「我們可能配合法律分享您的資訊」FaceApp「性轉」功能捲土重來，使用者隱私有保障嗎？

大約在6月17日左右，推特上掀起了一波 #FaceAppChallenge 風潮: 透過FaceApp這個應用程式，使用者可以模擬自己換性別後的長相。人們開始把公眾人物的照片拿來做實驗，例如把特朗普的照片放進App後制，發現長得跟德國總理梅克爾有幾分神似；或是發現英國首相強森變成女生有幾分滑稽。

這波風潮一路從加拿大、美國，蔓延到土耳其、印度，並且在20日以後開始進入亞洲。等到6月24日，就連以臉書而非推特為主流社交平台的台灣，都開始討論FaceApp。

一年前的資安風波

這不是FaceApp第一次走紅。2019年7月，FaceApp就曾經因為「換年齡」的功能在全球掀起風潮。這次「換性別」功能也一樣具有娛樂性: App能夠快速處理拍下來的肖像照，立即將照片後製完成，讓用戶上傳到社交媒體與朋友同樂。

但是像這樣取用相片且提供後製功能的App，總是引起專家對資訊安全的疑慮。《富比世》（Forbes）雜誌在2019年7月就曾經報導，FaceApp估計有權取用全球超過1.5億張人臉相片。如此龐大的資料規模，讓全球各地的資安專家對FaceApp的安全性提出質疑。

專家認為FaceApp沒有承諾相片留存在資料庫的時間，也沒有承諾刪除使用者的相片。也有些使用者反映，他們發現在刪除App之後，資料並沒有被完全刪除。FaceApp很快就在2019年7月發表公開聲明，鄭重表示「FaceApp不會將任何使用者資料分享給第三方」，也告訴大眾，FaceApp會將使用者選擇編輯的相片上傳到雲端後製，但除此之外不會取用使用者相簿中的其他照片。

資安專家提出，FaceApp背後的團隊Wireless Corp位於俄羅斯，一個極權政府統治的國家，導致團隊有可能在俄羅斯政府威脅下交出資料。對此，FaceApp表示「雖然研發團隊位於俄羅斯，但是資料不會傳輸給俄羅斯（政府）」。

雖然FaceApp如此回應，美國聯邦調查局在2019年12月回應民主黨舒默（Chuck Schumer）的提問時，仍然強調「任何在俄羅斯開發的App或商品，像是FaceApp，都隱藏反情報風險。」

隱私權條款更新

大約一年後的今天，FaceApp在新功能走紅之前，其隱私權條款也在6月4日更新為最新版本。裡面稱FaceApp是一家位於美國的科技公司。條款具體說明，App編輯照片時運用的雲端服務是由谷歌（Google Cloud Platform）以及亞馬遜（Amazon Web Services）提供。用戶上傳的相片，只會在最後一次編輯之後在雲端資料庫停留24至48小時。此外，雲端平台雖然為了編輯需要短暫存取相片，但是程序會對相片加密，而其密鑰只會存取在用戶個人的手機裡。 （相關報導： 新冠肺炎》隱私與抗疫只能二選一嗎？「去中心化」為數位防疫提供新解方 ｜ 更多文章 ）

FaceApp最新的使用者條款看似因應過去的批評做了大幅度調整。但是在使用者條款中仍有一項引人注目：「我們可能會為了配合相關法律、呼應法律要求、遵從法律程序等，被要求使用與分享您的個人資訊，例如回應政府當局的傳喚或指令。」

隱私權條款有無約束力？

德國之聲記者就此詢問資訊安全專家，在這項條款之下，使用者權益被保障的程度有多少？資安專家表示：「世界各地的政府要求廠商提供資訊有兩種方法，一個是威脅利誘，一個是按照法律程序；如果是威脅利誘的話，不會留下痕跡。依法辦理的話，就要看是哪個國家、用的是什麼法。」資安專家舉例，像是美國有「外國情報偵察法」（FISA），政府若要取用某個私人企業或App的資料，需要經過外國情報偵察法院（FISC）判決批准。而法院的判決也可能加注封口令，要求私人企業不可以對外公開自己收到判決書。

至於比較不法治的國家，「像是中國或俄羅斯，很可能大家就會直接配合，政府也不用什麼法就可以索取了。」

尤其像FaceApp這種APP，其開發商與使用者處在不同國家的狀況，使用者不但難以察覺開發商的違規行為，也很難進行跨國訴訟。他說：「使用者沒有任何方法可以驗證開發商有無遵守隱私權條款，就算違反條款，也很難讓開發商負上刑事責任。」

對許多網路使用者而言，自己的臉被某個私人企業違規存取，到底有什麼實質而直接的傷害？資安專家回答，使用者的確很難感受到App違反條款的傷害。但是，他仍然警告使用者放眼未來，他說：「一個人對隱私的界線是有可能隨時間改變的，但是資料應用方式會推陳出新，你現在不可能知道未來有哪些應用是你不能接受的。」 （相關報導： 新冠肺炎》隱私與抗疫只能二選一嗎？「去中心化」為數位防疫提供新解方 ｜ 更多文章 ）

他舉例，日本國立情報學研究所（National Institute of Informatics）已經有能力從三公尺外拍攝的照片中，分析出可供辨識的指紋，這個新技術也可以應用在舊照片上。因為資料一旦流出，幾乎不可能完全刪除，也沒辦法控制持有資料者會拿去做甚麼應用，這是使用者在使用網路服務時需要具備的觀念。