最近AI换脸APP“ZAO”非常惹火，从8月31日一上线就大受欢迎，火爆得云端服务器都快宕机。实际上，AI换脸技术并不是这家长沙深度融合网络科技有限公司的首创，早在2017年美国就可以实现该技术，但却因非常耗时，对硬件要求非常高等问题而未流行。如今仅需通过手机下载这款APP“ZAO”，再加上一张照片，就可轻松实现更换视频中的“人脸”，这种“换脸神器”确属第一。

由于其技术创新带来相关的人脸识别验证是否会影响网络安全，霸道的用户协议可能产生个人信息、隐私泄露，再加上其可能侵犯他人知识产权等问题很快被工信部约谈。一时间，是“最早”真正的具有创新、新颖的“AI换脸神器”，还是糟糕的、特别能惹祸的技术开发与应用，人们对此争议不断。

我国相关法律已经明确宣示要对个人信息进行保护，但个人信息权利的具体内容包括哪些？哪些个人的信息属于此类权利保护的对象，怎样保护、保护到什么程度？一旦被侵犯后如何救济？许多这方面的问题，我国目前还没有专门的、系统的、详细的规定。虽然民法典人格权编草案三审稿进一步加强了对我国个人信息保护，但与史上最严的数据保护法——2018年5月25日正式实施的《通用数据保护条例》（Generral Data Protection Regulation，以下简称“GDPR”）相比，我国还有许多工作要做。

我个人认为，我国法律的立法价值取向在鼓励、促进包括“AI换脸”这样的技术创新和应用时，还应设定起码的、符合公共利益要求的底线。科技工作者的研发要注意符合基本的科学伦理和法律底线，不能毫无顾忌的为了创新而创新。如果像贺建奎那样突破底线，严重违背科学伦理，把基因编辑应用于人类胚胎，这样的创新不应被鼓励，反应被限制或禁止。

我国关于个人信息的保护应参照和借鉴GDPR的规定，制定一部专门的、统一的《个人信息保护法》。明确界定“个人数据”或者“个人信息”的含义、范围；严格区分一般个人信息和敏感个人信息，明确规定“同意”的系统框架；对个人的数据及信息的控制处理主体应如实告知数据主体其收集、使用、查阅个人数据以及处理或将处理该等个人数据的程度；明确个人信息权的具体内容包括知情权、访问权、更正权和可携权、被遗忘权等权利；还应对个人敏感数据及信息、跨境应用、防止泄露及其他特别保护等救济方式进行明确规定。一定要逐步遏制我国大量个人信息因无保护而“裸奔”的现象，相关规定应明确信息控制者须承担的必要义务，否则将为此承担严重的法律后果。

科技并非完全中立，在创新的同时也应注意守正。如果AI换脸APP“ZAO”能重视并解决关于个人信息的保护问题，防控好其中潜在的安全隐患、科学合理安排保护个人信息，能够做到合理合规，相信一定是一款真正受欢迎的爆款AI换脸神器。

作者：崔晓文 教授（绮惠律师事务所、重庆交通职业学院）