2019年8月30日以来，打出“仅需一张照片，出演天下好戏”口号的ZAO软件刷屏朋友圈。诸多用户使用该App，上传自拍照片，将自己“换脸”成影视片段的主角，并将这些“换脸”过的视频片段，上传微信朋友圈、微博等社交平台，引发“病毒式”传播。与此同时，作为一款AI换脸软件，ZAO刷屏后引发的隐私安全焦虑也迅速升温。

（截图来自ZAO软件首页）

一、ZAO收集的用户个人信息是什么？

      根据全国人民代表大会常务委员会《关于加强网络信息保护的决定》（2012年12月28日生效），公民个人电子信息指“能够识别公民个人身份和涉及公民个人隐私的电子信息”。具体到ZAO软件，它是通过用户上传照片的方式，收集的是用户的“脸”。从法律意义上来说，ZAO软件收集的是用户的面部识别特征，属于公民的个人信息。面部识别特征，和指纹、虹膜等一样，均具有唯一性，能够识别公民个人身份。因此，通过用户的面部识别特征，就可以识别到具体特定的个人。

二、霸王条款下，用户的隐私还安全吗？

      无论是ZAO软件的“用户协议”还是“隐私协议”，其文本内容均存在不合理之处。

      首先，ZAO软件在“用户协议”中预设了免除自身责任、加重用户责任的不合理条款。如根据ZAO软件“用户协议”第6条约定：

      “……（用户）使用ZAO上传及/或发布的用户内容的所有权、知识产权及其他法律权利，归您、您的许可方或者您的关联方所有，责任亦由您承担。1）在您上传及/或发布用户内容时，您同意或者确保实际权利人同意授予ZAO及其关联公司以及ZAO用户在全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利，包括但不限于可以对用户内容进行全部或部分的修改与编辑（如将短视频中的人脸或者声音换成另一个人的人脸或者声音等）以及对修改前后的用户内容进行信息网络传播以及《著作权法》规定的由著作权人享有的全部著作财产权利及邻接权利……2）……您同意或确保肖像权利人已经同意授予ZAO使用ZAO的技术服务对您的或者其他人的人脸进行处理……”。

      其次，ZAO软件未明确说明对用户个人信息的处理规则。根据根据《中华人民共和国网络安全法》（2017年6月1日生效）第四十一条规定：

      “网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息”。

      具体到ZAO软件，其在“用户协议”第1条约定：

      “本协议是您与ZAO其相关服务可能存在运营关联公司之间关于您使用ZAO提供的服务而订立的协议”

      其在“隐私协议”（8月31日发布）中明确ZAO软件的运营主体是“长沙深度融合网络科技有限公司及其关联公司”。但结合上述协议，ZAO软件均未向用户明确说明其关联公司的名称以及其与关联公司之间信息的收集和共享范围，以及向关联公司共享或转让用户个人信息的目的。

      从上述对ZAO的的“用户协议”和“隐私协议”的分析中，我们不难看出，ZAO软件在相关协议中预设免除自身责任、加重用户责任的不合理条款，未明确说明对用户个人信息的处理规则，这正是引发广大用户焦虑的导火索。但是，这也是仅仅是导火索，而用户通过ZAO软件（或者说这一类软件）被收集的面部特征信息会流向何处，用于何种用途，这才是用户真正担忧的。

      值得注意的是，在舆论压力下，8月31日下午，ZAO很快修改了其“用户协议”，在“用户协议”的开头部分增加了“特别提示”条款。根据提示，用户上传的短视频和个人照片，将严格按照相关法律法规的规定保留在ZAO上。除非为了改善ZAO的服务或者另行取得用户的再次同意，ZAO不会以任何其他形式或目的使用上述内容。同时，ZAO对于广受诟病的用户无法撤回或删除上传内容的部分进行修改，表示用户可以依据ZAO的平台规则撤回或删除上述内容，而在用户撤回或删除后，ZAO将依据相关法律法规在服务器上予以删除。

      此后，ZAO在9月3日发布的修改后的“隐私协议”中也明确ZAO软件的运营主体是“长沙深度融合网络科技有限公司”，其不会与ZAO服务提供者以外的公司、组织和个人共享用户的个人信息。

      “换脸”可能涉及哪些法律责任？

      根据ZAO软件的“版权声明：

      “ZAO产品上存在的短视频和表情等素材，除了特别声明是ZAO跟合作方进行版权合作之外，均来源于ZAO用户自发的上传，ZAO不享有素材的商业版权”。

      用户对于其ZAO平台上所上传的内容，有的拥有著作权、肖像权，或者从权利人处获得授权，但是有的并未获得权利人的授权。据此，若用户未经著作权人许可，擅自上传著作权人的作品，并进行相应的“换脸”，则可能构成著作权侵权。一是侵犯著作权人的修改权（修改或者授权他人修改作品的权利）。“换脸”本身是对原作品的修改，若未经著作权人许可，则可能侵犯著作权人的修改权；二是侵犯著作权人的保护作品完整权（保护作品不受歪曲、篡改的权利）。若“换脸”构成对原作品的歪曲、篡改，则可能侵犯著作权人的保护作品完整权。此外，若用户未经肖像权人的许可使用其照片，则还可能侵犯肖像权。

      ZAO软件作为网络服务提供者，其对于用户的侵权行为是否承担责任一般根据通知删除规则来判断，即当权利人向ZAO软件发出侵权通知后，ZAO软件应该及时删除侵权内容，但是ZAO对于用户上传的侵权内容属于明知或应知的除外。作为ZAO软件来说，其对用户上传的素材应具有合理的审查义务，若其明知或应知用户上传的内容构成侵权，或者未履行相应的通知删除义务，则可能构成帮助侵权，从而承担相应的连带责任。

四、合法合规，才能“ZAO”

      随着深度伪造（Deepfakes）技术的发展，视频的伪造变得像制作图片一样简单，我们越来越难分辨信息的真伪。据此，诸多用户担心深度伪造技术会使得虚假信息的制造、传播以及诈骗行为会越来越容易和普遍。例如，很多用户对于ZAO是否会威胁刷脸支付提出了质疑，担心深度伪造技术会被用于刷脸支付甚至欺诈。对此支付宝安全中心于8月31日发布公告称：

      “目前，网上各类换脸软件有很多，但不管换的有多逼真，都是无法突破刷脸支付的”。

      我们相信支付宝有这样的底气和信息安全能力说“不”，但是其他普通人呢？采取换脸技术被用于向其他人进行诈骗，被骗的人也会如支付宝一样有这样的底气和能力来答复，我绝不会上当受骗吗？。

      值得注意的是，除了此前的《网络安全法》及相关规定外，立法部门已经对人工智能技术可能产生的相关问题予以回应，作出规制。2019年4月26日全国人大常委会审议的《民法典人格权编（草案二次审议稿）》里，正式增加一条：

      “任何组织或者个人不得以丑化、污损，或者利用信息技术手段伪造等方式侵害他人的肖像权。未经肖像权人同意，不得制作、使用、公开肖像权人的肖像，但是法律另有规定的除外”。

      同时，草案第八百零三条规定：

      “其他人格权的许可使用和自然人声音的保护，参照适用本章的有关规定”。

      据此，包括“AI换脸”，声音合成等等都将受到更明确的法律规制。

      除了立法层面的规制之外，互联网领域良性生态的构建也离不开相关企业、社会组织、公众力量的参与。作为一家企业通过商业模式创新来追求利润固然无可厚非，但是，任何营利模式都应该是建立在合法合规的基础之上的。互联网企业在运用技术创新发展的同时，也需要对法律底线给予充分的敬畏。2019年8月23日，支付宝发布了国内首个《生物识别用户隐私与安全保护倡议》，呼吁从事该行业的科技企业加入进来，一起来规范和保护用户信息。

      从用户的角度来看，用户需要不断加强自身信息安全意识。虽然技术本身不会作恶，但是利用技术的人未必向善。

      随着技术迭代日益快速，为了构建互联网领域的良性生态，在允许企业实现商业模式创新的同时，不管是企业还是用户均需要对法律底线给予充分的敬畏，来构建“政府层面、行业层面、社会组织、相关公众”等多方协同的综合治理格局。