据悉，截止8月31日下午14时，“ZAO”在苹果应用商店App Store的在免费App的下载排名中已跃居第二。同时Android用户在应用宝、华为、Oppo、Vivo电子市场都能搜索ZAO下载使用。

Android用户搜索显示

由此可见“ZAO”非一般的火爆。

网友曝，“ZAO”的上手门槛极低，用户不需要任何专业技术即可使用；且“ZAO”提供了许多现成的新老知名影视剧中的片段，可供用户视频换脸、造表情、并分享朋友圈同好友一起互动。相信，如此方便的操作方法亦是“ZAO”火爆的一个重要原因。

虽然，我们并不认同“用隐私换便利”，但是也不得不承认，愿意交出我们的“脸”来换取一时的娱乐的人仍不算少数。“ZAO”几秒生成一段用户变身主角的视频互动更让用户在娱乐中体验到一种别样的“爽”。

同时不可否认的是“ZAO”软件的互联网安全隐患问题已经引起了社会大众的关注。在此，小编想说的是，如此火爆的“换脸”APP若是被欧盟人使用了是否会涉及更多法律责任？“ZAO”在中国会遇到GDPR监管吗？

众所周知，GDPR被称为史上最严格的数据保护立法，且其适用范围极广，既有范围适用（GDPR第2条）又有地域适用（GDPR第3条）。且GDPR适用于所有对于个人数据的使用及处理行为，包括人工的处理以及自动化的处理。

在GDPR域外适用的规定中数据主体范围为“在欧盟”的数据主体，包括身处于欧盟的任何国籍的自然人（见GDPR前言第14条），并非仅仅指欧盟居民（无论其身在何方）。

因此，中国企业要考虑其的产品是否会收集用户（包括可能的欧洲的客户）的个人数据，因为这有可能会导致GDPR的适用。这些收集个人数据的情形有如大数据分析、物联网、或者作为人工智能中的训练数据（training data）等。

网评，“ZAO”的风险点在于一是用户无法直接删除自行体验并上传的图片，只能根据平台要求上传新的脸部照片用于替代，从而达到删除旧照片的效果；二是用户无法通过自行操作注销自己的ID。另外还有质疑平台是否有能力保护好用户个人信息？

首先，GDPR规定，收集个人隐私数据应基于“同意”进行，且必须在自愿的基础上给予“同意”，同时数据主体有权随时撤回其“同意”。撤回“同意”和做出“同意”应该一样容易。

GDPR第七条同意的条件规定：

1、当处理是基于同意时，数据控制者应能证明已同意对其个人数据进行处理。

2、如果数据主体是通过书面声明方式表示同意，且该声明还涉及其他事项，对同意的请求应以与其他事项明确区分，明细且方便获取的形式，用清晰且简明的语言呈现。该声明中任何构成违反本条例的部分都应不具有约束力。

更多关于GDPR“同意”的内容请参考SCA整理的《GDPR个人“同意”后企业才能收集数据？要怎样操作才合规？》一文。

而人的脸部数据属于个人的生物信息，目前已经广泛应用于支付、门禁及手机解锁等领域。但是在“ZAO”的“用户协议”和“隐私政策”都未提醒用户主动阅读方式，也没有提供用户可以勾选同意的按钮。

其次，GDPR从数据主体处收集信息时的信息提供中规定，若数据控制者要向数据主体收集其个人数据，必须提供相应的信息以供数据主体确认其个人数据提供的安全性，且在细节层面上，基于对于该个人数据透明性及程序性处理的要求。

GDPR第三章数据主体的权利第13条第1款规定：从数据主体处收集有关数据主体的个人数据时，数据控制者应当在获得个人数据时向数据主体提供以下所有信息：

a、数据控制者的身份和详细联系方式，以及数据控制者代表人的身份和详细联系方式；

b、数据保护官员的联系方式（如适用）;

c、个人数据的处理目的以及处理的法律依据;

d、当处理是依据第6条第1款（f）项时，数据控制者或第三方追求的正当利益;

e、个人数据的接收者或者接收者的类别（如果有的话）;

f、数据控制者打算将个人数据转移到第三国或国际组织的事实，以及欧盟委员会是否就此问题做出过充分决议，或在本条例第46或47 条或第49条第1款第2小段规定的传输情形下，所采取的保护个人信息的合理且适当的安保措施以及获取该副本或该副本可供获取的方式（如适用）。

天眼查资料显示，“ZAO”全称ZAO逢脸造戏，这款App属于长沙深度融合网络科技有限公司，其背后股东则来自主打陌生人社交起家的社交平台陌陌。

“ZAO”在“用户协议”第1条指出，本协议是您与ZAO及其相关服务可能存在运营关联公司（“关联公司”）之间关于您使用“ZAO”提供的服务而订立的协议。在“隐私协议”中开头也指出“ZAO”的运营主体是长沙深度融合网络科技有限公司及其关联公司。

此处所表明的“关联公司”是谁，范围是多大？长沙深度融合网络科技有限公司与其关联公司，是否因为向用户提供服务，而进行两者之间的个人信息共享？

另外，用户通过ZAO软件（或者说这一类软件）被收集的面部特征信息会流向何处，用于何种用途，这才是用户真正担忧的。如果犯罪嫌疑人利用“ZAO”之类的换脸软件假冒他人实施诈骗他人钱财的行为，将承担什么法律责任？如果直播网红换脸被打赏被发现了是诈骗行为该怎么办？

相信许多人对于GDPR最熟悉的部分就是其的高昂的罚金，即2千万欧元或百分之四的上一财年的全球收入的罚金（两者以最高的为准）。单就罚金的适用而言，GDPR第83条第1款规定了许多欧盟监管机构在处罚时候应该要全盘考虑的因素，这些因素包括了如数据泄露的严重性、受影响的数据主体的人数、出现数据泄露时数据控制者或者处理者的减损行为、是否先前有相关的违反GDPR的行为、对监管机构的调查的配合程度等。

关于个人生物数据保护，被GDPR处罚的一个最显著例子是2019年8月21日，瑞典数据监管机构（DPA）对当地一所高中开出第一张基于欧盟《通用数据保护条例》（GDPR）的罚单，金额为20万瑞典克朗（约合人民币14.8万元）。因为该校使用人脸识别系统记录学生的出勤率，瑞典数据监管机构认定学校董事会对学生个人信息的处理不符合GDPR的规定。关于GDPR行政罚款的相关内容请参考SCA《GDPR哪些情况下会对企业征收行政罚款？》一文。

最后，本文由SCA安全通信联盟整理，发表本文的目的在于传播GDPR有关法律知识，同时提醒企业在开展相关商业活动的同时，主动担当法律责任，规避违法风险。相信在社会上树立守法的企业形象，将更有利于企业将进一步发展。SCA安全通信联盟，关注安全通信和身份认证领域，为信息安全领域提供中立、专业的认证咨询服务。更多问题欢迎关注SCA官方微信公众号“奥航智讯”留言讨论。

相关参考文章：

《专家深度|除了用户协议“ZAO”还做错了什么？》https://mp.weixin.qq.com/s/NQqYKmjaUcTZU8OP246Ugw

《AI换脸“ZAO”刷屏：上传自拍可变主角，引隐私泄露担忧》https://mp.weixin.qq.com/s/pCoj4o3t0rZ-shGtjDH3Fw

《换脸“ZAO”会攻破刷脸支付吗？ 银行回应：活体识别技术可抵御》https://news.sina.com.cn/o/2019-09-03/doc-iicezzrq3025626.shtml