傳真社：安心出行App有人臉識別功能　資科辦：不知悉、將刪除

「安心出行」自2020年11月推出後，一直被市民詬病。傳真社今日（3日）爆出「安心出行」包含人臉識別功能的代碼，並在拆解過去六個版本後，發現Android系統早於2020年已載有該代碼，但政府從未提及相關功能。有軟件工程師指，若安心出行將來啟用人臉識別功能，只需要鏡頭權限，估計不需索取額外的權限

政府資訊科技總監辦公室晚上發出嚴正聲明，「安心出行」流動應用程式推出至今，程式的運作從來沒有、亦毋須採用人臉識別功能，已要求承辦商在不影響運作下，從模組中刪除與人臉識別相關功能，以釋除公眾疑慮。

安心出行3.2.0版本內人臉識別模組位置圖。（傳真社製圖）

「安心出行」於4月18日更新至3.2.0版本，傳真社早前下載及拆解多個不同版本的安心出行，並轉換格式取得應用程式的源代碼，在檔案中發現偵測人臉特徵的代碼，包括嘴、臉頰、眼、耳、鼻尖、耳珠等，並可將臉部各特徵轉化為數據。代碼並可偵測目標頭部傾側的角度，計算雙眼打開以及正在笑的機率。

除了最新的3.2.0版本外，傳真社並拆解過去六個版本的「安心出行」（1.0.4、1.0.5、2.1.4、2.1.5、3.0.2和3.1.0），結果發現全部均載有人臉識別模組，即早於2020年「安心出行」推出時，已載有偵測人臉特徵的代碼。但「安心出行」網站和手機應用程式商店，並無提及程式相關功能。

「安心出行」由政府委託創奇思有限公司開發，同時編寫iOS及Android系統的應用程式，兩者使用相同的代碼庫，因此兩個系統的「安心出行」的源代碼大致相同。惟因iOS版的更新較遲，傳真社並未有測試。

其後，傳真社聯絡負責專門維護該代碼庫的維也納軟件公司創辦人，獲回應確定「安心出行」程式有人臉識別模組，現階段難以判斷「安心出行」是否已使用該功能。但打包檔中的人臉識別功能，被編配一個編號，認為有可能會向硬碟寫入資料。

傳真社亦向承接政府合約的軟件工程師查詢，獲回應指毋須使用的模組應該刪除，但資科辦亦有可能不知情；然而若安心出行將來啟用人臉識別功能，只需要鏡頭權限，估計不需索取額外的權限。

傳真社爆出「安心出行」包含人臉識別功能的代碼。（資料圖片）

資科辦表示，已就事件與開發及運維的承辦商了解及跟進後，得悉承辦商在開發「安心出行」程式時，應用了市場上一個現成的模組用以操作手機鏡頭，進行運作需要的掃描程序，即掃描及識別場所二維碼、電子針卡二維碼和的士車牌號碼等，除此以外該模組並沒有進行任何其他運作。

資科辦向傳真社回應時稱，在收到查詢之前並不知悉「安心出行」裡有人臉識別模組。發言人表示，已要求承辦商研究在不影響程式正常運作的前提下，從模組中刪除與人臉識別相關功能，以釋除公眾疑慮。

▼2月13日　旺角信和中心續要求進入人士掃瞄安心出行▼

資科辦稱，一直重視公眾對私隱的關注，每次於「安心出行」加入新功能，均徵詢個人私隱專員公署的意見；程式亦已通過由獨立第三方進行的私隱影響評估、資訊保安風險評估及審計，確保符合《個人資料（私隱）條例》的規定。

資科辦亦指，每次「安心出行」推出新版本，均須交由各大流動應用程式商店進行嚴謹的審批，確保推出的程式切實遵守保護個人私隱的要求。

不過傳真社翻查「安心出行」官網內兩個公開的報告，包括安全風險評估報告及私隱影響評估報告，並未有提及會審核多餘的模組。

傳真社亦向「安心出行」承辦商創奇思查詢，對方未有回應問題，僅回覆向資科辦查詢。翻查資料，開發商創奇思有限公司的母企，為中資網絡遊戲商網龍網絡控股有限公司。資科辦早前公布，就支持政府最新防疫措施，今個財政年度營運及提升「安心出行」的開支預算約為860萬元。

香港資訊科技商會榮譽會長方保僑表示，承辦商當初設計應用程式時所用的代碼，有著多種用途，包括人臉識別，估計承辦商抱持「冇事冇幹咪唔搞」的態度，避免刪除相關代碼，造成「安心出行」運行時出現錯誤。

方又指，使用「安心出行」時前置鏡頭並無運作，相信資科辦確實不知悉代碼的存在，預料刪除有關代碼後，須花費時間修改及測試。他建議當局「開源」，除了讓公眾減少疑慮外，亦能幫助檢查程式碼的漏洞，認為是全世界主流的做法。