|新一代信息技术 信息基础设施建设 互联网+ 大数据 人工智能 高端信息技术核心产业
|高端制造 机器人 智能制造 新材料
|生物产业 生物医药 生物农业 生物技术
|绿色低碳 清洁能源汽车 环保产业 高效节能产业 生态修复 资源循环利用
|数字创意 数创装备 内容创新 设计创新
|大资管时代
|地方亮点及地方发改委动态
独家内容
您的位置:首页 > 声音
一夜爆红到被约谈整改 ZAO为网络数据安全敲响警钟
2019-10-10 17:10
来源:中国战略新兴产业
字体: [   ]

本文首发于2019年10月1日期

《中国战略新兴产业》

中国战略新兴产业融媒体记者 卜文娟

  2019年上半年,我国基础网络运行总体平稳,未发生较大规模以上网络安全事件。但数据泄露事件及风险、有组织的分布式绝服务攻击干扰我国重要网站正常运行、鱼叉钓鱼邮件攻击事件频发,多个高危漏洞被曝出,我国网络空间仍面临诸多风险与挑战。

  近日,一款名为“ZAO”的AI换脸App突然爆红。通过AI技术,用户上传照片即可“换脸”。据“ZAO”的官方微博介绍,该App推出几小时内服务器就已经消耗了三分之一。到9月1日,“ZAO”已经跃居苹果商店免费榜第一,其蹿红速度可见一斑。但是,它迅速引来了公众关于网络安全以及个人隐私方面的质疑与担忧。从一夜爆红到被约谈整改,“ZAO”的遭遇,又一次为网络数据安全问题敲响警钟。

  工信部约谈“ZAO”

  近日,打出“仅需一张照片,出演天下好戏”口号的“ZAO”正式版上线后,迅速刷屏朋友圈。据悉,“ZAO”是一款基于AI技术的换脸App,用户上传自拍或本地图片,即可一键完成视频及表情“换脸”,可出演任何表情包,经典电影、搞笑片段。

  AI换脸并不是新鲜事。虽然ZAO并未透露其技术细节,但其换脸技术与开源的deepfakes(一款AI换脸软件)极为相似。deepfakes的核心技术是一种名为生成式对抗网络(GAN)的框架,该网络有两个模块,一个负责生成伪图,另一个负责鉴别生成图片的质量,通过“对抗博弈”的方式不断进化,达到以假乱真的水平。

  随着“ZAO”在朋友圈的刷屏,霸王条款、信息安全、用户隐私、版权问题......各种质疑也被暴露出来。原因出自其用户条例协议。据悉,在最初版本的隐私条款中有一条,“如果您把用户内容中的人脸换成您或其他人的脸,您同意或确保肖像权利人同意授予‘ZAO’及其关联公司全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利。”

  网经社电子商务研究中心、浙江泰杭律师事务所主任汪政对本刊记者分析,从媒体报道及其隐私政策、用户协议可得知“ZAO”App有以下侵犯用户合法权益的行为:用户无法直接删除上传的图片,只能根据平台要求上传新的脸部照片用于替代,从而达到删除旧照片的效果;用户无法通过自行操作注销自己的ID;用户协议存在霸王条款,严重损害用户合法权益,且其用户协议违反国家标准《个人信息安全规范》。

  据了解,工信部近日约谈“ZAO”的实际控制人北京陌陌科技有限公司,要求其严格按照国家法律法规以及相关主管部门要求,组织开展自查整改,规范协议条款,强化网络数据和用户个人信息安全保护。

  9月3日,“ZAO”官方微博发布声明称:“作为一个初创产品,我们在大家核心关切的问题上确实考虑不周。这两天,我们一直在反思和修正。”此外,“ZAO”官方还回应了四个问题,强调,“ZAO”不会存储个人面部生物识别特征信息。“ZAO”没有采集任何个人生物识别特征;使用“ZAO”不会产生支付风险。用户删除信息或注销账号,“ZAO”均会依据相关法律法规的规定删除相应信息。

  9月4日,针对被约谈问询一事,“ZAO”运营团队回应称,上线以来,一直和各主管部门保持着积极顺畅的沟通,将严格按照法律法规和各主管部门的要求,按照更加严格的标准,全面加强内容管理、完善各项管理机制,确保用户个人信息安全和数据安全。

  数据隐私必须有底线

  “ZAO”从一夜爆红到被约谈整改,再次说明个人隐私数据收集必须有底线。

  根据《网络安全法》,网络运营者收集、使用个人信息,应当公开收集并遵守规则,明示收集、使用信息的目的、方式和范围,并征得被收集者同意;网络运营者应当按照国家网络安全等级保护制度的要求,积极采取防范网络病毒和非法网络攻击,维护网络个人信息安全的技术措施,而且网络运营者应当对其收集和保存的个人信息严格保密。

  此外,国务院办公厅印发《关于促进平台经济规范健康发展的指导意见》也指出,对包括电商在内的各类平台经济App应规范发展。

  浙江垦丁律师事务所律师麻策对本刊记者表示,我国网络安全法规定收集、使用个人信息时应当公开收集、使用规则并经被收集者同意。而朋友圈一再出现的上传照片生成匹配画像的模式,很多都只是让用户直接上传照片,却没有向这些用户事先说明收集照片的业务合法性,甚至该类工具会直接调用用户微信昵称、姓名、头像等内容,从而生成比对照片。另外,这些工具也没有说明上传照片日后的用途,而事实上这些海量照片会成为这些工具的图片库,以作进一步的数据画像。这些不事先公开收集规则并获用户同意的营销方式其实是严重违反个人信息保护的相关规定的,也无法保护用户日后对于该类照片信息的删除、撤回等权利,建议相关主管部门应当加以严厉查处。

  麻策还表示,目前有很多互联网公司为“吸粉”,采取互动游戏、个性分析、H5页面等方式,掘取用户个人信息,但没有对用户提示个人信息已被收集以及日后数据使用规则,而普通用户却只是认为好玩而不理解提供信息的后果,如果收集的信息可形成用户数据画像并指向可识别对象,可能构成非法收集信息行为。

  对于用户来说,“ZAO”换脸服务最大的风险在于对用户人脸数据的收集,对于这种“生物特征信息”来说,信息泄露是永久、不可逆的,一旦泄露,远比上网时产生的数据信息泄露的风险更大。


  技术本身是中立的

  “ZAO”提供的换脸功能是此前App所没有的,但是对于网络数据泄露,甚至生物特征信息泄露,近年来却是频发。

  《2019年上半年我国互联网网络安全态势》发布,报告显示,2019年上半年,我国基础网络运行总体平稳,未发生较大规模以上网络安全事件。但数据泄露事件及风险、有组织的分布式绝服务攻击干扰我国重要网站正常运行、鱼叉钓鱼邮件攻击事件频发,多个高危漏洞被曝出,我国网络空间仍面临诸多风险与挑战。

  其中,CNCERT监测分析发现,在目前下载量较大的千余款移动App中,每款应用平均申请25项权限,其中申请了与业务无关的拨打电话权限的App数量占比超过30%;每款应用平均收集20项个人信息和设备信息,包括社交、出行、招聘、办公、影音等;大量App存在探测其他App或读写用户设备文件等异常行为,对用户的个人信息安全造成潜在安全威胁。

  人民日报海外版评《ZAO:AI换脸,别只顾着好玩》指出,技术是中立的,但使用技术的人是有立场的。企业应该加强新技术、新业务的安全评估,切实采取有效措施,积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。监管部门也可以加强App上架前的审核规范。另外,对于虚假AI信息的识别,相关企业或研究机构也应该尽快研究开发。科技进步日新月异,对监管手段与方法的与时俱进提出了更高要求。面对公民个人信息保护的短板和难题,立法者、执法者和相关机构需要共同寻求符合互联网发展规律的破解之道。

  技术本身来说是中立的。如何对滥用技术从事的违法犯罪行为进行规制。麻策具体说道:“应当进一步明确数据使用规则,形成落地可执行标准,从而给企业提供良好指引。同时可以对重要产品进行上线前检测,包括相关主管机关或者各大应用市场的审核,避免危险产品面市。”

  麻策提醒,广大用户网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。

  对于消费者来说,麻策认为,应当提升个人信息保护意识,不将个人信息滥用而导致泄露,遇到问题及时举报处理。


  END

关注微信公众号:

关于我们 | 广告刊例 | 订阅服务 | 版权声明

地址(Address):北京市西城区广内大街315号信息大厦B座8-13层(8-13 Floor, IT Center B Block, No.315 GuangNei Street, Xicheng District, Beijing, China)

邮编:100053 传真:010-63691514 Post Code:100053 Fax:010-63691514

Copyright 中国战略新兴产业网 京ICP备09051002号-3 技术支持:wicep