黑白照绕过人脸识别，SDK明文传照片？详解App后续治理

2020年国家网络安全宣传周正在进行中，近日，由App违法违规收集使用个人信息专项治理工作组（下称“App专项治理工作组”）承办的个人信息保护主题论坛在线上召开。

经过一年多的治理工作，虽然App个人信息安全问题有所好转，但据App专项治理工作组专家此前透露，“人脸识别”技术的应用、SDK治理以及强化应用商店审核管理等仍是后续治理的难点和突破点。在此次主题论坛上，各领域专家也分别就这些问题进行了探讨。

陈湉

有App可利用黑白照片绕过人脸活体检测

近两年，随着人脸识别技术的迅速发展，“刷脸”逐渐成为新时期生物别技术应用的主要领域。互联网企业纷纷推出账号实名认证，并将人脸识别环节在相关App中实现。

中国信息通信研究院安全研究所数据安全研究部副主任陈湉介绍，根据前瞻产业研究院对六大权威机构的汇总，乐观估计2020年我国计算机视觉市场规模有望突破1000亿。

中国信息通信研究院安全研究所数据安全研究部副主任陈湉。

陈湉总结道，目前App人脸识别技术的应用场景主要包括电商、金融、电信、出行、美图娱乐、在线教育、智慧园区等。App中用到人脸识别技术主要有两大类，一类是身份识别，包括人脸的解锁、远程开户、身份核验等；另一类是基于面部特征分析的人脸识别应用，包括视频照片换脸、面部表情分析等。

今年6月，中国信通院安全所和百度联合发布了《人脸识别技术在App应用中的隐私安全研究报告》。陈湉介绍，App人脸识别的安全问题主要有三个方面，分别是数据泄露、数据滥用和深度伪造。

针对人脸数据泄露安全问题，上述报告检测了14款App，其中发现有五款存在安全风险。比如一款美图娱乐类App存在证书校验不当的安全问题，在App颜值管家功能中，用户自定义上传人脸特征数据，由于App未正确验证证书，存在中间人攻击风险，攻击者可利用漏洞窃取传输的人脸特征数据。

在人脸深度伪造安全问题上，报告检测了10款App，发现一款出行类App可以利用黑白照片成功绕过活体识别检测，一款政府应用类App可以利用屏幕视频播放成功绕过活体识别检测。

刘行

有些SDK会明文传输用户的人脸照片

在今年的央视315晚会上，App的第三方插件——SDK擅自获取用户隐私的乱象受到大众关注。

SDK（ Software Development Kit）是一种软件开发工具包。第三方SDK向App开发者提供简单的接口，使App开发者高效率、低成本地实现地图、支付、统计、社交、广告等一系列功能，同时自身也具备获取相当一部分设备信息和用户个人信息的能力。

在主旨演讲中，中国电子技术标准化研究院信息安全中心研究员刘行表示，目前，第三方SDK已经在App中广泛使用。根据南都个人信息保护研究中心去年发布的《常用第三方SDK收集使用个人信息测评报告》，平均每款App会使用19.3个SDK。

中国电子技术标准化研究院信息安全中心研究员刘行。

一直以来，SDK违规收集使用个人信息保护的问题长期存在，今年315晚会也对此进行了曝光。据报道，它们会在用户不知情的情况下，读取电话号码、短信、通讯录、地理位置等信息，并上传到自己的服务器。

“第三方SDK收集完用户的个人信息，它既可能仅作为一个数据的处理者，又可能是作为数据的共同控制者，这就导致其中的关系比较复杂。”刘行说。

他进一步解释，比如对于用户而言，通常情况下他（她）不知道自己使用的App中嵌入了多少款第三方SDK，以及这些SDK会收集哪些个人信息以及用于什么目的；对App提供者来说，它有可能没有在隐私政策中说明自己使用第三方SDK的行为。

刘行表示，“因为第三方SDK对App提供者来说可能是一个黑盒子，所以App提供者在一些情况下也很难去分析第三方SDK具体收集了哪些用户个人信息。”此外，第三方SDK提供者通常没有与用户直接交互的界面，所以很难去向用户进行告知。

根据App专项治理工作组的前期工作经验，刘行认为目前第三方SDK在个人信息安全方面主要存在四类问题：第一类是收集使用个人信息的规则不透明，其中既包括App对用户不透明——App未向用户表明 App中使用了哪些第三方SDK及其收集个人信息的行为，也包括SDK提供者对App也存在不透明的情况，它也未向App提供者说明自己收集个人信息的行为。

第二类是过度收集个人信息，一方面是指超出必要范围收集，另一方面是指收集个人信息的频率过高。第三类是明文传输用户的个人敏感信息。刘行介绍，他们在测试中发现，有些人脸识别SDK会明文传输用户的人脸照片。

第四类是存在自启动（包括开机自启动和关联自启动）收集个人信息的行为。刘行说，“我们在测试中发现，可能很多App它并不知道自己嵌入的SDK会在用户开机之后主动启动，导致 App也进行了启动去收集用户个人信息。”

他还表示，目前对第三方SDK的监管已成一个重点。之后对第三方SDK收集个人信息行为的评估主要包括，隐私政策的审阅，App功能的适用，以及静态代码分析和静态数据流分析，并且同时会结合动态的API监测以及网络数据包分析。

朱玲凤

超级App加大应用商店权限审核难度

今年7月下旬，2020年新一轮App违法违规收集使用个人信息治理工作启动。在22日召开的启动会议上，App专项治理工作组指出，新一轮治理的重点工作包括制定出台App收集使用个人信息行为应用商店审核管理指南。

在此次论坛上，小米集团公司法务副总监，隐私保护委员会副主席朱玲凤探讨了这个问题，她详细分析了在个人信息保护问题上，给应用商店设定怎样的责任才是合理的。

小米集团公司法务副总监，隐私保护委员会副主席朱玲凤。

公开数据显示，我国近9亿用户当中有99.1%的用户是通过手机上网，在应用商店中上架的应用数量据不完全统计有400万款，其中每天每个用户平均有4.9个小时在用手机进行上网。朱玲凤表示，应该说，今年全面进入到了移动互联时代，应用商店在移动生态监管中有重要的枢纽作用。

她指出，在应用商店的个人信息保护责任上，虽然目前还没有法律法规方面的规定，但一些专项治理的公告中有明确提到，而且从2019年到2020年的监管要求也发生了变化。

比如，2019年《关于开展App违法违规收集使用个人信息专项治理的公告》中提到，应用商店要优先推荐通过认证的App，在2020年的公告中则强调应用商店的平台管理责任。

但朱玲凤也提到，目前应用商店在保护个人信息方面还有一些落实的难点。首先在于对平台内应用的审查，她认为判断App是否符合个人信息保护相关规定的统一标准是缺乏的，而且评测起来难度比较大。

其次，第二个问题是在于平台公示信息的范围。朱玲凤提到，根据有关规定，公示信息不到位是平台落实责任不到位的一种体现，但公示信息的范围是什么、具体执行标准应该是什么样还没有具体规定。

此外，第三个问题是，当App如果出现了违法违规侵犯公民个人信息的问题，一旦涉及到下架、以及下架之后如何恢复上架，具体的流程和标准还不是完全统一。

“我国App有个很大的特点就是超级App很多，这些App适用场景复杂，比如出行服务App带有金融功能，阅读App带有社交功能，”她表示，对于这些App在哪些情况下申请哪一项权限是合理的问题比较复杂，对评测人员的要求会非常高，审核起来困难比较大。

她还提到，应用开发者和应用商店提供者都是平等的市场主体，如果不赋予法定的管理责任，平等的市场主体之间无法真正落实管理责任。朱玲凤强调，在个人信息保护问题上，应用和应用商店之间是没有用户个人信息的交互的，所以也就没有个人信息使用规则上的边界。

在她看来，应用商店更类似于传统商场入驻商家的平台管理角色，首先需要判断这个商家是否可以合格进入商场销售产品，同时对商家进行一些引导，比如不能销售假冒伪劣产品等，而且也会有公示信息和熔断的机制，当消费者投诉时及时下架商品。

最后，朱玲凤总结了应用商店的个人信息保护管理责任的合理边界。她认为，在引导层面，要在开发者文件中引导个人信息保护的规则；在准入层面，要由监管机构提供测试结果或者技术测试标准，明确App准入门槛；在公示层面，要公示应用的权限和个人信息使用规则；在熔断机制方面，当主管部门或者消费者投诉的时候要及时下架应用。

采写：南都记者 李慧琪