为什么“ZAO”软件对社会是危险的

作者：王振乾   原题：一款“眼见为虚”的APP  

“ZAO-逢脸造戏”APP可谓一夜爆红。利用这款软件，只要将自己的照片上传，就能用自己脸替换各类热门视频中的主角。一些人大呼过瘾，享受“功成名就”的快感，也有一些人敏锐地发现了个人信息泄露的巨大风险。

其实，换脸APP“ZAO”利用并不是新技术，只是将近年来在人工智能、面部识别领域取得的技术进步应用到了日常生活中，国外也有DeepFakes 和DeepNude，但是因为存在巨大风险，一经产生，即被迅速封杀。

在被广泛质疑之后，“ZAO”迅速修改了用户协议，删除了限制用户权利、强制用户无限授权的内容。但是，即使“ZAO”在修改协议以后，还涉嫌侵犯原作品的修改权、保护作品完整权，以及使用人的隐私权等民事权利，此外，还有两个更为关键的问题：

一是数据安全问题。该APP宣传的是“逢脸作戏”，普通人“仅仅一张照片，出演天下好戏”。 “ZAO”运营团队声明称不会储存个人面部生物识别信息，但是肖像本身就属于个人生物识别信息，一旦泄露或者滥用可能危及人身和财产安全，即使是后期技术叠加所实现的虚构图像，仍然达到肉眼近似的效果。如果被非法利用，极易导致个人名誉受损、身心健康受到冲击。《网络安全法》规定，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失，《个人信息安全规范》（GB/T35273-2017）进一步规定了个人信息安全的基本原则，比如目的明确、最少够用、确保安全等，还规定了个人信息控制者的管理和培训。

但是，我们并未看到该APP在合规方面的努力。虽然“ZAO”运营团队称采取了加密措施，遵守法律并保护个人信息和数据安全，但是其并没有按照《个人信息安全规范》要求，明确责任部门与人员、开展个人信息安全影响评估、进行安全审计。

数据是信息时代的石油，谁掌控了数据，谁就控制了命脉，对数据安全的漠视其实就是系统性风险的前兆。所以，如果没有按照法律、法规以及行业标准要求做好数据安全工作，这款软件很难真正获得市场好评。因此，虽然“ZAO”修改了用户协议并发布了致歉声明，但其用户评分仍然直线下滑。

二是犯罪风险问题。“ZAO”的技术虽然无法突破现有的3D面部识别技术，也无法解锁支付软件。然而，在信息社会，一条假信息传播速度极快，造成的后果甚至无法弥补。这款软件合成的视频在日常生活中完全可以以假乱真，制作各种耸人听闻的视频、虚假消息、色情视频，打破“眼见为实”的常态舆论环境，不仅会扰乱公众正常认知，还对现有社会秩序形成冲击。其实，这款软件“逢脸作戏”的预设就意味着为犯罪行为提供了更为丰富手段。

一直以来，技术都是一把双刃剑，它可以改变生活，也可以毁掉生活。比如，依靠网络技术发展起来的P2P，一方面给生活带来巨大便利，另一方面P2P暴雷潮汹涌而来，产生了“金融难民”，甚至在一些地方引发“挤兑潮”。现在来看，法律法规不够健全，金融机构的监管不够有力，以及司法的滞后性，都导致了P2P的野蛮生长。而且，普通百姓对新生事物的了解不够，风险意识差，尤其是一些上了年纪的人，思维还停留在计划经济时代。比如，有的老人认为既然能在电视台播广告，能举行大型新闻发布会，那这个公司的信誉就一定有保证。

技术的应用需要一个过程，应当根据社会发展阶段、结合民众的接受程度，逐步推进。如果贸然铺开，怕是打开了潘多拉的盒子。在采用新技术之前，一定要提前考虑新技术带来的风险，才能防患未然。

其实，近年来我国高度重视个人数据保护。2017年6月1日，《网络安全法》开始实施，已经运行了两年多。该法规定，主管部门对网络运营者、网络产品或者服务的提供者侵害个人依法得到权利保护的信息，可以根据情节责令改正、警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。如果情节严重的，还可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。我国国家标准化委员会也制定了《个人信息安全规范》(GB/T 35273-2017)，已经在2018年5月1日实施，专门规定了信息使用的原则，个人信息的共享、转让、公开披露等内容，要求开展个人信息安全影响评。

但是，对比一下欧盟《通用数据保护条例》（GDPR），该条例要求设立数据保护官，违反该条例可以被处以高达全球收入的4%或者2000万欧元罚款，并且以较高者者为准，而且内容更为详细，标准更为严格，管理范围更加广泛，是一剂保护用户数据安全的猛药。比如英国航空公司因为泄露用户数据被罚1.8339亿英镑。可以看出，我国对个人信息数据的保护力度还不够强，现有法律法规以及标准的确立的管理手段可以继续丰富、处罚数额可以更大，相关主管部门可以继续细化个人信息规范并推动出台《网络安全法》实施细则，司法机构可以适时公布一批指导案例。

“ZAO-逢脸造戏”APP告诉我们，眼见不一定为实，要有独立判断，更要有个人信息保护意识。只有符合法律法规，切实执行行业标准，充分评估风险并制定相应预案的产品才能真正赢得市场。