近日，工信部組織發(fā)布了《APP收集使用個人信息最小必要評估規(guī)范 人臉信息》(以下簡稱“評估規(guī)范”)團體標(biāo)準(zhǔn)。APP人臉信息收集使用行為有望得到一步規(guī)范。

工信部組織發(fā)布人臉信息收集標(biāo)準(zhǔn)

從移動支付到美顏美妝，使用人臉識別的APP越來越多，公眾對人臉信息的收集使用也越來越關(guān)注。此前調(diào)研顯示，82.57%的受訪者關(guān)心人臉原始信息是否被留存和處理，31.5%的受訪者想知道收集方的信息安全保障措施。

APP人臉信息收集使用場景被劃分為四大類

據(jù)了解，評估規(guī)范由工信部組織中國信息通信研究院、電信終端產(chǎn)業(yè)協(xié)會(TAF)制定。

TAF官網(wǎng)顯示，評估規(guī)范旨在提供統(tǒng)一標(biāo)準(zhǔn)，推動行業(yè)落實最小必要原則。此前，行業(yè)內(nèi)還沒有從APP收集使用人臉信息必要性出發(fā)的最小化評估規(guī)范。

評估規(guī)范重點明確了信息收集、使用、存儲、刪除四個環(huán)節(jié)的要求，并結(jié)合四類典型場景進一步說明如何落實上述要求。

根據(jù)評估規(guī)范，APP收集使用人臉信息的場景可分為以下四類——

智能體驗類場景，主要指使用人臉圖像進行圖像美化、圖像合成、圖像聚類、皮膚檢測、情感分析等應(yīng)用場景，該類場景中人臉圖像的使用不與身份信息相關(guān)聯(lián)。

本地核身類場景，主要指承載APP的設(shè)備端進行人臉比對，完成身份認(rèn)證的應(yīng)用場景。

遠(yuǎn)程核身類場景，主要指承載APP對應(yīng)的遠(yuǎn)程服務(wù)器進行人臉比對，完成身份認(rèn)證的應(yīng)用場景。

“本地與遠(yuǎn)程”核身類主要指APP在通過人臉識別完成身份認(rèn)證時，根據(jù)具體場景的需要，采取本地遠(yuǎn)程相結(jié)合的人臉比對，完成身份認(rèn)證的應(yīng)用場景。

收集環(huán)節(jié)：不應(yīng)強制或欺騙誤導(dǎo)用戶刷臉

評估規(guī)范提出，在收集環(huán)節(jié)，不應(yīng)強制或欺騙誤導(dǎo)人臉信息主體進行人臉識別，當(dāng)人臉信息主體不進行人臉識別時，不應(yīng)禁止人臉信息主體的正常使用。

而此前調(diào)研顯示，許多受訪者遇到過強制使用問題。

所有功能開啟的前提，用戶不想進行人臉識別的時候，APP不應(yīng)限制其他非相關(guān)功能的使用。

“比如，某些APP僅提供人臉識別的登錄方式，但相關(guān)功能可以用傳統(tǒng)的賬號密碼方式完成，無需強制采用人臉識別。”他說。

該專家介紹，“欺騙誤導(dǎo)”，則是指APP沒有履行良好的告知責(zé)任，在用戶未明確授權(quán)的情況下進行了人臉識別。

這樣的“欺騙誤導(dǎo)”，在國外已有處罰先例。

2010年，F(xiàn)acebook推出“標(biāo)簽建議(Photo Tag Suggest)”功能：利用人臉識別技術(shù)標(biāo)注用戶照片里出現(xiàn)的人。由于此功能一直默認(rèn)開啟，2015年，三位伊利諾伊州用戶依據(jù)該州的《生物信息隱私法》(Biometry Information Privacy Act)，以未經(jīng)用戶同意非法收集存儲生物特征數(shù)據(jù)為由，將Facebook告上法庭。

不久前，訴訟雙方達成和解，F(xiàn)acebook同意賠償6.5億美元，超百萬用戶申請賠償金，每人或?qū)⒛玫?00多美元。

怎樣才不算“欺騙誤導(dǎo)”?評估規(guī)范給出具體建議：收集信息之前，應(yīng)以彈窗、勾選、視頻、提示音等強化明示的方式進行告知，并征得人臉信息主體的授權(quán)同意。

此外，APP還應(yīng)通過隱私協(xié)議等方式向人臉信息主體告知收集使用情況，包括收集使用的目的、方式、類型、范圍、授權(quán)存儲時間，控制者的聯(lián)系信息(至少包括組織機構(gòu)信息、聯(lián)系方式)，人臉信息主體實現(xiàn)查看、修改、刪除其人臉信息以及撤回其授權(quán)同意的方式，等等。

工信部組織發(fā)布人臉信息收集標(biāo)準(zhǔn)（圖源攝圖網(wǎng)）

使用環(huán)節(jié)：不應(yīng)基于人臉信息生成用戶畫像

在評估規(guī)范中，還有一項要求值得注意：不應(yīng)基于人臉信息生成用戶畫像，且不應(yīng)基于人臉信息進行定向推送。

事實上，一些行業(yè)已將人臉識別技術(shù)應(yīng)用于顧客和會員管理——結(jié)合前端攝像頭抓拍上傳的照片，后端APP能自動估算并記錄顧客的年齡、性別、消費偏好等信息。有了基礎(chǔ)的用戶畫像，商家就可以進行個性化推送。

360相關(guān)專家表示，定向推送是APP的增值功能，不屬于基本業(yè)務(wù)范疇，因此不宜使用人臉信息這種個人敏感信息。

在使用環(huán)節(jié)，評估規(guī)范還針對不同場景提出具體要求。

例如，在智能體驗和本地核身類場景中，APP應(yīng)在本地完成人臉比對，不應(yīng)將人臉信息傳輸至遠(yuǎn)程服務(wù)器。

其他場景若存在遠(yuǎn)程傳輸需求，應(yīng)僅對業(yè)務(wù)所需的最小人臉信息進行傳輸。所有場景都應(yīng)對操作過程中產(chǎn)生的臨時數(shù)據(jù)及時清除并確保不可恢復(fù)，且不應(yīng)共享或轉(zhuǎn)讓人臉信息。

人臉原始信息是否會被保留，若存儲了會被如何處理?在此前調(diào)研中，這是公眾最為關(guān)心的問題之一。

在存儲方面，評估規(guī)范提出了五項要求，包括將人臉信息與身份信息分開存儲;人臉模板加密存儲;通過密碼技術(shù)、假名標(biāo)識符等方式生成不可逆、可更新的人臉參考信息，等等。

四類場景的存儲要求也有差別。根據(jù)評估規(guī)范，智能體驗和本地核身類場景的人臉信息存儲應(yīng)僅限于本地進行，且不應(yīng)直接存儲人臉樣本。遠(yuǎn)程核身類和“本地+遠(yuǎn)程”核身類場景不應(yīng)直接存儲人臉樣本，人臉信息的存儲應(yīng)加密。

人臉信息的本地存儲和處理好實現(xiàn)嗎，是否要依賴于用戶的硬件設(shè)備?

對此，360相關(guān)專家解釋說，針對大部分的人臉識別場景，用戶使用的硬件設(shè)備都會提供官方人臉識別接口，人臉信息存儲在設(shè)備本地，APP僅需要調(diào)用接口獲得認(rèn)證結(jié)果就可以完成身份認(rèn)證，而無需直接獲得人臉信息。而針對一些需要本地處理的場景，企業(yè)可將算法模型保存在用戶設(shè)備上，進而實現(xiàn)在本地獲取人臉信息后，同時在本地完成計算、處理。

刪除環(huán)節(jié)：不應(yīng)設(shè)置不合理刪除條件

在此前的調(diào)研中，18.61%的受訪者想知道“查看、撤回、或刪除收集的人臉信息的方式”。

評估規(guī)范在這方面也有相應(yīng)規(guī)定：“超出授權(quán)同意的人臉信息存儲期限”“超出業(yè)務(wù)所必需地使用人臉信息”“法律法規(guī)規(guī)定的存儲期限已經(jīng)屆滿”，滿足上述三個條件之一，就應(yīng)及時刪除人臉信息。

值得注意的是，評估規(guī)范還提出，APP提供的刪除方法或途徑應(yīng)便于人臉信息主體查找和操作。不應(yīng)設(shè)置不合理的刪除條件，如僅提供現(xiàn)場辦理、要求人臉信息主體填寫精確的歷史操作記錄等。

工信部官微“工信微報”消息稱，團體標(biāo)準(zhǔn)“為APP侵害用戶權(quán)益專項整治工作提供依據(jù)和支撐，為企業(yè)合規(guī)經(jīng)營明確規(guī)范要求”。

“以往我們在談到個人信息收集使用的時候，總是覺得個人信息收集使用應(yīng)該限制，但是具體落地實施沒有方向，企業(yè)不知道什么情況可以用，什么不可以用。而標(biāo)準(zhǔn)的出臺明確了一些典型的使用場景和要求后，讓企業(yè)在心里有了一條準(zhǔn)繩，更容易實操，同時也標(biāo)志著監(jiān)管更加透明，提高了用戶的信心，最終形成合力加速企業(yè)在個人信息保護方面的進步。”360相關(guān)專家說。

據(jù)了解，除了人臉信息的評估規(guī)范，工信部還于日前發(fā)布了七項同類標(biāo)準(zhǔn)，涉及圖片、通信錄、設(shè)備信息、位置、錄像、軟件列表等信息。

下一步，工信部將繼續(xù)推動制定《APP收集使用個人信息最小必要評估規(guī)范》剩余九項標(biāo)準(zhǔn)，涵蓋錄音信息、短信信息、房產(chǎn)信息、通話信息、身份信息、傳感器信息、日志信息、交易和消費記錄、好友列表等個人信息。相關(guān)標(biāo)準(zhǔn)或?qū)⒂诮衲昴甑浊鞍l(fā)布。

以上就是關(guān)于工信部組織發(fā)布人臉信息收集標(biāo)準(zhǔn)的詳細(xì)內(nèi)容，希望能幫助到您。