傳真社:安心出行App有人臉識別功能 資科辦:不知悉、將刪除
「安心出行」自2020年11月推出後,一直被市民詬病。傳真社今日(3日)爆出「安心出行」包含人臉識別功能的代碼,並在拆解過去六個版本後,發現Android系統早於2020年已載有該代碼,但政府從未提及相關功能。有軟件工程師指,若安心出行將來啟用人臉識別功能,只需要鏡頭權限,估計不需索取額外的權限
政府資訊科技總監辦公室晚上發出嚴正聲明,「安心出行」流動應用程式推出至今,程式的運作從來沒有、亦毋須採用人臉識別功能,已要求承辦商在不影響運作下,從模組中刪除與人臉識別相關功能,以釋除公眾疑慮。
2020年「安心出行」剛推出已載有人臉識別代碼
「安心出行」於4月18日更新至3.2.0版本,傳真社早前下載及拆解多個不同版本的安心出行,並轉換格式取得應用程式的源代碼,在檔案中發現偵測人臉特徵的代碼,包括嘴、臉頰、眼、耳、鼻尖、耳珠等,並可將臉部各特徵轉化為數據。代碼並可偵測目標頭部傾側的角度,計算雙眼打開以及正在笑的機率。
除了最新的3.2.0版本外,傳真社並拆解過去六個版本的「安心出行」(1.0.4、1.0.5、2.1.4、2.1.5、3.0.2和3.1.0),結果發現全部均載有人臉識別模組,即早於2020年「安心出行」推出時,已載有偵測人臉特徵的代碼。但「安心出行」網站和手機應用程式商店,並無提及程式相關功能。
iOS及Android系統的代碼庫相同
「安心出行」由政府委託創奇思有限公司開發,同時編寫iOS及Android系統的應用程式,兩者使用相同的代碼庫,因此兩個系統的「安心出行」的源代碼大致相同。惟因iOS版的更新較遲,傳真社並未有測試。
其後,傳真社聯絡負責專門維護該代碼庫的維也納軟件公司創辦人,獲回應確定「安心出行」程式有人臉識別模組,現階段難以判斷「安心出行」是否已使用該功能。但打包檔中的人臉識別功能,被編配一個編號,認為有可能會向硬碟寫入資料。
傳真社亦向承接政府合約的軟件工程師查詢,獲回應指毋須使用的模組應該刪除,但資科辦亦有可能不知情;然而若安心出行將來啟用人臉識別功能,只需要鏡頭權限,估計不需索取額外的權限。
資科辦︰不知悉「安心出行」有人臉識別模組
資科辦表示,已就事件與開發及運維的承辦商了解及跟進後,得悉承辦商在開發「安心出行」程式時,應用了市場上一個現成的模組用以操作手機鏡頭,進行運作需要的掃描程序,即掃描及識別場所二維碼、電子針卡二維碼和的士車牌號碼等,除此以外該模組並沒有進行任何其他運作。
資科辦向傳真社回應時稱,在收到查詢之前並不知悉「安心出行」裡有人臉識別模組。發言人表示,已要求承辦商研究在不影響程式正常運作的前提下,從模組中刪除與人臉識別相關功能,以釋除公眾疑慮。
▼2月13日 旺角信和中心續要求進入人士掃瞄安心出行▼
資科辦︰每加新功能均徵詢個人私隱專員公署意見
資科辦稱,一直重視公眾對私隱的關注,每次於「安心出行」加入新功能,均徵詢個人私隱專員公署的意見;程式亦已通過由獨立第三方進行的私隱影響評估、資訊保安風險評估及審計,確保符合《個人資料(私隱)條例》的規定。
資科辦亦指,每次「安心出行」推出新版本,均須交由各大流動應用程式商店進行嚴謹的審批,確保推出的程式切實遵守保護個人私隱的要求。
不過傳真社翻查「安心出行」官網內兩個公開的報告,包括安全風險評估報告及私隱影響評估報告,並未有提及會審核多餘的模組。
傳真社亦向「安心出行」承辦商創奇思查詢,對方未有回應問題,僅回覆向資科辦查詢。翻查資料,開發商創奇思有限公司的母企,為中資網絡遊戲商網龍網絡控股有限公司。資科辦早前公布,就支持政府最新防疫措施,今個財政年度營運及提升「安心出行」的開支預算約為860萬元。
方保僑:相信資科辦確實不知悉
香港資訊科技商會榮譽會長方保僑表示,承辦商當初設計應用程式時所用的代碼,有著多種用途,包括人臉識別,估計承辦商抱持「冇事冇幹咪唔搞」的態度,避免刪除相關代碼,造成「安心出行」運行時出現錯誤。
方又指,使用「安心出行」時前置鏡頭並無運作,相信資科辦確實不知悉代碼的存在,預料刪除有關代碼後,須花費時間修改及測試。他建議當局「開源」,除了讓公眾減少疑慮外,亦能幫助檢查程式碼的漏洞,認為是全世界主流的做法。