8月30日晚，打出“仅需一张照片，出演天下好戏”口号的换脸软件ZAO刷屏，在社交平台上引发病毒式传播。

　　9月3日，针对媒体公开报道和用户曝光的ZAO用户隐私协议不规范，存在数据泄露风险等网络数据安全问题，工业和信息化部网络安全管理局对北京陌陌科技有限公司(以下简称陌陌科技)相关负责人进行了问询约谈。

　　在问询约谈中，网络安全管理局要求陌陌科技严格按照国家法律法规以及相关主管部门要求，组织开展自查整改，依法依规收集使用用户个人信息，规范协议条款，强化网络数据和用户个人信息安全保护。同时，要进一步加强新技术新业务安全评估，切实采取有效措施，积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。

　　用户协议存在争议

　　容易造成隐私泄露

　　ZAO走红后不到24小时，就因为隐私安全问题引发集体焦虑。

　　“有手机号，有面部图像，通过技术合成，犯罪分子可以替你和你的家人通话了。”用户对ZAO泄露个人隐私的担心，集中体现在这条网友评论里。

　　据了解，在隐私政策中，ZAO收集用户的隐私信息范围极其宽泛，包括肖像及面部识别特征等生物识别信息，身份证、军官证、护照、驾驶证、社保卡、居住证等身份信息，以及芝麻信用等个人敏感信息。

　　9月1日，ZAO修改了部分争议内容，主要体现在四个方面:删除了用户需授权ZAO“不可撤销、永久、可转授权和可再许可的权利”；删除了ZAO可以“全部或部分修改用户内容”中的“全部”；删除了ZAO可以更换用户的声音的规定；删除了ZAO拥有对用户内容进行“著作权法规定的由著作权人享有的全部著作财产权利及邻接权利”。

　　然而，修改后的条款仍存在争议。比如，被授权的对象为ZAO及ZAO用户。对此，中国政法大学传播法研究中心副主任朱巍认为，被授权的对象包括ZAO用户，其范围太大，而且没有单独提示，容易混淆相关概念。

　　ZAO还在用户协议开头增加了“特别提示”称，用户授权内容“仅限用于为您提供上传/发布短视频，以及利用技术对平台上的短视频进行局部修改生成新的短视频的服务，相关的内容将严格按相关法律法规的规定保留在ZAO上，除非为了改善ZAO为您提供的服务或另行取得您的再次同意，否则ZAO不会以任何其他形式或目的使用上述内容”。　　

　　9月1日下午，一个未经认证的微博账号“ZAO官方助手”发消息称，我们十分理解大家对隐私问题的担忧。你们提的问题都已收到，考虑不周的地方我们会去改，需要一点时间。

　　但这仍不足以打消用户的担忧。因为修改后的条文也并未明确规定收集和使用用户信息的具体情况，比如“特别提示”中“为了改善ZAO为您提供的服务”的规定，就没有明确列举改善何种服务。

　　在朱巍看来，以前“隐私泄露”是事情发生后才去讨论，但是自从网络安全法出台后，大家更倾向于把安全风控前移，网络安全法不仅对事后泄露和事中管理有规定，更包括考查提供网络服务的平台，在保障数据安全和核心隐私方面是否能达到相关标准。

　　除了侵权问题，还有网友担心，既然人脸识别已经在支付场景得到应用，面部信息泄露，是否会导致账户被盗刷?

　　对此，支付宝安全中心8月31日发布公告称，“不管换脸软件多逼真，都无法突破刷脸支付”，轻变SF奇迹MU，刷脸支付采用的是3D人脸识别技术，在进行人脸识别前，也会通过软硬件结合的方式进行检测，来判断采集到的人脸是否是照片、视频或者软件模拟生成的，能有效地避免各种人脸伪造带来的身份冒用情况。

　　“关于换脸软件滥用威胁支付安全的问题，是矛和盾的问题。很多刷脸支付软件，不是百分百能够保证不被钻空子，只是可以通过很多办法大大降低风险。”中国科学院神经科学博士刘耀文告诉《法制日报》记者，比如视频是一帧一帧的，目前的人脸识别是深入识别，人录视频的时候眼睛眨动和图片是不一样的，图片是不会眨眼的。此外，还可以通过一些向左转向右转的行为来判定是否是本人。“当然，一些刷脸支付软件会有地理、技术上各种保障安全的优势，但一些不安全的支付做不到这么严格。”

　　此外，ZAO还存在肖像权、著作权等知识产权风险。例如，用户“换脸”前，并未取得明星授权。法律界人士认为，对于ZAO版权说明中“不享有素材的商业版权”的规定，并不存在商业版权的概念，版权就是版权，只要未获授权拿别人作品来传播就是侵犯别人版权，虽然ZAO没有直接通过作品收费，但是整个平台靠传播改动后的影视剧作品来吸引用户，进而开拓其他商业模式。　

　　ZAO版权说明中还称，会在用户生成的作品上打水印以示区别，但这些都不能保证ZAO不会侵权。用户在不可能取得授权的情况下，传播经过改动的视频素材，这些内容如果构成作品，会侵犯著作权人的保护作品完整权、信息网络传播权等相关权利。

　　人脸数据亟待重视

　　一旦泄露风险难测

　　不过，在业内人士看来，落在用户身上真正的风险，既不是可通过诉讼或监管即可确认无效的用户协议，或不合理的肖像权安排，也不是著作权侵权问题，而是用户一旦提供或让渡，即可能完全失控的“生物识别信息”的安全问题。

　　“人脸识别是人可识别的个性化信息中的核心，同时也是隐私权保护的核心。”朱巍说。

　　对于用户来说，ZAO换脸服务最大的风险在于对用户人脸数据的收集。毕竟脸部信息的细节实在是太丰富了，是一种“生物信息”，可以说是非常敏感的个人信息，一旦泄露，远比上网时产生的数据信息泄露的风险更大。

　　据中国传媒大学政法学院法律系副主任郑宁介绍，换脸技术主要涉及到生物信息的采集，属于敏感信息。根据网络安全法第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

　　同时，民法总则第一百一十一条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

　　“那么，ZAO承担的个人信息安全义务就包括制定完备合法的隐私政策，向用户明示收集、使用个人信息的目的、方式、范围，以及建立完善的个人信息安全保护措施。”郑宁说。