适用场景
面向开发或运营涉及用户生成内容(UGC)、AI换脸、图像处理等互动功能的出海互联网企业,特别是在产品设计、用户协议起草及数据收集阶段需要重点关注。
核心要点
1. 个人生物识别信息的严格保护
人脸等生物识别信息属于敏感个人信息,受到中国《网络安全法》、《个人信息保护法》及欧盟GDPR等法规的严格规制。收集和使用此类信息必须遵循合法、正当、必要和同意原则,且通常仅限于特定目的,不得随意共享或用于其他用途。企业需区分用户主动公开与被动收集的信息,并给予相应程度的保护。
2. 著作权授权与合理使用边界
对影视、图片等作品进行AI换脸或修改,可能涉及侵犯原作品的修改权、保护作品完整权等著作权。企业常见的“非商业性使用”声明并不能自动构成法律上的“合理使用”,未经权利人明确授权即允许用户使用相关素材存在极高侵权风险。最稳妥的方式是提前获得著作权人的合法授权。
3. 用户协议须遵循公平原则
用户协议属于格式条款,其内容必须符合《民法典》规定的公平原则。条款若过度免除自身责任、加重用户责任或排除用户主要权利(如要求用户授予无限、免费、永久的全球肖像使用权),可能被认定为无效。协议应明确、合理限定数据使用范围,并易于用户理解。
4. 数据处理的全球合规义务
若业务涉及欧盟用户,企业需遵守GDPR的“长臂管辖”原则。GDPR将生物识别数据列为特殊类别数据,原则上禁止处理,仅在有用户明示同意等少数例外情况下方可进行。企业需建立符合GDPR要求的数据处理机制,否则可能面临巨额罚款。
实务建议
- 在产品设计阶段,即贯彻‘隐私设计’理念,仅收集实现功能所必需的最少数据,并对生物识别信息进行特别标注和保护。
- 起草用户协议和隐私政策时,避免使用模糊、霸道的无限授权条款,明确、具体地告知用户数据收集的目的、范围和使用方式,并获得用户单独、明示的同意(特别是对敏感信息)。
- 对于产品中使用的第三方影视、音乐、图片等素材,务必在上线前获取完整的著作权授权链条,切勿依赖‘合理使用’或‘非商业使用’作为侵权抗辩的主要依据。
- 建立数据分类分级管理制度,对个人生物识别信息实施加密存储、访问控制等更高等级的安全保护措施。
- 若业务涉及欧盟用户,立即评估并调整数据处理活动以满足GDPR要求,特别是关于合法基础、用户权利响应和数据跨境传输的规定。
- 定期审查和更新用户协议与隐私政策,确保其与业务实践和法律法规的变化保持一致。
风险提示
- 误区:认为‘非商业目的使用’等同于‘合理使用’,可免于著作权侵权责任。正解:商业目的并非侵权认定的唯一标准,未经许可的使用本身即可能构成侵权。
- 误区:用户主动上传的信息(如公开照片)企业即可随意使用。正解:即使信息由用户公开,企业的使用仍可能受肖像权、著作权等限制,需获得相应授权。
- 误区:仅遵守中国法律即可。正解:若业务触达欧盟等法域,必须同时遵守当地严格的数据保护法规(如GDPR),否则将面临严厉处罚。
- 注意事项:用户协议中过于宽泛、不对等的授权条款不仅是公关危机,更可能导致相关条款在法律上被认定为无效,使企业处于不利地位。
- 注意事项:技术上的‘匿名化’处理必须达到无法识别特定个人且不能复原的标准,否则相关数据仍属于受保护的个人信息。