記者體驗40多款人臉APP：“換臉”好玩 肖像權易丟

“僅需一張照片，出演天下好戲。”8月30日，一款叫做ZAO的AI換臉APP上線，並瞬間成為網絡熱點。用戶只需上傳一張正臉照，就可以替換為影視作品或者小視頻中的人物，“出演”以自己為主角的電影片段。但ZAO的用戶協議將用戶肖像權至於危險境地，極易引發隱私洩露。8月31日晚，ZAO對其極具爭議的用戶協議進行了部分修改，但修改之後的用戶協議並沒有以彈窗的形式通知用戶。

為了進一步印證類似的人臉APP安全性，北京晚報記者體驗了40多款涉及人臉信息識別的APP，發現問題不少。

調查

用戶極易忽略“霸王條款”

8月31日晚，ZAO在用戶協議開頭增加了“特別提示”，“您基於本協議及您使用ZAO的相關服務而授權給ZAO的相關內容（您上傳的短視頻及您的人臉等），ZAO僅限用於為您提供上傳/發布短視頻以及利用技術對平台上的短視頻進行局部修改生成新的短視頻的服務，相關的內容將嚴格按相關法律法規的規定保留在ZAO上，除非為了改善ZAO為您提供的服務或另行取得您的再次同意，否則ZAO不會以任何其他形式或目的使用上述內容。”

而且，ZAO將用戶協議中最受爭議的第6條進行了修改，原文中要求用戶須授予 ZAO“完全免費、不可撤銷、永久、可轉授權和可再許可的權利”的內容，被替換成“免費的、可以對用戶內容進行部分的修改或編輯（如將短視頻中的人臉換成另一個人臉等）以及修改或編輯前後的用戶內容進行信息網絡傳播的權利。”

記者體驗了40多款涉及人臉信息識別的APP後發現，與ZAO類似的“霸道”條款屢見不鮮。例如，在一款名叫“人臉識別系統”的APP的《用戶協議》中，第3.1.2款規定，“您是您的用戶內容唯一的責任人，您將承擔因您的用戶內容披露而導致的您或任何第三方被識別的風險。”又如在換臉類APP“ Face link”的《用戶協議》中第2.4款規定，“ Face link”為用戶提供合法的、健康的產品及服務，但是用戶應對其使用自行承擔責任及風險，在任何情況下不就因使用或不能使用提供的服務所發生的特殊的、意外的、直接或間接的損失承擔賠償責任。”

這40多款APP中，沒有一款在注冊登錄頁有勾選按鈕，都是通過手機號或者微信等社交媒體账號注冊。著急登陸並試玩用戶，可能並不清楚一閃而過的注冊頁面後，自己接受了哪些“霸王條款”，注冊之後用戶必須同意授權提供設備信息等權限，才可繼續使用。並且，其中僅有不到10款APP的《用戶協議》，在協議開頭就人臉信息的收集和使用規範做出特別提示，並在用戶協議裡設置了有關人臉信息的條款。

有些APP甚至沒有《用戶協議》

記者還發現數十款換臉類APP根本沒有《用戶協議》和《隱私政策》，用戶直接通過手機號驗證注冊，最終的生成的換臉圖片和視頻均可以分享至微信朋友圈和微博等社交媒體，個人圖像跟社交媒體账號等個人信息匹配後可識別度非常高。例如，記者通過App Store下載的三款換臉APP“換臉2”、“換臉王”、“我的明星朋友”，均沒有用戶協議。打開後彈出索取視頻和圖片權限窗口，然後自拍或者從圖片庫中選擇圖片進行換臉編輯。但是當記者完成後出現了分享至“朋友圈”和“微博”等窗口。

用戶面部隱私采集亂象多，個人账戶想要注銷同樣難。記者發現，“ZAO”的“用戶協議”中並沒有告知用戶如何注銷账戶。有網友說，“ZAO”的注銷入口藏在“隱私協議”的底部。不過，用戶卻發現注銷並非易事。注銷账戶需要輸入手機驗證碼，但是不少用戶反映，頁面總是提示驗證碼過期或者驗證碼錯誤。但是當記者點擊“開始注銷账戶”後，彈出了“注銷账號須知”，提示用戶“注銷账號30天后才可重新注冊”等等。隨後“ZAO”提醒需要先“手動解除好友關係”（刪除好友即解除面孔授權），然後需要進行“账號安全驗證”。

預警

互聯網專家：肖像和密碼、身份證號一樣重要

“其實可以這麽理解，肖像就是你的身份證，或者說就是你身份信息數據庫的一部分。”DCCI互聯網研究院院長劉興亮表示，隨著人臉識別的應用越來越廣泛，每一個普通的肖像都成為身份信息的重要組成部分，不可輕易放鬆警惕。

劉興亮說：“現在有些無人超市，就是通過人臉識別，關聯到消費者肖像綁定的支付手段。這只是人臉識別的一小部分應用，以後還會越來越多。通俗地講，肖像就和身份證號、你的手機解鎖密碼、聲音、指紋等等一樣重要。”

信息安全工程師范屹曾是一名“白帽子”（正面的黑客），他表示，在人臉識別領域，尤其要警惕一些第三方應用，這些應用的數據尤其容易被黑客、不法分子利用，而官方應用更值得信賴，“我們比較常遇見的，像鐵路系統，這是官方背景的、比較安全的人臉識別應用。”但他同時強調：“我們已經習慣了，密碼不能告訴別人，身份證號、銀行卡號不能隨意洩露。但是我們自己的人臉，卻沒有足夠重視。換臉APP玩起來開心，背後的隱患卻不被重視。”范屹透露，被盜用的肖像會被應用到何處，現在還不明確，但是其潛在隱患無法忽略，“現在網約車平台要求司機必須進行完人臉識別才可以接單，以保證安全。如果被換臉的司機通過了人臉識別，乘客安全就無從談起了。”

對於一些APP在安全協議中保證“不會產生任何緩存到文件或上傳到雲端等其他任何記錄用戶面部信息的操作”，范屹說，伺服器會有記錄，這種保證沒有實質意義。

法律專家：謹慎使用“換臉” 盡量少用或不用

中國社會科學院法學所副研究員陳根發告訴記者，《個人信息安全規範》規定，個人上傳的可以識別面部特徵這類敏感的個人信息，在收集個人敏感信息時，應取得個人信息主體的明示同意。應確保個人信息主體的明示同意是其在完全知情的基礎上自願給出的、具體的、清晰明確的願望表示。“中央網信辦今年5月份頒布的《App 違法違規收集使用個人信息行為認定方法（征求意見稿）》也明確規定在 App 安裝、使用等過程中需通過彈窗、鏈接等方式提示用戶閱讀隱私政策，隱私政策鏈接和文本也要正常顯示。人臉采集等敏感個人信息還應該在協議開頭做出特別提示。”

融商律師事務所合夥人王穎律師，向記者強調了嚴格監管肖像使用的必要性：“監管是不能超前而必須滯後的，因為過於超前的監管，肯定會阻礙科技的發展。但是科技的應用，應該是有限制的。在相關監管暫時沒有跟上的時候，企業也應當負起自己的社會責任。”

王穎認為，信息被濫用，侵害無辜人的肖像權，名譽權和個人隱私等問題是必然會出現的，而其中使用者必須默認同意的設置也肯定是錯誤的，涉嫌霸王條款。“具體可以參照參照2017年支付寶的《芝麻服務協議》的那個爭議。”王穎律師說，《消費者權益保護法》中明確規定，消費者有選擇權，默認同意必須是法律規定，或雙方事先約定。“如果這兩條都沒有，程序選擇了自動勾選，那肯定是錯誤的。涉嫌平台逃避責任，限制消費者權利。”

北京市京劍律師事務所主任律師金翔仔細解讀了ZAO用戶協議的條款，其中已經寫明了，肖像來源並不是唯一的來源於肖像本人親自提供，也可能來自於他人提供。因此，用戶若使用這款App，則有可能導致自己的肖像被他人複製，以後在自己不知情的情況下被他人使用。用戶會面臨自己的名譽權被侵犯、侵犯影視作品著作權、肖像被利用損害自己合法權利等風險。

“總之，只是為了娛樂，隨意提供自己的肖像在上述App上使用，在目前的網絡環境和此類新生事物法律監管幾乎處於空白的狀態下，實在是弊大於利。”金翔律師建議使用者謹慎使用，在自己沒有弄清楚使用它的法律後果之前，盡量少使用或者不使用。