蘇鳴立

近日一款名為ZAO的換臉軟件在朋友圈刷屏，用戶上傳自拍，就可以把多部經(jīng)典影視劇主角的臉替換用戶自己的臉。一夜爆紅之后，隨之而來的是，ZAO的用戶協(xié)議條款卻引發(fā)網(wǎng)友爭議。

根據(jù)ZAO用戶協(xié)議內(nèi)容中的必要授權(quán)協(xié)議：用戶上傳發(fā)布內(nèi)容后，意味著同意授予ZAO及其關(guān)聯(lián)公司以及ZAO用戶在“全球范圍內(nèi)完全免費、不可撤銷、永久、可轉(zhuǎn)授權(quán)和可再許可的權(quán)利”，“包括但不限于可以對用戶內(nèi)容進(jìn)行全部或部分的修改與編輯（如將短視頻中的人臉或者聲音換成另一個人的人臉或者聲音等）以及對修改前后的用戶內(nèi)容進(jìn)行信息網(wǎng)絡(luò)傳播以及《著作權(quán)法》規(guī)定的由著作權(quán)人享有的全部著作財產(chǎn)權(quán)利及鄰接權(quán)利”。

目前，ZAO修改了其用戶協(xié)議內(nèi)容，在用戶協(xié)議的開頭部分增加了“特別提示”。但這仍不足以打消用戶的擔(dān)憂。

為此，長期關(guān)注電商行業(yè)發(fā)展的網(wǎng)經(jīng)社電子商務(wù)研究中心特發(fā)布快評，供參考。

解讀一：“ZAO”APP存在嚴(yán)重侵犯用戶合法權(quán)益行為

對此，網(wǎng)經(jīng)社電子商務(wù)研究中心、浙江泰杭律師事務(wù)所主任汪政律師表示，變臉APP ZAO雖短時間內(nèi)走紅網(wǎng)絡(luò)獲得大量的下載次數(shù)，但近日經(jīng)媒體報道其APP應(yīng)用端存在一些違背用戶意愿，甚至違反相關(guān)法規(guī)及國家、行業(yè)標(biāo)準(zhǔn)的行為。從其媒體報道及其隱私政策、用戶協(xié)議可得知ZAO APP有以下侵犯用戶合法權(quán)益的行為：

1.用戶無法直接刪除自行體驗并上傳的圖片，只能根據(jù)平臺要求上傳新的臉部照片用于替代，從而達(dá)到刪除舊照片的效果；

2.用戶無法通過自行操作注銷自己的ID；

3.用戶協(xié)議存在霸王條款，嚴(yán)重?fù)p害用戶合法權(quán)益，且其用戶協(xié)議違反國家標(biāo)準(zhǔn)《個人信息安全規(guī)范》。

這3條侵犯用戶合法權(quán)益及國家、行業(yè)標(biāo)準(zhǔn)的理由如下：

用戶上傳至ZAO平臺的自身臉部照片屬于國家標(biāo)準(zhǔn)《個人信息安全規(guī)范》（全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260））中第三條第二款對于“個人敏感信息”的界定范圍：“個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息以及14歲以下（含）兒童的個人信息等?！逼渲?，臉部照片屬于個人生物識別信息一類，其特征定義是：“一旦泄露，非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇等的個人信息?！惫视脩羯蟼髦罿AO APP平臺的臉部照片屬于不得泄露、非法提供或濫用的受保護(hù)的個人敏感信息。

ZAO APP平臺屬于該規(guī)范中第三條第五款中界定的“個人信息控制者”（Personal Data Controller），其有權(quán)決定個人信息處理目的、方式等的組織或個人。但需遵循：“權(quán)責(zé)一致原則、選擇同意原則、最少夠用原則、公開透明原則、確保安全原則以及主體參與原則。”

具體而言：

關(guān)于第一點：“用戶無法直接刪除自行體驗并上傳的圖片，只能根據(jù)平臺要求上傳新的臉部照片用于替代，從而達(dá)到刪除舊照片的效果”，ZAO APP存在侵犯用戶合法權(quán)益及違反國家標(biāo)準(zhǔn)的行為，理由如下：

1.平臺該行為違反了《個人信息安全規(guī)范》第四條個人信息安全基本原則中（g）款規(guī)定：“主體參與原則———向個人信息主體提供能夠訪問、更正、刪除其個人信息，以及撤回同意、注銷賬戶等方法。”ZAO APP向用戶明示的刪除用戶個人信息的方法是以新照片的上傳替代舊照片從而達(dá)到刪除舊照片的效果，其方法不具有合法、正當(dāng)和必要的性質(zhì)，允許用戶刪除其自行上傳的個人敏感信息是平臺應(yīng)盡之義務(wù)。

2.平臺該行為違反了《個人信息安全規(guī)范》第七條第六款之規(guī)定：“個人信息控制者違反法律法規(guī)規(guī)定或違反與個人信息主體的約定向第三方共享、轉(zhuǎn)讓個人信息，且個人信息主體要求刪除的，個人信息控制者應(yīng)立即停止共享、轉(zhuǎn)讓的行為，并通知第三方及時刪除。”ZAO APP平臺未經(jīng)過用戶單獨許可明示同意即將其存儲的用戶臉部圖片與其關(guān)聯(lián)公司進(jìn)行共享，因此用戶要求其刪除用戶信息的行為符合該國標(biāo)規(guī)定。故，ZAO APP平臺要求用戶通過上傳新的臉部照片以替代舊照片的行為違反相關(guān)國標(biāo)規(guī)定。

關(guān)于第二點：“用戶無法通過自行操作注銷自己的ID?！盳AO APP已侵犯用戶合法權(quán)益并嚴(yán)重違反相關(guān)國標(biāo)規(guī)定及法律規(guī)定，理由如下：

平臺該行為違反了《個人信息安全規(guī)范》第七條第八款之規(guī)定：

1.“通過注冊賬戶提供服務(wù)的個人信息控制者，應(yīng)向個人信息主體提供注銷賬戶的方法，且該方法應(yīng)簡便易操作；”

2.“個人信息主體注銷賬戶后，應(yīng)刪除其個人信息或做匿名化處理?！?/p>

可見，國標(biāo)《個人信息安全規(guī)范》賦予了用戶注銷其賬戶，并要求平臺在用戶注銷其賬戶后將其個人信息匿名化的權(quán)利。在此問題上，APP專項治理工作組發(fā)布的《APP違法違規(guī)收集使用個人信息行為認(rèn)定方法（征求意見稿）》第六條“未按法律規(guī)定提供刪除或更正個人信息功能的情形”中明確地將下列行為視為違規(guī)：“1.未提供更正、刪除個人信息，注銷用戶賬號的功能”；“2.更正、刪除或注銷操作提示完成后，依然未能更正、刪除個人信息，注銷用戶賬號的”。因此，ZAO APP平臺未向用戶提供注銷其賬戶的渠道及相關(guān)辦法，用戶無法通過自行操作注銷自己的ID的行為嚴(yán)重違反現(xiàn)行國家標(biāo)準(zhǔn)和行業(yè)整治規(guī)范。

關(guān)于第三點：“用戶協(xié)議存在霸王條款，嚴(yán)重?fù)p害用戶合法權(quán)益，且其用戶協(xié)議違反國家標(biāo)準(zhǔn)《個人信息安全規(guī)范》?！崩碛扇缦拢?/p>

1. ZAO APP平臺與其關(guān)聯(lián)公司是獨立的法人機(jī)構(gòu)，ZAO APP平臺擁有的用戶數(shù)據(jù)不代表其關(guān)聯(lián)公司可以依法共享，依據(jù)《個人信息安全規(guī)范》第八條第二款之規(guī)定，個人信息原則上不得共享、轉(zhuǎn)讓。個人信息控制者確需共享、轉(zhuǎn)讓時應(yīng)：1.事先開展個人信息安全影響評估，并依評估結(jié)果采取有效的保護(hù)個人信息主體的措施；2.向個人信息主體告知共享、轉(zhuǎn)讓個人信息的目的、數(shù)據(jù)接收方的類型，并事先征得個人信息主體的授權(quán)同意；3.共享、轉(zhuǎn)讓個人敏感信息前，除上述告知的內(nèi)容外，還應(yīng)向個人信息主體告知涉及的個人敏感信息的類型、數(shù)據(jù)接收方的身份和數(shù)據(jù)安全能力，并事先征得個人信息主體的明示同意。

因此，ZAO APP平臺在用戶協(xié)議中注明的：用戶上傳的個人敏感信息，除ZAO APP平臺享有使用的權(quán)利外，其關(guān)聯(lián)公司也享有同樣的權(quán)利；ZAO APP平臺及其關(guān)聯(lián)公司有權(quán)對用戶上傳的內(nèi)容進(jìn)行全部或部分的修改之行為僅在用戶協(xié)議中規(guī)定”，無法達(dá)到征得個人信息主體明示同意該數(shù)據(jù)轉(zhuǎn)讓條款的公允要求，平臺轉(zhuǎn)讓共享數(shù)據(jù)的行為應(yīng)單獨明示并征得用戶授權(quán)同意。

2.根據(jù)《個人信息安全規(guī)范》第七條第三款對個人信息的使用限制之規(guī)定：“①對所收集的個人信息進(jìn)行加工處理而產(chǎn)生的信息，能夠單獨或與其他信息結(jié)合識別自然人個人身份，或者反映自然人個人活動情況的，應(yīng)將其認(rèn)定為個人信息。”“②使用個人信息時，不得超出與收集個人信息時所聲稱的目的具有直接或合理關(guān)聯(lián)的范圍。因業(yè)務(wù)需要，確需超出上述范圍使用個人信息的，應(yīng)再次征得個人信息主體明示同意。ZAO APP平臺對用戶內(nèi)容進(jìn)行修改和編輯時，屬于對用戶個人信息進(jìn)行修改和編輯，其行為仍需再次征得個人信息主體明示同意，且其修改和編輯后的作品是否屬于平臺所有應(yīng)具體問題具體分析，是否符合獨創(chuàng)性的要求且是否侵犯了用戶的個人隱私權(quán)，都值得商榷考量。

綜上，近日國務(wù)院辦公廳印發(fā)《關(guān)于促進(jìn)平臺經(jīng)濟(jì)規(guī)范健康發(fā)展的指導(dǎo)意見》，指出對包括電商在內(nèi)的各類平臺經(jīng)濟(jì)APP應(yīng)規(guī)范發(fā)展。目前，電商平臺用戶協(xié)議及隱私政策存在大量不合規(guī)的霸王條款，導(dǎo)致用戶合法權(quán)益受損構(gòu)成侵權(quán)乃至刑事責(zé)任。電子商務(wù)研究中心再次提示各電商平臺務(wù)必重視隱私政策和用戶協(xié)議應(yīng)遵循合法合規(guī)合理之適當(dāng)性原則制定和發(fā)布。

解讀二：除了隱私“ZAO”還存在著作權(quán)侵權(quán)風(fēng)險

此外，網(wǎng)經(jīng)社電子商務(wù)研究中心特約研究員、北京志霖律師事務(wù)所副主任趙占領(lǐng)律師表示，平臺要求用戶對其上傳的內(nèi)容進(jìn)行授權(quán)，實際上是希望用戶對于獲取平臺服務(wù)支付一定對價。ZAO作為提供格式條款的一方，對于免除或者限制自己責(zé)任的格式條款，應(yīng)采取顯著、醒目的方式提醒用戶注意。但該授權(quán)淹沒在用戶協(xié)議中，絕大多數(shù)用戶根本注意不到。

趙占領(lǐng)表示，用戶對于其ZAO平臺上所上傳的內(nèi)容，有的擁有版權(quán)、肖像權(quán)，或者從權(quán)利人處獲得授權(quán)，但是有的并未獲得權(quán)利人的授權(quán)。比如，用戶（可能）未經(jīng)授權(quán)將影視劇的片段上傳到平臺，該行為構(gòu)成版權(quán)侵權(quán)，ZAO對于用戶的侵權(quán)行為是否承擔(dān)責(zé)任一般根據(jù)通知刪除規(guī)則來判斷，即當(dāng)權(quán)利人向ZAO發(fā)出侵權(quán)通知后，ZAO應(yīng)該及時刪除侵權(quán)內(nèi)容，但是ZAO對于用戶上傳的侵權(quán)內(nèi)容屬于明知或應(yīng)知的除外。

我國《著作權(quán)法》明文規(guī)定，影視作品的著作權(quán)由制片者享有，同時還享有保護(hù)作品完整權(quán)，即享有保護(hù)作品不受歪曲、篡改的權(quán)利。用戶通過ZAO平臺對明星的頭像進(jìn)行更換，顯然是對原影視作品的篡改，侵犯了制片人享有的保護(hù)作品完整權(quán)的著作權(quán)利。

解讀三：建議相關(guān)主管部門應(yīng)當(dāng)加以嚴(yán)厲查處

網(wǎng)經(jīng)社電子商務(wù)研究中心特約研究員、浙江墾丁律師事務(wù)所麻策律師此前對用戶畫像的收集行為也曾表示，我國網(wǎng)絡(luò)安全法規(guī)定收集、使用個人信息時應(yīng)當(dāng)公開收集、使用規(guī)則并經(jīng)被收集者同意。而朋友圈一再出現(xiàn)的上傳照片生成匹配畫像的模式，很多都只是讓用戶直接上傳照片，卻沒有向這些用戶事先說明收集照片的業(yè)務(wù)合法性，甚至該類工具會直接調(diào)用用戶微信昵稱、姓名和頭像等內(nèi)容，從而生成比對照片。另外，這些工具也沒有說明上傳照片日后的用途，而事實上這些海量照片會成為這些工具的圖片庫，以作進(jìn)一步的數(shù)據(jù)畫像。這些不事先公開收集規(guī)則并獲用戶同意的營銷方式其實是嚴(yán)重違反個人信息保護(hù)的相關(guān)規(guī)定的，也無法保護(hù)用戶日后對于該類照片信息的刪除、撤回等權(quán)利，建議相關(guān)主管部門應(yīng)當(dāng)加以嚴(yán)厲查處。

目前有很多互聯(lián)網(wǎng)公司為吸粉，采取互動游戲、個性分析和H5頁面等方式掘取用戶個人信息，但沒有對用戶提示個人信息已被收集以及日后數(shù)據(jù)使用規(guī)則，而普通用戶卻只是認(rèn)為好玩而不理解提供信息的后果，如果收集的信息可形成用戶數(shù)據(jù)畫像并指向可識別對象，可能構(gòu)成非法收集信息行為。

麻策提醒廣大用戶網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位收集、使用公民個人電子信息，應(yīng)當(dāng)公開其收集、使用規(guī)則。