FaceApp“换性别” 隐私有保障吗?

(德国之声中文网) 大约在6月17日左右，推特上掀起了一波#FaceAppChallenge风潮: 透过FaceApp这个App，使用者可以模拟自己换性别后的长相。人们开始把公众人物的照片拿来做实验，例如把特朗普的照片放进App后制，发现长得跟德国总理默克尔有几分神似；或是发现英国首相约翰逊变成女生有几分滑稽。

这波风潮一路从加拿大、美国，蔓延到土耳其、印度，并且在20日以后开始进入亚洲。等到6月24日，就连以脸书而非推特为主流社交平台的台湾都开始讨论FaceApp。

一年前的资安风波

这不是FaceApp第一次走红。2019年7月，FaceApp就曾经因为“换年龄”的功能在全球掀起风潮。这次“换性别”功能也一样具有娱乐性: App能够快速处理拍下来的肖像照，立即将照片后制完成，让用户上传到社交媒体与朋友同乐。

但是像这样取用相片且提供后制功能的App，总是引起专家对资讯安全的疑虑。福布斯杂志在2019年7月就曾经报导，FaceApp估计有权取用全球超过1.5亿张人脸相片。如此庞大的资料规模，让全球各地的资安专家对FaceApp的安全性提出质疑。

专家认为FaceApp没有承诺相片留存在资料库的时间，也没有承诺删除使用者的相片。也有一些使用者反映，他们发现在删除App之后，资料并没有被完全删除。FaceApp很快的在2019年7月发表公开声明，郑重表示“FaceApp不会将任何使用者资料分享给第三方”，也告诉大众，FaceApp会将使用者选择编辑的相片上传到云端后制，但除此之外不会取用使用者相簿中的其他照片。

资安专家提出，FaceApp背后的团队Wireless Corp位于俄罗斯，一个极权政府统治的国家，导致团队有可能在俄罗斯政府威胁下交出资料。对此，FaceApp表示“虽然研发团队位于俄罗斯，但是资料不会传输给俄罗斯（政府）”。

虽然FaceApp如此回应，美国联邦调查局在2019年12月回应民主党舒默(Chuck Schumer)的提问时，仍然强调“任何在俄罗斯开发的App或商品，像是FaceApp，都隐藏反情报风险。”

隐私权条款更新

大约一年后的今天，FaceApp在新功能走红之前，其隐私权条款也在6月4日更新为最新版本。里面称FaceApp是一家位于美国的科技公司。条款具体说明App编辑照片时运用的云端服务是由谷歌（Google Cloud Platform）以及亚马逊（ Amazon Web Services）提供。用户上传的相片，只会在最后一次编辑之后在云端资料库停留24-48小时。此外，云端平台虽然为了编辑需要短暂存取相片，但是程序会对相片加密，而其密钥只会存取在用户个人的手机里。

FaceApp最新的使用者条款看似因应过去的批评做了大幅度的调整。但是在使用者条款中仍然有一项引人注目：“我们可能会为了配合相关法律、呼应法律要求、遵从法律程序等，被要求使用与分享您的个人资讯，例如回应政府当局的传唤或指令。”

隐私权条款有无约束力？

德国之声记者就此询问资讯安全专家，在这项条款之下，使用者的权益被保障的程度有多少？资安专家表示：“世界各地的政府要求厂商提供资讯有两种方法，一个是威胁利诱，一个是按照法律程序；如果是威胁利诱的话，不会留下痕迹。依法办理的话，就要看是哪个国家、用的是什么法。”资安专家举例，像是美国有“外国情报侦察法”（FISA），政府若要取用某个私人企业或App的资料，需要经过外国情报侦察法院（FISC）判决批准。而法院的判决也可能加注封口令，要求私人企业不可以对外公开自己有收到判决书。

至于比较不法治的国家，“像是中国或俄罗斯，很可能大家就会直接配合，政府也不用什么法就可以索取了。”

尤其像是FaceApp这种APP，其开发商与使用者处在不同国家的状况，使用者不但难以察觉开发商的违规行为，也很难进行跨国诉讼。他说：“使用者没有任何方法可以验证开发商有无遵守隐私权条款，就算违反条款，也很难让开发商负上刑事责任。”

对许多网路使用者而言，自己的脸被某个私人企业违规存取，到底有什么实质而直接的伤害？资安专家回答，使用者的确很难感受到App违反条款的伤害。但是，他仍然警告使用者放眼未来，他说:“一个人对隐私的界线是有可能随时间改变的，但是资料的应用方式会推陈出新，你现在不可能知道未来有哪一些应用是你不能接受的。”他举例，日本国立情报学研究所（National Institute of Informatics）已经有能力从三公尺外拍摄的照片中，分析出可供辨识的指纹，而这个新技术也可以应用在旧照片上。因为资料一旦流出，就几乎不可能完全删除，也没办法控制持有资料者会做甚么应用，这是使用者在使用网路服务的时候需要具备的观念。