APP人脸识别信息应用研究

摘 要：大数据时代，用户的人脸识别信息被广泛收集使用。探析当前APP收集使用人脸识别信息的现状至关重要。该文对110款APP的人脸识别信息文本进行分析，描绘我国APP收集使用人脸识别信息的现状。研究发现，目前APP在人脸识别信息处理上广泛存在着“告知—同意”流于形式、合规程度较差以及内容表述参差不齐3个方面的问题，反映出人脸识别信息的保护存在缺失。

关键词：APP;人脸识别;文本分析;保护现状;隐私政策

中图分类号：TP311 文献标志码：A 文章编号：2095-2945（2024）34-0107-04

Abstract： In the era of big data， users' facial recognition information is widely collected and used. It is crucial to analyze the current situation of APP collecting and using facial recognition information. This paper analyzes the text of 110 APPs' facial recognition information and depicts the current situation of APPs collecting and using facial recognition information in China. The study found that there are three major problems in the handling of facial recognition information by APPs at present， namely， the "informed-consent" formality is lacking， compliance degree is poor， and the content expression is uneven. These problems reflect the lack of protection of facial recognition information.

Keywords： APP; facial recognition; text analysis; protection status; privacy policy

当前我国在架移动APP数量达258万款，人脸识别市场规模也持续扩张，从2016年的127亿元增长至2021年的326亿元，年均复合增长率为20.7%。为更好地满足用户对产品的需求，移动应用APP希望多维度地收集和使用用户的人脸识别信息，对人脸识别信息的保护力度不足，产生了一系列的安全风险。对此，我国积极应对APP中人脸识别信息保护的新情况、新问题。工业和信息化部自2020年开展APP侵害用户权益整治行动以来，已公开发布27批次通报，对违法违规行为保持高压震慑;2021年11月1日起实施的《中华人民共和国个人信息保护法》第28条将人脸识别信息纳入敏感个人信息的范畴进行特殊保护;2023年8月3日，国家互联网信息办公室起草了《个人信息保护合规审计管理办法（征求意见稿）》，第十三条指出个人信息处理者对敏感个人信息审计时应当重点审查的事项;8月8日紧接着起草了《人脸识别技术应用安全管理规定（试行）（征求意见稿）》，对人脸识别技术应用和人脸识别信息的处理作出明确规制。人脸识别信息一旦泄露或被非法使用将会对信息主体造成不可逆的损害;不仅侵害用户的隐私，还会造成人身、财产安全的损失，重要性不言而喻。

1 概念界定与相关研究回顾

人脸识别，可以简单归纳为通过深度学习算法对脸部信息的特征提取和分类识别，从而进行身份识别的一种生物识别技术。该技术可用于识别照片、视频或实时人物，其工作流程主要包括5个步骤，即图像采集、人脸检测、特征提取、数据库比对和身份识别。人脸识别信息即运用该技术所收集到的信息[1]。整体而言，人脸识别信息具有唯一性、程序识别性、可复制性、损害不可逆性及信息关联性等特征[2]。

当前国内外有大量学者对人脸识别信息的利用进行深入挖掘。HUSEYNOV S等[3]将人脸数据纳入消费者选择模型。还有大量学者制作基于人脸识别信息的设备和系统，例如KOS M等[4]研发了用于人脸数据采集的设备和系统，BRINGER J[5]提出使用加密的人脸识别信息来进行身份验证。

而对于人脸识别信息的保护，不同国家有不同的法律规制和保护模式。美国是人脸识别及其立法的先行者。从美国有限的既有立法或立法草案、建议来看，其对人脸识别的法律规制因该项技术的使用主体的不同而不同，体现出差异化的规制路径。具体言之，对于政府部门使用人脸识别的法律规制，有别于对于非政府机构使用人脸识别的法律规制，二者是分别立法、分别规制的，规制的具体方法和价值取向截然不同。与美国对政府部门和商业部门使用人脸识别技术分别进行立法不同，欧盟《通用数据保护条例》是对公私部门一体适用的。这就意味着，无论是政府部门还是非政府部门，只要使用人脸识别技术，就必须遵守相同的规范[6] 。

2 研究设计

2.1 研究方法

本研究采用文本分析的方法对移动应用程序隐私政策中提及的人脸识别信息进行交叉研究。首先，根据语言学的知识，语言是认知的重要反映，文本内容可以有效反映出撰写者的认知、信念、阐释及预期。因此，本文均衡选取具有代表性的移动应用程序的隐私政策文本作为数据来源，通过对这些文本材料进行深入分析挖掘，探析各大企业对用户人脸识别信息保护的认知、行为和相关做法。此外，本文在研究语料上分析隐私政策文本的形式特征与内容特征，在研究逻辑上运用描述性的文本分析方法，可以更有效挖掘出隐私政策文本的隐含知识，利用观察值推理难以直接得出的结论[7]。

2.2 数据收集与处理

本文借鉴Carrascal[8]对移动应用程序的分类方法，结合市场应用商店的分类实践，均衡选取11种常用类别中下载量排名前列的110款APP隐私政策内容作为样本进行文本分析。这些APP类型与人们的日常交互非常密切，涵盖社交通信、实用工具、影音游戏、电商购物、旅游出行、拍摄美化、美食外卖、教育就业、新闻阅读、支付金融以及医疗健康，覆盖了人们日常生活的方方面面，其比重远大于其他类型的APP[9]，具有代表性。本样本相较于其他APP而言，用户下载及使用频率更高、用户覆盖面更广，收集和调取用户个人信息的频率更多，理应更注重用户的人脸识别信息保护。

3 结果分析

3.1 总体概述

目前，我国常用APP在隐私政策设置上实现了全覆盖，同时所有隐私政策主动获取用户的同意，均符合“告知—同意”的敏感个人信息处理规则。110款APP中，有104款APP的隐私政策涉及人脸识别信息，占比达到94.55%，说明各大APP在制定隐私政策时重视对人脸识别信息部分的撰写。此外，在隐私政策中有314个句子提到了人脸识别信息，平均占比0.94%，有2个领域的占比超过1.5%，但7个领域的占比低于1%，人脸识别信息提及情况的行业差异突出（表1）。部分APP对敏感个人信息进行了特别告知并显著标识，在隐私政策中对人脸识别信息的提及保护特别到位。但与此同时也存在少量APP既未明确公开人脸识别信息的收集使用规则，也未明确表示收集使用人脸识别信息的目的、方式、范围及如何存储与保护等等。

3.2 人脸识别信息行业交叉分析

由于不同领域APP业务内容的差异和行业独特优势，在人脸识别信息的保护上有各自的法规约束和监管要求，处理的重点也有所差异。在各类别APP占比方面，影音游戏的人脸识别信息出现次数占隐私政策的1.75%，位列第一;拍摄美化、支付金融也很注重人脸识别信息，占比分别达到了1.54%和1.40%;社交通信、实用工具、旅游出行的人脸识别信息占比均为1.00%左右;教育就业占比约为0.83%，对人脸识别信息的重视程度属于中间水平。而电商购物、新闻阅读、美食外卖和医疗健康的人脸识别信息占比较小，均低于0.7%，重视程度有待加强。医疗健康类APP中，对人脸识别信息保护的重视程度不够，5个APP没有涉及人脸识别信息;在美食外卖类中，也有1个APP没有涉及到人脸识别信息，只涉及到其他敏感数据。

在支付金融领域，人脸识别信息被提及的次数最多且涵盖了7种类型的人脸识别信息，可侧面印证支付金融领域对敏感个人信息和人脸识别信息的重视。依据金融行业《商业银行互联网贷款管理暂行办法》（中国银行保险监督管理委员会令（2020年第9号））第十八条以及JR/T 0171—2020《个人金融信息保护技术规范》第4.2条的监管要求，支付金融类APP在部分业务场景下需要对用户进行必要的身份核验，而人脸识别技术作为最高效快捷的用户身份核验工具被广泛使用。基于此，支付金融领域对人脸识别信息的治理情况较其他领域更规范，处理的步骤更为严格。

在影音游戏领域，人脸识别信息提及率最高，其中大部分表述为“面部识别特征”。早在2019年国家网信办就指导了“抖音”“快手”等短视频平台上线“青少年防沉迷系统”，旨在规范未成年用户的使用时段、在线时长、服务功能以及浏览内容等一系列上网行为[10]。2021年8月国家新闻出版署印发了《关于进一步严格管理 切实防止未成年人沉迷网络游戏的通知》，将未成年人游戏时长时段控制在周五至周日和法定节假日每日20时至21时的1小时中，同时再次强调实名注册和登录问题。游戏的实名注册及登录常常涉及身份核验功能，在游戏过程中需要通过开启摄像头来确认玩家是否为未成年人身份，如腾讯旗下的游戏均会标注“为了进一步提高实名认证的精准度，最大限度防止未成年人冒用他人身份信息，我们可能在部分游戏或针对部分用户启用人脸识别验证身份”。这些业务场景与人脸识别的采集处理息息相关紧密相连，为此人脸识别信息出现次数较多。

而拍摄美化类APP业务内容主要以图像美化为主，这一特性决定了其人脸信息收集的频繁性。为获取用户的信赖，该类APP会特别向用户说明其人脸识别信息不会被非法利用：“不会将这些信息回传至服务器，不会进行任何形式的存储，也不会将这些信息用于除此以外的任何其他目的，更不会将其提供给任何第三方”。

社交通信、实用工具、旅游出行、教育就业这4个领域，在隐私政策中对人脸识别信息亦较为重视。而电商购物、新闻阅读、美食外卖和医疗健康排名较后的4个领域对人脸识别信息的保护方法有待加强。

4 人脸识别信息保护面临的主要问题

本研究旨在探究我国常用APP隐私政策的人脸识别信息内容，判断其是否符合现有的一系列法规政策，窥探企业对人脸识别信息的保护程度。经上述研究发现，《中华人民共和国个人信息保护法》出台以后，大部分APP的隐私政策都对人脸识别信息有特别的规制，相较以往在覆盖率、规范性及整体表述上均有长足改进。然而，有关敏感个人信息之一的人脸识别信息在微观层面上的保护仍有很大改进空间，存在着以下几个问题。

4.1 对人脸识别信息的“告知—同意”流于形式

虽然样本中的110款APP的隐私政策实现了“告知—同意”的全覆盖，94.55%的APP隐私政策涉对应人脸识别信息的相关处理规范。然而，部分APP形式化严重，并没有真正为用户提供选择。用户在注册和使用相关APP前，必须同意其隐私政策的条款，才可以进行下一步操作[11-12]。此外，“一次性同意”的模式存在于所有隐私政策样本中，即把用户协议、隐私政策与敏感信息和人脸识别信息的收集使用等功能整体捆绑，或要求用户一次性同意打开多个权限等来达到其一键同意的目的，未采用弹窗等明显方式“单独”告知，导致部分用户在不知情的情况下被动地同意自身人脸信息被APP收集使用。

4.2 部分APP人脸识别信息保护合规程度较差

当前，龙头APP为规避监管风险，在隐私政策中努力做到人脸识别信息保护的合规透明，谨慎落实人脸识别信息处理的原则。但仍有部分APP对人脸识别信息的表述未能落实人脸信息收集的公开透明、目的限制原则、最小必要原则等等[13-14]。样本中的多数APP人脸识别信息收集缺乏透明度。例如，将处理目的虚置，套用行话潦草带过;不标注用户人脸信息的存储期限;无提及具体的保护框架等等。在一些需要公开的合规点上陈述不够详细透明，存在明显不足，难以对人脸识别信息处理活动予以有效指引，难以有效规制APP对于人脸识别信息的处理行为，更难以保障用户的人脸识别信息安全[15]。

4.3 部分APP对人脸识别信息的表述水平有待提升

当前部分APP在隐私政策中会对人脸识别信息专门提及，描述详尽用词严谨，重视程度高。如百度，会在数据处理与使用的合规点上完整表述“当您使用直播功能”“本地处理您的面部信息”“处理仅用于本功能”“除非另行有明确说明并征得您的同意”“不会回传、储存或共享您的任何面部特征值信息”，清晰齐全。但仍有部分APP人脸识别信息表述地难以阅读，如文字过小过密、颜色过淡、模糊不清;文本表述繁杂冗长，用词晦涩难懂，含义模糊不清，专业术语较多用户理解起来难度较大[16]。“等等”“可能”等不确定词语仍常出现。此外，不同样本的告知详细程度存在较大差异，部分样本仅在形式层面对部分事项予以提及，机械性套用模板表述，并非贴合政策法规的实质要求，未达到《中华人民共和国个人信息保护法》颁布的预期。表述形式方面也有所欠缺，部分样本对人脸识别信息的告知表述与普通个人信息并无二致，未特别强调，有待优化更新。

5 结论

在人脸识别信息被广泛收集与使用的今天，各大APP应兼顾社会效益，不可只偏重分析带来的商业利益而罔顾对用户人脸识别信息的权益保护。本研究以APP隐私政策作为抓手，采用文本分析的方法对移动应用程序隐私政策中提及的人脸识别信息进行探究，描绘了我国APP中人脸识别信息的治理现状，并在此基础上进行分析，指出我国在人脸识别信息保护上面临的主要问题。

本研究存在以下局限：本文研究对象为11个生活领域的110款常见APP，这些APP知名度高、用户量大，其隐私政策和个人信息保护水平在我国都属于较高水平，为此本研究结果仅可以代表人们常用APP对人脸识别信息收集使用情况。

参考文献：

[1] KAUR P， KRISHAN K， SHARMA S K， et al. Facial recognition algorithms： Aliterature review[J]. Medicine， Science and the Law， 2020， 60（2）：131-139.

[2] 张琪，肖冬梅.我国生物识别信息界定的司法适用困境与出路[J].图书馆论坛，2022，42（7）：43-54.

[3] HUSEYNOV S， KASSAS B， SEGOVIA M S， et al. Incorporating biometric data in models of consumer choice[J]. Applied Economics， 2019， 51（14）： 1514-1531.

[4] KOS M， KRAMBERGER I. A wearable device and system for movement and biometric data acquisition for sports applications[J]. IEEE Access，2017（5）： 6411-6420.

[5] BRINGER J， CHABANNE H， KINDARJI B. Identification with encrypted biometric data[J]. Security and Communication Networks， 2011， 4（5）： 548-562.

[6] 任容.人脸识别技术应用的法律规制研究[J].网络安全技术与应用，2022（12）：90-92.

[7] 黄萃，吕立远.文本分析方法在公共管理与公共政策研究中的应用[J].公共管理评论，2020，2（4）：156-175.

[8] CARRASCAL J P， CHURCH K. An in-situ study of mobile app & mobile search interactions[C]//Proceedings of the 33rd Annual ACM Conference on Human Factors in Computing Systems. 2015： 2739-2748.

[9] 陈静，陈红丽.APP交互视角下用户日常搜索行为路径研究[J].情报科学，2023，41（8）：95-103，120.

[10] 国家网信办组织网络短视频平台试点青少年防沉迷工作[EB/OL].http：//www.cac.gov.cn/2019-03/28/c_1124293349.htm.

[11] 宁宣凤，吴涵.个人信息安全规范实务探讨：金杜律师事务所、金杜研究院文集[C].上海：上海法学研究集刊，2020.

[12] 吕炳斌.个人信息保护的“同意”困境及其出路[J].法商研究，2021（2）：87-101.

[13] 李延舜.我国移动应用软件隐私政策的合规审查及完善：基于49例隐私政策的文本考察[J].法商研究，2019（5）：26-39.

[14] 田丽，毕昆.网络平台治理中的生物识别信息保护[J].信息安全与通信保密，2021（7）：28-36.

[15] 陈飞，毛猛志，李有星.金融APP个人生物识别信息处理协议合规性研究[J].征信，2023，41（3）：19-26.

[16] 袁红，张苏娇.“互联网+政务服务”环境下政务APP隐私政策的内容分析[J].现代情报，2022，42（3）：121-132.

第一作者简介：王紫雲（2000-），女，硕士研究生。研究方向为知识图谱。