FaceApp資安疑慮：上傳照片沒關係？個人生物特徵洩漏有這兩種風險

議題背景

本次即時回應的議題，是FaceApp引發的資安疑慮。俄羅斯公司Wireless Lab開發的FaceApp，是使用AI演算法替照片加上特殊效果或變化。自去（2019）年推出「老化功能濾鏡」後，今年又推出「變性功能濾鏡」，再度成為風潮，大眾紛紛使用FaceApp上傳自己的照片，想看到自己老態龍鍾或性別轉換的樣子。

但是App收集大量的使用者照片，擁有存取個人相簿甚至手機內其他個人資料的權利，也引發了許多隱私爭議。

相關新聞與討論：

• HiNet生活誌：大家都在玩！「變性濾鏡」超夯，使用疑慮曝光：要注意
• 自自由時報：玩「變性」濾鏡要小心！FaceApp曾爆發隱私爭議、誤觸訂閱

究竟使用FaceApp會不會洩漏大量個人資料？使用FaceApp上傳照片，要承擔哪些資安風險？對此，我們邀請專家回應如下。

徐瑞壕（國立中山大學資訊工程學系助理教授）
2020年7月3日

FaceApp以人工智慧的技術提供了照片變臉的功能，讓每個人可以上傳自己或別人的照片，來看看原本照片中人物變老甚至是變性之後的樣貌。使用FaceApp「變臉」之前，使用者須將自己的照片上傳至FaceApp的伺服器，或是讓它可以存取使用者手機內的照片，並使用這些照片來轉換臉部照片。

然而FaceApp由俄國的公司所開發，卻也引發了照片外洩給俄羅斯政府的疑慮，甚至FaceApp可能不經使用者的同意而直接存取手機內的照片，並危害使用者隱私。

而洩漏個人照片引發的資安危害，不小於Zoom平台洩漏視訊會議內容所造成的危害。個人照片可被視是獨一無二的個人特徵識別資料，也就是所謂的生物特徵。個人生物特徵洩漏可能造成以下兩種風險：

1. 個人行蹤暴露：由於人臉辨識技術的普及，有些國家已經建立全國性的監視系統，如個人人臉照片被存入監視系統的資料庫當中，可被用來進行各種資料比對，進而可確認每一個人的活動行蹤，也因此造成了嚴重的隱私危害。
2. 個人識別資訊被盜用及偽造：在使用人臉辨識作為安全識別的系統當中，外洩的個人照片可被用來製造出「可通過人臉識別系統認證的人臉照」，進而產生身份盜用的後果。此外，可透過深偽（深度偽造，Deepfake）技術（註1）來偽造個人照片，藉由將當事人外洩的個人照片與其他人的照片或影片進行結合，假造出不屬於當事人的照片或影片場景，藉此產生對當事人的名譽傷害或是達到不法的意圖。

綜觀上述而言，個人照片的外洩，影響層面相當的廣大，個人在使用各種手機App軟體之前，應充分的了解所存在的各種風險，並且事先了解App使用了哪些手機的權限（註2）。避免App使用不必要的權限，例如存取手機的個人檔案、通訊錄以及錄影音等操作。

而上傳至雲端的個人照片以及檔案，會存在多久以及如何的被使用，每個業者需要根據公司以及服務對象的所在國家規定的隱私性保護法規，來管理、保存以及使用檔案（註3）。

然而如有以下的情況，如App開發及雲端業者較為名不見經傳，或是其公司所在國家的隱私性保護法規制定較不完全等情形時，個人手機用戶需要謹慎的考慮使用此App以及雲端服務的風險，如此才能防範未來可能發生的各種個資盜用風險與活動。

註釋

1. 深偽技術：可以用人工智慧生成非常逼真且具有足夠解析度的偽造影像，請參考資安趨勢部落格〈什麼是Deepfake（深偽技術）?〉。
2. 延伸閱讀文章：孰真孰假誰能分辨？談AI偽造影像帶來的危機
3. 請參考自由時報〈你手機安裝的免費App會外洩個資嗎？隱私自保2招撇步學起來〉。
4. 大西洋兩岸的公司必須遵守「歐盟-美國隱私保護盾」的規定，來保護使用者的個人資料。請參考Microsoft〈歐盟美國和瑞士美國隱私權護盾架構〉。

本文經新興科技媒體中心授權刊登，原文刊載於此

責任編輯：朱家儀
核稿編輯：翁世航