Mag FaceApp echt zomaar je gezicht voor alles gebruiken?

Met het populaire FaceApp kun je er op foto’s ouder uitzien, maar geef je ook je foto’s en persoonsgegevens weg aan een bedrijf dat deze mag verkopen. Dat meldde Nu.nl onlangs. Er is nogal wat ophef over deze voor mij onbegrijpelijk populaire app, omdat in de kleine lettertjes staat dat men alles mag met je foto en dat zou Russische criminelen faciliteren in het plegen van cybercrime. Aldus Rian van Rijbroek denk ik, want ik begrijp er niets van. Ik zie eerlijk gezegd niets dat fundamenteel anders is dan hoe zeg Facebook of Instagram met je foto’s omgaat. Maar dat zijn geen Russen, zoiets?

FaceApp heeft niets met Facebook te maken: het is een app waar je een portretfoto in stopt en die dan een verouderde versie van je gezicht genereert. Leuk, maar de foto’s gaan naar een server van FaceApp en die staat in Rusland ergens. De app bestaat al een paar jaar maar is nu populair vanwege de zogeheten “FaceApp Challenge”, wat geloof ik neerkomt op dat je laat zien wat de app met je gezicht doet. Ja, ik voel me ontzettend oud bij het typen van deze regels.

Een developer veroorzaakte enige ophef toen hij meldde dat foto’s naar servers in Rusland werden geüpload én dat in de voorwaarden van FaceApp staat dat de foto’s commercieel gebruikt mogen worden door het bedrijf en haar zusters/moeders, plus alle “bedrijven die zich later bij deze groep kunnen aansluiten”. Dat laatste suggereerde volledige vrijheid: iedereen kan immers lid worden van zo’n groep. Alleen: een ‘groep’ is juridisch voor “concern”, en zomaar lid worden van iemands bedrijfsconcern komt echt niet voor. Dat noemen we een fusie of overname, en het is vrij ondenkbaar dat je dat doet om toegang tot foto’s te krijgen.

Daarnaast bleek vervolgens dat de foto’s helemaal niet in Rusland terechtkomen maar gewoon gezellig in de VS, en het bedrijf wist foto’s na 48 uur. Ja, zeggen ze en dat kun je lastig controleren. Maar toch. Het voelt behoorlijk als een storm in een glas water, zeker gezien de weinig unieke werkwijze van deze app. Er zijn tientallen apps waar je foto’s uploadt die dan in de cloud terechtkomen, pardon in de VS.

Maar stel nu eens dat de gegevens echt in Rusland komen en dat de voorwaarden wel letterlijk zeggen “wij mogen alles inclusief verkopen voor alle doeleinden”. Mag dat dan? Auteursrechtelijk (je hebt auteursrecht op je selfies) is dat mogelijk, zo’n brede licentie kun je vormvrij geven zoals dat heet. Dus daar kun je als fotograaf weinig meer tegen doen.

Privacytechnisch ligt dit anders: de AVG is van toepassing op FaceApp omdat het gaat om persoonsgegevens die in Europa verzameld worden. FaceApp heeft dan toestemming nodig, en die kun je niet in de voorwaarden opvragen. FaceApp kan natuurlijk zeggen dat het uploaden en analyseren van de foto noodzakelijk is voor de gevraagde dienst – hoe kun je een portret verouderen als je geen kopie van het portret krijgt – maar dat zou met zich meebrengen dat de foto weg moet direct nadat deze is geanalyseerd en verouderd. Immers daarna is de dienst klaar.

Het enige argument voor FaceApp dat ik kan bedenken is dat het bijtrainen van de AI met geuploade foto’s een aanverwant doel is (en dus doelbinding heeft) met het maken van de veroudering. Het leren van een dienst om in de toekomst andere mensen betere dienstverlening te geven, is denk ik wel te rechtvaardigen als zo’n aanverwant doel. Ik mag ook tevredenheidsenquêtes doen onder mijn klanten zonder aparte toestemming. Daarnaast kun je zeggen dat dit bijtrainen een vorm van statistisch onderzoek is, en dan is er per definitie sprake van doelbinding. Hier is vooralsnog nul jurisprudentie over maar ik zie hem wel.

Arnoud

9 reacties

  1. Wat ik mij overigens afvraag is of je wel zo makkelijk de rechten op je portretfoto kunt delen. Okay, in geval van een selfie kan het, maar als ik een foto van Arnoud maakt en Arnoud gebruikt deze foto met FaceApp, heeft Arnoud dan niet mijn auteursrechten geschonden? Mag je wel foto’s met FaceApp delen als je deze niet zelf hebt genomen?

        1. Onder de AVG zou dit niet mogen volgens mij. Zij het niet dat vaak in ‘de kleine lettertjes’ weinig duidelijkheid wordt geschetst zoals Arnoud al aangeeft. Een beetje net zoals de Google Home die meeluistert, wat door Google wordt weggezet als noodzaak voor het verbeteren van de AI techniek. Terwijl hierover geen duidelijke afspraken zijn gemaakt, en AVG technisch niet helemaal transparant is en misschien zelfs strafbaar. Heeft artikel 13 er ook niet iets mee te maken? Volgens mij is dit in strijd met de auteursrechtenrichtlijnen:

  2. Weer een stukje hypocriete Rusland bashing ten top. Totaal ungefundeerd en onderbuik om ons naar de retoriek van de Koude Oorlog te doen terug gaan. Er zijn inderdaad tig apps die precies hetzelfde werken. Maar deze is door een Rus geschreven, dus rood gevaar.

    En wat me dan echt pissed maakt is dat nota bene de Politie nu ook mee doet. Pardon!? Ik heb vast de memo gemist over dat de politie de taken van de AP of zelfs NVWA erbij kreeg… En hoe waarschuwt de Politie ons voor het gevaar dat Face App heet?, zou je je af kunnen vragen. Nou, natuurlijk via een medium dat nóóit je foto’s zou uploaden naar de cloud… Facebook. https://www.nu.nl/tech/5968969/politie-roept-via-facebook-op-om-faceapp-te-verwijderen.html

  3. Google heeft ongeveer 10 foto’s nodig van uw gezicht, en kan u voortaan met hoge zekerheid herkennen. Dit is niet alleen handig voor marketing, maar ook voor overheden.

    Alle belletjes moeten gaan rinkelen als de gebruikersovereenkomst stelt dat alles mag met uw gezicht, en dat data doorverkocht kan worden aan derde partijen, en dan in een verklaring stellen dat er niet samengewerkt wordt met derde partijen. Wordt het bedrijf verkocht (zoals het vorige bedrijf werd verkocht aan de Russische Google) dan bestaat de gebruikersovereenkomst gewoon, en is de verklaring water onder de brug.

    Als je een beetje tussen de regels doorleest, dan kom je erachter dat de 3 grote mogendheden (VS, Rusland, en China) nieuwe militaire truukjes aan het uitoefenen zijn op digitaal gebied. Vraag je ook eens af waarom Rusland en China hun eigen zoekmachine en sociaal netwerk runnen: Dit is niet alleen maar beschermde economie, een zoekmachine of sociaal netwerk of nieuwsorganisaties zijn belangrijke wapens in het vinden en exploiteren van informatie. Russische soldaten moesten 123 van LinkedIn af. Waarom?

    Ik kan dit natuurlijk niet bewijzen (als ik bij de veiligheidsdiensten zou werken, dan zou ik mijn werk niet goed doen, als ik wist wat de veiligheidsdiensten exact doen, dan doen ze hun werk niet goed). Zo bestaat er in Israel de advertentie industrie, die ˜25% van alle internetadvertenties serveert. Die bedrijfjes worden geleid door ex-soldaten van Unit 8200. Hebben ze het IP van een target, dan kunnen ze deze een custom advertentie sturen met malware erin. Niemand wijzer.

    Rusland met Yandex. China met Huawei. VS met Facebook, Google, Amazon, Microsoft, etc. de lijntjes met de veiligheidsdiensten zijn strak aangestrokken. Zo kan het dus dat targets/persons of interest met IP, smartphonegegevens, selfies, via FaceApp, in de kaartenbak van de GRU beland. Dan trek je ook even het complete foto-album over, of stuurt een gepersonaliseerde update die de FaceApp in malware veranderd. Geen security onderzoeker die hier ooit achter komt, tenzij hij/zij een target is.

    Rian van Rijbroek is een uitgerangeerde honeypot, ooit werkzaam in Dubai, en met een landhuis in Brabant, die ineens nationaal opgeklopt op TV mag gaan vertellen hoe zwak ons financieel en electrisch netwerk is tegenover buitenlandse mogendheden zoals Rusland, welgeteld 3 dagen nadat bekend werd dat de AIVD het Muelleronderzoek helpt.

    1. “Vraag je ook eens af waarom Rusland en China hun eigen zoekmachine en sociaal netwerk runnen”

      In China, ja, maar welke in Rusland doel jij dan op? Want de grootste, Yandex, is geen overheidsbedrijf maar een N.V., en één van de twee hoofdkantoren van Yandex staat zelfs in Nederland! En ze hebben ook maatregelen genomen om de FSB buiten de deur te houden. Alleen al dat laatste had Poetin nooit goedgekeurd als hij de zoekmachine runde…

      1. Google en Baidu zijn ook officieel geen overheidsbedrijven. Maar de lijntjes zijn strak aangetrokken, in het geval van Yandex vooral van bovenaf.

        Russia’s largest search engine, Yandex, has confirmed that it passed confidential data to the country’s state security service, FSB. Yandex’s online payment service gave the FSB personal information about users who donated money to an anti-corruption website launched by the Russian blogger Alexey Navalny. The disclosure follows a warning by Yandex about the legal and political risks associated with investing in Russia, ahead of its planned listing in New York. … the company warned that businesses in Russia “may be subject to aggressive application of contradictory or ambiguous laws or regulations, or to politically-motivated actions”. The Russian legal system is characterised in the document by: “inconsistencies between and among laws and regulations” “selective enforcement of laws or regulations, sometimes in ways that have been perceived as being motivated by political or financial considerations” “a perceived lack of judicial and prosecutorial independence from political, social and commercial forces” — BBC (2012)

        Meer recentelijk heeft de FSB om de encryptiesleutels gevraagd.

        Een kantoor in Nederland maakt niet zoveel uit en is vaak voor de vorm. Zo heeft Karspersky ook een kantoor in Nederland. Karspersky wordt ook verdacht van nauwe banden met de FSB, de oprichter is geschoold door de Russiche NSA. Meer aluhoedje: De Nederlandse overheid heeft Karspersky gehacked (zoals ze ook de trollenfabriek had gehacked en data doorspeelde naar de VS), en Van Rijbroek is als mondstuk gebruikt om hier ruchtbaarheid aan te geven, en de Nederlandse overheid te waarschuwen dat ze erachter zijn gekomen.

        Specifiek gaat het in het artikel over een ‘wereldberoemd Russisch softwarebeveiligingsbedrijf’ met een kantoor in Utrecht en waarvan het hoofdkantoor in Moskou staat. Daar zou Van Rijbroek veertig ip-adressen hebben buitgemaakt en die hebben doorgespeeld aan een contact bij de Amerikaanse inlichtingendienst. Die zou haar wederom aan de hand van de gegevens hebben verteld dat er iemand in de Tweede Kamer samenwerkt met Rusland. Kaspersky meldde eerder dat het naar aanleiding van de uitlatingen een ‘uitgebreid intern onderzoek’ heeft uitgevoerd; niets wees er volgens het beveiligingsbedrijf op dat er een hack heeft plaatsgevonden.- Tweakers (2019)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.