9月29日，App违法违规收集使用个人信息专项治理工作组（以下简称“App专项治理工作组”）在其公众号发布科普文章，曝光并分析了多款App的人脸识别安全漏洞。其中，一款智慧社区App明文传输人脸图片，且其收集的人脸等个人信息可在互联网公开渠道批量下载。

　　在这篇文章中，App专项治理工作组介绍了三款典型App。

　　某刷脸解锁手机App不仅可被翻拍照片轻易破解，还明文传输人脸信息。用户每次刷脸解锁，人脸信息都会被上传。此外，该App收集、使用了属于敏感信息的个人生物识别信息，却未在隐私政策中说明收集使用规则。

　　在某智慧社区App中，用户为开通“刷脸开门”功能输入的小区、房间、身份证、人脸等个人信息均被明文上传，且能被明文访问。App的数据传输接口缺乏安全措施，可以从互联网批量下载用户人脸等信息。

　　某粉丝追星社区App强制收集人脸信息和身份证照片，否则就无法使用。实名认证过程中，用户的身份证照片（含人脸）被传输到多个不同的服务器中，且信息上传后可被互联网直接访问。App隐私政策未说明收集规则，用户无法撤回被收集的人脸信息，无法注销账户。

　　目前，全国信息安全标准化技术委员会（以下简称“信安标委”）新修订发布的GB/T 35273-2020《个人信息安全规范》，对人脸信息等生物识别信息保护提出“增强型”要求。同时，信安标委已经把《生物特征识别信息保护要求》《人脸识别数据安全要求》等标准列入重点制定计划。

　　App专项治理工作组表示，近年来，涉及个人信息保护的规则细化、执法监管、治理倡议等方面动作频繁，不断加强个人信息保护已经成为有关部门高度重视并持续开展的重点工作。人脸信息作为个人信息中最为敏感的一类“个人生物识别信息”，更是应该成为重点关注和保护的对象。进一步以立法立规、制定标准等方式对人脸识别技术应用安全加以引导，将是切实保障公民合法权益的明智之举。

　　2019年，中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》。为落实《公告》相关部署，受四部门委托，全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App专项治理工作组，具体推动App违法违规收集使用个人信息评估工作。