大約在6月17日左右,推特上掀起了一波 #FaceAppChallenge 風潮: 透過FaceApp這個應用程式,使用者可以模擬自己換性別後的長相。人們開始把公眾人物的照片拿來做實驗,例如把特朗普的照片放進App後制,發現長得跟德國總理梅克爾有幾分神似;或是發現英國首相強森變成女生有幾分滑稽。
這波風潮一路從加拿大、美國,蔓延到土耳其、印度,並且在20日以後開始進入亞洲。等到6月24日,就連以臉書而非推特為主流社交平台的台灣,都開始討論FaceApp。
一年前的資安風波
這不是FaceApp第一次走紅。2019年7月,FaceApp就曾經因為「換年齡」的功能在全球掀起風潮。這次「換性別」功能也一樣具有娛樂性: App能夠快速處理拍下來的肖像照,立即將照片後製完成,讓用戶上傳到社交媒體與朋友同樂。
但是像這樣取用相片且提供後製功能的App,總是引起專家對資訊安全的疑慮。《富比世》(Forbes)雜誌在2019年7月就曾經報導,FaceApp估計有權取用全球超過1.5億張人臉相片。如此龐大的資料規模,讓全球各地的資安專家對FaceApp的安全性提出質疑。
專家認為FaceApp沒有承諾相片留存在資料庫的時間,也沒有承諾刪除使用者的相片。也有些使用者反映,他們發現在刪除App之後,資料並沒有被完全刪除。FaceApp很快就在2019年7月發表公開聲明,鄭重表示「FaceApp不會將任何使用者資料分享給第三方」,也告訴大眾,FaceApp會將使用者選擇編輯的相片上傳到雲端後製,但除此之外不會取用使用者相簿中的其他照片。
資安專家提出,FaceApp背後的團隊Wireless Corp位於俄羅斯,一個極權政府統治的國家,導致團隊有可能在俄羅斯政府威脅下交出資料。對此,FaceApp表示「雖然研發團隊位於俄羅斯,但是資料不會傳輸給俄羅斯(政府)」。
雖然FaceApp如此回應,美國聯邦調查局在2019年12月回應民主黨舒默(Chuck Schumer)的提問時,仍然強調「任何在俄羅斯開發的App或商品,像是FaceApp,都隱藏反情報風險。」
隱私權條款更新
大約一年後的今天,FaceApp在新功能走紅之前,其隱私權條款也在6月4日更新為最新版本。裡面稱FaceApp是一家位於美國的科技公司。條款具體說明,App編輯照片時運用的雲端服務是由谷歌(Google Cloud Platform)以及亞馬遜(Amazon Web Services)提供。用戶上傳的相片,只會在最後一次編輯之後在雲端資料庫停留24至48小時。此外,雲端平台雖然為了編輯需要短暫存取相片,但是程序會對相片加密,而其密鑰只會存取在用戶個人的手機裡。
FaceApp最新的使用者條款看似因應過去的批評做了大幅度調整。但是在使用者條款中仍有一項引人注目:「我們可能會為了配合相關法律、呼應法律要求、遵從法律程序等,被要求使用與分享您的個人資訊,例如回應政府當局的傳喚或指令。」
隱私權條款有無約束力?
德國之聲記者就此詢問資訊安全專家,在這項條款之下,使用者權益被保障的程度有多少?資安專家表示:「世界各地的政府要求廠商提供資訊有兩種方法,一個是威脅利誘,一個是按照法律程序;如果是威脅利誘的話,不會留下痕跡。依法辦理的話,就要看是哪個國家、用的是什麼法。」資安專家舉例,像是美國有「外國情報偵察法」(FISA),政府若要取用某個私人企業或App的資料,需要經過外國情報偵察法院(FISC)判決批准。而法院的判決也可能加注封口令,要求私人企業不可以對外公開自己收到判決書。
至於比較不法治的國家,「像是中國或俄羅斯,很可能大家就會直接配合,政府也不用什麼法就可以索取了。」
尤其像FaceApp這種APP,其開發商與使用者處在不同國家的狀況,使用者不但難以察覺開發商的違規行為,也很難進行跨國訴訟。他說:「使用者沒有任何方法可以驗證開發商有無遵守隱私權條款,就算違反條款,也很難讓開發商負上刑事責任。」
對許多網路使用者而言,自己的臉被某個私人企業違規存取,到底有什麼實質而直接的傷害?資安專家回答,使用者的確很難感受到App違反條款的傷害。但是,他仍然警告使用者放眼未來,他說:「一個人對隱私的界線是有可能隨時間改變的,但是資料應用方式會推陳出新,你現在不可能知道未來有哪些應用是你不能接受的。」
他舉例,日本國立情報學研究所(National Institute of Informatics)已經有能力從三公尺外拍攝的照片中,分析出可供辨識的指紋,這個新技術也可以應用在舊照片上。因為資料一旦流出,幾乎不可能完全刪除,也沒辦法控制持有資料者會拿去做甚麼應用,這是使用者在使用網路服務時需要具備的觀念。
