深度|除了用户协议“ZAO”还有哪些问题


来源:App专项治理工作组    作者:朱芸阳    2019-9-2 14:08

近日,一款名为ZAO的换脸软件在网上引起热议。有些用户直呼不敢用,甚至对于自己上传到APP的“人脸”会不会被用于不法用途甚至带来人身或财产损失,表示甚为忧虑。而有人又表示大可不必如此,这只是一款应用于娱乐场景的APP而已,而且应用市场上具有换脸功能的APP也并非独此一款。那么,社会大众的担忧是杞人忧天,还是并非空穴来风?笔者就其中所涉及的法律风险问题进行分析。

一、ZAO收集的用户个人信息是什么?

概括讲,ZAO软件作为一款换脸软件,它是通过用户上传照片的方式,收集的是用户的“脸”,在法律意义上来说,就是用户个人的面部识别特征,作为个人生物识别信息的一种,属于个人敏感信息。

面部识别特征,和指纹、虹膜等一样,都是一组能够区别人脸的组合特征,每个人眼睛、鼻子和嘴等面部特征之间的距离、面积和角度等几何关系各不相同,具有唯一性。因此,通过个人的面部识别特征,就可以识别到具体特定的个人。在禁止在公共场所使用面部识别软件的旧金山法令中,就将面部识别形象地称为“等同于要求每个人随时携带和展示带有个人照片的身份证”。

面部识别技术并不新鲜。早在2014年,美国卡耐基梅隆大学的一位教授就发现,经过谷歌图片搜索一个匿名婚恋网站上的用户照片,就能轻而易举地人肉这些用户的真实信息。但是,随着人工智能、深度学习技术的发展,面部识别技术的精准度越来越高,而正是因为个人生物识别信息的唯一性,存在侵害个人隐私乃至危害个人人身和财产的巨大潜在风险,因此,即使在我们认知中,美国是个对个人隐私比较持有开放、包容立场的典型代表,但是,在面临收集和使用此类面部识别特征信息的问题上它与欧盟一样也采取了较为保守的态度。在美国已经有旧金山、马萨诸塞州的萨默维尔市通过了禁止在公共场所使用面部识别软件的法令,而奥克兰、纽约等城市也在考虑类似禁令。甚至在联邦层面也在考虑是否采取相应措施。

而对个人信息保护采取更高标准的欧盟GDPR也规定,收集个人生物识别数据,应当获得用户明确同意,或者具有其他正当理由。而2019年8月21日,瑞典数据监管机构(DPA)对当地一所高中开出第一张基于欧盟《通用数据保护条例》(GDPR)的罚单,金额为20万瑞典克朗(约合人民币14.8万元)。因为该校使用人脸识别系统记录学生的出勤率,瑞典数据监管机构认定学校董事会对学生个人信息的处理不符合GDPR的规定。

我国在2018年5月1日开始实施的国家标准《个人信息安全规范》中,将个人敏感信息作为个人信息中很重要的一种类型,并定义为“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”并且,在附录“个人敏感信息”中明确列举了个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等个人生物识别信息,对其加以特殊的保护,在收集、传输、存储、访问、修改控制、信息共享、转让等方面等对个人信息控制者提出了更高的要求。

二、ZAO做错了什么?

ZAO并不是第一款主打换脸功能的软件(相信也不会是最后一款),但是为什么会引起如此广泛关注甚至是激起民愤?笔者认为,ZAO软件至少在以下方面违反了我国目前关于个人信息保护的相关规定。

第一,在收集个人敏感信息方面,《信息安全规范》要求个人信息控制者获得个人信息主体的明示同意,即获得个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出的明确授权。

而ZAO的“用户协议”和“隐私政策”都未提醒用户主动阅读方式,也没有提供用户可以勾选同意的按钮。因此,该款APP并没有满足“信息主体明示同意”的要求,“即获得个人信息主体通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出的明确授权。”

未提醒用户主动阅读方式

第二,《信息安全规范》要求个人信息控制者应对其核心业务和附加功能需要收集的个人敏感信息予以区分,并分别获得个人信息主体的同意。当个人信息主体拒绝提供附加功能需要收集的个人敏感信息时,个人信息控制者可不提供相应的附加功能,但不应以此为由停止提供核心业务功能。

虽然ZAO在“隐私政策”第(四)部分指出,“为确保用户身份真实性……您可以向我们提供……面部特征等生物识别信息、芝麻信用等个人敏感信息完成实名认证。如您拒绝提供上述信息,可能无法使用账户管理、继续可能存在风险的交易等服务,但不会影响您使用发布视频等服务”。但是,据用户使用后反映,ZAO作为一款以人脸识别和AI换脸为核心功能的APP,如果用户拒绝给面部特征等生物识别信息,这一APP的核心功能就无法使用。也就是说,ZAO软件可能并没有遵守其明确提出的隐私政策。

没有遵守其明确提出的隐私政策

第三,APP运营者应当向用户清晰说明个人信息处理规则,也就是让用户明确自己的信息会被谁收集,会以何种方式处理。

ZAO在“用户协议”第1条指出,本协议是您与ZAO及其相关服务可能存在运营关联公司(“关联公司”)之间关于您使用“ZAO”提供的服务而订立的协议。而在“隐私协议”中开头也指出“ZAO”的运营主体是长沙深度融合网络科技有限公司及其关联公司,因此,此处所表明的“关联公司”是谁,范围是多大?换言之,如果运营主体是长沙深度融合网络科技有限公司与其关联公司,是否为了向用户提供服务,两者之间会存在个人信息共享?如果存在信息共享,那么,按照《信息安全规范》的规定,个人信息控制者除应向个人信息主体告知共享、转让个人敏感信息的目的、数据接收方的类型之外,还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意。

而在ZAO软件的整个使用过程中,在信息共享环节并没有征得用户的明示同意,自然无法知道“关联公司”具体是谁,自己的个人信息乃至个人敏感信息流转至何方,而关联公司的身份和数据安全能力更是不得而知。

第四,ZAO软件的“用户协议”第6条规定,“除非另有约定,您使用‘ZAO’上传及/或发布的用户内容的所有权、知识产权及其他法律权利,归您、您的许可方或者您的关联方所有,责任亦有您承担”,在第1款规定,“在您上传及/或发布用户内容以前,您同意或者确保实际权利人同意授予‘ZAO’及其关联公司以及‘ZAO’用户全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”,继而在第2款规定,“同意或确保肖像权利人已经同意授予‘ZAO’使用‘ZAO’的技术服务对您的或者其他人的人脸进行处理”。

换言之,ZAO软件作为一款为用户提供换脸素材、号称“仅需一张照片,出演天下好戏”的软件,却要求用户来确保换脸素材的著作权人、肖像权人授予ZAO及其关联公司相应的权利,否则责任就由用户承担的做法,确实是让人难以理解其中的逻辑。更何况在现实生活中,ZAO的用户又如何可能获得著作权人和肖像权人的授权同意(你能想象,用户为了使用ZAO就要去一一向某部剧的著作权人、演员明星获取授权吗)?在审判实务中,如此免除己方责任的霸王条款会被认为无效,而从侵权的视角来看,APP运营主体在明知用户需要事先获得著作权人、肖像权人授权,同时用户又客观上难以获取著作权人、肖像权人授权的前提下,却在APP中提供大量的换脸素材供用户使用,一旦用户侵权,APP经营者恐怕也难以免责。因此,APP运营者在用户协议中出现上述免除自身责任、加重用户责任的不合理条款,也是违反《网络安全法》、《消费者权益保护法》的相关规定,不符合《App违法违规收集使用个人信息自评估指南》的要求。

三、我们真正在怕什么?

从上述对ZAO的的用户协议和隐私政策的分析中,我们不难看出,ZAO软件中,存在违规收集用户个人敏感信息、未清晰说明个人信息处理规则、疑似不遵守隐私政策、在文件中设置不合理霸王条款等多项问题,这正是引发广大用户焦虑的导火索。但是,这也是只是导火索,而用户通过ZAO软件(或者说这一类软件)被收集的面部特征信息会流向何处,用于何种用途,这才是用户真正担忧的。因为用户从这里读懂了一句潜台词,一个对隐私政策和用户协议都如此任性的运营者,我们如何指望她会善待我的个人信息,特别是面部识别特征这样的个人敏感信息?

因此,用户对于ZAO是否会威胁刷脸支付提出了质疑,担心人脸识别技术会被用于刷脸支付甚至欺诈。虽然蚂蚁金服相关人士很霸气回复,“不管换脸做得多逼真,都是无法突破刷脸支付的”。我们相信支付宝有这样的底气和信息安全能力说“不”,但是其他人呢?采取换脸技术被用于向其他人进行诈骗,被骗的人也会如支付宝一样有这样的底气和能力来答复,我绝不会上当受骗吗?AI换脸甚至可能在国际上引起军事冲突和市场动荡,而据华尔街日报报道,部分初创企业、美国政府机构和学术界都在与所谓的“deepfakes”作斗争,他们担心被篡改的视频和照片会被用来扰乱明年的美国总统选举。

随着深度伪造(Deepfakes)技术的发展,我们也许会难以用肉眼来分辨真伪,这将挑战我们“眼见为实”的认知底线。如果我们连亲眼所见都无法相信的话,我们还能相信什么呢?如果有一天,“社会将开始怀疑他们看到的每一个视频或图像内容”,那么,我们为了时刻对我们亲眼所见的一切来分辨真假、去伪存真,付出多么大的社会成本和代价啊!

而且,值得关注的是,包括面部识别特征在内的个人生物识别信息,不仅具有唯一性,而且是可以被不断复制的。如果这些信息一旦泄露的话,将会导致个人信息主体及收集、使用个人信息的组织和机构丧失对此类个人信息的控制能力,造成个人信息扩散范围和用途的不可控性。ZAO的用户在沉迷于换脸玩得不亦乐乎的时候,把自己的“脸”(面部识别特征)交出去了,但是,谁又能保证这张“脸”的安全而不被随便利用呢?收集个人敏感信息的运营者应当具备与安全风险相匹配的数据安全能力。但可别忘记了,据报道,2019年初位于深圳的深网视界(SenseNet)就发生了大规模个人信息泄露事件,而这家公司的人脸识别数据库,就包含了超过256万用户信息,其中包括身份证号码、人脸识别图像、位置记录、出生日期等非常私密的数据!而这起信息泄露事件的主角深网视界正是一家主营业务为人脸识别、AI和安防,定位为“AI+安防”的公司。

四、我们能做什么?

现在,是时候审视一下人脸识别技术是不是离滥用只有一步之遥,亦或是现在已经为时已晚。令人欣慰的是,ZAO软件是否会存在安全隐患问题已经引起了社会大众的关注,至少说明我们并不是都认同“用隐私换便利”;但是也不得不承认,愿意交出我们的“脸”来换取一时的娱乐,仍然不是少数人。

因此,作为一家企业通过商业模式创新来追求利润固然无可厚非,但是,任何营利模式都应该是建立在合法合规的基础之上的。为了帮助互联网新业态构建良性生态,在允许企业实现业务创新、商业模式创新的同时,也需要对法律底线给予充分的敬畏,来构建“政府机关——相关企业——社会组织——公众力量”等多方协同的综合治理格局,即:

第一,在强调政府发挥市场监管主导作用的同时,引导各类经营者加强自我监管、自我履责,是从合法合规的角度,规范商业价值判断和加强自我行为约束;

第二,特别是发挥头部企业的带头示范效应,制定针对本行业的行业治理标准、公约,作为行业治理的最低标准、合法性审查的底线,指导本行业相关企业完成自我审视和合法性审查;

第三,需要调动多方力量尤其是社会力量,形成整个社会的监管合力,从而构建多元监管体系,包括健全舆论监督机制,鼓励致力于保护个人信息和隐私的媒体团队,揭露企业违法行为;

当然,最后从用户的角度来看,也需要用户不断加强自身信息安全意识,毕竟,虽然技术本身不会作恶,但是某些利用技术的人未必向善。

(文章作者中央民族大学法学院副教授朱芸阳)

关于本站联系我们手机版
Copyright © 2019 安知讯 粤ICP备11061396号-7 粤公网安备 44030602001878号