实测北京小区人脸识别门禁：强制刷脸普遍，存储规则混乱

过去一年，随着人脸识别落地场景的不断深入，“不刷脸就回不了家”的事件在多地被曝出，备受争议。今年7月，最高人民法院出台《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》规范人脸识别应用，明确对强制刷脸说“不”。文件出台后，强制刷脸的乱象是否被遏制？“蹭”脸回家的困境又是否得到解决？

12月17日，由南都个人信息保护研究中心主办的“2021啄木鸟数据治理论坛”在北京举行。南都人工智能伦理课题组在会上发布了《人脸识别应用场景合规报告（2021）》（以下简称“报告”），报告针对小区门禁系统是否强制使用人脸识别、是否明确告知人脸信息处理规则、如何存储和删除等问题做了实地调查。

在对北京市十个安装人脸识别门禁的小区调查中发现，尽管文件明令禁止，但强制刷脸现象在北京仍然普遍存在。所测十个小区中，有六个以不同形式强制居民录入人脸。

在一些小区，尽管设备是“刷脸刷卡一体机”，但刷卡区形同虚设。测评组从各小区保安、物业处了解到，六个强制刷脸的小区中，有的刷卡区不能工作；有的刷卡区被人为遮盖；有的虽然仍可以刷卡，但安装人脸识别后就不再给新来的居民办理门禁卡；有的则是不给租户提供门禁卡。报告认为，这些做法对小区的全部或部分居民构成“强制”。

北京市安新路6号院小区门禁刷卡区被遮盖

此外，所测小区在收集人脸信息的“告知”方面都问题较大。本次测评的十个小区人脸识别门禁的办理流程都较为简单，一般只需“身份证+房产证”或“身份证+租房协议”，不需要居民签署任何书面授权同意书，也不会主动明示处理人脸信息的规则或者处理的目的、方式、范围等。

居民的人脸信息怎么储存、存在哪里？在这些公众关心的问题上，小区做法不一。有的小区明确存在本地，有的小区与第三方App合作，会将人脸照片上传到云端。不过，还有一些小区物业对人脸信息存储在哪儿并不清楚。例如，安新路6号院物业方表示“不清楚设备提供商是否能看到人脸数据”。花家地西里小区同样使用了第三方设备，物业表示“具体存在哪里不清楚”。

人脸信息删除方面，报告显示，所测小区都可以联系物业要求删除人脸信息，不过对租户有所不同。有的会根据租房合同的期限，在到期后自动删除租户的信息。而有的小区则不会主动删除，需要住户搬离小区时自己联系物业删除。而在两个必须绑定第三方App或小程序的小区，住户还需要联系App或小程序的客服注销账号，个人信息才会被删除。

此外，测评发现，大部分小区都不会向住户承诺对因人脸识别发生的安全风险负责。在某小区门禁关联的“泰家社区军民端”小程序中，甚至写明了免责条款——“您理解并同意任何由于计算机黑客攻击、计算机病毒侵入……等影响网络正常经营的不可抗力而造成的您的个人信息泄露、丢失、被盗用或被篡改等，我们运营方不承担任何责任”。

报告认为，在最高人民法院出台法规对人脸识别门禁做出明确规定后，强制刷脸现象依然非常突出，普遍存在不同程度的不合规情况。而且，这样的现象不仅存在于小区物业，测评发现，一些写字楼物业同样强制楼内不同公司的员工刷脸进入，并且在对人脸信息的存储、使用、删除等流程中存在明显漏洞，例如，有的办公楼在员工离职后不会主动删除其人脸信息，可能有敏感个人信息泄露的风险。

文/南都人工智能伦理课题组研究员胡耕硕