Security (b)log: FaceApp

Op Twitter circuleert de volgende denkbeeldige dialoog. Russisch bedrijf: “Hé mensen, mogen we een portretfoto van jullie voor onze gezichtsherkenningsdatabase?” Iedereen: “Nee man, wat denk je wel!” (…) Russisch bedrijf: “Hé mensen, check onze vette app waarmee je jezelf ouder kunt laten lijken!” Iedereen: “Wow, gaaf, die wil ik!” En zo werd het internet overspoeld met berichten met de hashtag #AgeChallenge.

Het speeltje van deze zomer heet FaceApp. Je maakt er een selfie mee, drukt op een knop en krijgt een voorspelling hoe je er over x jaar uitziet. Het resultaat van deze functie hebben al talloze bekende mensen online gezet. De app kan echter meer: hij bevat allerlei filters waarmee je je haardracht en -kleur kunt wijzigen, de perfecte make-up kunt aanbrengen, snor en baard kunt optimaliseren en zelfs een stralende glimlach op je gezicht kunt toveren. Nog niet genoeg? Wissel dan eens van geslacht. Dat gebeurt allemaal door toepassing van van ‘de geavanceerdste neurale technologie voor portretbewerking’ en ze schuwen ook de kreet ‘kunstmatige intelligentie’ niet.

Zoals het grapje in de eerste alinea aangeeft, baart FaceApp zorgen op privacygebied. Gek genoeg beginnen die zorgen met de constatering dat de app een Russisch product is, maar juridisch valt de app onder Amerikaans recht, aldus de gebruiksvoorwaarden. En trouwens: van ‘echte’ Amerikaanse bedrijven zoals Facebook wéten we dat ze het niet zo nauw nemen met onze privacy, dus waarom zouden we banger moeten zijn voor de Russen dan voor de Amerikanen? Toch maar eens even dieper in de gebruiks- en privacyvoorwaarden duiken.

In de gebruikersvoorwaarden staat dat alle foto’s, teksten, berichten en andere user content van jou blijft. FaceApp claimt nooit het eigenaarschap daarvan, maar intussen verleen je hen wel het eeuwigdurende, wereldwijde, kostenloze recht om alles met jouw content te doen wat ze maar willen. Ze mogen daar ook je naam en andere identificerende gegevens bij gebruiken, bijvoorbeeld voor commerciële doeleinden. Voor bepaalde juridische zaken moet je naar Sint Petersburg schrijven, maar FaceApp kiest Californië als juridische zetel.

De privacyvoorwaarden laten het gebruikelijke beeld zien: we slaan heel veel gegevens op, maar die delen we niet met anderen. Nou ja, wel binnen de groep bedrijven waar FaceApp onder valt, en met hun eigen dienstverleners. En o ja, bepaalde informatie wordt ook gedeeld met advertentie-partners. Geanonimiseerde data kan bovendien ook met andere partijen worden gedeeld, en met andere informatie worden gecombineerd en dan weer gedeeld. Je gegevens worden opgeslagen “in de Verenigde Staten en alle andere landen waar FaceApp of hun partners faciliteiten hebben”. Als je in de EU woont, dan moet je er rekening mee houden dat jouw gegevens in landen terechtkomen waar ze niet dezelfde wetgeving voor gegevensbescherming hebben, aldus de voorwaarden. FaceApp neemt trouwens geen verantwoordelijk voor de beveiliging van je gegevens.

Veel commentatoren vallen over het feit dat de fotobewerking niet plaatsvindt op jouw toestel, maar in de cloud (Amazon Web Services en Google Cloud). Dat staat inderdaad niet met zoveel woorden in de voorwaarden. FaceApp slaat jouw foto ook zelf op, al worden “de meeste foto’s” binnen 48 uur weer verwijderd, zeggen ze in een reactie – maar je hebt net iets gelezen over een eeuwigdurende licentie, weet je nog? En wees gerust, ze komen niet in het enge Rusland terecht, verzekert oprichter Yaroslav Goncharov ons. Bovendien logt 99% van de gebruikers niet in en beschikt FaceApp dus helemaal niet over identificerende informatie (of halen ze die uit je toestel…?). De geruchten dat de app ál jouw foto’s upload, worden stellig tegengesproken: alleen de foto die jij selecteert gaat naar de cloud.

Ondertussen wil een Amerikaanse senator de FBI achter de app aan sturen, relativeren diverse Amerikaanse publicaties de risico’s (“Facebook is erger”, die doen ook aan gezichtsherkenning) en schrijft zelfs de South China Morning Post over de privacy-aspecten van dit fenomeen. Tussen alle artikelen die ik over FaceApp heb gelezen, was er maar eentje (in het AD) waarin werd gewaarschuwd voor identiteitsfraude met behulp van de vergaarde gegevens. Hoe dat dan in z’n werk zou moeten gaan, zeggen ze er helaas niet bij. Bits of Freedom, de Nederlandse digitale burgerrechtenbeweging, wordt erbij gehaald om het over de enge gevolgen van gezichtsherkenning te hebben. Het werkt verstikkend op de samenleving, aldus BoF. Je kunt je gezicht nu eenmaal niet thuislaten.

Ik kreeg de vraag of deze app op de zakelijke telefoon mag. Waarom zou je? Ik kan er geen zakelijke toepassing voor bedenken. Hetzelfde geldt trouwens voor Buienradar, maar daar heb ik dan weer geen bedenkingen bij. Wat is het verschil? Gezond verstand, vooral. En natuurlijk de wetenschap dat FaceApp veel gegevens verzamelt en distribueert, en zichzelf op dat punt tegenspreekt. Dat laatste verontrust mij misschien nog wel het meest. Doe dus maar niet op je zakelijke telefoon. En privé? Zwicht je voor FOMO, the fear of missing out, de vrees er niet bij te horen? Of sta je sterk in je schoenen en zie je later wel hoe verfrommeld je er dan uitziet?