實測北京小區人臉識别門禁：強制刷臉普遍，存儲規則混亂

過去一年，随着人臉識别落地場景的不斷深入，“不刷臉就回不了家”的事件在多地被曝出，備受争議。今年7月，最高人民法院出台《關于審理使用人臉識别技術處理個人資訊相關民事案件适用法律若幹問題的規定》規範人臉識别應用，明确對強制刷臉說“不”。檔案出台後，強制刷臉的亂象是否被遏制？“蹭”臉回家的困境又是否得到解決？

12月17日，由南都個人資訊保護研究中心主辦的“2021啄木鳥資料治理論壇”在北京舉行。南都人工智能倫理課題組在會上釋出了《人臉識别應用場景合規報告（2021）》（以下簡稱“報告”），報告針對小區門禁系統是否強制使用人臉識别、是否明确告知人臉資訊處理規則、如何存儲和删除等問題做了實地調查。

在對北京市十個安裝人臉識别門禁的小區調查中發現，盡管檔案明令禁止，但強制刷臉現象在北京仍然普遍存在。所測十個小區中，有六個以不同形式強制居民錄入人臉。

在一些小區，盡管裝置是“刷臉刷卡一體機”，但刷卡區形同虛設。測評組從各小區保安、物業處了解到，六個強制刷臉的小區中，有的刷卡區不能工作；有的刷卡區被人為遮蓋；有的雖然仍可以刷卡，但安裝人臉識别後就不再給新來的居民辦理門禁卡；有的則是不給租戶提供門禁卡。報告認為，這些做法對小區的全部或部分居民構成“強制”。

北京市安新路6号院小區門禁刷卡區被遮蓋

此外，所測小區在收集人臉資訊的“告知”方面都問題較大。本次測評的十個小區人臉識别門禁的辦理流程都較為簡單，一般隻需“身份證+房産證”或“身份證+租房協定”，不需要居民簽署任何書面授權同意書，也不會主動明示處理人臉資訊的規則或者處理的目的、方式、範圍等。

居民的人臉資訊怎麼儲存、存在哪裡？在這些公衆關心的問題上，小區做法不一。有的小區明确存在本地，有的小區與第三方App合作，會将人臉照片上傳到雲端。不過，還有一些小區物業對人臉資訊存儲在哪兒并不清楚。例如，安新路6号院物業方表示“不清楚裝置提供商是否能看到人臉資料”。花家地西裡小區同樣使用了第三方裝置，物業表示“具體存在哪裡不清楚”。

人臉資訊删除方面，報告顯示，所測小區都可以聯系物業要求删除人臉資訊，不過對租戶有所不同。有的會根據租房合同的期限，在到期後自動删除租戶的資訊。而有的小區則不會主動删除，需要住戶搬離小區時自己聯系物業删除。而在兩個必須綁定第三方App或小程式的小區，住戶還需要聯系App或小程式的客服登出賬号，個人資訊才會被删除。

此外，測評發現，大部分小區都不會向住戶承諾對因人臉識别發生的安全風險負責。在某小區門禁關聯的“泰家社群軍民端”小程式中，甚至寫明了免責條款——“您了解并同意任何由于計算機黑客攻擊、計算機病毒侵入……等影響網絡正常經營的不可抗力而造成的您的個人資訊洩露、丢失、被盜用或被篡改等，我們營運方不承擔任何責任”。

報告認為，在最高人民法院出台法規對人臉識别門禁做出明确規定後，強制刷臉現象依然非常突出，普遍存在不同程度的不合規情況。而且，這樣的現象不僅存在于小區物業，測評發現，一些寫字樓物業同樣強制樓内不同公司的員工刷臉進入，并且在對人臉資訊的存儲、使用、删除等流程中存在明顯漏洞，例如，有的辦公樓在員工離職後不會主動删除其人臉資訊，可能有敏感個人資訊洩露的風險。

文/南都人工智能倫理課題組研究員胡耕碩