换脸软件涉嫌公众安全，人体生物识别信息管理要跟上︱网眼看法

前不久有一款换脸软件突然爆红，其隐私政策引起了很多法律界朋友的广泛讨论，有的认为有效，有的认为无效，我个人认为对于一款涉嫌危害公众生物识别信息安全的软件，如果其本质上没有其他实质性非侵权用途和显著的价值，那么就属于违法产品，讨论其用户协议有效无效是没有意义的。

舆论发酵后，相关企业表示修改用户协议，承诺不保存用户人脸信息，这事儿看样子就要这么不了了之了。但这种承诺是不足以消除使用过该软件的用户的担心的，因为从公安部门公布的大量个人信息犯罪案件的情况来看，大量的所谓大数据公司都是无所不用其极地获取个人信息并打通数据，进行关联和深度挖掘处理然后直接买卖，流向黑产，而正规企业无论是顶级的互联网巨头企业还是银行证券公司，都不能保证信息安全可以做到万无一失。

为什么我们这么多没有使用那个软件的看似无关的人都这么关注人脸信息呢？因为人脸信息属于自己难以控制他人采集的生物识别信息，在采用各种新技术进行诈骗犯罪这个问题上，谁也别想凭着自己的小心谨慎和经验老到做个超然的局外人。如果你收到的电话语音和视频都是足以乱真的假货，网络支付的人脸验证身份就让人不敢再继续使用，这种恐惧和不安全感也是社会公众难以承受的。

试想一下如果你突然陷入一个网络关注事件，你拿出视频怎么证明是真的？你面对一个伪造的视频又如何让人相信是假的？我相信玩这个软件的用户绝大部分并没有被告知各种可能的潜在风险，否则他们应该不会同意，那种代入明星的享受虽然也不错，但若要付出金钱乃至其他代价，你还会愿意吗？

所以我相信，虽然在换脸软件这里看似是用户自愿点击“同意”奉上自己的人脸信息，如果你把2017年12月Reddit网站上“DeepFakes”账号展示的通过AI合成的明星色情片同时也提示给用户，不知道还会有多少用户继续点击这个“同意”？

美国当时发生此事后，不仅大企业，连色情网站都封禁了相关视频和搜索，但潘多拉盒子一旦打开就难以禁绝，源代码的泄露，使用深度学习算法（生成式对抗网络）等技术不断在演进，这次国内有企业推出这个产品大概也是在试探监管的底线和公众的反应。

企业推出这个产品之前肯定知道这是高度敏感的个人生物识别信息，一旦泄露后果严重，就算合乎成文法，也不合“规律”之法。否则，美国的谷歌、苹果，国内的腾讯、阿里这些公司为什么不做？它们是缺技术还是缺创意？都不是，缺乏足够的胆量。

P2P网络贷款公司当年崛起时被认为是互联网金融创新，很多人都很看好，但最近两年大量公司跑路，投资有去无回。这充分证明，各种网络“风口”等网络言论不一定靠得住，企业需要不断推出商业新概念吸引市场和公众的注意力，说得对做得好的，监管从善如流，这是大好事，但也不可过于跟风，宽容创新固然没有错，但需要我们宽容的是新技术、新商业模式对传统既得利益的触犯引起的压制、反抗，而不是宽容损害大多数人利益而肥了极少数人的本质上属于危害公众利益的所谓“创新”。监管还需要有常识、有定力、有远见，不能被一些企业和资本收买的专家蛊惑。

人脸生物识别信息与基因信息、虹膜信息、指纹信息等一样，都是不可再生的生物识别信息，无论公权力出于正当履职需求使用还是商业企业需要使用，都必须高度克制和谨慎。

最近几年，虽经公安部门严厉打击，电信诈骗犯罪有所收敛，但总体仍猖獗，造成的损失也十分巨大。如果说实名制的手机号码甚至身份证号码这些信息理论上尚可变更修改，生物识别信息则耗费再大的成本也无法修改，无法重建安全体系。

国内网络安全界技术专家谈剑锋等人在两会上多次提出重视网络安全相关建议，现在看来，非常有必要在正在拟议研究的《中华人民共和国个人信息保护法》中，就个人的生物识别信息相关问题进行深入研究，并确立适当的法律制度。

（作者系上海段和段律师事务所律师）