原標題:一夜爆紅引發病毒式傳播存在數據泄露隱患被約談
換臉軟件刷屏風險不容忽視
編者按
ZAO一夜爆紅,讓AI換臉軟件引發廣泛關注,但因涉嫌過度收集用戶個人信息也遭到廣泛質疑。9月1日,這款軟件的微信分享鏈接已停止訪問,由此引發的隱私安全爭議卻仍在繼續,人們對人工智能未來走向的探討更趨激烈。
技術從來都是一把雙刃劍,如何讓技術的進步服務好人類社會經濟的發展,這是全社會需要思考的重要問題。為此,本報今日推出專題報道,梳理人工智能發展帶來的相關法律問題與科技倫理風險,敬請關注。
● 在隱私政策中,ZAO收集用戶的隱私信息范圍極其寬泛,包括肖像及面部識別特征等生物識別信息,身份證、軍官證、護照、駕駛證、社保卡、居住證等身份信息,以及芝麻信用等個人敏感信息
● 對于用戶來說,ZAO換臉服務最大的風險在于對用戶人臉數據的收集。ZAO承擔的個人信息安全義務包括制定完備合法的隱私政策,向用戶明示收集、使用個人信息的目的、方式、范圍,以及建立完善的個人信息安全保護措施
● ZAO的出現意味著AI深度換臉技術使用門檻大幅度降低,相關偽造影音視頻被不法分子利用時,將對國家安全、新聞輿論、公眾安全、刑事審判、政府通信等領域帶來眾多難以預測的風險
8月30日晚,打出“僅需一張照片,出演天下好戲”口號的換臉軟件ZAO刷屏,在社交平臺上引發病毒式傳播。
9月3日,針對媒體公開報道和用戶曝光的ZAO用戶隱私協議不規范,存在數據泄露風險等網絡數據安全問題,工業和信息化部網絡安全管理局對北京陌陌科技有限公司(以下簡稱陌陌科技)相關負責人進行了問詢約談。
在問詢約談中,網絡安全管理局要求陌陌科技嚴格按照國家法律法規以及相關主管部門要求,組織開展自查整改,依法依規收集使用用戶個人信息,規范協議條款,強化網絡數據和用戶個人信息安全保護。同時,要進一步加強新技術新業務安全評估,切實采取有效措施,積極防范自有業務平臺被利用實施電信網絡詐騙等風險隱患。
用戶協議存在爭議
容易造成隱私泄露
ZAO走紅后不到24小時,就因為隱私安全問題引發集體焦慮。
“有手機號,有面部圖像,通過技術合成,犯罪分子可以替你和你的家人通話了。”用戶對ZAO泄露個人隱私的擔心,集中體現在這條網友評論里。
據了解,在隱私政策中,ZAO收集用戶的隱私信息范圍極其寬泛,包括肖像及面部識別特征等生物識別信息,身份證、軍官證、護照、駕駛證、社保卡、居住證等身份信息,以及芝麻信用等個人敏感信息。
9月1日,ZAO修改了部分爭議內容,主要體現在四個方面:刪除了用戶需授權ZAO“不可撤銷、永久、可轉授權和可再許可的權利”;刪除了ZAO可以“全部或部分修改用戶內容”中的“全部”;刪除了ZAO可以更換用戶的聲音的規定;刪除了ZAO擁有對用戶內容進行“著作權法規定的由著作權人享有的全部著作財產權利及鄰接權利”。
然而,修改后的條款仍存在爭議。比如,被授權的對象為ZAO及ZAO用戶。對此,中國政法大學傳播法研究中心副主任朱巍認為,被授權的對象包括ZAO用戶,其范圍太大,而且沒有單獨提示,容易混淆相關概念。
ZAO還在用戶協議開頭增加了“特別提示”稱,用戶授權內容“僅限用于為您提供上傳/發布短視頻,以及利用技術對平臺上的短視頻進行局部修改生成新的短視頻的服務,相關的內容將嚴格按相關法律法規的規定保留在ZAO上,除非為了改善ZAO為您提供的服務或另行取得您的再次同意,否則ZAO不會以任何其他形式或目的使用上述內容”。
9月1日下午,一個未經認證的微博賬號“ZAO官方助手”發消息稱,我們十分理解大家對隱私問題的擔憂。你們提的問題都已收到,考慮不周的地方我們會去改,需要一點時間。
但這仍不足以打消用戶的擔憂。因為修改后的條文也并未明確規定收集和使用用戶信息的具體情況,比如“特別提示”中“為了改善ZAO為您提供的服務”的規定,就沒有明確列舉改善何種服務。
在朱巍看來,以前“隱私泄露”是事情發生后才去討論,但是自從網絡安全法出臺后,大家更傾向于把安全風控前移,網絡安全法不僅對事后泄露和事中管理有規定,更包括考查提供網絡服務的平臺,在保障數據安全和核心隱私方面是否能達到相關標準。
除了侵權問題,還有網友擔心,既然人臉識別已經在支付場景得到應用,面部信息泄露,是否會導致賬戶被盜刷?
對此,支付寶安全中心8月31日發布公告稱,“不管換臉軟件多逼真,都無法突破刷臉支付”,刷臉支付采用的是3D人臉識別技術,在進行人臉識別前,也會通過軟硬件結合的方式進行檢測,來判斷采集到的人臉是否是照片、視頻或者軟件模擬生成的,能有效地避免各種人臉偽造帶來的身份冒用情況。
“關于換臉軟件濫用威脅支付安全的問題,是矛和盾的問題。很多刷臉支付軟件,不是百分百能夠保證不被鉆空子,只是可以通過很多辦法大大降低風險。”中國科學院神經科學博士劉耀文告訴《法制日報》記者,比如視頻是一幀一幀的,目前的人臉識別是深入識別,人錄視頻的時候眼睛眨動和圖片是不一樣的,圖片是不會眨眼的。此外,還可以通過一些向左轉向右轉的行為來判定是否是本人。“當然,一些刷臉支付軟件會有地理、技術上各種保障安全的優勢,但一些不安全的支付做不到這么嚴格。”
此外,ZAO還存在肖像權、著作權等知識產權風險。例如,用戶“換臉”前,并未取得明星授權。法律界人士認為,對于ZAO版權說明中“不享有素材的商業版權”的規定,并不存在商業版權的概念,版權就是版權,只要未獲授權拿別人作品來傳播就是侵犯別人版權,雖然ZAO沒有直接通過作品收費,但是整個平臺靠傳播改動后的影視劇作品來吸引用戶,進而開拓其他商業模式。
ZAO版權說明中還稱,會在用戶生成的作品上打水印以示區別,但這些都不能保證ZAO不會侵權。用戶在不可能取得授權的情況下,傳播經過改動的視頻素材,這些內容如果構成作品,會侵犯著作權人的保護作品完整權、信息網絡傳播權等相關權利。
人臉數據亟待重視
一旦泄露風險難測
不過,在業內人士看來,落在用戶身上真正的風險,既不是可通過訴訟或監管即可確認無效的用戶協議,或不合理的肖像權安排,也不是著作權侵權問題,而是用戶一旦提供或讓渡,即可能完全失控的“生物識別信息”的安全問題。
“人臉識別是人可識別的個性化信息中的核心,同時也是隱私權保護的核心。”朱巍說。
對于用戶來說,ZAO換臉服務最大的風險在于對用戶人臉數據的收集。畢竟臉部信息的細節實在是太豐富了,是一種“生物信息”,可以說是非常敏感的個人信息,一旦泄露,遠比上網時產生的數據信息泄露的風險更大。
據中國傳媒大學政法學院法律系副主任鄭寧介紹,換臉技術主要涉及到生物信息的采集,屬于敏感信息。根據網絡安全法第四十一條規定,網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
同時,民法總則第一百一十一條規定,自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。
“那么,ZAO承擔的個人信息安全義務就包括制定完備合法的隱私政策,向用戶明示收集、使用個人信息的目的、方式、范圍,以及建立完善的個人信息安全保護措施。”鄭寧說。
正因如此,劉耀文也認為:“人們的擔憂是合理的,最大的問題可能就是安防方面,還有侵權一類的問題。這種換臉軟件應用可能會造成用戶侵犯名人的權利,還有用戶的個人信息歸平臺所有了,生物信息讓度出去了是最大的一個風險,因為軟件的合約條款里規定了合理使用和永久授權,無法判斷他們會用我們的信息干什么。”
不僅如此,業內專家還表示,這款應用的出現意味著AI深度換臉技術使用門檻大幅度降低,相關偽造影音視頻被不法分子利用時,將對國家安全、新聞輿論、公眾安全、刑事審判、政府通信等領域帶來眾多難以預測的風險。
首先,從國家安全層面看,當高度逼真的偽造視頻被惡意使用在國家領導人及其他關鍵人物身上,不僅會導致領導人形象受損,如果偽造領導人發出有悖于國家安全的政治觀點或指令,將導致嚴重后果。雖然我國還未出現此類案例,但在美國,用于政黨攻擊、娛樂的換臉視頻時常出現。如2018年4月,美國娛樂網站Buzzfeed發布了一條網友制作的換臉視頻,當中,美國前總統奧巴馬用他的聲音和慣用動作講了一段他從沒說過的話。
其次,從輿論傳播層面看,如果AI深度換臉技術制造的虛假視頻與社交網絡相結合,不僅會讓假新聞更難鑒別,也會導致謠言的訊速傳播。例如印度某記者曾因揭露印度古吉拉特暴亂中官員的黑幕和不作為,被人用AI換臉技術做成大量的道歉小視頻,嚴重影響當地輿論走向。
最后,AI換臉技術對公眾安全、刑事審判等也可能帶來不同程度負面影響。例如,不法分子可利用圖片、視頻冒充他人跟另一個人聊天、交易,不僅危害他人隱私、財產安全,甚至生命安全也可能受到威脅。在司法機關調查取證、審判等階段偽造出來的影音視頻證據,也可能對司法程序產生干擾。
“核心風險就是個人信息安全問題,換臉軟件一旦被濫用將會產生消極影響。研究者們應該遵循科技倫理,企業合規和風控部門應當加強法律風險的審查,政府部門應當加強監管,行業組織加強自律,公民積極投訴舉報。”鄭寧說。