■ 文 | 鸿评论
8月30晚间，打出“仅需一张照片，出演天下好戏”口号的“zao”刷屏朋友圈。大量用户上传自拍照片，通过该app将自己“变成”影视片段的主角，并将这些“改头换面”的视频上传朋友圈等社交平台，引发“病毒式”传播。短短2天后的9月1日，app store免费app排行榜中“zao”已跃居第一。
不过，随着有用户反映生成的视频无法删除，以及zao霸道的用户隐私条款引发担忧，其口碑也遭遇滑铁卢，在app store的评分快速由4.6分降至1.9分。
zao的主要功能包括“造视频”和“造表情”，使用时均需要上传人像照片。上传素材时，首先需要通过权限认证，在系统判断上传的照片是用户本人之后，才能进行下一步操作。
实际上，ai换脸技术并不新鲜。早在2017年12月，国外某id名为“deepfakes”的reddit论坛用户，就首次发布了自己制作的ai换脸视频，且效果十分逼真。今年3月，视频网站blibli流传出一段视频：电影《射雕英雄传》（1994年版）朱茵主演的黄蓉，被视频制作者通过“ai换脸术”处理成了杨幂的脸，最终效果毫无违和感，顿时引起网民热议，微博话题点击量飙升至1.1亿。
科技日报曾报道称，所谓ai换脸术，是基于人工智能的人体图像合成技术生成假脸。早期对技术和硬件的要求较高，家用计算机会吃力一些，而且制作需要几个小时甚至数十小时，但是现在已有许多插件可以辅助。
随着技术门槛的降低，“ai换脸”的灰色产业链已经开始浮出水面。有记者调查发现，在网络平台上，售卖明星换脸的淫秽视频、提供视频定制换脸服务、教授换脸技术等已经成为一门生意。
在某些电商平台上，有卖家表示，可以提供视频定制换脸产品。只需要买家提供一些被换脸人的照片，卖家便可以将照片中的人脸“转”到特定视频中特定人物上去。有卖家表示：“提供被换脸人的五到十张照片和视频素材，收费是10元一分钟，五分钟起做，一到两个小时出货，如果视频比较长，还可以便宜。”“你可以自己提供视频，也可以用我的，但视频要越清晰越好，不要侧脸、盖脸。”该卖家说，“找我的有的是做‘小黄片’的，但更多的是做一些商品的宣传短片，大家各有各的用途。”
对此有网友表达了强烈的担忧：“会不会有人利用我发在社交平台上的自拍照去制作换脸视频呢？那样的话就太可怕了。”
随着商业级别的“换脸术”开始普及，加强对相关应用的监管已经刻不容缓。肉眼难辨、足以乱真的换脸技术在不久的将来可能是唾手可得的，甚至可能轻易落到造谣、诈骗、色情产业的违法分子手里，普通用户根本无法识别，后果不堪设想，不禁让人倒吸一口冷气。
对于这种担心，zao和网络支付平台都表示自己能确保安全。zao称不会存储个人面部生物识别特征信息，不会存储个人面部生物识别特征信息，严格遵守法律法规的要求，全面保护个人信息和数据安全。蚂蚁金服于8月31日接受记者采访称，支付宝会通过各种安全风控策略确保账户安全，不用担心支付宝刷脸支付的安全性，即便出现账户被冒用的极小概率事件，支付宝也会通过保险公司进行全额赔付。
尽管当事方拍胸脯保证不会有问题，我们普通用户也不能大意。
数据化、虚拟化的网络时代，个人生物识别特征在未来必然成为越来越重要的关键信息，我们不仅要从保护个人隐私的角度看待这个问题，对于虚假的个人生物识别信息，我们应该将其视为网络时代的“假钞”，从保护自己的“财产权”的高度来严肃对待。
对相关企业的监管也要跟上，不能任其野蛮生长。中国至今尚未建立起精密的商业文明，商业秩序不够规范，商业法律有待完善，虽然活力旺盛但竞争无序。尤其当面对ai换脸这种新生事物，法律的监管是空白，又缺乏行业自律的约束，企业很容易滋生“成王败寇”的心态，做出一些无底线的行为。
比如zao的用户协议显示：用户在使用zao的时候，如果把脸换成自己或其他人的脸，意味着同意或确保肖像权利人同意授予zao及其关联公司全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利，包括但不限于：人脸照片、图片、视频资料等肖像资料中所含的您或肖像权利人的肖像权，以及利用技术对您或肖像权利人的肖像进行形式改动。
这意味着用户丧失了对自己肖像资料的控制权与知情权，也意味着很多相关公司都可以利用“zao”的数据。当你同意了zao使用自己的信息，也意味着同意其它你不知道的企业使用你的信息。
在汹涌的舆论压力下，zao于9月3日即出面道歉，并删改了用户协议，代之以“您同意或确保肖像权利人已经同意授予‘zao’使用‘zao’的技术服务对您的或其他人的人脸进行处理，但仅为与用户内容合成为新的内容”。
zao不是第一家涉及个人生物识别特征的公司，也不会是最后一家，我们不能每次都依靠舆论来监督相关行为，而应从法律角度明确企业在涉及相关信息时的行为边界。具体来说有两条：
1.“最低可用原则”。企业在采集用户生物信息时应遵循“最低、够用”的原则，不采集必要程度之外的信息，主动防止滥用情况发生。
2.“被遗忘权”。可以参考2018年《欧盟数据保护通用条例》（gdpr），强制企业执行用户的“被遗忘权”：数据主体有权要求数据控制者删除关于其个人数据的权利，控制者有责任在特定情况下及时删除个人数据。
我们现在还不知道未来会出现哪些新技术，所以不能明确规定禁止哪些行为，这既可能留下漏洞被别有用心的人利用，又可能抑制创新。虽然监管必然落后于创新，但如果能遵守上述两条基本原则，那么即使出现一些负面的、越界的不当行为，社会和司法体系也能快速有效地将其纠正，让我们在享受科技创新成果与保障个人信息安全之间取得一个更好的平衡。
本文图片来源于网络，如有侵权，请及时联系我们删除
－ end －

---