近日，工信部組織發(fā)布了《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范 人臉信息》(以下簡稱“評(píng)估規(guī)范”)團(tuán)體標(biāo)準(zhǔn)。APP人臉信息收集使用行為有望得到一步規(guī)范。

工信部組織發(fā)布人臉信息收集標(biāo)準(zhǔn)

從移動(dòng)支付到美顏美妝，使用人臉識(shí)別的APP越來越多，公眾對(duì)人臉信息的收集使用也越來越關(guān)注。此前調(diào)研顯示，82.57%的受訪者關(guān)心人臉原始信息是否被留存和處理，31.5%的受訪者想知道收集方的信息安全保障措施。

APP人臉信息收集使用場景被劃分為四大類

據(jù)了解，評(píng)估規(guī)范由工信部組織中國信息通信研究院、電信終端產(chǎn)業(yè)協(xié)會(huì)(TAF)制定。

TAF官網(wǎng)顯示，評(píng)估規(guī)范旨在提供統(tǒng)一標(biāo)準(zhǔn)，推動(dòng)行業(yè)落實(shí)最小必要原則。此前，行業(yè)內(nèi)還沒有從APP收集使用人臉信息必要性出發(fā)的最小化評(píng)估規(guī)范。

評(píng)估規(guī)范重點(diǎn)明確了信息收集、使用、存儲(chǔ)、刪除四個(gè)環(huán)節(jié)的要求，并結(jié)合四類典型場景進(jìn)一步說明如何落實(shí)上述要求。

根據(jù)評(píng)估規(guī)范，APP收集使用人臉信息的場景可分為以下四類——

智能體驗(yàn)類場景，主要指使用人臉圖像進(jìn)行圖像美化、圖像合成、圖像聚類、皮膚檢測(cè)、情感分析等應(yīng)用場景，該類場景中人臉圖像的使用不與身份信息相關(guān)聯(lián)。

本地核身類場景，主要指承載APP的設(shè)備端進(jìn)行人臉比對(duì)，完成身份認(rèn)證的應(yīng)用場景。

遠(yuǎn)程核身類場景，主要指承載APP對(duì)應(yīng)的遠(yuǎn)程服務(wù)器進(jìn)行人臉比對(duì)，完成身份認(rèn)證的應(yīng)用場景。

“本地與遠(yuǎn)程”核身類主要指APP在通過人臉識(shí)別完成身份認(rèn)證時(shí)，根據(jù)具體場景的需要，采取本地遠(yuǎn)程相結(jié)合的人臉比對(duì)，完成身份認(rèn)證的應(yīng)用場景。

收集環(huán)節(jié)：不應(yīng)強(qiáng)制或欺騙誤導(dǎo)用戶刷臉

評(píng)估規(guī)范提出，在收集環(huán)節(jié)，不應(yīng)強(qiáng)制或欺騙誤導(dǎo)人臉信息主體進(jìn)行人臉識(shí)別，當(dāng)人臉信息主體不進(jìn)行人臉識(shí)別時(shí)，不應(yīng)禁止人臉信息主體的正常使用。

而此前調(diào)研顯示，許多受訪者遇到過強(qiáng)制使用問題。

所有功能開啟的前提，用戶不想進(jìn)行人臉識(shí)別的時(shí)候，APP不應(yīng)限制其他非相關(guān)功能的使用。

“比如，某些APP僅提供人臉識(shí)別的登錄方式，但相關(guān)功能可以用傳統(tǒng)的賬號(hào)密碼方式完成，無需強(qiáng)制采用人臉識(shí)別。”他說。

該專家介紹，“欺騙誤導(dǎo)”，則是指APP沒有履行良好的告知責(zé)任，在用戶未明確授權(quán)的情況下進(jìn)行了人臉識(shí)別。

這樣的“欺騙誤導(dǎo)”，在國外已有處罰先例。

2010年，F(xiàn)acebook推出“標(biāo)簽建議(Photo Tag Suggest)”功能：利用人臉識(shí)別技術(shù)標(biāo)注用戶照片里出現(xiàn)的人。由于此功能一直默認(rèn)開啟，2015年，三位伊利諾伊州用戶依據(jù)該州的《生物信息隱私法》(Biometry Information Privacy Act)，以未經(jīng)用戶同意非法收集存儲(chǔ)生物特征數(shù)據(jù)為由，將Facebook告上法庭。

不久前，訴訟雙方達(dá)成和解，F(xiàn)acebook同意賠償6.5億美元，超百萬用戶申請(qǐng)賠償金，每人或?qū)⒛玫?00多美元。

怎樣才不算“欺騙誤導(dǎo)”?評(píng)估規(guī)范給出具體建議：收集信息之前，應(yīng)以彈窗、勾選、視頻、提示音等強(qiáng)化明示的方式進(jìn)行告知，并征得人臉信息主體的授權(quán)同意。

此外，APP還應(yīng)通過隱私協(xié)議等方式向人臉信息主體告知收集使用情況，包括收集使用的目的、方式、類型、范圍、授權(quán)存儲(chǔ)時(shí)間，控制者的聯(lián)系信息(至少包括組織機(jī)構(gòu)信息、聯(lián)系方式)，人臉信息主體實(shí)現(xiàn)查看、修改、刪除其人臉信息以及撤回其授權(quán)同意的方式，等等。

工信部組織發(fā)布人臉信息收集標(biāo)準(zhǔn)（圖源攝圖網(wǎng)）

使用環(huán)節(jié)：不應(yīng)基于人臉信息生成用戶畫像

在評(píng)估規(guī)范中，還有一項(xiàng)要求值得注意：不應(yīng)基于人臉信息生成用戶畫像，且不應(yīng)基于人臉信息進(jìn)行定向推送。

事實(shí)上，一些行業(yè)已將人臉識(shí)別技術(shù)應(yīng)用于顧客和會(huì)員管理——結(jié)合前端攝像頭抓拍上傳的照片，后端APP能自動(dòng)估算并記錄顧客的年齡、性別、消費(fèi)偏好等信息。有了基礎(chǔ)的用戶畫像，商家就可以進(jìn)行個(gè)性化推送。

360相關(guān)專家表示，定向推送是APP的增值功能，不屬于基本業(yè)務(wù)范疇，因此不宜使用人臉信息這種個(gè)人敏感信息。

在使用環(huán)節(jié)，評(píng)估規(guī)范還針對(duì)不同場景提出具體要求。

例如，在智能體驗(yàn)和本地核身類場景中，APP應(yīng)在本地完成人臉比對(duì)，不應(yīng)將人臉信息傳輸至遠(yuǎn)程服務(wù)器。

其他場景若存在遠(yuǎn)程傳輸需求，應(yīng)僅對(duì)業(yè)務(wù)所需的最小人臉信息進(jìn)行傳輸。所有場景都應(yīng)對(duì)操作過程中產(chǎn)生的臨時(shí)數(shù)據(jù)及時(shí)清除并確保不可恢復(fù)，且不應(yīng)共享或轉(zhuǎn)讓人臉信息。

人臉原始信息是否會(huì)被保留，若存儲(chǔ)了會(huì)被如何處理?在此前調(diào)研中，這是公眾最為關(guān)心的問題之一。

在存儲(chǔ)方面，評(píng)估規(guī)范提出了五項(xiàng)要求，包括將人臉信息與身份信息分開存儲(chǔ);人臉模板加密存儲(chǔ);通過密碼技術(shù)、假名標(biāo)識(shí)符等方式生成不可逆、可更新的人臉參考信息，等等。

四類場景的存儲(chǔ)要求也有差別。根據(jù)評(píng)估規(guī)范，智能體驗(yàn)和本地核身類場景的人臉信息存儲(chǔ)應(yīng)僅限于本地進(jìn)行，且不應(yīng)直接存儲(chǔ)人臉樣本。遠(yuǎn)程核身類和“本地+遠(yuǎn)程”核身類場景不應(yīng)直接存儲(chǔ)人臉樣本，人臉信息的存儲(chǔ)應(yīng)加密。

人臉信息的本地存儲(chǔ)和處理好實(shí)現(xiàn)嗎，是否要依賴于用戶的硬件設(shè)備?

對(duì)此，360相關(guān)專家解釋說，針對(duì)大部分的人臉識(shí)別場景，用戶使用的硬件設(shè)備都會(huì)提供官方人臉識(shí)別接口，人臉信息存儲(chǔ)在設(shè)備本地，APP僅需要調(diào)用接口獲得認(rèn)證結(jié)果就可以完成身份認(rèn)證，而無需直接獲得人臉信息。而針對(duì)一些需要本地處理的場景，企業(yè)可將算法模型保存在用戶設(shè)備上，進(jìn)而實(shí)現(xiàn)在本地獲取人臉信息后，同時(shí)在本地完成計(jì)算、處理。

刪除環(huán)節(jié)：不應(yīng)設(shè)置不合理刪除條件

在此前的調(diào)研中，18.61%的受訪者想知道“查看、撤回、或刪除收集的人臉信息的方式”。

評(píng)估規(guī)范在這方面也有相應(yīng)規(guī)定：“超出授權(quán)同意的人臉信息存儲(chǔ)期限”“超出業(yè)務(wù)所必需地使用人臉信息”“法律法規(guī)規(guī)定的存儲(chǔ)期限已經(jīng)屆滿”，滿足上述三個(gè)條件之一，就應(yīng)及時(shí)刪除人臉信息。

值得注意的是，評(píng)估規(guī)范還提出，APP提供的刪除方法或途徑應(yīng)便于人臉信息主體查找和操作。不應(yīng)設(shè)置不合理的刪除條件，如僅提供現(xiàn)場辦理、要求人臉信息主體填寫精確的歷史操作記錄等。

工信部官微“工信微報(bào)”消息稱，團(tuán)體標(biāo)準(zhǔn)“為APP侵害用戶權(quán)益專項(xiàng)整治工作提供依據(jù)和支撐，為企業(yè)合規(guī)經(jīng)營明確規(guī)范要求”。

“以往我們?cè)谡劦絺€(gè)人信息收集使用的時(shí)候，總是覺得個(gè)人信息收集使用應(yīng)該限制，但是具體落地實(shí)施沒有方向，企業(yè)不知道什么情況可以用，什么不可以用。而標(biāo)準(zhǔn)的出臺(tái)明確了一些典型的使用場景和要求后，讓企業(yè)在心里有了一條準(zhǔn)繩，更容易實(shí)操，同時(shí)也標(biāo)志著監(jiān)管更加透明，提高了用戶的信心，最終形成合力加速企業(yè)在個(gè)人信息保護(hù)方面的進(jìn)步。”360相關(guān)專家說。

據(jù)了解，除了人臉信息的評(píng)估規(guī)范，工信部還于日前發(fā)布了七項(xiàng)同類標(biāo)準(zhǔn)，涉及圖片、通信錄、設(shè)備信息、位置、錄像、軟件列表等信息。

下一步，工信部將繼續(xù)推動(dòng)制定《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范》剩余九項(xiàng)標(biāo)準(zhǔn)，涵蓋錄音信息、短信信息、房產(chǎn)信息、通話信息、身份信息、傳感器信息、日志信息、交易和消費(fèi)記錄、好友列表等個(gè)人信息。相關(guān)標(biāo)準(zhǔn)或?qū)⒂诮衲昴甑浊鞍l(fā)布。

以上就是關(guān)于工信部組織發(fā)布人臉信息收集標(biāo)準(zhǔn)的詳細(xì)內(nèi)容，希望能幫助到您。