来源： 腾讯研究院   网络法专报编委会

腾讯研究院发布2019年8月网络法专报

《腾讯网络法专报》汇集每月全球互联网法律政策新动态，涉及范围有网络安全、人工智能、数字产业、GDRP等各方面，旨在从法律政策角度，为新兴技术带来的社会问题进行专业解读。2019年8月《腾讯网络法专报》共分为三个部分《人工智能篇》、《影视版权和不正当竞争篇》、《平台责任和区块链篇》，分别覆盖8月内全球互联网法律的三个热点区域。

本文为Part1《人工智能篇》全文，后续两篇内容将于近期发布，敬请关注腾讯研究院公众号。

AI换脸应用「ZAO」惹争议，国外多举措促进背后的深度伪造技术妥善利用

9月初，一款名为「ZAO」的AI换脸APP引发舆论广泛关注。作为国内第一个爆款级AI换脸应用，ZAO的换脸操作门槛很低，用户在通过人脸识别完成肖像权验证之后，就可以通过拍摄或上传人脸照片来合成视频。其将之前只是听说的技术带到现实生活中，引发了诸多争议，例如收集人脸等个人生物识别信息未获用户明示同意、个人信息处理规则不清晰、过度索取肖像权、著作权侵权、数据泄露或滥用风险等。随着相关争议不断发酵，ZAO对获取用户同意的方式和用户协议、隐私政策中相关条款作出了调整。

ZAO的火爆也引起了监管部门的注意。9月3日，工信部网络安全管理局对北京陌陌科技有限公司相关负责人进行了问询约谈，要求其严格按照国家法律法规以及相关主管部门要求，组织开展自查整改，依法依规收集使用用户个人信息，规范协议条款，强化网络数据和用户个人信息安全保护。工信部同时指出，要进一步加强新技术新业务安全评估，切实采取有效措施，积极防范自有业务平台被利用实施电信网络诈骗等风险隐患。

9月18日，网信办副主任刘烈宏在国新办发布会上回应称，网信办积极支持新技术、新应用发展，同时也采取必要措施防范随之带来的风险。网信办已会同有关部门出台了《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》、《个人信息安全规范》等法规标准，《网络生态治理规范》正在征求意见，通过这些法规、标准，指导督促互联网企业进行安全评估，监管新上线的新技术、新应用。

ZAO引发的争议的核心，正是随着AI技术发展而出现的深度伪造（deepfake）——deep learning（深度学习）和fake（伪造）组合而成的新词。其最常见的方式是AI换脸，例如deepfake、face2face等技术，此外还包括语音模拟、人脸合成、视频生成等，统称为深度伪造。随着相关技术的不断进化，深度伪造可达到高度逼真、难辨真伪的程度，给检测识别音视频真伪提出极大挑战。

正面来看，深度伪造技术和类似的内容合成技术，在娱乐、新闻媒体、影视制作、教育等诸多领域具有积极的应用价值。该技术目前已在影视剧、娱乐节目中发挥作用，例如依靠换脸技术让在电影拍摄完成前已去世的主演沃克继续「演完」《速度与激情7》。

深度伪造技术可以实现以下应用：给通过视频进行的批评、讽刺、戏仿、自我表达（如文中提到的「ZAO」，初衷是让普通人实现明星梦）等提供新的表达形式；对一个人的自我进行逼真的模拟并创造出虚拟化身（avatar）来实现社交网络中的化身体验；创造出数字虚拟人用于新闻传媒、娱乐等场景，如虚拟主播和虚拟偶像。此外在教育方面，逼真的虚拟教师和合成的历史人物演讲视频等创新性形式可以让教学活动更具真实性和趣味性。

来源：维基百科

而一旦该技术被滥用，则可能带来个人人身和财产损失、企业声誉等商业利益损害、国家和公共安全威胁、新闻媒体行业的社会信任衰退等危害。主要表现为通过伪造或合成真假难辨的影像资料来进行欺骗和欺诈，将网络攻击场景和信息安全问题带到一个全新的层面，如色情报复、敲诈勒索、假冒身份、商业诋毁、虚假情报、选举干扰、外交和国际秩序扰乱等。对此，美国等国外政府开始提出监管措施，尤其是在美国2020年大选来临之际，美国议会先后提出了《深度伪造责任法案》和《2019年深度伪造报告法案》。整体来看，主要包括以下措施：

其一，划定红线，禁止政治干扰、色情报复、假冒身份等目的的深度伪造。例如，美国加州的法律草案规定，禁止在投票选举前60日内传播明知是伪造或合成的候选人视频，除非包含视频属于伪造的免责声明。美国德克萨斯州2019年9月1日生效的一项法案将在选举前30日内制作、散布深度伪造视频意图伤害候选人或影响选举结果的行为，认定为刑事犯罪。此外，美国弗吉尼亚州2019年7月1日生效的反色情复仇修正法案，将「制作、传播虚假的裸体或性视频、图像」意图胁迫、骚扰或恐吓他人的行为，认定为刑事犯罪。《深度伪造责任法案》规定，利用深度伪造技术实施数字冒名顶替行为也应视为假冒身份行为。

其二，设置披露义务，要求制作者以适当方式披露、标记合成内容。《深度伪造责任法案》规定，利用深度伪造技术合成虚假内容放置于网络上传播的，制作者应当采用嵌入数字水印、文字、语音标识等方式披露合成信息。违反披露义务的制作者或者恶意删除披露信息的行为人需承担民事责任，行为恶劣、造成严重后果的还会面临罚金、人身监禁等刑事处罚。

其三，加强技术攻防，呼吁开发检测识别技术。《深度伪造责任法案》要求成立深度伪造特别小组，其职责包括研究开发针对包括深度伪造在内的图像、音视频操纵技术的检测识别和反制技术、为研究此类技术的其他政府部门提供行政和科学支持、与私营企业或学术机构合作开发检测识别工具等。在业内，谷歌、Facebook等科技公司已在积极构建、开源深度伪造视频数据库，以促进检测识别技术的开发。

因此，从国外的监管趋势来看，国外政府采取了分类分场景的监管思路，相关监管措施并未指向类似ZAO这样的娱乐类应用。具体而言，一方面为深度伪造等内容合成技术的应用划定红线，防范其滥用；另一方面对于红线之外的娱乐、文创、教育等应用领域，市场可在合法合规的限度内自由创新，为人工智能的发展提供良好试验田的同时，也丰富人们的表达和创造方式。总结而言，针对深度伪造技术的治理举措应当是多层次的，采取分类监管、行业自律、技术对抗等多举措促进其妥善利用，避免因噎废食，阻碍新技术、新应用的创新发展。

人脸识别技术应用惹争议，国外探索监管举措

关键词：瑞典DPA、GDPR、人脸识别技术、生物特征数据

8月21日，瑞典数据保护机构（The Swedish Data Protection Authority，简称DPA）对当地一所高中开出了《欧盟通用数据保护条例》（GDPR）生效后的第一张罚单，原因在于该高中使用人脸识别系统记录学生的出勤率。

近年来，得益于机器深度学习在语音识别和图像识别领域的快速发展，人脸识别技术通过对个人面部图像这一重要生物特征数据（biometric data）的收集和处理，广泛应用于各个场景。面部识别技术和任何新兴技术一样具有两面性，既可以应用在识别失踪人口、快捷支付、设备开锁、机场安检等增进社会福利和效率的领域，也可能对公共安全、用户隐私造成负面影响。

去年5月生效的欧盟GDPR对于生物特征数据的收集和处理作出了明确规定，实际上为面部识别技术的应用提供了法律规制准则。瑞典DPA主要是依据GDPR第9条的规定，裁决当地高中使用人脸识别系统的行为在以下两个方面违法。

一方面，学校的数据搜集行为有违必要性原则。学校完全可以通过其他传统方式记录学生的考勤情况，通过人脸识别技术收集学生的生物特征数据存在可替代选项，不是必须的。另一方面，学校的数据收集行为缺乏正当性依据。因为学校与学生之间存在明显的不平等地位，所以即使学校已经获得了学生及其监护人对于采用面部识别技术的同意，上述同意也无法体现数据被收集者的真实意愿。

伴随世界范围内的人脸识别技术研发的热潮，人们在享受其给工作和生活带来的便利之外，在法律层面也开始关注如何对其设置更为合理和科学的监管规则。鉴于生物特征数据的高度敏感性，各国政府大多将注意力放在人脸识别技术对个人隐私的侵害方面。

当月，英国数据保护机构信息专员委员会（Information Commissioner's Office）也对伦敦国王十字车站人脸识别系统的安全性发起了调查。ICO专员表示，在公共领域适用人脸识别技术和面部信息采集系统，可能会对公众的隐私造成潜在的威胁，特别是在人们不知情的情况下。[1]

无独有偶，8月8日，美国第九巡回法院在一项裁决中表示，面部识别技术对公民隐私的伤害是具体的，并同意伊利诺伊州的一名用户以滥用面部识别技术为由起诉Facebook。[2]今年4月，旧金山监事会（The San Francisco Board of Supervisors）通过一项法案，禁止政府部门使用人脸识别技术，并规定城市机构在购买其他类型的监控技术之前获得城市议会批准。[3]此后，马萨诸塞州的萨默维尔市和加州的奥克兰市也分别在今年的6月和7月出台了禁止政府使用面部识别技术的法案。[4]

但不能忽视的是，对技术规制的最终目的还应当落脚于促进其更好为人类服务。生物识别软件制造商Veridium的CFO Jason Tooley便表示，应当努力避免创新技术被压制或停止，希望通过创新技术来提供更好的服务。亚马逊云业务全球公共政策副总裁Michael Punke曾说到：「新技术不应该因其潜在的滥用可能性而被禁止或谴责。」

相较于直接对人脸识别技术粗暴地加以禁止，更为科学的做法应当是完善此技术领域的相关法规标准，明确技术应用的法律和伦理边界。只要人脸识别技术能够确保用于合法的利益目的，收集的个人数据能够获得充分的安全保障，就应当鼓励其应用和发展。我国工信部在《关于促进网络安全产业发展的指导意见(征求意见稿)》中便表示，在加快构建网络安全基础设施的基础上，支持构建基于人脸识别等技术的网络身份认证体系。

美国发布联邦参与AI标准化的计划，推动可信AI技术的发展

关键词：AI标准、配套工具、可信赖、联邦机构参与

8月9日，美国国家标准与技术研究院（NIST）发布《美国如何领导人工智能——联邦参与开发技术标准及相关工具的计划》（以下称《计划》）。[5]此计划是为回应今年2月美国政府签署的13859号行政命令，根据该命令，联邦机构应确保AI技术标准能最大程度抵御恶意攻击，制定国家标准以促进创新、增强公众信任和信心。该行政命令同时确立了美国国家人工智能战略。

基于此，NIST计划要求政府参与制定人工智能技术标准并提供相应的指导意见，旨在支持可靠、稳健和可信赖的AI技术的发展。NIST的主任WalterG. Copan表示：「联邦政府可以通过采取与产业界和学术界开展合作、加大研究投入、参与国际化标准组织等措施确保美国在全球人工智能领域中的领先地位。该计划确保联邦政府支持灵活包容的AI标准，以跟上日新月异的技术发展步伐。」《计划》的主要内容包括：

一、联邦政府应参与制定统一AI标准。根据《计划》，AI标准是指经相关机构核准建立的，在AI活动及其结果中可以共同且重复适用的规则、准则或特征，旨在在既定范围内实现最佳秩序。统一的AI标准有利于促进市场竞争，消除贸易壁垒，激发创新活力。《计划》指出人工智能的联邦标准必须足够严格，鼓励政府优先考虑AI标准的包容性，可访问性，开放和透明，基于共识，全球相关性和非歧视性。同时，《计划》建议公共机关和私营部门开展有效合作以确定最佳标准，解决AI技术发展过程中出现的问题。

二、配套工具和方法辅助AI标准以支持AI技术的发展。除了制定统一的AI标准，可信AI技术的开发和运用还需配套其他工具加以辅助，这些工具包括但不限于：用于训练和测试AI系统的标准化数据集、AI系统中信息抓取及推理的工具、提供关于AI技术的特定应用、相关标准及最佳指南的数据信息的完整记录、验证和评估AI性能的方法、评估AI技术的指标、建模和AI测试平台、AI系统问责制和审计工具等。

三、联邦政府参与制定AI标准的具体建议。《计划》中概述了联邦机构在制定AI标准时可能发挥的四个层次的作用：监视、参与、影响或领导。为确保AI标准有助于AI技术的发展，无论联邦政府在AI制定中发挥着何种作用，NIST提出了四点建议：其一，联邦机构之间共享AI标准制定信息、共同领导并互相协调，实现效率效益最大化；其二，积极探索，开展将「可信要求」纳入制定AI标准和开发相关工具中的重点研究；其三、鼓励扩展公私合作伙伴关系，开发和使用AI标准和相关工具来推进可靠、强大且可信赖的AI技术的发展；其四，与国际战略合作伙伴合作制定AI标准，满足美国的经济发展和国家安全维护需求。

AI技术的发展加速社会和经济的转型变革，AI技术统一标准的制定在全球范围内已日益受到重视：早在2016年，国际电信联盟ITU开始开展人工智能标准化研究；2017年10月，ISO/IECJTC1成立人工智能分技术委员会SC42，围绕基础标准、计算方法、可信赖和社会关注等方面开展国际标准化工作；2019年4月，欧盟在人工智能战略指导下出台了人工智能的道德标准；6月9日，以OECD人工智能原则为蓝本，G20批准了首个由各国政府签署的以人为本的AI原则。国际标准组织IEEE从2016年起就在推进一系列的AI技术、伦理相关的标准。可见AI标准制定已经成为AI领域的战略高地，各国都在寻求主导。

目前，美国的现有AI标准主要是适用跨部门（横向）和特定部门（纵向），为确保美国AI技术在全球范围内继续扮演领跑者的地位，联邦层面上统一AI标准的制定也已开始提上日程。

NIST此计划不对AI标准作具体化的列举，而是聚焦于鼓励公私部门开展合作，并为联邦政府参与制定AI标准的具体步骤提供有意义的指导和建议。另外，NIST指出标准出台的时机也很重要。标准制定得太早，可能会阻碍创新；但若太晚，行业已形成某种共识，AI标准实施的阻碍将增大。因此，标准制定机构应该与AI技术行业保持互动，结合AI技术发展现状适时出台AI国家标准，更好促进AI技术和行业发展以创造更多效益和价值。

参考文献：

[1]https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/08/statement-live-facial-recognition-technology-in-kings-cross/

[2]https://www.law.com/legaltechnews/2019/05/02/retailers-using-facial-recognition-should-be-wary-of-illinois-and-followers/?slreturn=20190827001611

[3]https://sanfrancisco.cbslocal.com/2019/05/14/san-francisco-leaders-voting-on-facial-recognition-ban-today/

[4]https://www.vice.com/en_us/article/paj4ek/somerville-becomes-the-second-us-city-to-ban-facial-recognition;https://www.vice.com/en_us/article/zmpaex/oakland-becomes-third-us-city-to-ban-facial-recognition-xz

[5]https://www.nist.gov/news-events/news/2019/08/plan-outlines-priorities-federal-agency-engagement-ai-standards-development