2元就能买上千张人脸照片，App如何“偷”走你的脸？|人脸识别|App|数据安全_新浪科技

　　来源：网络传播杂志

　　作者：何延哲韩煜

　　近年来，人脸识别技术给人们的生活带来了极大的便利，但与此同时，其也引发了公众对泄露个人信息的担忧。近日，央视新闻调查发现，只要花2元钱就能买到上千张人脸照片，而5000多张人脸照片标价还不到10元。人脸识别技术在App里到底是如何应用的？App为何会频繁“自启动”？

　　人脸识别技术在App中的应用问题

　　很多App开始广泛应用人脸识别技术，但是因为应用方式不规范、安全措施不到位导致用户的人脸、行踪轨迹等个人敏感信息泄露，更有媒体曝出人脸信息买卖黑色产业链，5000多张人脸照片标价不到10元。

　　在对使用人脸识别技术的App进行检测分析发现，不规范收集使用人脸信息的现象比较突出，常见的有：

　　在App隐私政策里面，未说明收集使用人脸信息的规则；

　　无法撤回被收集的人脸信息，无法进行账户注销删除人脸信息；

　　强制收集用户的人脸信息，否则App无法正常使用任何功能；

　　安全措施缺失，人脸原始数据被反复上传，且能被互联网直接访问、下载；

　　人脸识别技术可靠性差，录入人脸信息后，使用翻拍照片等方式即可轻易破解。

　　目前，很多人对于人脸识别技术抱有反感、抵触情绪，这与其应用过程不规范、安全不过关有关。如果人脸识别技术的应用得不到正确的引导、监督，不光是个人利益遭受侵害，安全与发展的失衡还可能导致产业受困、前景黯淡。

　　近年来，对于人脸信息，即个人信息中最为敏感的一类“个人生物识别信息”，保护的规则在不断细化。

　　目前，全国信息安全标准化技术委员会新修订发布的GB/T35273-2020《信息安全技术个人信息安全规范》中，对人脸信息等生物识别信息保护提出“增强型”要求。《生物特征识别信息保护要求》《人脸识别数据安全要求》等已经在信安标委重点制定的标准之列。

　　7月7日，山西太原一高考考点，考务人员运用人脸识别技术核验考生身份。供图/视觉中国

　　App在应用人脸识别技术时，应充分参照当前已有法律法规和相关标准，保障用户权益和人脸特征信息安全。

　　一是评估人脸识别技术应用的必要性，个人身份核验准确性不会影响到个人重大利益或社会公共利益的情形可不优先考虑使用人脸识别技术。

　　二是不宜将人脸识别技术设置为唯一的身份核验手段，不应强制要求或频繁推荐用户开通基于人脸识别的相关功能。

　　三是未经用户同意或法律法规授权，不得通过高清摄像头等私自采集人脸信息，不得使用人脸信息追踪个人行为。

　　四是向用户明示人脸信息收集使用的规则，并建立严格的内部管理措施，防止人脸信息被滥用、非法提供给第三方。

　　五是原则上应仅采取提取人脸特征信息进行比对的方式进行身份核验，完成身份核验后及时删除人脸图片等原始样本。

　　六是采用AI技术合成的数字人脸图像需明确注明其为技术生成的虚拟图像，生成和使用过程应经个人授权，遵循有关管理规定。

　　七是加强人脸识别技术、相关信息系统和终端设备的安全性检测与认证，推动人脸识别技术成熟度不断提升，防止人脸信息的伪造、冒用、泄露、丢失。

　　App“自启动”“关联启动”机制的风险

　　为何会“自启动”“关联启动”？

　　最近，有网友更新手机操作系统后，在其提供的功能中发现，有些App会自行在后台启动，有些App启动后，短时间内唤醒了十余款其他App，这种“自启动”“关联启动”的现象在安卓用户中引发热烈讨论。很多网友表示“不解”“后怕”，担心个人信息被窃取，媒体也对该现象进行了报道。

　　事实上，App“自启动”“关联启动”等后台唤醒问题，在国内的安卓生态下已经存在很多年。

　　目前国内安卓生态下没有统一消息推送机制，App为了满足及时向客户端手机推送信息的需求，就要尽可能与消息推送服务器保持长连接。

　　如果App没有服务进程，一旦用户选择不主动打开App，就无法与用户进行任何通信，久而久之用户就会弃之不用甚至卸载，因而App会想方设法地让自己在系统中“保活”。

　　如果App开发者选择了采用第三方推送SDK提供的联合唤醒的机制或者其他类似唤醒机制来“保活”，这就可能导致大量的服务进程在后台被唤醒、驻留，从而造成应用的“交叉唤醒”“关联启动”现象。

　　说到底，“自启动”“关联启动”事实上是“开源型”的安卓操作系统给开发者留下的可以自行定义使用的空间。除了“消息推送”和“进程保活”，为了适应一些语音识别等智能化场景、与其他App业务功能的交互等，这些机制均能被开发者灵活使用。

　　有何风险？

　　这种开放型的设计，存在易被“滥用”的隐患。

　　在用户安装、首次打开、使用App等过程中，会根据需要授予电话/设备信息、存储、位置等权限，这些权限一旦授予，App则随时可以通过权限收集相关的信息。

　　即使App通过“自启动”“关联启动”方式被唤醒，被唤醒的App服务进程也可以调用用户已开启的权限。

　　这就相当于App、SDK等只要有服务进程存活，也就具备了随时可收集如IMEI等设备唯一识别符、位置信息、公共存储区的数据等能力，而这些信息被广泛用于用户画像、行为标签等方面。

　　显然，在这种机制下，超出用户预期的收集使用个人信息的情形是有可能发生的。

　　《App违法违规收集使用个人信息行为认定方法》第四条第3点指出，收集个人信息的频度等超出业务功能实际需要，可认定为“违反必要原则，收集与其提供的服务无关的个人信息”；

　　GB/T35273-2020《信息安全技术个人信息安全规范》标准中指出，收集个人信息需满足最小必要原则，自动收集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率。

　　基于上述技术规范内容分析，App通过“自启动”“关联启动”等方式唤醒后，如果存在通过权限等机制收集个人信息的行为，且并未在隐私政策等规则中明确指出具体的目的的，其收集个人信息的频度则涉嫌超出业务功能实际需要。

　　如何规范？

　　App通过“自启动”“关联启动”唤醒的方式，是涉及安卓操作系统的一个复杂生态问题。该问题已经得到有关部门关注。

　　2017年，工信部指导成立由主流手机厂商和用户基数大的App开发商组成的“安卓统一推送联盟”，旨在推动各应用运营者能够通过统一推送服务完成消息推送，各应用无须自己考虑消息推送的问题，而是把这个问题交由安卓系统层面去解决，从而避免“自启动”“关联启动”方式的滥用。

　　除逐步推动“推送”等方面技术和标准上的统一化外，立足于现实情况，还可从技术规范等层面细化App、SDK收集使用个人信息的要求，不断加强对过度收集个人信息行为的检测评估、曝光处罚，推动“自启动”“关联启动”行为规范化。

　　无论现有移动生态现状如何、技术条件是否成熟，App、SDK等均可从个人信息保护角度，公开、透明收集使用个人信息规则，并严格做到言行一致。如此，才能避免“自启动”“关联启动”给用户带来的担忧。

　　操作系统监测App行为机制的影响

　　近期，国产手机操作系统最新版本中，不断加入对App调用系统权限的时间、频率、自启动和关联启动状况、后台录音录像、私自截屏录屏、提示读取剪切板行为等进行监测的功能，这让不少网友纷纷点赞，App的一些收集个人信息行为不再成为“黑盒子”。

　　从国产手机厂商的上述举措可以看出：

　　首先，专项治理工作的持续开展和技术规范的成熟推动了个人信息保护水平持续提升。

　　手机操作系统在隐私保护功能上日益强大，其采取的方案与相关监管措施、技术规范“如出一辙”。

　　比如，《App违法违规收集使用个人信息行为认定方法》第四条指出，收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关，或收集个人信息的频度等超出业务功能实际需要，可被认定为“违反必要原则，收集与其提供的服务无关的个人信息”，如果手机操作系统监测到某App在用户未使用时“自启动”并进行后台录音，则涉嫌属于该情形。

　　随着有关监管部门不断完善立法立规工作，持续开展治理，之前推动App整改问题的模式将逐步演化为推动改善移动互联网生态，以达到事半功倍、全面覆盖的效果，形成良性循环。

　　目前，国产手机厂商主动在安卓原生系统基础上深度定制化的做法弥补了一些隐私保护方面的“先天不足”“陈年顽疾”，既响应了监管要求和民众诉求，也着实是一次硬实力和竞争力的提升。

　　其次，隐私保护友好型手机操作系统乃大势所趋，App必须做好适配的计划。

　　在个人信息保护监管常态化、精细化的背景下，App不得不在个人信息保护问题上不断强化责任意识，提升能力水平。

　　而手机厂商提供隐私保护的设置、功能，其本质是为各方“赋能”，一方面协助App更加方便地落地个人信息保护要求，另一方面协助用户更加简单地监督App收集使用个人信息行为。

　　对此，如果部分App在开发、运营等环节未能将个人信息保护的相关举措实质化，还停留在“隐私政策”一纸声明、取得用户同意便无所忌惮的状态，恐怕无法适应今后的操作系统环境，更无法适应今后的监管要求。