Reconnaissance faciale - Compte tenu du contexte, l'utilisateur devrait-il être informé du processus?

À mon avis, oui, les utilisateurs doivent être informés que l'application utilise la reconnaissance faciale pour fournir l'accès. Que cela soit fait à chaque fois ou uniquement lors de l'installation, c'est un autre problème.

Néanmoins, imaginez-vous a informé les utilisateurs de la fonctionnalité de reconnaissance faciale:

• la reconnaissance faciale n'est jamais sûre à 100% et peut être (facilement) falsifiée. Si l'utilisateur est au courant de ce problème (de sécurité), il peut choisir de l'utiliser pour faciliter le risque de déverrouillage indésirable de l'application ou de revenir au nom d'utilisateur/mot de passe traditionnel (je suppose que votre application le permet). Ils ont le choix, ils l'apprécient.
• l'utilisateur peut porter des lunettes de soleil ou un chapeau, peut avoir une barbe ou un maquillage épais, votre algorithme de reconnaissance faciale sera-t-il suffisamment fiable dans ces circonstances? Si les utilisateurs sont conscients de la reconnaissance faciale, ils sont plus disposés à accepter l'inconvénient de parfois ne pas être reconnus.

Imaginez-vous n'a pas informé les utilisateurs de la fonctionnalité de reconnaissance faciale:

• quelqu'un en prend connaissance, forge le visage des utilisateurs et s'introduit dans leur application. Vous essayez d'expliquer la faille de sécurité en informant sur la reconnaissance faciale secrète, les utilisateurs s'énervent, c'est le moins qu'on puisse dire ...
• pour les utilisateurs portant des chapeaux, des lunettes de soleil, des poils du visage impressionnants, un maquillage épais - la reconnaissance faciale n'est pas parfaite et parfois les utilisateurs sont autorisés à accéder à l'application, parfois ils doivent donner leurs informations d'identification. Vous commencez à obtenir des questions "pourquoi est-ce". Vous essayez d'expliquer que vous utilisez secrètement la reconnaissance faciale, les utilisateurs s'énervent d'avoir été filmés sans autorisation, pensez à la prochaine étape.

Sans entrer dans aucune des préoccupations de sécurité/confidentialité de ce système ...

Tenez compte du taux d'échec de votre numérisation faciale. Supposons que cela fonctionne 90% du temps. Si vous ne dites pas à l'utilisateur que vous avez effectué une analyse faciale, il interagit avec une application qui, sans raison apparente, demande un nom d'utilisateur et un mot de passe au hasard 10% des fois utilise le. C'est une expérience horriblement incohérente.

Un délai pendant lequel l'utilisateur n'a aucune idée de ce qui se passe est susceptible d'être considéré comme une application lente. Gardez à l'esprit qu'un utilisateur ignorant la fonction de reconnaissance faciale peut simplement tenir sa tablette de manière à l'empêcher de fonctionner correctement (c'est-à-dire que la caméra ne capture pas son visage).

De plus, certains utilisateurs peuvent ne pas aimer le concept de numérisation faciale, donc le leur cacher peut les amener à croire que votre application fait également secrètement d'autres choses qu'ils n'aiment pas.

Certaines personnes ont des problèmes avec la caméra secrètement allumée - combien de personnes (qui ne se soucient généralement pas de la sécurité des données) enregistrent leurs caméras? D'après ce que j'ai vu, beaucoup d'entre eux.

Veuillez ne pas faire partie du problème que nous avons avec la technologie à laquelle nous ne pouvons pas faire confiance en ce moment.

D'une part, comme de nombreuses personnes l'ont souligné, votre principal argument pour ne pas informer l'utilisateur sur la numérisation faciale, c'est-à-dire que le processus est plus "impressionnant", ne tient que pour le chemin heureux: caméra présente, utilisateur face à la caméra, conditions de numérisation ok, utilisateur ne bouge pas, etc. C'est beaucoup trop d'hypothèses "heureuses". Quel est le chemin pessimiste si vous n'en informez pas l'utilisateur et qu'il échoue?

Pour la seconde, et plus important encore: si vous n'êtes pas sûr de vos questions "dois-je faire quelque chose avec les données sensibles de l'utilisateur", je dirais de suivre cette règle simple: les données utilisateur appartiennent à l'utilisateur . C'est à eux de décider comment et s'ils souhaitent que leurs données soient utilisées de quelque manière que ce soit. Si vous avez besoin ou collectez des données auprès des utilisateurs, ceux-ci doivent être informés à l'avance et avoir une possibilité claire de se retirer.

La vôtre est vraiment une question sur l'intersection de l'éthique et de l'expérience utilisateur, et je pense qu'au lieu de vous demander si votre conception est une bonne expérience utilisateur, vous devriez vous demander si elle est éthique.

Je ne suis pas sûr des problèmes juridiques réels.

Dans mon entreprise de publicité Fortune 500, nous venons de couvrir les informations que vous pouvez collecter légalement auprès des clients lors de réunions avec tous les employés de l'entreprise.

Lorsque vous collectez des informations sensibles auprès d'un client, le client doit être clairement conscient du fait que vous les collectez, de la raison pour laquelle vous les collectez et de leur utilisation potentielle, de la durée pendant laquelle vous conserverez ces informations et de la manière dont vous les conserverez. ils vous contactent s'ils ont besoin de mettre à jour ou de demander la suppression de ces informations. Les centres de données que nous avons ont des accords contractuels par lesquels nous devons savoir où chaque élément de données sensibles est stocké (exactement quel disque dur, etc.).

Hormis la politique, la collecte d'informations sensibles auprès d'une personne à son insu peut être considérée comme très immorale et dangereuse pour le client même si vous ne pouvez pas la percevoir. (Et si vous étiez piraté en soi). Cela pourrait exposer vos utilisateurs à des risques de sécurité et vos créateurs d'applications à de lourdes poursuites que j'imagine.

Au lieu de scanner automatiquement les visages des utilisateurs sans leur approbation, vous devez attendre qu'ils indiquent qu'ils souhaitent s'authentifier de cette manière.

S'ils ne le souhaitent pas, ils devraient avoir la possibilité de saisir leur nom d'utilisateur et leur mot de passe à l'ancienne. Mais s'ils ont spécifiquement choisi le scan du visage, ils ne sont pas surpris.

Un exemple est illustré ci-dessous:

Imaginez que vous vous connectiez au site Web de votre banque. S'il vous montrait le formulaire de connexion, puis soudainement (sans explication ni saisie) vous êtes connecté. Si cela m'est arrivé - je pense que le formulaire de connexion est buggé.

De même, si j'accédais à un site Web auquel je n'avais jamais besoin de me connecter et que l'on me présentait un formulaire de connexion, je serais tout aussi confus et penserais qu'il était sur écoute (sans oublier que je n'aurais probablement aucune idée de mes informations d'identification). sont en fait).

Vous devez garder l'utilisateur dans la boucle. Faire des choses auxquelles l'utilisateur ne s'attend pas ne fait pas croire aux gens que votre logiciel est "plus impressionnant". Cela donne un aspect bogué et incohérent.

L'un ou l'autre est acceptable. Cependant, la décision sera dictée par, et aura les effets d'entraînement par, la position de vous ou de votre entreprise sur la divulgation en ce qui concerne les problèmes de confidentialité. Il n'y a pas encore de loi fédérale américaine, de jurisprudence ou même de protocole standard de l'industrie avec le soutien majoritaire du secteur privé, du secteur public et des défenseurs de la vie privée.