从爆红到整改，ZAO做错了什么？被指霸王条款和存数据泄露隐患

上线短短6天，AI换脸软件“ZAO_逢脸造戏”就体验了从爆红到被要求整改的巨大落差感。

8月30日，“ZAO”上线后迅速火爆，登上各大应用商店下载榜首位。在爆红的同时，“ZAO”也持续被质疑存在用户隐私协议不规范、数据泄露风险等网络数据安全问题。有律师向南都记者表示，其用户协议属于“霸王条款”，应属无效的格式条款。9月3日，工信部约谈“ZAO”的孵化团队——北京陌陌科技有限公司被，要求其组织开展自查整改。

南都记者从一家专注于AI业务的企业了解到，相对于“换脸”技术本身，安全风险更集中于人脸信息的收集、加工、存储和传输等环节。企业应设计特别的授权同意流程，并在确定收集利用前在内部进行严格的安全评估和制定应急预案，在数据的处理与使用过程中，也需建立严格的管控机制。

、

“ZAO” 经历了什么？

8月30日，“仅需一张照片，出演天下好戏”的AI换脸软件“ZAO”陆续在各大应用商店上线，该软件主打AI视频换脸，用户只需上传人脸信息，即可将自己换成影视剧的主角。由于换脸效果真实，上线当晚便刷屏朋友圈，以至于“ZAO”发博表示，“这个月花700万租的服务器，今晚已经消耗1/3了”。

8月31日13时，“ZAO”已经排苹果商店娱乐类免费榜首位，免费应用榜第二。

与此同时，不断有用户质疑“ZAO”的用户隐私协议不规范，存在数据泄露风险等网络数据安全问题。部分用户不满“ZAO”的沉默，前往应用商店给软件打低分。截至8月31日23时，在“ZAO”最先登陆的苹果商店上，“ZAO”的软件评分为2.2。

8月31日，南都记者实测发现，“ZAO”存在注销账户困难的问题。用户在注销过程中，会出现提示“手机验证码错误或过期”而无法注销的情况。

9月1日，“ZAO”官博发声，表示“理解大家对于隐私问题的担忧。考虑不周的地方我们会去改，需要一点时间”。同时，“ZAO”删除了早前含有争议的“用户须授予ZAO完全免费、不可撤销、永久、可转授权和可再许可的权利”的内容。

但仍有“您同意或者确保实际权利人已经同意授予‘ZAO’及‘ZAO’用户全球范围内免费的、可以对用户内容进行部分的修改或编辑以及对修改或编辑前后的用户内容进行信息网络传播的权利”等内容。

9月2日，“ZAO”的微信分享链接显示已停止访问，页面显示“网页存在安全风险，被多人投诉，为维护绿色上网环境，已停止访问”。同时，账户注销困难问题被解决，但用户注销成功后，页面会提示“你已被踢出”，引发不满。“ZAO”回应称，“是一个BUG，测试不充分，下一个版本会修复” 。

9月3日，“ZAO”官博再度发声明，回应了脸部信息采集与储存、支付风险、注销及删除等问题，表示不会存储用户上传的面部生物特征信息，且强调“换脸”不可能威胁支付安全。南都记者留意到，“ZAO”再次修改用户协议，新增“特别提示”，修改后的用户协议会在新用户注册时弹出，新用户需“已阅读并同意用户协议”才可注册。

9月4日，据工业和信息化部官博消息，9月3日工业和信息化部网络安全管理局对北京陌陌科技有限公司相关负责人进行了问询约谈。工信部要求“ZAO”严格按照国家法律法规以及相关主管部门要求，组织开展自查整改，依法依规收集使用用户个人信息，规范协议条款，强化网络数据和用户个人信息安全保护。同时，要进一步加强新技术新业务安全评估，切实采取有效措施，积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。

“ZAO”做错了什么？

首先，用户协议涉嫌过度收集用户隐私是“ZAO”引起用户不满的重要原因。

“ZAO”的用户协议被质疑过度攫取用户的个人信息，且有“霸王条款”之嫌。“ZAO”第一版用户协议第6条第2款中，有要求“用户须授予ZAO完全免费、不可撤销、永久、可转授权和可再许可的权利，包括但不限于：人脸照片、图片、视频资料等肖像资料中所含的您或肖像权利人的肖像权，以及利用技术对您或肖像权利人的肖像进行形式改动”的内容。

广东深宏盾律师事务所黄浩律师向南都记者表示，“消费者没有任何权利去对这个条款提出质疑或者修改，只能同意才能用软件，这属于霸王条款” 。

广东合拓律师事务所王华锋律师告诉南都记者，虽然签署了用户协议，但并不意味着就可以对用户的肖像进行无限制、无约束地使用，甚至滥用。如果该用户协议中有关条款存在免除己方责任，加重对方责任、排除对方主要权利的，则该格式条款无效。

其二，“ZAO”存在数据泄露的风险也是受到用户诟病的原因。有用户担心，一旦脸部生物识别特征信息被泄露，会被不法分子滥用。

一位研究人工智能领域的高校学者告诉南都记者，AI换脸实际上是一种基于人工智能深度学习的人体图像合成技术，在安全支付领域，各类换脸软件的技术水平尚无法构成威胁。但他表示，AI换脸技术具有“矛和盾”的问题，总有不法分子针对漏洞进行破解，对个人安全来说是存在一定的风险的。

国内较早使用深度学习技术提供服务的广州图普科技网络公司向南都记者介绍，相对于“换脸”技术本身，安全风险更集中于人脸信息的收集、加工、存储和传输等环节。由于人脸识别具有高度的直接识别性和唯一性，因此在对人脸信息处理的过程中，存在更高的数据泄露、非法滥用、盗用等隐患。一旦APP被黑客攻破，相关的用户信息就有可能流入黑产的地下数据库，被不法分子拿来获取利益。

其三，“ZAO”还被质疑涉嫌使用未经授权的影视剧，可能面临侵犯著作权的风险。

ZAO的版权声明表示：“ZAO产品上存在的短视频和表情等素材，除了特别声明是ZAO跟合作方进行版权合作的之外，均来源于ZAO用户自发的上传，ZAO不享有素材的商业版权。”

不过，目前“ZAO”用户上传素材需要通过权限认证，但申请权限认证的通道还没有开放成功。这意味着，“ZAO”的视频素材里仍没有属于用户上传的内容。

黄浩律师向南都记者表示，如果企业上传未经授权的影视剧资料，而且属于商业目的，那就是侵犯原作者的著作权行为。王华锋律师也认为，“ZAO”的行为涉嫌侵犯著作权中的复制权、修改权、改编权、保护作品完整权、信息网络传播权、署名权等，此外还会涉及肖像权。

此外，王华锋律师向南都记者表示，对于用户上传的视频素材，“ZAO”也应该起到审核管理义务。如果用户上传的素材体量太大，在平台没有足够的能力去一一审核的情况下，则应该承担通知删除的义务。

企业该怎么保护隐私数据？

目前“ZAO”正被工信部要求开展自查整改。截至发稿前，“ZAO”及其孵化团队陌陌科技公司仍未就南都记者询问的“自查整改如何进行”等问题做出回复。

“用户有权知道哪些信息将被收集以及选择是否让渡。此外，所有信息应归属于用户本人，即便获得授权，信息收集方也不得滥用用户赋予的数据。”广州图普科技网络公司的产品运营总监姜泽荣向南都记者表示，人脸信息作为生物识别特征是一种高价值数据，且随着其应用不断扩大，被非法利用的风险也不断上升。

对此，姜泽荣表示，对于此类敏感数据的收集、处理和利用，收集的企业首先应设计特别的授权同意流程，并在确定收集利用前在内部进行严格的安全评估和制定应急预案。在数据的处理与使用过程中，需要建立严格的管控机制，例如保护数据安全的加密管理，防止数据流转应用的终端管理，防病毒攻击，还有数据库数据保护，准入控制以及系统管理等等。

在2018年5月实施的《信息安全技术个人信息安全规范》条例中，也明确规定了企业在采集用户个人信息时，需要坚持“收集要授权、使用有界限、存储应保护”三条基本原则。

不过姜泽荣表示，人们无需对人工智能技术因噎废食。人工智能技术也能很好地应用于隐私安全保护，比如，基于行为分析，人工智能可以快速检测出恶意软件，通过机器学习还能及时检测异常网络流量行为，预警黑客入侵，从而提升网络安全防御水平。

采写：南都见习记者 封聪颖