,APP不应限制其他非相关功能的使用。

“比如,某些APP仅提供人脸识别的登录方式,但相关功能可以用传统的账号密码方式完成,无需强制采用人脸识别。”他说。

该专家介绍,“欺骗误导”,则是指APP没有履行良好的告知责任,在用户未明确授权的情况下进行了人脸识别。

这样的“欺骗误导”,在国外已有处罚先例。

2010年,Facebook推出“标签建议(Photo Tag Suggest)”功能:利用人脸识别技术标注用户照片里出现的人。由于此功能一直默认开启,2015年,三位伊利诺伊州用户依据该州的《生物信息隐私法》(Biometry Information Privacy Act),以未经用户同意非法收集存储生物特征数据为由,将Facebook告上法庭。

不久前,诉讼双方达成和解,Facebook同意赔偿6.5亿美元,超百万用户申请赔偿金,每人或将拿到300多美元。

怎样才不算“欺骗误导”?评估规范给出具体建议:收集信息之前,应以弹窗、勾选、视频、提示音等强化明示的方式进行告知,并征得人脸信息主体的授权同意。

此外,APP还应通过隐私协议等方式向人脸信息主体告知收集使用情况,包括收集使用的目的、方式、类型、范围、授权存储时间,控制者的联系信息(至少包括组织机构信息、联系方式),人脸信息主体实现查看、修改、删除其人脸信息以及撤回其授权同意的方式,等等。

原创文章,作者: Admin ,转载请注明出处:https://www.secvery.com/4386.html