一、事件背景

近日一款名為“ZAO”的換臉軟件在朋友圈刷屏，用戶上傳自拍，就可以把多部經(jīng)典影視劇主角的臉替換用戶自己的臉。一夜爆紅之后，隨之而來的是，ZAO的用戶協(xié)議條款卻引發(fā)網(wǎng)友爭議。

根據(jù)ZAO用戶協(xié)議內容中的必要授權協(xié)議：用戶上傳發(fā)布內容后，意味著同意授予ZAO及其關聯(lián)公司以及ZAO用戶在“全球范圍內完全免費、不可撤銷、永久、可轉授權和可再許可的權利”，“包括但不限于可以對用戶內容進行全部或部分的修改與編輯（如將短視頻中的人臉或者聲音換成另一個人的人臉或者聲音等）以及對修改前后的用戶內容進行信息網(wǎng)絡傳播以及《著作權法》規(guī)定的由著作權人享有的全部著作財產(chǎn)權利及鄰接權利”。

目前，ZAO修改了其用戶協(xié)議內容，在用戶協(xié)議的開頭部分增加了“特別提示”。但這仍不足以打消用戶的擔憂。

為此，長期關注電商行業(yè)發(fā)展的網(wǎng)經(jīng)社電子商務研究中心特發(fā)布電商快評，供媒體參考選用。

二、專家點評

解讀一：“ZAO”APP存在嚴重侵犯用戶合法權益行為

對此，網(wǎng)經(jīng)社電子商務研究中心、浙江泰杭律師事務所主任汪政律師表示，變臉app“ZAO”雖短時間內走紅網(wǎng)絡獲得大量的下載次數(shù)，但近日經(jīng)媒體報道其app應用端存在一些違背用戶意愿，甚至違反相關法規(guī)及國家、行業(yè)標準的行為。從其媒體報道及其隱私政策、用戶協(xié)議可得知“ZAO”app有以下侵犯用戶合法權益的行為：

一、用戶無法直接刪除自行體驗并上傳的圖片，只能根據(jù)平臺要求上傳新的臉部照片用于替代，從而達到刪除舊照片的效果；

二、用戶無法通過自行操作注銷自己的ID；

三、用戶協(xié)議存在霸王條款，嚴重損害用戶合法權益，且其用戶協(xié)議違反國家標準《個人信息安全規(guī)范》。

上述三條侵犯用戶合法權益及國家、行業(yè)標準的理由如下：

用戶上傳至“ZAO”平臺的自身臉部照片屬于國家標準《個人信息安全規(guī)范》（全國信息安全標準化技術委員會（SAC/TC260））中第三條第二款對于“個人敏感信息”的界定范圍：“個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息等?！逼渲?，臉部照片屬于個人生物識別信息一類，其特征定義是：“一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息?！惫视脩羯蟼髦痢癦AO”app平臺的臉部照片屬于不得泄露、非法提供或濫用的受保護的個人敏感信息。

“ZAO”app平臺屬于該規(guī)范中第三條第五款中界定的“個人信息控制者”（personal data controller），其有權決定個人信息處理目的、方式等的組織或個人。但需遵循：“權責一致原則、選擇同意原則、選擇同意原則、 最少夠用原則、公開透明原則、確保安全原則、以及主體參與原則?！?/span>

具體而言：

關于第一點：“用戶無法直接刪除自行體驗并上傳的圖片，只能根據(jù)平臺要求上傳新的臉部照片用于替代，從而達到刪除舊照片的效果”，“ZAO”app存在侵犯用戶合法權益及違反國家標準的行為，理由如下：

1.平臺該行為違反了《個人信息安全規(guī)范》第四條個人信息安全基本原則中（g）款規(guī)定:“主體參與原則——向個人信息主體提供能夠訪問、更正、刪除其個人信息，以及撤回同意、注銷賬戶等方法?！薄癦AO”app向用戶明示的刪除用戶個人信息的方法是以新照片的上傳替代舊照片從而達到刪除舊照片的效果，其方法不具有合法、正當、必要的性質，允許用戶刪除其自行上傳的個人敏感信息是平臺應盡之義務。

2.平臺該行為違反了《個人信息安全規(guī)范》第七條第六款之規(guī)定：“ 個人信息控制者違反法律法規(guī)規(guī)定或違反與個人信息主體的約定向第三方共享、轉讓個人信息，且個人信息主體要求刪除的，個人信息控制者應立即停止共享、轉讓的行為，并通知第三方及時刪除?！薄癦AO”app平臺未經(jīng)過用戶單獨許可明示同意即將其存儲的用戶臉部圖片與其關聯(lián)公司進行共享，因此用戶要求其刪除用戶信息的行為符合該國標規(guī)定。故，“ZAO”app平臺要求用戶通過上傳新的臉部照片以替代舊照片的行為違反相關國標規(guī)定。

關于第二點：“用戶無法通過自行操作注銷自己的ID?！薄癦AO”app已侵犯用戶合法權益并嚴重違反相關國標規(guī)定及法律規(guī)定，理由如下：

1.平臺該行為違反了《個人信息安全規(guī)范》第七條第八款之規(guī)定：

（a）“通過注冊賬戶提供服務的個人信息控制者，應向個人信息主體提供注銷賬戶的方法，且該方法應簡便易操作；”

（b）“個人信息主體注銷賬戶后，應刪除其個人信息或做匿名化處理?！?/span>

可見，國標《個人信息安全規(guī)范》賦予了用戶注銷其賬戶，并要求平臺在用戶注銷其賬戶后將其個人信息匿名化的權利。在此問題上，App專項治理工作組發(fā)布的《App違法違規(guī)收集使用個人信息行為認定方法（征求意見稿）》第六條“未按法律規(guī)定提供刪除或更正個人信息功能的情形”中明確的將下列行為視為違規(guī)：“1.未提供更正、刪除個人信息，注銷用戶賬號的功能”；“4.更正、刪除或注銷操作提示完成后，依然未能更正、刪除個人信息，注銷用戶賬號的”。因此，“ZAO”app平臺未向用戶提供注銷其賬戶的渠道及相關辦法，用戶無法通過自行操作注銷自己的ID的行為嚴重違反現(xiàn)行國家標準和行業(yè)整治規(guī)范。

關于第三點：“用戶協(xié)議存在霸王條款，嚴重損害用戶合法權益，且其用戶協(xié)議違反國家標準《個人信息安全規(guī)范》?！崩碛扇缦拢?/span>

1.“ZAO”app平臺與其關聯(lián)公司是獨立的法人機構，“ZAO”app平臺擁有的用戶數(shù)據(jù)不代表其關聯(lián)公司可以依法共享，依據(jù)《個人信息安全規(guī)范》第八條第二款之規(guī)定，個人信息原則上不得共享、轉讓。個人信息控制者確需共享、轉讓時應：（a）事先開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施；（b） 向個人信息主體告知共享、轉讓個人信息的目的、數(shù)據(jù)接收方的類型，并事先征得個人信息主體的授權同意；（c）共享、轉讓個人敏感信息前，除上述告知的內容外，還應向個人信息主體告知涉及的個人敏感信息的類型、數(shù)據(jù)接收方的身份和數(shù)據(jù)安全能力，并事先征得個人信息主體的明示同意。

因此，“ZAO”app平臺在用戶協(xié)議中注明的：1.“用戶上傳的個人敏感信息，除“ZAO”app平臺享有使用的權利外，其關聯(lián)公司也享有同樣的權利；2.“ZAO”app平臺及其關聯(lián)公司有權對用戶上傳的內容進行全部或部分的修改之行為僅在用戶協(xié)議中規(guī)定”，無法達到征得個人信息主體明示同意該數(shù)據(jù)轉讓條款的公允要求，平臺轉讓共享數(shù)據(jù)的行為應單獨明示并征得用戶授權同意。

2.根據(jù)《個人信息安全規(guī)范》第七條第三款對個人信息的使用限制之規(guī)定：“（b）對所收集的個人信息進行加工處理而產(chǎn)生的信息，能夠單獨或與其他信息結合識別自然人個人身份，或者反映自然人個人活動情況的，應將其認定為個人信息?！薄埃╟）使用個人信息時，不得超出與收集個人信息時所聲稱的目的具有直接或合理關聯(lián)的范圍。因業(yè)務需要，確需超出上述范圍使用個人信息的，應再次征得個人信息主體明示同意。“ZAO”app平臺對用戶內容進行修改和編輯時，屬于對用戶個人信息進行修改和編輯，其行為仍需再次征得個人信息主體明示同意，且其修改和編輯后的作品是否屬于平臺所有應具體問題具體分析，是否符合獨創(chuàng)性的要求且是否侵犯了用戶的個人隱私權，都值得商榷考量。

綜上，近日國務院辦公廳印發(fā)《關于促進平臺經(jīng)濟規(guī)范健康發(fā)展的指導意見》，指出對包括電商在內的各類平臺經(jīng)濟app 應規(guī)范發(fā)展。目前電商平臺用戶協(xié)議及隱私政策存在大量不合規(guī)的霸王條款，導致用戶合法權益受損構成侵權乃至刑事責任。電子商務研究中心再次提示各電商平臺務必重視隱私政策和用戶協(xié)議應遵循合法合規(guī)合理之適當性原則制定和發(fā)布。

解讀二：除了隱私 “ZAO”還存在著作權侵權風險

此外，網(wǎng)經(jīng)社-電子商務研究中心特約研究員、北京志霖律師事務所副主任趙占領律師表示，平臺要求用戶對其上傳的內容進行授權，實際上是希望用戶對于獲取平臺服務支付 一定對價。ZAO作為提供格式條款的一方，對于免除或者限制自己責任的格式條款，應采取顯著、醒目的方式提醒用戶注意。但該授權淹沒在用戶協(xié)議中，絕大多數(shù)用戶根本注意不到。

趙占領表示，用戶對于其ZAO平臺上所上傳的內容，有的擁有版權、肖像權，或者從權利人處獲得授權，但是有的并未獲得權利人的授權。比如，用戶 (可能)未經(jīng)授權將影視劇的片段上傳到平臺，該行為構成版權侵權，ZAO對于用戶的侵權行為是否承擔責任一般根據(jù)通知刪除規(guī)則來判斷，即當權利人向ZAO 發(fā)出侵權通知后，ZAO應該及時刪除侵權內容，但是ZAO對于用戶上傳的侵權內容屬于明知或應知的除外。

我國《著作權法》明文規(guī)定，影視作品的著作權由制片者享有，同時還享有保護作品完整權，即享有保護作品不受歪曲、篡改的權利。用戶通過ZAO平臺對明星的頭像進行更換，顯然是對原影視作品的篡改，侵犯了制片人享有的保護作品完整權的著作權利。

解讀三：建議相關主管部門應當加以嚴厲查處

網(wǎng)經(jīng)社電子商務研究中心特約研究員、浙江墾丁律師事務所麻策律師此前對用戶畫像的收集行為也曾表示，我國網(wǎng)絡安全法規(guī)定收集、使用個人信息時應當公開收集、使用規(guī)則并經(jīng)被收集者同意。而朋友圈一再出現(xiàn)的上傳照片生成匹配畫像的模式，很多都只是讓用戶直接上傳照片，卻沒有向這些用戶事先說明收集照片的業(yè)務合法性，甚至該類工具會直接調用用戶微信昵稱、姓名、頭像等內容，從而生成比對照片。另外，這些工具也沒有說明上傳照片日后的用途，而事實上這些海量照片會成為這些工具的圖片庫，以作進一步的數(shù)據(jù)畫像。這些不事先公開收集規(guī)則并獲用戶同意的營銷方式其實是嚴重違反個人信息保護的相關規(guī)定的，也無法保護用戶日后對于該類照片信息的刪除、撤回等權利，建議相關主管部門應當加以嚴厲查處。

目前有很多互聯(lián)網(wǎng)公司為吸粉，采取互動游戲，個性分析，H5頁面等方式，掘取用戶個人信息，但沒有對用戶提示個人信息已被收集以及日后數(shù)據(jù)使用規(guī)則，而普通用戶卻只是認為好玩而不理解提供信息的后果，如果收集的信息可形成用戶數(shù)據(jù)畫像并指向可識別對象，可能構成非法收集信息行為。

麻策律師提醒廣大用戶網(wǎng)絡服務提供者和其他企業(yè)事業(yè)單位在業(yè)務活動中收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息。網(wǎng)絡服務提供者和其他企業(yè)事業(yè)單位收集、使用公民個人電子信息，應當公開其收集、使用規(guī)則。

來源：電子商務研究中心