一夜爆红引发病毒式传播 换脸软件刷屏风险不容忽视
一夜爆红引发病毒式传播存在数据泄露隐患被约谈
换脸软件刷屏风险不容忽视
ZAO一夜爆红,让AI换脸软件引发广泛关注,但因涉嫌过度收集用户个人信息也遭到广泛质疑。9月1日,这款软件的微信分享链接已停止访问,由此引发的隐私安全争议却仍在继续,人们对人工智能未来走向的探讨更趋激烈。
技术从来都是一把双刃剑,如何让技术的进步服务好人类社会经济的发展,这是全社会需要思考的重要问题。为此,本报今日推出专题报道,梳理人工智能发展带来的相关法律问题与科技伦理风险,敬请关注。
● 在隐私政策中,ZAO收集用户的隐私信息范围极其宽泛,包括肖像及面部识别特征等生物识别信息,身份证、军官证、护照、驾驶证、社保卡、居住证等身份信息,以及芝麻信用等个人敏感信息
● 对于用户来说,ZAO换脸服务最大的风险在于对用户人脸数据的收集。ZAO承担的个人信息安全义务包括制定完备合法的隐私政策,向用户明示收集、使用个人信息的目的、方式、范围,以及建立完善的个人信息安全保护措施
● ZAO的出现意味着AI深度换脸技术使用门槛大幅度降低,相关伪造影音视频被不法分子利用时,将对国家安全、新闻舆论、公众安全、刑事审判、政府通信等领域带来众多难以预测的风险
本报记者 赵丽
8月30日晚,打出“仅需一张照片,出演天下好戏”口号的换脸软件ZAO刷屏,在社交平台上引发病毒式传播。
9月3日,针对媒体公开报道和用户曝光的ZAO用户隐私协议不规范,存在数据泄露风险等网络数据安全问题,工业和信息化部网络安全管理局对北京陌陌科技有限公司(以下简称陌陌科技)相关负责人进行了问询约谈。
在问询约谈中,网络安全管理局要求陌陌科技严格按照国家法律法规以及相关主管部门要求,组织开展自查整改,依法依规收集使用用户个人信息,规范协议条款,强化网络数据和用户个人信息安全保护。同时,要进一步加强新技术新业务安全评估,切实采取有效措施,积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。
用户协议存在争议
容易造成隐私泄露
ZAO走红后不到24小时,就因为隐私安全问题引发集体焦虑。
“有手机号,有面部图像,通过技术合成,犯罪分子可以替你和你的家人通话了。”用户对ZAO泄露个人隐私的担心,集中体现在这条网友评论里。
据了解,在隐私政策中,ZAO收集用户的隐私信息范围极其宽泛,包括肖像及面部识别特征等生物识别信息,身份证、军官证、护照、驾驶证、社保卡、居住证等身份信息,以及芝麻信用等个人敏感信息。
9月1日,ZAO修改了部分争议内容,主要体现在四个方面:删除了用户需授权ZAO“不可撤销、永久、可转授权和可再许可的权利”;删除了ZAO可以“全部或部分修改用户内容”中的“全部”;删除了ZAO可以更换用户的声音的规定;删除了ZAO拥有对用户内容进行“著作权法规定的由著作权人享有的全部著作财产权利及邻接权利”。
然而,修改后的条款仍存在争议。比如,被授权的对象为ZAO及ZAO用户。对此,中国政法大学传播法研究中心副主任朱巍认为,被授权的对象包括ZAO用户,其范围太大,而且没有单独提示,容易混淆相关概念。
ZAO还在用户协议开头增加了“特别提示”称,用户授权内容“仅限用于为您提供上传/发布短视频,以及利用技术对平台上的短视频进行局部修改生成新的短视频的服务,相关的内容将严格按相关法律法规的规定保留在ZAO上,除非为了改善ZAO为您提供的服务或另行取得您的再次同意,否则ZAO不会以任何其他形式或目的使用上述内容”。
9月1日下午,一个未经认证的微博账号“ZAO官方助手”发消息称,我们十分理解大家对隐私问题的担忧。你们提的问题都已收到,考虑不周的地方我们会去改,需要一点时间。
但这仍不足以打消用户的担忧。因为修改后的条文也并未明确规定收集和使用用户信息的具体情况,比如“特别提示”中“为了改善ZAO为您提供的服务”的规定,就没有明确列举改善何种服务。
在朱巍看来,以前“隐私泄露”是事情发生后才去讨论,但是自从网络安全法出台后,大家更倾向于把安全风控前移,网络安全法不仅对事后泄露和事中管理有规定,更包括考查提供网络服务的平台,在保障数据安全和核心隐私方面是否能达到相关标准。
除了侵权问题,还有网友担心,既然人脸识别已经在支付场景得到应用,面部信息泄露,是否会导致账户被盗刷?
对此,支付宝安全中心8月31日发布公告称,“不管换脸软件多逼真,都无法突破刷脸支付”,刷脸支付采用的是3D人脸识别技术,在进行人脸识别前,也会通过软硬件结合的方式进行检测,来判断采集到的人脸是否是照片、视频或者软件模拟生成的,能有效地避免各种人脸伪造带来的身份冒用情况。
“关于换脸软件滥用威胁支付安全的问题,是矛和盾的问题。很多刷脸支付软件,不是百分百能够保证不被钻空子,只是可以通过很多办法大大降低风险。”中国科学院神经科学博士刘耀文告诉《法制日报》记者,比如视频是一帧一帧的,目前的人脸识别是深入识别,人录视频的时候眼睛眨动和图片是不一样的,图片是不会眨眼的。此外,还可以通过一些向左转向右转的行为来判定是否是本人。“当然,一些刷脸支付软件会有地理、技术上各种保障安全的优势,但一些不安全的支付做不到这么严格。”
此外,ZAO还存在肖像权、著作权等知识产权风险。例如,用户“换脸”前,并未取得明星授权。法律界人士认为,对于ZAO版权说明中“不享有素材的商业版权”的规定,并不存在商业版权的概念,版权就是版权,只要未获授权拿别人作品来传播就是侵犯别人版权,虽然ZAO没有直接通过作品收费,但是整个平台靠传播改动后的影视剧作品来吸引用户,进而开拓其他商业模式。
ZAO版权说明中还称,会在用户生成的作品上打水印以示区别,但这些都不能保证ZAO不会侵权。用户在不可能取得授权的情况下,传播经过改动的视频素材,这些内容如果构成作品,会侵犯著作权人的保护作品完整权、信息网络传播权等相关权利。
人脸数据亟待重视
一旦泄露风险难测
不过,在业内人士看来,落在用户身上真正的风险,既不是可通过诉讼或监管即可确认无效的用户协议,或不合理的肖像权安排,也不是著作权侵权问题,而是用户一旦提供或让渡,即可能完全失控的“生物识别信息”的安全问题。
“人脸识别是人可识别的个性化信息中的核心,同时也是隐私权保护的核心。”朱巍说。
对于用户来说,ZAO换脸服务最大的风险在于对用户人脸数据的收集。毕竟脸部信息的细节实在是太丰富了,是一种“生物信息”,可以说是非常敏感的个人信息,一旦泄露,远比上网时产生的数据信息泄露的风险更大。
据中国传媒大学政法学院法律系副主任郑宁介绍,换脸技术主要涉及到生物信息的采集,属于敏感信息。根据网络安全法第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
同时,民法总则第一百一十一条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
“那么,ZAO承担的个人信息安全义务就包括制定完备合法的隐私政策,向用户明示收集、使用个人信息的目的、方式、范围,以及建立完善的个人信息安全保护措施。”郑宁说。
正因如此,刘耀文也认为:“人们的担忧是合理的,最大的问题可能就是安防方面,还有侵权一类的问题。这种换脸软件应用可能会造成用户侵犯名人的权利,还有用户的个人信息归平台所有了,生物信息让度出去了是最大的一个风险,因为软件的合约条款里规定了合理使用和永久授权,无法判断他们会用我们的信息干什么。”
不仅如此,业内专家还表示,这款应用的出现意味着AI深度换脸技术使用门槛大幅度降低,相关伪造影音视频被不法分子利用时,将对国家安全、新闻舆论、公众安全、刑事审判、政府通信等领域带来众多难以预测的风险。
首先,从国家安全层面看,当高度逼真的伪造视频被恶意使用在国家领导人及其他关键人物身上,不仅会导致领导人形象受损,如果伪造领导人发出有悖于国家安全的政治观点或指令,将导致严重后果。虽然我国还未出现此类案例,但在美国,用于政党攻击、娱乐的换脸视频时常出现。如2018年4月,美国娱乐网站Buzzfeed发布了一条网友制作的换脸视频,当中,美国前总统奥巴马用他的声音和惯用动作讲了一段他从没说过的话。
其次,从舆论传播层面看,如果AI深度换脸技术制造的虚假视频与社交网络相结合,不仅会让假新闻更难鉴别,也会导致谣言的讯速传播。例如印度某记者曾因揭露印度古吉拉特暴乱中官员的黑幕和不作为,被人用AI换脸技术做成大量的道歉小视频,严重影响当地舆论走向。
最后,AI换脸技术对公众安全、刑事审判等也可能带来不同程度负面影响。例如,不法分子可利用图片、视频冒充他人跟另一个人聊天、交易,不仅危害他人隐私、财产安全,甚至生命安全也可能受到威胁。在司法机关调查取证、审判等阶段伪造出来的影音视频证据,也可能对司法程序产生干扰。
“核心风险就是个人信息安全问题,换脸软件一旦被滥用将会产生消极影响。研究者们应该遵循科技伦理,企业合规和风控部门应当加强法律风险的审查,政府部门应当加强监管,行业组织加强自律,公民积极投诉举报。”郑宁说。