当前位置:100EC>媒体评论>汪政:AI换脸“ZAO”APP用户协议存在霸王条款
汪政:AI换脸“ZAO”APP用户协议存在霸王条款
发布时间:2019年09月05日 13:56:54

(网经社讯)近日一款名为“ZAO”的换脸软件在朋友圈刷屏,用户上传自拍,就可以把多部经典影视剧主角的脸替换用户自己的脸。一夜爆红之后,随之而来的是,ZAO的用户协议条款却引发网友争议。

对此,网经社电子商务研究中心特约研究员、浙江泰杭律师事务所主任汪政律师表示,变脸app“ZAO”虽短时间内走红网络获得大量的下载次数,但近日经媒体报道其app应用端存在一些违背用户意愿,甚至违反相关法规及国家、行业标准的行为。从其媒体报道及其隐私政策、用户协议可得知“ZAO”app有以下侵犯用户合法权益的行为:

一、用户无法直接删除自行体验并上传的图片,只能根据平台要求上传新的脸部照片用于替代,从而达到删除旧照片的效果;

二、用户无法通过自行操作注销自己的ID;

三、用户协议存在霸王条款,严重损害用户合法权益,且其用户协议违反国家标准《个人信息安全规范》。

上述三条侵犯用户合法权益及国家、行业标准的理由如下:

用 户上传至“ZAO”平台的自身脸部照片属于国家标准《个人信息安全规范》(全国信息安全标准化技术委员会(SAC/TC260))中第三条第二款对于“个 人敏感信息”的界定范围:“个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康 生理信息、交易信息、14岁以下(含)儿童的个人信息等。”其中,脸部照片属于个人生物识别信息一类,其特征定义是:“一旦泄露、非法提供或滥用可能危害 人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。”故用户上传至“ZAO”app平台的脸部照片属于不得泄露、非法提供或 滥用的受保护的个人敏感信息。

“ZAO”app平台属于该规范中第三条第五款中界定的“个人信息控制者”(personal data controller),其有权决定个人信息处理目的、方式等的组织或个人。但需遵循:“权责一致原则、选择同意原则、选择同意原则、 最少够用原则、公开透明原则、确保安全原则、以及主体参与原则。”

具体而言:

关于第一点:“用户无法直接删除自行体验并上传的图片,只能根据平台要求上传新的脸部照片用于替代,从而达到删除旧照片的效果”,“ZAO”app存在侵犯用户合法权益及违反国家标准的行为,理由如下:

1. 平台该行为违反了《个人信息安全规范》第四条个人信息安全基本原则中(g)款规定:“主体参与原则——向个人信息主体提供能够访问、更正、删除其个人信 息,以及撤回同意、注销账户等方法。”“ZAO”app向用户明示的删除用户个人信息的方法是以新照片的上传替代旧照片从而达到删除旧照片的效果,其方法 不具有合法、正当、必要的性质,允许用户删除其自行上传的个人敏感信息是平台应尽之义务。

2.平台该行为违反了《个人信息安全规范》第七条第六款之规定:“ 个人信息控制者违反法律法 规规定或违反与个人信息主体的约定向第三方共享、转让个人信息,且个人信息主体要求删除的,个人信息控制者应立即停止共享、转让的行为,并通知第三方及时 删除。”“ZAO”app平台未经过用户单独许可明示同意即将其存储的用户脸部图片与其关联公司进行共享,因此用户要求其删除用户信息的行为符合该国标规 定。故,“ZAO”app平台要求用户通过上传新的脸部照片以替代旧照片的行为违反相关国标规定。

关于第二点:“用户无法通过自行操作注销自己的ID。”“ZAO”app已侵犯用户合法权益并严重违反相关国标规定及法律规定,理由如下:

1.平台该行为违反了《个人信息安全规范》第七条第八款之规定:

(a)“通过注册账户提供服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且该方法应简便易操作;”

(b)“个人信息主体注销账户后,应删除其个人信息或做匿名化处理。”

可见,国标《个人信息安全规范》赋予了用户注销其账户,并要求平台在用户注销其账户后将其个人信息匿名化的权利。在此问题上,App专项治理工作组发布的《App违法违 规收集使用个人信息行为认定方法(征求意见稿)》第六条“未按法律规定提供删除或更正个人信息功能的情形”中明确的将下列行为视为违规:“1.未提供更 正、删除个人信息,注销用户账号的功能”;“4.更正、删除或注销操作提示完成后,依然未能更正、删除个人信息,注销用户账号的”。因 此,“ZAO”app平台未向用户提供注销其账户的渠道及相关办法,用户无法通过自行操作注销自己的ID的行为严重违反现行国家标准和行业整治规范。

关于第三点:“用户协议存在霸王条款,严重损害用户合法权益,且其用户协议违反国家标准《个人信息安全规范》。”理由如下:

1.“ZAO”app平台与其关联公司是独立的法人机构,“ZAO”app平台拥有的用户数据不 代表其关联公司可以依法共享,依据《个人信息安全规范》第八条第二款之规定,个人信息原则上不得共享、转让。个人信息控制者确需共享、转让时应:(a)事 先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;(b) 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意;(c)共享、转让个人敏感信息前,除上述告知的内容 外,还应向个人信息主体告知涉及的个人敏感信息的类型、数据接收方的身份和数据安全能力,并事先征得个人信息主体的明示同意。

因 此,“ZAO”app平台在用户协议中注明的:1.“用户上传的个人敏感信息,除“ZAO”app平台享有使用的权利外,其关联公司也享有同样的权 利;2.“ZAO”app平台及其关联公司有权对用户上传的内容进行全部或部分的修改之行为仅在用户协议中规定”,无法达到征得个人信息主体明示同意该数 据转让条款的公允要求,平台转让共享数据的行为应单独明示并征得用户授权同意。

2.根据《个人信息安全规范》第七条第三款对个人信息的使用限制之规定:“(b)对所收集的个人信息进行加工处理而产生的信息,能够单独或与其他信息结合识别自然人个人身份,或者反映自然人个人活动情 况的,应将其认定为个人信息。”“(c)使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围 使用个人信息的,应再次征得个人信息主体明示同意。“ZAO”app平台对用户内容进行修改和编辑时,属于对用户个人信息进行修改和编辑,其行为仍需再次 征得个人信息主体明示同意,且其修改和编辑后的作品是否属于平台所有应具体问题具体分析,是否符合独创性的要求且是否侵犯了用户的个人隐私权,都值得商榷 考量。

综上,近日国务院办公厅印发《关于促进平台经济规范健康发展的指导意见》,指出对包括电商在内的各类平台经济app 应规范发展。目前电商平台用户协议及隐私政策存在大量不合规的霸王条款,导致用户合法权益受损构成侵权乃至刑事责任。电子商务研究中心再次提示各电商平台务必重视隐私政策和用户协议应遵循合法合规合理之适当性原则制定和发布。

快评原文:【电商快评】换脸APP“ZAO”隐私保护存“大坑” 你中招了吗?

【小贴士】新型冠状病毒疫情引发举国上下关注,1月21日起疫情升级,各大电商责无旁贷纷纷通过启动应急预案和献爱心等举措先后援助。如:1)OTA:携程、同程艺龙、马蜂窝、去哪儿、飞猪、驴妈妈、美团旅行、途牛、八维通等;2)零售电商:京东、拼多多、苏宁易购、唯品会、寺库、贝贝、蜜芽、有赞、途虎养车、达达集团、网易严选、小米、得物APP、返利网、每日一淘、小米有品、什么值得买、微盟、斑马会员、叮咚买菜、阿里巴巴(淘宝、天猫、1688、盒马、支付宝)、美菜、便利蜂、三只松鼠、52TOYS、华米科技、名创优品、每日优鲜、爱库存、花生好车等;3)外卖:美团、饿了么、瑞幸咖啡等;4)出行:滴滴出行、哈啰出行、高德打车、e代驾、美团单车等;5)在线医疗:平安好医生、阿里健康、春雨医生、丁香医生、叮当快药等;6)跨境电商:行云全球汇、亚马逊、eBay、阿里国际站、苏宁国际、京东国际、考拉海购、思亿欧、豌豆公主、55海淘、洋码头、wish、Shopee、敦煌网、Joom、洋葱、小红书、兰亭集势、豌豆公主、速卖通、天猫国际等;7)在线教育:阿卡索、网易有道、VIPKID等;8)产业电商:一亩田、盘石集团、用友、卓尔智联、阿里1688、锐锢商城、药师帮、工品汇、国网电商、能源E购、找煤网、慧聪网等;9)物流快递:阿里菜鸟、京东物流、苏宁物流、顺丰、贝海国际、货拉拉、递四方等;10)金融科技:京东数科、苏宁金融、乐信、小米金融、支付宝、汇付天下、新网银行、网商银行、宜贷网、轻松集团等;10)此外,齐家网、自如、贝壳找房、蛋壳公寓、新氧科技、58同城、途家民宿、58到家、淘票票、猫眼电影等生活服务电商也纷纷响应。

使命召唤,责无旁贷”。自1月22日起,网经社启动武汉疫情直击行动,通过滚动报道、对接数百家电商、专题直击、社群直播、电商快评、媒体评论等方式,全面跟踪报道电商平台针对疫情最新动向,实时更新、滚动报道、全面覆盖。(详见专题)

【版权声明】秉承互联网开放、包容的精神,网经社欢迎各方(自)媒体、机构转载、引用我们原创内容,但要严格注明来源网经社;同时,我们倡导尊重与保护知识产权,如发现本站文章存在版权问题,烦请将版权疑问、授权证明、版权证明、联系方式等,发邮件至law@netsun.com,我们将第一时间核实、处理。