工信部组织发布人脸信息收集标准：不应强制或欺骗用户刷脸

从移动支付到美颜美妆，使用人脸识别的APP越来越多，公众对人脸信息的收集使用也越来越关注。此前调研显示，82.57%的受访者关心人脸原始信息是否被留存和处理，31.5%的受访者想知道收集方的信息安全保障措施。

公众关心的种种问题或许将迎来更多的说明和解答——11月27日，工信部组织发布了《APP收集使用个人信息最小必要评估规范 人脸信息》（以下简称“评估规范”）团体标准。APP人脸信息收集使用行为有望得到一步规范。

APP人脸信息收集使用场景被划分为四大类

评估规范由工信部组织中国信息通信研究院、电信终端产业协会（TAF）制定。

评估规范旨在提供统一标准，推动行业落实最小必要原则。此前，行业内还没有从APP收集使用人脸信息必要性出发的最小化评估规范。

评估规范重点明确了信息收集、使用、存储、删除四个环节的要求，并结合四类典型场景进一步说明如何落实上述要求。

根据评估规范，APP收集使用人脸信息的场景可分为以下四类——

智能体验类场景，主要指使用人脸图像进行图像美化、图像合成、图像聚类、皮肤检测、情感分析等应用场景，该类场景中人脸图像的使用不与身份信息相关联。

本地核身类场景，主要指承载APP的设备端进行人脸比对，完成身份认证的应用场景。

远程核身类场景，主要指承载APP对应的远程服务器进行人脸比对，完成身份认证的应用场景。

“本地与远程”核身类主要指APP在通过人脸识别完成身份认证时，根据具体场景的需要，采取本地远程相结合的人脸比对，完成身份认证的应用场景。

收集环节：不应强制或欺骗误导用户刷脸

评估规范提出，在收集环节，不应强制或欺骗误导人脸信息主体进行人脸识别，当人脸信息主体不进行人脸识别时，不应禁止人脸信息主体的正常使用。

而此前调研显示，许多受访者遇到过强制使用问题。

参与了编制工作的360相关专家告诉南都记者，“不应强制”，就是不能把人脸识别作为所有功能开启的前提，用户不想进行人脸识别的时候，APP不应限制其他非相关功能的使用。

“比如，某些APP仅提供人脸识别的登录方式，但相关功能可以用传统的账号密码方式完成，无需强制采用人脸识别。”他说。

该专家介绍，“欺骗误导”，则是指APP没有履行良好的告知责任，在用户未明确授权的情况下进行了人脸识别。

这样的“欺骗误导”，在国外已有处罚先例。

2010年，Facebook推出“标签建议（Photo Tag Suggest）”功能：利用人脸识别技术标注用户照片里出现的人。由于此功能一直默认开启，2015年，三位伊利诺伊州用户依据该州的《生物信息隐私法》（Biometry Information Privacy Act），以未经用户同意非法收集存储生物特征数据为由，将Facebook告上法庭。

不久前，诉讼双方达成和解，Facebook同意赔偿6.5亿美元，超百万用户申请赔偿金，每人或将拿到300多美元。

怎样才不算“欺骗误导”？评估规范给出具体建议：收集信息之前，应以弹窗、勾选、视频、提示音等强化明示的方式进行告知，并征得人脸信息主体的授权同意。

此外，APP还应通过隐私协议等方式向人脸信息主体告知收集使用情况，包括收集使用的目的、方式、类型、范围、授权存储时间，控制者的联系信息（至少包括组织机构信息、联系方式），人脸信息主体实现查看、修改、删除其人脸信息以及撤回其授权同意的方式，等等。