前不久有一款換臉軟件突然爆紅，其隱私政策引起了很多法律界朋友的廣泛討論，有的認為有效，有的認為無效，我個人認為對于一款涉嫌危害公眾生物識別信息安全的軟件，如果其本質上沒有其他實質性非侵權用途和顯著的價值，那么就屬于違法產品，討論其用戶協議有效無效是沒有意義的。

輿論發酵后，相關企業表示修改用戶協議，承諾不保存用戶人臉信息，這事兒看樣子就要這么不了了之了。但這種承諾是不足以消除使用過該軟件的用戶的擔心的，因為從公安部門公布的大量個人信息犯罪案件的情況來看，大量的所謂大數據公司都是無所不用其極地獲取個人信息并打通數據，進行關聯和深度挖掘處理然后直接買賣，流向黑產，而正規企業無論是頂級的互聯網巨頭企業還是銀行證券公司，都不能保證信息安全可以做到萬無一失。

為什么我們這么多沒有使用那個軟件的看似無關的人都這么關注人臉信息呢？因為人臉信息屬于自己難以控制他人采集的生物識別信息，在采用各種新技術進行詐騙犯罪這個問題上，誰也別想憑著自己的小心謹慎和經驗老到做個超然的局外人。如果你收到的電話語音和視頻都是足以亂真的假貨，網絡支付的人臉驗證身份就讓人不敢再繼續使用，這種恐懼和不安全感也是社會公眾難以承受的。

試想一下如果你突然陷入一個網絡關注事件，你拿出視頻怎么證明是真的？你面對一個偽造的視頻又如何讓人相信是假的？我相信玩這個軟件的用戶絕大部分并沒有被告知各種可能的潛在風險，否則他們應該不會同意，那種代入明星的享受雖然也不錯，但若要付出金錢乃至其他代價，你還會愿意嗎？

所以我相信，雖然在換臉軟件這里看似是用戶自愿點擊“同意”奉上自己的人臉信息，如果你把2017年12月Reddit網站上“DeepFakes”賬號展示的通過AI合成的明星色情片同時也提示給用戶，不知道還會有多少用戶繼續點擊這個“同意”？

美國當時發生此事后，不僅大企業，連色情網站都封禁了相關視頻和搜索，但潘多拉盒子一旦打開就難以禁絕，源代碼的泄露，使用深度學習算法（生成式對抗網絡）等技術不斷在演進，這次國內有企業推出這個產品大概也是在試探監管的底線和公眾的反應。

企業推出這個產品之前肯定知道這是高度敏感的個人生物識別信息，一旦泄露后果嚴重，就算合乎成文法，也不合“規律”之法。否則，美國的谷歌、蘋果，國內的騰訊、阿里這些公司為什么不做？它們是缺技術還是缺創意？都不是，缺乏足夠的膽量。

P2P網絡貸款公司當年崛起時被認為是互聯網金融創新，很多人都很看好，但最近兩年大量公司跑路，投資有去無回。這充分證明，各種網絡“風口”等網絡言論不一定靠得住，企業需要不斷推出商業新概念吸引市場和公眾的注意力，說得對做得好的，監管從善如流，這是大好事，但也不可過于跟風，寬容創新固然沒有錯，但需要我們寬容的是新技術、新商業模式對傳統既得利益的觸犯引起的壓制、反抗，而不是寬容損害大多數人利益而肥了極少數人的本質上屬于危害公眾利益的所謂“創新”。監管還需要有常識、有定力、有遠見，不能被一些企業和資本收買的專家蠱惑。

人臉生物識別信息與基因信息、虹膜信息、指紋信息等一樣，都是不可再生的生物識別信息，無論公權力出于正當履職需求使用還是商業企業需要使用，都必須高度克制和謹慎。

最近幾年，雖經公安部門嚴厲打擊，電信詐騙犯罪有所收斂，但總體仍猖獗，造成的損失也十分巨大。如果說實名制的手機號碼甚至身份證號碼這些信息理論上尚可變更修改，生物識別信息則耗費再大的成本也無法修改，無法重建安全體系。

國內網絡安全界技術專家談劍鋒等人在兩會上多次提出重視網絡安全相關建議，現在看來，非常有必要在正在擬議研究的《中華人民共和國個人信息保護法》中，就個人的生物識別信息相關問題進行深入研究，并確立適當的法律制度。