蘇鳴立

近日一款名為ZAO的換臉軟件在朋友圈刷屏，用戶(hù)上傳自拍，就可以把多部經(jīng)典影視劇主角的臉替換用戶(hù)自己的臉。一夜爆紅之后，隨之而來(lái)的是，ZAO的用戶(hù)協(xié)議條款卻引發(fā)網(wǎng)友爭(zhēng)議。

根據(jù)ZAO用戶(hù)協(xié)議內(nèi)容中的必要授權(quán)協(xié)議：用戶(hù)上傳發(fā)布內(nèi)容后，意味著同意授予ZAO及其關(guān)聯(lián)公司以及ZAO用戶(hù)在“全球范圍內(nèi)完全免費(fèi)、不可撤銷(xiāo)、永久、可轉(zhuǎn)授權(quán)和可再許可的權(quán)利”，“包括但不限于可以對(duì)用戶(hù)內(nèi)容進(jìn)行全部或部分的修改與編輯（如將短視頻中的人臉或者聲音換成另一個(gè)人的人臉或者聲音等）以及對(duì)修改前后的用戶(hù)內(nèi)容進(jìn)行信息網(wǎng)絡(luò)傳播以及《著作權(quán)法》規(guī)定的由著作權(quán)人享有的全部著作財(cái)產(chǎn)權(quán)利及鄰接權(quán)利”。

目前，ZAO修改了其用戶(hù)協(xié)議內(nèi)容，在用戶(hù)協(xié)議的開(kāi)頭部分增加了“特別提示”。但這仍不足以打消用戶(hù)的擔(dān)憂(yōu)。

為此，長(zhǎng)期關(guān)注電商行業(yè)發(fā)展的網(wǎng)經(jīng)社電子商務(wù)研究中心特發(fā)布快評(píng)，供參考。

解讀一：“ZAO”APP存在嚴(yán)重侵犯用戶(hù)合法權(quán)益行為

對(duì)此，網(wǎng)經(jīng)社電子商務(wù)研究中心、浙江泰杭律師事務(wù)所主任汪政律師表示，變臉APP ZAO雖短時(shí)間內(nèi)走紅網(wǎng)絡(luò)獲得大量的下載次數(shù)，但近日經(jīng)媒體報(bào)道其APP應(yīng)用端存在一些違背用戶(hù)意愿，甚至違反相關(guān)法規(guī)及國(guó)家、行業(yè)標(biāo)準(zhǔn)的行為。從其媒體報(bào)道及其隱私政策、用戶(hù)協(xié)議可得知ZAO APP有以下侵犯用戶(hù)合法權(quán)益的行為：

1.用戶(hù)無(wú)法直接刪除自行體驗(yàn)并上傳的圖片，只能根據(jù)平臺(tái)要求上傳新的臉部照片用于替代，從而達(dá)到刪除舊照片的效果；

2.用戶(hù)無(wú)法通過(guò)自行操作注銷(xiāo)自己的ID；

3.用戶(hù)協(xié)議存在霸王條款，嚴(yán)重?fù)p害用戶(hù)合法權(quán)益，且其用戶(hù)協(xié)議違反國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》。

這3條侵犯用戶(hù)合法權(quán)益及國(guó)家、行業(yè)標(biāo)準(zhǔn)的理由如下：

用戶(hù)上傳至ZAO平臺(tái)的自身臉部照片屬于國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》（全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260））中第三條第二款對(duì)于“個(gè)人敏感信息”的界定范圍：“個(gè)人敏感信息包括身份證件號(hào)碼、個(gè)人生物識(shí)別信息、銀行賬號(hào)、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息以及14歲以下（含）兒童的個(gè)人信息等?！逼渲?，臉部照片屬于個(gè)人生物識(shí)別信息一類(lèi)，其特征定義是：“一旦泄露，非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息?！惫视脩?hù)上傳至ZAO APP平臺(tái)的臉部照片屬于不得泄露、非法提供或?yàn)E用的受保護(hù)的個(gè)人敏感信息。

ZAO APP平臺(tái)屬于該規(guī)范中第三條第五款中界定的“個(gè)人信息控制者”（Personal Data Controller），其有權(quán)決定個(gè)人信息處理目的、方式等的組織或個(gè)人。但需遵循：“權(quán)責(zé)一致原則、選擇同意原則、最少夠用原則、公開(kāi)透明原則、確保安全原則以及主體參與原則?！?/p>

具體而言：

關(guān)于第一點(diǎn)：“用戶(hù)無(wú)法直接刪除自行體驗(yàn)并上傳的圖片，只能根據(jù)平臺(tái)要求上傳新的臉部照片用于替代，從而達(dá)到刪除舊照片的效果”，ZAO APP存在侵犯用戶(hù)合法權(quán)益及違反國(guó)家標(biāo)準(zhǔn)的行為，理由如下：

1.平臺(tái)該行為違反了《個(gè)人信息安全規(guī)范》第四條個(gè)人信息安全基本原則中（g）款規(guī)定：“主體參與原則———向個(gè)人信息主體提供能夠訪問(wèn)、更正、刪除其個(gè)人信息，以及撤回同意、注銷(xiāo)賬戶(hù)等方法?！盳AO APP向用戶(hù)明示的刪除用戶(hù)個(gè)人信息的方法是以新照片的上傳替代舊照片從而達(dá)到刪除舊照片的效果，其方法不具有合法、正當(dāng)和必要的性質(zhì)，允許用戶(hù)刪除其自行上傳的個(gè)人敏感信息是平臺(tái)應(yīng)盡之義務(wù)。

2.平臺(tái)該行為違反了《個(gè)人信息安全規(guī)范》第七條第六款之規(guī)定：“個(gè)人信息控制者違反法律法規(guī)規(guī)定或違反與個(gè)人信息主體的約定向第三方共享、轉(zhuǎn)讓個(gè)人信息，且個(gè)人信息主體要求刪除的，個(gè)人信息控制者應(yīng)立即停止共享、轉(zhuǎn)讓的行為，并通知第三方及時(shí)刪除?！盳AO APP平臺(tái)未經(jīng)過(guò)用戶(hù)單獨(dú)許可明示同意即將其存儲(chǔ)的用戶(hù)臉部圖片與其關(guān)聯(lián)公司進(jìn)行共享，因此用戶(hù)要求其刪除用戶(hù)信息的行為符合該國(guó)標(biāo)規(guī)定。故，ZAO APP平臺(tái)要求用戶(hù)通過(guò)上傳新的臉部照片以替代舊照片的行為違反相關(guān)國(guó)標(biāo)規(guī)定。

關(guān)于第二點(diǎn)：“用戶(hù)無(wú)法通過(guò)自行操作注銷(xiāo)自己的ID。”ZAO APP已侵犯用戶(hù)合法權(quán)益并嚴(yán)重違反相關(guān)國(guó)標(biāo)規(guī)定及法律規(guī)定，理由如下：

平臺(tái)該行為違反了《個(gè)人信息安全規(guī)范》第七條第八款之規(guī)定：

1.“通過(guò)注冊(cè)賬戶(hù)提供服務(wù)的個(gè)人信息控制者，應(yīng)向個(gè)人信息主體提供注銷(xiāo)賬戶(hù)的方法，且該方法應(yīng)簡(jiǎn)便易操作；”

2.“個(gè)人信息主體注銷(xiāo)賬戶(hù)后，應(yīng)刪除其個(gè)人信息或做匿名化處理?！?/p>

可見(jiàn)，國(guó)標(biāo)《個(gè)人信息安全規(guī)范》賦予了用戶(hù)注銷(xiāo)其賬戶(hù)，并要求平臺(tái)在用戶(hù)注銷(xiāo)其賬戶(hù)后將其個(gè)人信息匿名化的權(quán)利。在此問(wèn)題上，APP專(zhuān)項(xiàng)治理工作組發(fā)布的《APP違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法（征求意見(jiàn)稿）》第六條“未按法律規(guī)定提供刪除或更正個(gè)人信息功能的情形”中明確地將下列行為視為違規(guī)：“1.未提供更正、刪除個(gè)人信息，注銷(xiāo)用戶(hù)賬號(hào)的功能”；“2.更正、刪除或注銷(xiāo)操作提示完成后，依然未能更正、刪除個(gè)人信息，注銷(xiāo)用戶(hù)賬號(hào)的”。因此，ZAO APP平臺(tái)未向用戶(hù)提供注銷(xiāo)其賬戶(hù)的渠道及相關(guān)辦法，用戶(hù)無(wú)法通過(guò)自行操作注銷(xiāo)自己的ID的行為嚴(yán)重違反現(xiàn)行國(guó)家標(biāo)準(zhǔn)和行業(yè)整治規(guī)范。

關(guān)于第三點(diǎn)：“用戶(hù)協(xié)議存在霸王條款，嚴(yán)重?fù)p害用戶(hù)合法權(quán)益，且其用戶(hù)協(xié)議違反國(guó)家標(biāo)準(zhǔn)《個(gè)人信息安全規(guī)范》?！崩碛扇缦拢?/p>

1. ZAO APP平臺(tái)與其關(guān)聯(lián)公司是獨(dú)立的法人機(jī)構(gòu)，ZAO APP平臺(tái)擁有的用戶(hù)數(shù)據(jù)不代表其關(guān)聯(lián)公司可以依法共享，依據(jù)《個(gè)人信息安全規(guī)范》第八條第二款之規(guī)定，個(gè)人信息原則上不得共享、轉(zhuǎn)讓。個(gè)人信息控制者確需共享、轉(zhuǎn)讓時(shí)應(yīng)：1.事先開(kāi)展個(gè)人信息安全影響評(píng)估，并依評(píng)估結(jié)果采取有效的保護(hù)個(gè)人信息主體的措施；2.向個(gè)人信息主體告知共享、轉(zhuǎn)讓個(gè)人信息的目的、數(shù)據(jù)接收方的類(lèi)型，并事先征得個(gè)人信息主體的授權(quán)同意；3.共享、轉(zhuǎn)讓個(gè)人敏感信息前，除上述告知的內(nèi)容外，還應(yīng)向個(gè)人信息主體告知涉及的個(gè)人敏感信息的類(lèi)型、數(shù)據(jù)接收方的身份和數(shù)據(jù)安全能力，并事先征得個(gè)人信息主體的明示同意。

因此，ZAO APP平臺(tái)在用戶(hù)協(xié)議中注明的：用戶(hù)上傳的個(gè)人敏感信息，除ZAO APP平臺(tái)享有使用的權(quán)利外，其關(guān)聯(lián)公司也享有同樣的權(quán)利；ZAO APP平臺(tái)及其關(guān)聯(lián)公司有權(quán)對(duì)用戶(hù)上傳的內(nèi)容進(jìn)行全部或部分的修改之行為僅在用戶(hù)協(xié)議中規(guī)定”，無(wú)法達(dá)到征得個(gè)人信息主體明示同意該數(shù)據(jù)轉(zhuǎn)讓條款的公允要求，平臺(tái)轉(zhuǎn)讓共享數(shù)據(jù)的行為應(yīng)單獨(dú)明示并征得用戶(hù)授權(quán)同意。

2.根據(jù)《個(gè)人信息安全規(guī)范》第七條第三款對(duì)個(gè)人信息的使用限制之規(guī)定：“①對(duì)所收集的個(gè)人信息進(jìn)行加工處理而產(chǎn)生的信息，能夠單獨(dú)或與其他信息結(jié)合識(shí)別自然人個(gè)人身份，或者反映自然人個(gè)人活動(dòng)情況的，應(yīng)將其認(rèn)定為個(gè)人信息。”“②使用個(gè)人信息時(shí)，不得超出與收集個(gè)人信息時(shí)所聲稱(chēng)的目的具有直接或合理關(guān)聯(lián)的范圍。因業(yè)務(wù)需要，確需超出上述范圍使用個(gè)人信息的，應(yīng)再次征得個(gè)人信息主體明示同意。ZAO APP平臺(tái)對(duì)用戶(hù)內(nèi)容進(jìn)行修改和編輯時(shí)，屬于對(duì)用戶(hù)個(gè)人信息進(jìn)行修改和編輯，其行為仍需再次征得個(gè)人信息主體明示同意，且其修改和編輯后的作品是否屬于平臺(tái)所有應(yīng)具體問(wèn)題具體分析，是否符合獨(dú)創(chuàng)性的要求且是否侵犯了用戶(hù)的個(gè)人隱私權(quán)，都值得商榷考量。

綜上，近日國(guó)務(wù)院辦公廳印發(fā)《關(guān)于促進(jìn)平臺(tái)經(jīng)濟(jì)規(guī)范健康發(fā)展的指導(dǎo)意見(jiàn)》，指出對(duì)包括電商在內(nèi)的各類(lèi)平臺(tái)經(jīng)濟(jì)APP應(yīng)規(guī)范發(fā)展。目前，電商平臺(tái)用戶(hù)協(xié)議及隱私政策存在大量不合規(guī)的霸王條款，導(dǎo)致用戶(hù)合法權(quán)益受損構(gòu)成侵權(quán)乃至刑事責(zé)任。電子商務(wù)研究中心再次提示各電商平臺(tái)務(wù)必重視隱私政策和用戶(hù)協(xié)議應(yīng)遵循合法合規(guī)合理之適當(dāng)性原則制定和發(fā)布。

解讀二：除了隱私“ZAO”還存在著作權(quán)侵權(quán)風(fēng)險(xiǎn)

此外，網(wǎng)經(jīng)社電子商務(wù)研究中心特約研究員、北京志霖律師事務(wù)所副主任趙占領(lǐng)律師表示，平臺(tái)要求用戶(hù)對(duì)其上傳的內(nèi)容進(jìn)行授權(quán)，實(shí)際上是希望用戶(hù)對(duì)于獲取平臺(tái)服務(wù)支付一定對(duì)價(jià)。ZAO作為提供格式條款的一方，對(duì)于免除或者限制自己責(zé)任的格式條款，應(yīng)采取顯著、醒目的方式提醒用戶(hù)注意。但該授權(quán)淹沒(méi)在用戶(hù)協(xié)議中，絕大多數(shù)用戶(hù)根本注意不到。

趙占領(lǐng)表示，用戶(hù)對(duì)于其ZAO平臺(tái)上所上傳的內(nèi)容，有的擁有版權(quán)、肖像權(quán)，或者從權(quán)利人處獲得授權(quán)，但是有的并未獲得權(quán)利人的授權(quán)。比如，用戶(hù)（可能）未經(jīng)授權(quán)將影視劇的片段上傳到平臺(tái)，該行為構(gòu)成版權(quán)侵權(quán)，ZAO對(duì)于用戶(hù)的侵權(quán)行為是否承擔(dān)責(zé)任一般根據(jù)通知?jiǎng)h除規(guī)則來(lái)判斷，即當(dāng)權(quán)利人向ZAO發(fā)出侵權(quán)通知后，ZAO應(yīng)該及時(shí)刪除侵權(quán)內(nèi)容，但是ZAO對(duì)于用戶(hù)上傳的侵權(quán)內(nèi)容屬于明知或應(yīng)知的除外。

我國(guó)《著作權(quán)法》明文規(guī)定，影視作品的著作權(quán)由制片者享有，同時(shí)還享有保護(hù)作品完整權(quán)，即享有保護(hù)作品不受歪曲、篡改的權(quán)利。用戶(hù)通過(guò)ZAO平臺(tái)對(duì)明星的頭像進(jìn)行更換，顯然是對(duì)原影視作品的篡改，侵犯了制片人享有的保護(hù)作品完整權(quán)的著作權(quán)利。

解讀三：建議相關(guān)主管部門(mén)應(yīng)當(dāng)加以嚴(yán)厲查處

網(wǎng)經(jīng)社電子商務(wù)研究中心特約研究員、浙江墾丁律師事務(wù)所麻策律師此前對(duì)用戶(hù)畫(huà)像的收集行為也曾表示，我國(guó)網(wǎng)絡(luò)安全法規(guī)定收集、使用個(gè)人信息時(shí)應(yīng)當(dāng)公開(kāi)收集、使用規(guī)則并經(jīng)被收集者同意。而朋友圈一再出現(xiàn)的上傳照片生成匹配畫(huà)像的模式，很多都只是讓用戶(hù)直接上傳照片，卻沒(méi)有向這些用戶(hù)事先說(shuō)明收集照片的業(yè)務(wù)合法性，甚至該類(lèi)工具會(huì)直接調(diào)用用戶(hù)微信昵稱(chēng)、姓名和頭像等內(nèi)容，從而生成比對(duì)照片。另外，這些工具也沒(méi)有說(shuō)明上傳照片日后的用途，而事實(shí)上這些海量照片會(huì)成為這些工具的圖片庫(kù)，以作進(jìn)一步的數(shù)據(jù)畫(huà)像。這些不事先公開(kāi)收集規(guī)則并獲用戶(hù)同意的營(yíng)銷(xiāo)方式其實(shí)是嚴(yán)重違反個(gè)人信息保護(hù)的相關(guān)規(guī)定的，也無(wú)法保護(hù)用戶(hù)日后對(duì)于該類(lèi)照片信息的刪除、撤回等權(quán)利，建議相關(guān)主管部門(mén)應(yīng)當(dāng)加以嚴(yán)厲查處。

目前有很多互聯(lián)網(wǎng)公司為吸粉，采取互動(dòng)游戲、個(gè)性分析和H5頁(yè)面等方式掘取用戶(hù)個(gè)人信息，但沒(méi)有對(duì)用戶(hù)提示個(gè)人信息已被收集以及日后數(shù)據(jù)使用規(guī)則，而普通用戶(hù)卻只是認(rèn)為好玩而不理解提供信息的后果，如果收集的信息可形成用戶(hù)數(shù)據(jù)畫(huà)像并指向可識(shí)別對(duì)象，可能構(gòu)成非法收集信息行為。

麻策提醒廣大用戶(hù)網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動(dòng)中收集、使用公民個(gè)人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集、使用公民個(gè)人電子信息，應(yīng)當(dāng)公開(kāi)其收集、使用規(guī)則。