ZAO被约谈要求自查整改,防范网络安全隐患
据工信部官网消息,针对媒体公开报道和用户曝光的ZAOApp用户隐私协议不规范,存在数据泄露风险等网络数据安全问题,工业和信息化部网络安全管理局9月3日对北京陌陌科技有限公司相关负责人进行了问询约谈,要求其严格按照国家法律法规以及相关主管部门要求,组织开展自查整改,采取有效措施防范自有业务平台被利用实施电信网络诈骗等风险隐患。
陌陌旗下AppZAO此前以AI换脸功能一夜之间爆红网络。只需上传一张个人照片,并且通过人脸验证证明是本人,就可以换脸影视剧片段,与明星“同台飙戏”。8月30日ZAO上线,不到24小时,ZAO就在各应用商店免费应用排行榜中蹿升至第二位,登上微博热搜前十。截至发稿,ZAO仍位列App Store免费应用排行榜第一。
然而,问题也随之而来。一方面是众多影视剧的版权存在争议,更引人关注的是,“ZAO”的用户协议显示:用户在使用“ZAO”的时候,如果把脸换成自己或其他人的脸,意味着同意或确保肖像权利人同意授予“ZAO”及其关联公司全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利,包括但不限于:人脸照片、图片、视频资料等肖像资料中所含的您或肖像权利人的肖像权,以及利用技术对您或肖像权利人的肖像进行形式改动。
北京安杰律师事务所合伙人,数据和网络安全业务负责人杨洪泉表示,该条款属于单方制定的格式合同,属于无效条款。虽然该条款在法律上无效,“ZAO”也在新版用户协议中删除了该条,并且在9月3日的道歉声明中表示“‘ZAO’不会存储个人面部生物识别特征信息”“不会产生支付风险”“在产品中运用了加密存储等多种安全措施”,但个人信息的上传和换脸的便利仍引发网友对于个人信息泄露的担忧。
杨洪泉认为,更多公众担忧的其实是换脸技术。应用采集的用户个人信息其实属于个人敏感信息,一旦滥用,可能引发意想不到的后果。比如用换脸绑架视频向亲属进行电信诈骗。这类相对较新兴的技术应用,应该审慎评估安全风险。
轻松换脸是否引发“刷脸支付”“刷脸认证”方面的安全问题也引人担忧。碁震安全研究团队安全人员宋宇昊表示:“从起初的采集上千张照片、运行代码进行换脸,到现在仅需在手机App上传一张照片就能换脸,换脸变得越来越便利。值得关注的是,人脸识别已经成为实名认证的辅助,比如远程开户,对方可以通过眨眼、摇头等动作来判断手机前的你是否是活体,但换脸这项技术让这套逻辑失效了。因为手机前的人也许是盗用了别人的照片对自己进行换脸。”
根据《网络安全法》,网络运营者收集、使用个人信息,应当公开收集并遵守规则,明示收集、使用信息的目的、方式和范围,并征得被收集者同意;网络运营者应当按照国家网络安全等级保护制度的要求,积极采取防范网络病毒和非法网络攻击,维护网络个人信息安全的技术措施,而且网络运营者应当对其收集和保存的个人信息严格保密。2018年5月1日开始实施的《信息安全技术个人信息安全规范》规定,个人面部识别特征属于个人敏感信息,传输和存储个人敏感信息时,应采用加密等安全措施,存储个人生物识别信息时,应采用技术措施处理后再进行存储。
杨洪泉称:“虽然有这些原则性的规定,但是否能完全避免被滥用还是要打一个问号。国内现在还在比较初期的讨论阶段。对于这些特殊信息,还是需要全社会法学界和网络安全界专家讨论,是否采取更加严格的措施。”