白 硕 纪泽坤

（北京物资学院法学院 北京 通州 10049）

在人工智能时代，大量新技术涌入我们生活中，带来经济利益的同时，也伴生许多法律风险，传统的规制模式亟需更新完善。“深度伪造”技术最初主要是应用于影视领域制作，后来随着“ZAO”“去演”等换脸APP的问世，一部手机、一张照片，点击“一键换脸”就可以替换任意视频素材中的人脸。“深度伪造”最常见的应用就是“AI换脸”，大数据获取的基础上生产高度逼真的合成数据，如专业影视、图像制作，短视频、动图社交，此外还可应用于语音合成、虚拟偶像、线上试衣等。不可否认，其在诸多领域都能创造积极的价值。然而，在带来广泛应用的同时，“深度伪造”技术的产物同时又具有极大迷惑性，让人难辨真假。结合当前社交网络极其开放流动、国际化的特性，使得大量虚假的信息，以“高度可信”的方式呈现给大众，所带来的法律风险是不可估量的。有人利用“深度伪造”侵害他人人格权益的现象愈加频繁地发生，其中也涉及到技术平台及相关产物制作者的责任承担法律规制。新技术带来新挑战，给人们敲响了警钟。

一、“深度伪造”技术应用的法律风险

由于“深度伪造”和互联网的特性，侵权现象很容易发生。本文将从民法领域，基于对“ZAO”“去演”等换脸APP平台协议和实践的探究，对“深度伪造”的法律风险加以分析。

（一）对肖像权、声音权、名誉权等人格权侵权的风险

《民法典》颁布后，明确了构成声音、肖像侵权的构成要件。通过“ZAO”的隐私协议可以看出，用户使用换脸功能必须打开相机、相册等设备应用访问权限，并选择上传照片。而选择过程将会使相册中其他授权外的面部信息，暴露在“ZAO”的检测系统中，其肖像权侵权风险不言而喻。软件对照片的识别技术依然存在疏漏，有些长得像的非本人也能通过真人验证。此时，“深度伪造”替换样本的获取往往并没有取得相应权属人的同意，这就给肖像权侵权提供了可能。声音权侵权风险也是同理。

（二）在个人信息保护领域的风险

换脸APP中“深度伪造”技术的运用，首先要进行人脸识别，而人脸数据属于通过生物特征识别技术获取的个人生物识别信息。《民法典》第一千零三十四条规定，个人生物识别信息属于个人信息，属于法律的保护范围。这些生物特征一旦被伪造、被滥用，将给权利人带来极大的风险。对此，笔者认为，可以从“深度伪造”技术运用的动态过程角度，进一步分析潜在的法律风险。这一过程不仅涉及人脸信息的采集，还涉及人脸信息的储存、使用、删除等，结合“ZAO”和“去演”APP用户协议和隐私条款，可能侵害诸多法益。

（三）“深度伪造”法律风险的特殊性

曾希望将这项技术大众化、普遍化而诞生出的许多换脸APP，最终却都落得个红极一时、昙花一现。在观察“深度伪造”市场化结果后，笔者发现，“深度伪造”的独特性在于，一旦广泛使用，它给我们现在所处的互联网大数据社会实名认证带来的冲击将是颠覆性的，故而引发了社会公众对著作权、个人信息、肖像权、隐私权等领域保护的担忧。

二、我国法律规制的现状和不足

尽管我国对于“深度伪造”的风险规制处于初始阶段，但是仍然建立起了相对完善的规制机制。《民法典人格权编》《个人信息保护法》《数据安全管理办法》《网络音视频信息服务管理规定》等法律法规，均可作为 “深度伪造”的法律规制依据，在一定程度上可以被既有责任体系涵盖。然而，我国对“深度伪造”规制虽有法可依，但现有规则是否能够有效规制“深度伪造”风险还不确定。很多规制都尚不完善，且存在不足，有如下三点。

（一）我国目前没有对“深度伪造”形成专门性立法

现有规制往往是从各领域法律条文中寻找依据，相对碎片化。对于规定了收集个人信息明示同意规则等生物信息保护条款的《个人信息安全规范》，其性质属于国家标准，不属于“法律”，效力较低。缺乏一个整体的、系统的法律规制机制来应对这样一种科技创新，且没有形成一个针对“深度伪造”产品制作者、数据平台、使用者等不同主体相关权利、义务、责任的完整规制框架。

（二）大多数条文比较抽象

在法律具体实施上缺乏更为细致的规范，且现存收集处理个人生物信息的主体对于信息的控制和保护能力参差不齐。

（三）现有规则更多是一种事后规制

例如换脸软件“ZAO”因为霸王条款、数据风险等安全问题爆出，相关监管部门才对其进行约谈要求整改，对于软件上架之前的审核不完善。不同主体代表着不同利益诉求，法律应进一步予以调和、平衡平台责任。由于“深度伪造”产品的高度“真实性”，同时还应当促使相关“深度伪造”产品甄别技术标准逐步完善，加强行业自律，在事前和事中阶段加强管理，避免因“深度伪造”形成严重的危害后果。

三、“深度伪造”风险的域外法律规制比较

随着“深度伪造”不断发展，相关换脸应用层出不穷，由此引发的侵权风险逐步加剧，各国也纷纷出台应对措施，处理手段与实践结果各有特色。

（一）美国的相关法律规制

“深度伪造”技术应用最早出现于美国，随着技术和应用的不断发展普及，其所带来的风险和担忧也在美国实践中大量显现。由此，美国在“深度伪造”的法律规制方面不得不加快步伐，以遏制这一新技术造成的不利影响，很早就开始进行规制实践。

1.从技术本身不当应用角度，对“深度伪造”进行的法律规制

与中国的分散式规制不同，美国已经有了直接对“深度伪造”本身不当应用进行规制的相关措施。2019年6月，美国针对“深度伪造”的风险及防范措施召开听证会。随后议会提出《2019年深度伪造报告法案》。该法案将概念外延略大于“深度伪造”的“数字伪造”定义纳入到规制体系中。2019年6月，美国众议院提出《深度伪造责任法案》，该法案明确了“深度伪造”不当使用行为的法律责任，要求“深度伪造”技术产物制作者，必须以水印或文本标注等形式表明文件的“伪造”属性及“伪造”程度，进行信息披露，以实现与真实视频的区分，否则将根据所造成的侵权后果受到相关责任追究。

2.从传统个人信息保护角度，对“深度伪造”进行的法律规制

“深度伪造”实际上是对生物识别数据进行“伪造”，因此，通过对“生物识别数据”的保护，实现抑制“深度伪造”不当使用带来的负面效应，也是一种可行的路径。早在“深度伪造”技术广泛应用之前，就有了关于“个人信息保护”的相关法律规制，大致如下：2009年，得克萨斯州《生物识别信息获取使用法》，按照信息收集、使用阶段过程进行规制；2017年，加利福尼亚州《加州生物信息隐私法案》进一步具体化，规定了收集阶段的知情授权原则；2019年，佛罗里达州《生物识别信息隐私法案》细化了信息使用和保管阶段的规则；华盛顿州《华盛顿隐私法案》明确了数据权利主体对于个人信息的各项权利，如访问权、更正权、删除权等；2019年3月，美国联邦人脸识别隐私保护第一部法案《2019年商业人脸识别隐私法案》还增加了投入市场应用需第三方测试，人脸识别运营商“数据安全性、最小化、留存”等规定；2019年4月，美国联邦《隐私权利法案》也从个人权利角度作出回应。

（二）欧盟的相关法律规制

与中国、美国的“深度伪造”法律规制形成鲜明对比的是，欧盟主要是通过对个人信息的严格保护和虚假信息治理两个方面限制“深度伪造”技术的应用。

1.通过严格个人信息保护对“深度伪造”进行的法律规制

欧盟非常注重个人信息保护，相关规制体系的建立已趋于成熟，并配套有对应的网络音视频服务商信息利用标准，严格的信息收集者、处理者、控制者、运营者责任义务规定，以及个人信息泄漏后的救济措施。2018年欧盟正式实施的《通用数据保护条例（GDPR）》就有所体现。此外还规定了可能被用于制作深度伪造内容的人脸图像属于“生物特征数据”，对于这类具有隐私特征的特定个人信息也应予以特殊保护。如收集目的按约合法，非经同意不得处理，将换脸软件纳入了规制。在公民的基本人权与第三方信息汇总与收集之间寻求最佳平衡点。

2.通过严厉打击虚假信息对“深度伪造”进行的法律规制

“深度伪造”与虚假信息相似，均是伪造不真实信息，并试图操纵信息以获得利益或造成损害，因此可以将其归到已有的关于虚假信息的规制框架中进行处理。2018年4月末，欧盟委员会《应对线上虚假信息：欧洲方案》提出各利害关系主体合作，建立评估审核机制，改进信息来源，提高信息生产、传播过程中的透明度，提高信息的可信度，以实现全面防范视频、图像和文字等虚假信息。2018年9月末，欧洲主要网络服务商提出的《反虚假信息行为准则》提倡平台自律监管，自觉限制、治理“深度伪造”违法内容。

（三）域外法律规制经验分析

根据美国及欧盟的规制经验，并结合我国现有法律规制的不足，应做出相应借鉴和改进，明确相关主体的权利、义务及法律责任，完善侵权救济渠道，同时推动辨别技术发展和机构监管，建立有效的针对“深度伪造”技术应用风险的法律规制路径。

四、“深度伪造”技术应用的法律对策及建议

由于“深度伪造”自动对抗式的技术逻辑，受害人可以依据《民法典》人格权编的相关规定维护自己的合法权益。我国民法领域“深度伪造”技术应用的法律规制，还需结合我国国情以及社会经济发展状况进行完善。

（一）统一规范平台在信息保护动态过程中的义务标准

结合相关法律规定，“深度伪造”技术平台主体目前应根据法律义务，履行更严格的收集使用说明义务，在信息权利人完全知情的条件下取得其授权同意。

采集的人脸识别信息仅在有限时间、为特定目的使用。为保障个人信息数据安全，在权利人收回授权或要求删除、注销后，应立即删除所有获得的数据和个人信息。若“深度伪造”平台违反上述义务，则可能在个人信息的采集、使用、储存、阶段发生侵权行为。此外，由于“深度伪造”风险的特殊性，平台也应自觉主动加强行业自查并接受政府监管，事前报备，事中定期报告及时反馈，事后积极配合补救。

（二）平台侵权责任归责原则的适用

尽管平台在“深度伪造”信息管理过程中承担较多义务，但也并不是无限制的。要认定其最终构成侵权，还需要具有“主观过错”。在诉讼证明责任上，笔者认为适用“过错推定”的归责原则更为合适，平衡个人权利和技术推广。相比个人信息权利人，信息处理者即平台显然占有更加有利的地位。其掌管信息数据并在后台进行“深度伪造”技术运行，拥有更强的能力和便利条件，并可以更低的成本证明其行为与信息损害后果之间有无因果关系，倘若无法证明则可推定事实上的因果关系成立。“深度伪造”平台是风险的带来者。

（三）明确技术产物制作者主动标识义务

“深度伪造”技术产物制作者作为行为和传播源头，有必要对其提出相应规制。控制住制作者这一源头，将极大地减小对于后面环节法律监管的压力。其基本义务就是要在换脸视频显要位置明确与普通视频的区分，并标注视频来源、原作品相关信息、有无授权等。在上传网络及平台进行传播时，也应再次作出清晰的声明，告知平台和平台用户其“深度伪造”性质。如果制作者违反主动标识义务，则要承担过错侵权责任。

（四）强化技术平台审查责任

在当前信息时代，平台为信息传播提供途径和载体。如前所述，公民仅为个人学习欣赏研究制作“深度伪造”视频并不会构成侵权，而一旦上传至网络平台进行传播，则使其具备了违法可能性。此时，平台作为一个重要的中间媒介，具有一定的审查责任，防止虚假信息在社会公众中大量扩散，造成信息混乱、侵权乱象和社会信任危机。但是，由于现阶段尚没有能成熟完备识别筛选“深度伪造”产物的技术，不应给平台设定过重的义务要求。具体而言，可以根据《信息网络传播权保护条例》《民法典》《个人信息保护法》及《电子商务法》等相关规定，适用“避风港”原则，即适用处理侵权纠纷的“通知与删除”程序。平台只要履行了一定义务即可被认为履行了审查责任。若怠于履行上述义务，造成相应后果，则需要承担连带责任。在“深度伪造”技术产物的制作和传播过程中，起最主要作用的就是制作者和平台。因此，为防止“深度伪造”技术的滥用，必须从不同主体权利义务规制角度，建立事前预防和事后救济相结合的法律规制框架，有效降低法律风险的发生。

（五）加强有关部门互联网新技术新应用安全评估工作

目前，我国主要负责“深度伪造”技术应用安全评估的监管部门是网信办及公安机关。这些部门应依据《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等法律法规作出相应对策，不断建立健全事前、事中及事后的监督体系。在事前做好规定，要求“深度伪造”互联网平台及时实行自我监督，定期评估，并向有关部门备案报告，有关部门也要及时作出回应，必要时应依据职责开展现场检查。在事件中相关部门应开展定期和不定期的巡查工作，把监管落到实处，严格规范制度和程序。在事后及时采取有效整改措施，予以补救和惩戒，与社会各界共同维护网络传播秩序，营造良好网络生态。

结束语：

随着人工智能的不断发展，“深度伪造”技术将“换脸”“换声”等变成了可能，不可避免地引发了一系列关于人格权保护方面的法律风险问题。从人格权保护角度，根据不同责任主体义务分析了法律规制的方向和路径，旨在构建一个较为完善、层次分明的法律规制体系，将零散的法律法规进行整合，填补法律漏洞和空白。但是，对于“深度伪造”带来的风险，除了要在法律层面予以完善，还应在技术及公众意识层面不断加强，才能形成社会合力，有效避免侵权现象出现，在个人权利得到保障的前提下实现技术进步。