隨著第三波AI浪潮襲來,臉部辨識技術已可做為手機與門禁的鎖鑰以及強化場域的監視安控,而刷臉支付的金融科技也將廣泛應用,惟此亦涉及隱私議題。「臉」是重要的生物特徵資料,可透過機器深度學習從資料歸納出規則,進而分析預測及操控。不過,「臉」也是個資,倘若有人盜用或濫用而移花接木或招搖撞騙,將會引發資安危機且損害個資權益。
我們的「臉」就代表我們這個人,不管是生龍活虎面對世界的這張臉,還是正經八百貼在身分證上的那張臉。在網路世界裡,自拍與修圖可說是許多人每天的例行私事,自戀的我們更看重「自己」如何呈現進而行銷自己。而臉書這個全世界最大的國度,就是由用客戶的臉所拼貼而成。今年(2019)初由網友發起在臉書和IG上傳#10YearChallenge的貼照,讓人比對現在與十年前自己的差異,引起臉友的跟風浪潮。隨著第三波AI浪潮襲來,臉部辨識技術已可做為手機與門禁的鎖鑰以及強化場域的監視安控,而刷臉支付的金融科技也將廣泛應用,惟此亦涉及隱私議題。「臉」是重要的生物特徵資料,可透過機器深度學習從資料歸納出規則,進而分析預測及操控。不過,「臉」也是個資,倘若有人盜用或濫用而移花接木或招搖撞騙,將會引發資安危機且損害個資權益。
變臉的光與影
川劇的變臉在短時間內可變換多款臉龐,是藝術也是技術。而電影常以主角的臉為賣點,吳宇森執導的賣座電影《變臉》將正邪兩邊主角的臉互換,換一張臉更能夠換位思考。蔡明亮的實驗性電影《你的臉》則對準了13張臉,讓觀眾凝視人們臉龐的變化。最近李安執導的新片《雙子殺手》透過數位技術打造出一個年輕版的威爾史密斯,栩栩如生。
網路世界也有許多變臉的賣點,卻引發個資保護不周的疑慮。相對於在臉書挑戰幼臉,挑戰老臉也引發風潮,FaceApp這個由俄羅斯公司開發的應用程式,可讓用戶透過修圖濾鏡把臉龐變老,進而分享到社交媒體,博君一笑,但是卻使人擔憂這麼多人的臉被蒐集後會被不當的利用。
又如中國公司開發的應用程式ZAO,可讓用戶將其大頭照貼到特定影片的角色人物,主角換人做做看,甫一推出即造成下載熱潮,但也引起個資受侵害、被移花接木(如與AV女優換臉)、以及遭有心人士刷臉解鎖或刷臉支付等疑慮,因此ZAO曇花一現後就遭到某些App平台下架。
近來最受美國政府重視的變臉議題是「Deepfake」(深度偽造),也就是利用AI技術模仿名人而幾可亂真,例如經過機器深度學習大量與川普相關的資料而模仿出川普形象及說話影片或推文,要是冒牌川普與金正恩互相放話而擦槍走火,這可是會弄假成真引爆世界大戰的。因此在破除假消息假新聞的技術研發上,也包括揪出Deepfake的打擊措施,此不僅涉及個資與資安,還會影響到國家安全。至於有業者開發AI人臉生成演算法創造出不存在世界上的臉,那就更具顛覆性了。
臉也是個資
依個資法第2條規定,個人資料是指自然人之姓名、出生年月日、國民身分證統一編號、特徵等及其他得以直接或間接方式識別該個人之資料。每個人的臉都是獨一無二的,當然是重要的生物特徵,得以直接或間接方式識別該個人,應屬於個資。今年9月間在媒體頭版驚見刊登大老婆對小三的警告文,還附上小三的照片但做遮眼處理,此即意識到小三的臉也是個資,故採取去識別性措施,以免惹上糾紛。
然而實務上在一個關於網路上散布他人猥褻照片的案件,卻有法院認為只有人物的照片還不算個資法保護的個資,其理由為:本案被告所散布者,並非姓名、國民身分證統一編號等資料具有直接特定個人識別性之個人資料,一般人亦無法單以觀覽照片之方式,即可直接識別係本案之被害人(參見台灣高等法院104年上訴字第1393號刑事判決)。這個見解似乎並不合理,因為臉就是一個人最主要的特徵,具有識別性,當然屬於個資,是否知道該臉的名字並不重要。
利用與濫用
變臉應用程式「ZAO」所引發爭議之一為其原始的用戶協議規定:「您同意或確保肖像權利人同意授予ZAO及其關聯公司全球範圍內完全免費、不可撤銷、永久、可轉授權和可再許可的權利,包括但不限於:人臉照片、圖片、視頻資料等肖像資料中所含的您或肖像權利人的肖像權,以及利用技術對您或肖像權利人的肖像進行形式改動」。用戶雖然免費使用ZAO而享受跟名人主角交換臉龐的樂趣,但卻讓自己提供的臉無償地授權ZAO去利用及改變,且上開協議之文義可能會包山包海,導致用戶的臉有被濫用的風險。
其實在許多網路平台或App的用戶協議裡也常見類似的就用戶自己提供的內容廣泛授權給平台業者的條款。惟因個資保護之考量,特別是「目的限定原則」,也就是個資應在特定、明確與正當之目的下被蒐集及利用,許多業者如臉書與Google已在用戶協議中規定用戶授權的用途僅限於業者提供服務之營運與改善,而非毫無限制。但是魔鬼出在細節,服務之營運與改善所涵蓋的範圍其實很廣,可能會超出用戶當初同意授權的合理預期。
臉是人的門面,也是重要的個資。個人臉的多年變化與眾人臉的多元差異等資料經過AI機器學習都可萃取出具有價值的資訊。當我們進入網路以及臉書的世界,為了取得免費的服務與娛樂,到底可以容許別人蒐集及利用到何種程度,實在是見仁見智。
業者雖然用文字告知隱私政策,惟用戶實難以深刻了解或是連看都沒看。告知後同意的個資保護機制固然重要,但其實還不夠。最好是業者利用後仍繼續告知,增加透明度,讓用戶瞭解他的臉或個資究竟實際上是如何被利用,而能有事後選擇退出(Opt-out)的機會,這才能有效保護個資。惟如果個資的廣泛利用是時代趨勢且為促進商業發展,亦應讓用戶就其個資被利用獲得實質的補償。或許臉書倡議推出的加密貨幣Libra,也可做為個資利用的補償對價,方符合使用者付費的理念。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>