9月3日,针对媒体公开宣布和用户曝光的ZAO用户隐私协议不规范,存在数据透露风险等网络数据安全问题,工业和信息化部网络安全管理局对北京陌陌科技有限公司(以下简称陌陌科技)干系卖力人进行了问询约谈。
在问询约谈中,网络安全管理局哀求陌陌科技严格按照国家法律法规以及干系主管部门哀求,组织开展自查整改,依法依规网络利用用户个人信息,规范协议条款,强化网络数据和用户个人信息安全保护。同时,要进一步加强新技能新业务安全评估,切实采纳有效方法,积极戒备自有业务平台被利用履行电信网络诱骗等风险隐患。
用户协议存在争议
随意马虎造成隐私透露
ZAO走红后不到24小时,就由于隐私安全问题引发集体焦虑。
“有手机号,有面部图像,通过技能合成,犯罪分子可以替你和你的家人通话了。”用户对ZAO透露个人隐私的担心,集中表示在这条网友评论里。
据理解,在隐私政策中,ZAO网络用户的隐私信息范围极其宽泛,包括肖像及面部识别特色等生物识别信息,身份证、军官证、护照、驾驶证、社保卡、居住证等身份信息,以及芝麻信用等个人敏感信息。
9月1日,ZAO修正了部分争议内容,紧张表示在四个方面:删除了用户需授权ZAO“不可撤销、永久、可转授权和可再容许的权利”;删除了ZAO可以“全部或部分修正用户内容”中的“全部”;删除了ZAO可以改换用户的声音的规定;删除了ZAO拥有对用户内容进行“著作权法规定的由著作权人享有的全部著作财产权利及毗邻权利”。
然而,修正后的条款仍存在争议。比如,被授权的工具为ZAO及ZAO用户。对此,中国政法大学传播法研究中央副主任朱巍认为,被授权的工具包括ZAO用户,其范围太大,而且没有单独提示,随意马虎稠浊干系观点。
ZAO还在用户协议开头增加了“特殊提示”称,用户授权内容“仅限用于为您供应上传/发布短视频,以及利用技能对平台上的短视频进行局部修正天生新的短视频的做事,干系的内容将严格按干系法律法规的规定保留在ZAO上,除非为了改进ZAO为您供应的做事或另行取得您的再次赞许,否则ZAO不会以任何其他形式或目的利用上述内容”。
9月1日下午,一个未经认证的微博账号“ZAO官方助手”发称,我们十分理解大家对隐私问题的担忧。你们提的问题都已收到,考虑不周的地方我们会去改,须要一点韶光。
但这仍不敷以打消用户的担忧。由于修正后的条文也并未明确规定网络和利用用户信息的详细情形,比如“特殊提示”中“为了改进ZAO为您供应的做事”的规定,就没有明确列举改进何种做事。
在朱巍看来,以前“隐私透露”是事情发生后才去谈论,但是自从网络安全法出台后,大家更方向于把安全风控前移,网络安全法不仅对事后透露和事中管理有规定,更包括稽核供应网络做事的平台,在保障数据安全和核心隐私方面是否能达到干系标准。
除了侵权问题,还有网友担心,既然人脸识别已经在支付场景得到运用,面部信息透露,是否会导致账户被盗刷?
对此,支付宝安全中央8月31日发布公告称,“不管换脸软件多逼真,都无法打破刷脸支付”,刷脸支付采取的是3D人脸识别技能,在进行人脸识别前,也会通过软硬件结合的办法进行检测,来判断采集到的人脸是否是照片、视频或者软件仿照天生的,能有效地避免各种人脸假造带来的身份冒用情形。
“关于换脸软件滥用威胁支付安全的问题,是矛和盾的问题。很多刷脸支付软件,不是百分百能够担保不被钻空子,只是可以通过很多办法大大降落风险。”中国科学院神经科学博士刘耀文见告《法制日报》,比如视频是一帧一帧的,目前的人脸识别是深入识别,人录视频的时候眼睛眨动和图片是不一样的,图片是不会眨眼的。此外,还可以通过一些向左转向右转的行为来剖断是否是本人。“当然,一些刷脸支付软件会有地理、技能上各种保障安全的上风,但一些不屈安的支付做不到这么严格。”
此外,ZAO还存在肖像权、著作权等知识产权风险。例如,用户“换脸”前,并未取得明星授权。法律界人士认为,对付ZAO版权解释中“不享有素材的商业版权”的规定,并不存在商业版权的观点,版权便是版权,只要未获授权拿别人作品来传播便是陵犯别人版权,虽然ZAO没有直接通过作品收费,但是全体平台靠传播改动后的影视剧作品来吸引用户,进而开拓其他商业模式。
ZAO版权解释中还称,会在用户天生的作品上打水印以示差异,但这些都不能担保ZAO不会侵权。用户在不可能取得授权的情形下,传播经由改动的视频素材,这些内容如果构成作品,会陵犯著作权人的保护作品完全权、信息网络传播权等干系权利。
人脸数据亟待重视
一旦透露风险难测
不过,在业内人士看来,落在用户身上真正的风险,既不是可通过诉讼或监管即可确认无效的用户协议,或不合理的肖像权安排,也不是著作权侵权问题,而是用户一旦供应或转让,即可能完备失落控的“生物识别信息”的安全问题。
“人脸识别是人可识别的个性化信息中的核心,同时也是隐私权保护的核心。”朱巍说。
对付用户来说,ZAO换脸做事最大的风险在于对用户人脸数据的网络。毕竟脸部信息的细节实在是太丰富了,是一种“生物信息”,可以说是非常敏感的个人信息,一旦透露,远比上网时产生的数据信息透露的风险更大。
据中国传媒大学政法学院法律系副主任郑宁先容,换脸技能紧张涉及到生物信息的采集,属于敏感信息。根据网络安全法第四十一条规定,网络运营者网络、利用个人信息,应该遵照合法、正当、必要的原则,公开网络、利用规则,昭示网络、利用信息的目的、办法和范围,并经被网络者赞许。网络运营者不得网络与其供应的做事无关的个人信息,不得违反法律、行政法规的规定和双方的约定网络、利用个人信息,并应该依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
同时,民法总则第一百一十一条规定,自然人的个人信息受法律保护。任何组织和个人须要获取他人个人信息的,应该依法取得并确保信息安全,不得造孽网络、利用、加工、传输他人个人信息,不得造孽买卖、供应或者公开他人个人信息。
“那么,ZAO承担的个人信息安全责任就包括制订完备合法的隐私政策,向用户昭示网络、利用个人信息的目的、办法、范围,以及建立完善的个人信息安全保护方法。”郑宁说。
正因如此,刘耀文也认为:“人们的担忧是合理的,最大的问题可能便是安防方面,还有侵权一类的问题。这种换脸软件运用可能会造成用户陵犯名人的权利,还有用户的个人信息归平台所有了,生物信息让度出去了是最大的一个风险,由于软件的合约条款里规定了合理利用和永久授权,无法判断他们会用我们的信息干什么。”
不仅如此,业内专家还表示,这款运用的涌现意味着AI深度换脸技能利用门槛大幅度降落,干系假造影音视频被不法分子利用时,将对国家安全、新闻舆论、"大众安全、刑事审判、政府通信等领域带来浩瀚难以预测的风险。
首先,从国家安全层面看,当高度逼真的假造视频被恶意利用在国家领导人及其他关键人物身上,不仅会导致领导人形象受损,如果假造领导人发出有悖于国家安全的政治不雅观点或指令,将导致严重后果。虽然我国还未涌现此类案例,但在美国,用于政党攻击、娱乐的换脸视频时常涌现。如2018年4月,美国娱乐网站Buzzfeed发布了一条网友制作的换脸视频,当中,美国前总统奥巴马用他的声音和惯用动作讲了一段他从没说过的话。
其次,从舆论传播层面看,如果AI深度换脸技能制造的虚假视频与社交网络相结合,不仅会让假新闻更难鉴别,也会导致谣言的讯速传播。例如印度某曾因戳穿印度古吉拉特暴乱中官员的黑幕和不作为,被人用AI换脸技能做成大量的道歉小视频,严重影响当地舆论走向。
末了,AI换脸技能对"大众安全、刑事审判等也可能带来不同程度负面影响。例如,不法分子可利用图片、视频伪装他人跟另一个人谈天、交易,不仅危害他人隐私、财产安全,乃至生命安全也可能受到威胁。在法律机关调查取证、审判等阶段假造出来的影音视频证据,也可能对法律程序产生滋扰。
“核心风险便是个人信息安全问题,换脸软件一旦被滥用将会产生悲观影响。研究者们该当遵照科技伦理,企业合规和风控部门应该加强法律风险的审查,政府部门应该加强监管,行业组织加强自律,公民积极投诉举报。”郑宁说。(赵丽)