无牙的法律——ZAO为何敢如此肆无忌惮地ZUO?

作者 / 何渊 上海交通大学法学院副教授

来源 / 数据法盟

最近,这款名为“ZAO”的换脸软件在朋友圈刷屏。据了解,ZAO使用AI技术,用户只需要一张正脸照,就可以替换为影视作品或者小视频中的人物,生成以自己为主角的视频片段。不过,在刷屏之后,“ZAO”的用户协议条款却引发网友争议。


根据“ZAO”用户协议内容中的必要授权协议:用户上传发布内容后,意味着同意授予“ZAO”及其关联公司以及“ZAO”用户在“全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利”,“包括但不限于可以对用户内容进行全部或部分的修改与编辑(如将短视频中的人脸或者声音换成另一个人的人脸或者声音等)以及对修改前后的用户内容进行信息网络传播以及《著作权法》规定的由著作权人享有的全部著作财产权利及邻接权利”。

网友“瑟瑟发抖”:信息时代是不是真的无隐私可言?

民事救济:成本高、时间长、举证困难、胜诉率低


根据《民法总则》第11条的规定,“自然人的个人信息受法律保护。任何组织和个人需要获得他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。第127条的规定,“法律对数据、网络虚拟财产的保护有规定的,依照其规定”。但用户如果要对ZAO提起侵权之诉,可能会面临如下困难:


其一,尽管《民法总则》提出了“个人信息”权益,但并没有明确“个人信息权”,因此用户侵权之诉中还得证明“权利的正当性”以及“值得法律保护”两项内容


其二,可能面临侵权证据的举证困难。因为所有证据基本掌握在ZAO等企业手上,用户难以获取证据。虽然在庞某诉去哪儿、东方航空案中,二审法院支持了“高度盖然性”原则,这可能是条出路。但“谁主张,谁举证”还是绝大多数法院认可的“举证规则”,短时间恐怕难以广泛突破


其三,可能面临成本高、时间长、难度大、胜诉率低等困境在庞某诉去哪儿、东方航空案中,庞某虽然最终获得了表面上的胜诉,但作为执业律师的庞某也付出了很高的时间成本,并且只是赢得了“赔礼道歉”,因“无实际损失”并没有获得经济上的赔偿。这显然是普通用户难以承受的成本,这也是为何个人信息侵权案件这么少的原因之一


因此,如果法律不在“诉讼机制”上进行突破升级,不为普通公民提供“公益诉讼”和“集体诉讼”等诉讼工具,试图直接让用户直接对抗平台型企业,无异于“鸡蛋碰石头——不堪一击”。


刑事处罚:不适用


《刑法》第253条规定了“侵犯公民个人信息罪”,即“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”


ZAO等企业的行为显然并不属于“向他人出售或者提供公民个人信息”,而属于《刑法》第253条第3款规定的“以其他方法非法获取公民个人信息”行为。根据后续两高司法解释第4条的规定,“违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的‘以其他方法非法获取公民个人信息’”。


根据有限的刑法学知识,我认为,ZAO等企业的行为要完全符合“情节严重”等“侵犯公民个人信息罪”的构成要件是挺困难的。即使构成犯罪,对ZAO这个单位也只能判处非常有限的罚金,其直接负责的主管人员和其他直接责任人员才需要实际承担刑事责任,这对ZAO等企业的威慑力事实上也不大,收益显然大于风险。


行政机制:罚款额度低、缺乏震慑力和实操性


虽然《网络安全法》第64条提供了行政处罚机制, 即“侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款”,但由于ZAO等企业的违法所得很难计算,或者根本没有“违法所得”,最高也就只能处以“一百万元以下罚款”,这对ZAO等企业的威慑力显然也不大。


尽管《网络安全法》第64条还规定其他更具震慑力的行政处罚机制,即“情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。”但在中美贸易战、经济下行压力以及就业压力的大背景下,再加上主管监管机构的职责不明确,政府显然也不会轻易或者不愿意使用上述极端手段。


总之,正是因为法律无牙,ZAO等企业才敢藐视法律,完全忽视数据合规和知识产权合规工作,明目张胆地恶意炒作。而令人嘘唏不已的是,ZAO等企业基本不需要为此付出任何代价。

事态的发展也基本证实了我的上述判断,目前只有工信部的约谈和ZAO自己的一个轻描淡写的声明。


 工信部的约谈


9月3日,针对媒体公开报道和用户曝光的“ZAO”App用户隐私协议不规范,存在数据泄露风险等网络数据安全问题,工业和信息化部网络安全管理局对北京陌陌科技有限公司相关负责人进行了问询约谈,要求其严格按照国家法律法规以及相关主管部门要求,组织开展自查整改,依法依规收集使用用户个人信息,规范协议条款,强化网络数据和用户个人信息安全保护。同时,要进一步加强新技术新业务安全评估,切实采取有效措施,积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。


 ZAO的声明


对用户协议涉嫌过度收集用户信息及隐私安全争议,9月3日,“ZAO”运营团队发布声明称,“ZAO”不会存储个人面部生物识别特征信息。“ZAO”所呈现的“换脸”效果,是根据用户提交的头像照片,按照用户选定的素材场景,通过后期技术叠加所实现的虚构图像,并没有采集任何个人生物识别特征。使用“ZAO”不会产生支付风险。用户删除信息或注销账号,“ZAO”均会依据相关法律法规的规定删除相应信息。ZAO的运营团队还对此前给大家造成疑虑和困扰再次致歉。


我们必须要思考一个问题:为何欧盟和美国没有出现ZAO这样ZUO的公司?是因为欧美公司的高管道德素质高,还是欧美公司社会责任心强?显然都不是。


在我看来,“利益至上”是所有公司的本质特征,无涉道德和社会责任心。欧美公司之所以不敢肆意妄为地ZUO,仅仅是因为欧美法律不仅有牙,而且强有力。欧盟和美国都制定了严格的法律并设立了专门的数据保护机构,他们都坚信“数据合规,合则生,不合则亡”,具体阐述如下:


欧盟不仅拥有全球标杆性立法《通用数据保护条例(GDPR)》,而且在欧盟和成员国两个层面都设立了专门的监管机构,如欧盟数据保护委员会(EDPB)和英国信息专员办公室(ICO)等;另外,欧盟监管机构的罚款金额往往非常巨大,如英国ICO最近作出了GDPR的最高罚款案,英国航空公司因数据泄露事件面临ICO的1.83亿英镑的罚款;再如万豪因其数据泄露案导致全球超5亿客户受影响,因而面临英国ICO的1.24亿美元罚款。


美国目前在联邦层面虽然没有统一的数据保护立法,但美国宪法第四修正案持续发挥重要作用,联邦的隐私立法重述即将重启,加州消费者隐私保护法案(CCPA)也即将生效;同时在各个行业领域都有重要的行业性法律:如健康医疗数据领域的HIPAA,政府数据领域的FIA,金融数据领域的FCRA,消费者数据领域的侵权法和合同法,儿童数据领域的COPPA,教育数据领域的FERPA等;更为重要的是,美国拥有最具权威性的数据监管机构——联邦贸易委员会(FTC),如FTC在7月13日作出了史上有关数据隐私的最大罚款案,即美国FTC对Facebook处以50亿美元罚款和施加其他附加限制条款。

俗话说“打蛇打七寸”,对于ZAO这类公司而言,“利益至上”是唯一准则,其最忌惮的既不是刑罚,也不是民事诉讼,而是巨额的行政罚款以及强有力专门监管机构的持续监管。基于此,我建议如下:


其一,通过法律打造中国版监管机构的FTC。建议通过全国人大正在制定中的《数据安全法》和《个人信息保护法》打造独立的数据监管机构,授予国家网信办广泛的数据保护和监管权力,即国家网信办不仅应该被授予广泛的数据保护执法权力,而且还需要通过法律保障其执法权力得到真正实现,同时国家网信办应当在数据保护规范和标准的发展中发挥更多的领导作用。


其二,通过法律设立巨额罚款。建议通过全国人大正在制定中的《数据安全法》和《个人信息保护法》,针对企业的数据泄露等严重侵犯个人信息的行为设立亿元级别的行政罚款。我建议,立法可以借鉴欧盟GDPR第83条规定的分级罚款机制,具体包括的最高1000万欧元(或全球应收2%)和2000万欧元(或全球应收2%)等两个层次。


其三,引入FTC的行政和解协议机制。数据监管机构拥有一套灵活、高弹性且可渐进演化的执法机制非常有必要,而FTC的行政和解协议机制正是这样的机制。事实上,中国首例行政和解协议已由证监会作出,证监会依法与高盛达成协议,涉及的行政和解金高度1.5亿元人民币。


具体而言,美国行政和解协议机制使得隐私数据等方面的司法诉讼名存实亡,是在FTC和企业已达成和解协议的情况下让法官敲个橡皮章而已,而这种协商性司法的关键是企业认罪。


据统计,美国高达95%的联邦案件都是以这种未经诉讼的认罪方式解决的。在美国,对企业的制裁主要是由检察官或市场监管机构的负责人完成的,既无陪审团,又无法官。美国政府清楚的认识到,通过庭审证明大型跨国企业有罪需要经过大量的调查和证据分析,还不能确保将其定罪,而谋求涉事企业的合作,以便使其听凭自己摆布、接受调查,显然是一个万全之策,而且行政成本特别低。


未经允许不得转载:智合 » 无牙的法律——ZAO为何敢如此肆无忌惮地ZUO?

评论 抢沙发

评论前必须登录!

 

This site is protected by wp-copyrightpro.com