ZAO隐私保护存“大坑”

2019-09-10 00:17苏鸣立
计算机与网络 2019年17期
关键词:大坑个人信息信息安全

苏鸣立

近日一款名为ZAO的换脸软件在朋友圈刷屏,用户上传自拍,就可以把多部经典影视剧主角的脸替换用户自己的脸。一夜爆红之后,随之而来的是,ZAO的用户协议条款却引发网友争议。

根据ZAO用户协议内容中的必要授权协议:用户上传发布内容后,意味着同意授予ZAO及其关联公司以及ZAO用户在“全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”,“包括但不限于可以对用户内容进行全部或部分的修改与编辑(如将短视频中的人脸或者声音换成另一个人的人脸或者声音等)以及对修改前后的用户内容进行信息网络传播以及《著作权法》规定的由著作权人享有的全部著作财产权利及邻接权利”。

目前,ZAO修改了其用户协议内容,在用户协议的开头部分增加了“特别提示”。但这仍不足以打消用户的担忧。

为此,长期关注电商行业发展的网经社电子商务研究中心特发布快评,供参考。

解读一:“ZAO”APP存在严重侵犯用户合法权益行为

对此,网经社电子商务研究中心、浙江泰杭律师事务所主任汪政律师表示,变脸APP ZAO虽短时间内走红网络获得大量的下载次数,但近日经媒体报道其APP应用端存在一些违背用户意愿,甚至违反相关法规及国家、行业标准的行为。从其媒体报道及其隐私政策、用户协议可得知ZAO APP有以下侵犯用户合法权益的行为:

1.用户无法直接删除自行体验并上传的图片,只能根据平台要求上传新的脸部照片用于替代,从而达到删除旧照片的效果;

2.用户无法通过自行操作注销自己的ID;

3.用户协议存在霸王条款,严重损害用户合法权益,且其用户协议违反国家标准《个人信息安全规范》。

这3条侵犯用户合法权益及国家、行业标准的理由如下:

用户上传至ZAO平台的自身脸部照片属于国家标准《个人信息安全规范》(全国信息安全标准化技术委员会(SAC/TC260))中第三条第二款对于“个人敏感信息”的界定范围:“个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息以及14岁以下(含)儿童的个人信息等。”其中,脸部照片属于个人生物识别信息一类,其特征定义是:“一旦泄露,非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”故用户上传至ZAO APP平台的脸部照片属于不得泄露、非法提供或滥用的受保护的个人敏感信息。

ZAO APP平台属于该规范中第三条第五款中界定的“个人信息控制者”(Personal Data Controller),其有权决定个人信息处理目的、方式等的组织或个人。但需遵循:“权责一致原则、选择同意原则、最少够用原则、公开透明原则、确保安全原则以及主体参与原则。”

具体而言:

关于第一点:“用户无法直接删除自行体验并上传的图片,只能根据平台要求上传新的脸部照片用于替代,从而达到删除旧照片的效果”,ZAO APP存在侵犯用户合法权益及违反国家标准的行为,理由如下:

1.平台该行为违反了《个人信息安全规范》第四条个人信息安全基本原则中(g)款规定:“主体参与原则———向个人信息主体提供能够访问、更正、删除其个人信息,以及撤回同意、注销账户等方法。”ZAO APP向用户明示的删除用户个人信息的方法是以新照片的上传替代旧照片从而达到删除旧照片的效果,其方法不具有合法、正当和必要的性质,允许用户删除其自行上传的个人敏感信息是平台应尽之义务。

2.平台该行为违反了《个人信息安全规范》第七条第六款之规定:“个人信息控制者违反法律法规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时删除。”ZAO APP平台未经过用户单独许可明示同意即将其存储的用户脸部图片与其关联公司进行共享,因此用户要求其删除用户信息的行为符合该国标规定。故,ZAO APP平台要求用户通过上传新的脸部照片以替代旧照片的行为违反相关国标规定。

關于第二点:“用户无法通过自行操作注销自己的ID。”ZAO APP已侵犯用户合法权益并严重违反相关国标规定及法律规定,理由如下:

平台该行为违反了《个人信息安全规范》第七条第八款之规定:

1.“通过注册账户提供服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且该方法应简便易操作;”

2.“个人信息主体注销账户后,应删除其个人信息或做匿名化处理。”

可见,国标《个人信息安全规范》赋予了用户注销其账户,并要求平台在用户注销其账户后将其个人信息匿名化的权利。在此问题上,APP专项治理工作组发布的《APP违法违规收集使用个人信息行为认定方法(征求意见稿)》第六条“未按法律规定提供删除或更正个人信息功能的情形”中明确地将下列行为视为违规:“1.未提供更正、删除个人信息,注销用户账号的功能”;“2.更正、删除或注销操作提示完成后,依然未能更正、删除个人信息,注销用户账号的”。因此,ZAO APP平台未向用户提供注销其账户的渠道及相关办法,用户无法通过自行操作注销自己的ID的行为严重违反现行国家标准和行业整治规范。

关于第三点:“用户协议存在霸王条款,严重损害用户合法权益,且其用户协议违反国家标准《个人信息安全规范》。”理由如下:

1. ZAO APP平台与其关联公司是独立的法人机构,ZAO APP平台拥有的用户数据不代表其关联公司可以依法共享,依据《个人信息安全规范》第八条第二款之规定,个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时应:1.事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;2.向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意;3.共享、转让个人敏感信息前,除上述告知的内容外,还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意。

因此,ZAO APP平台在用户协议中注明的:用户上传的个人敏感信息,除ZAO APP平台享有使用的权利外,其关联公司也享有同样的权利;ZAO APP平台及其关联公司有权对用户上传的内容进行全部或部分的修改之行为仅在用户协议中规定”,无法达到征得个人信息主体明示同意该数据转让条款的公允要求,平台转让共享数据的行为应单独明示并征得用户授权同意。

2.根据《个人信息安全规范》第七条第三款对个人信息的使用限制之规定:“①对所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情况的,应将其认定为个人信息。”“②使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。ZAO APP平台对用户内容进行修改和编辑时,属于对用户个人信息进行修改和编辑,其行为仍需再次征得个人信息主体明示同意,且其修改和编辑后的作品是否属于平台所有应具体问题具体分析,是否符合独创性的要求且是否侵犯了用户的个人隐私权,都值得商榷考量。

综上,近日国务院办公厅印发《关于促进平台经济规范健康发展的指导意见》,指出对包括电商在内的各类平台经济APP应规范发展。目前,电商平台用户协议及隐私政策存在大量不合规的霸王条款,导致用户合法权益受损构成侵权乃至刑事责任。电子商务研究中心再次提示各电商平台务必重视隐私政策和用户协议应遵循合法合规合理之适当性原则制定和发布。

解读二:除了隐私“ZAO”还存在著作权侵权风险

此外,网经社电子商务研究中心特约研究员、北京志霖律师事务所副主任赵占领律师表示,平台要求用户对其上传的内容进行授权,实际上是希望用户对于获取平台服务支付一定对价。ZAO作为提供格式条款的一方,对于免除或者限制自己责任的格式条款,应采取显著、醒目的方式提醒用户注意。但该授权淹没在用户协议中,绝大多数用户根本注意不到。

赵占领表示,用户对于其ZAO平台上所上传的内容,有的拥有版权、肖像权,或者从权利人处获得授权,但是有的并未获得权利人的授权。比如,用户(可能)未经授权将影视剧的片段上传到平台,该行为构成版权侵权,ZAO对于用户的侵权行为是否承担责任一般根据通知删除规则来判断,即当权利人向ZAO发出侵权通知后,ZAO应该及时删除侵权内容,但是ZAO对于用户上传的侵权内容属于明知或应知的除外。

我国《著作权法》明文规定,影视作品的著作权由制片者享有,同时还享有保护作品完整权,即享有保护作品不受歪曲、篡改的权利。用户通过ZAO平台对明星的头像进行更换,显然是对原影视作品的篡改,侵犯了制片人享有的保护作品完整权的著作权利。

解读三:建议相关主管部门应当加以严厉查处

网经社电子商务研究中心特約研究员、浙江垦丁律师事务所麻策律师此前对用户画像的收集行为也曾表示,我国网络安全法规定收集、使用个人信息时应当公开收集、使用规则并经被收集者同意。而朋友圈一再出现的上传照片生成匹配画像的模式,很多都只是让用户直接上传照片,却没有向这些用户事先说明收集照片的业务合法性,甚至该类工具会直接调用用户微信昵称、姓名和头像等内容,从而生成比对照片。另外,这些工具也没有说明上传照片日后的用途,而事实上这些海量照片会成为这些工具的图片库,以作进一步的数据画像。这些不事先公开收集规则并获用户同意的营销方式其实是严重违反个人信息保护的相关规定的,也无法保护用户日后对于该类照片信息的删除、撤回等权利,建议相关主管部门应当加以严厉查处。

目前有很多互联网公司为吸粉,采取互动游戏、个性分析和H5页面等方式掘取用户个人信息,但没有对用户提示个人信息已被收集以及日后数据使用规则,而普通用户却只是认为好玩而不理解提供信息的后果,如果收集的信息可形成用户数据画像并指向可识别对象,可能构成非法收集信息行为。

麻策提醒广大用户网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。

猜你喜欢
大坑个人信息信息安全
保护死者个人信息 维权要不留死角
敏感个人信息保护:我国《个人信息保护法》的重要内容
信息安全不止单纯的技术问题
浅论非法使用个人信息的刑法规制
主题语境九:个人信息(1)
基于模糊综合评价法的信息安全风险评估模型
基于模糊综合评价法的信息安全风险评估模型
白宫天坑
绳子