刚聊完脱发,就收到了植发广告;刚跟朋友想说喝奶茶,打开外卖软件就有好几家奶茶店在首页;刚说想换手机,购物软件就有相关商品推荐……
聊什么推什么,多次看到这些的你,是不是有很多疑虑,甚至还感到恐惧 —— 我们难以摆脱依赖的手机,竟然成了“窃听器”?App 真的在“偷听”我们聊天?我们又该如何保护好个人信息?
在搜狐科技 11 月 9 日举办的《AI 十二谈》第五期直播中,清华大学人工智能国际治理研究院副院长、公共管理学院教授梁正,以及国内知名白帽子公司 KEEN 公司联合创始人、GeekPwn(极棒)实验室安全专家宋宇昊共同解读了手机 App“偷听”的真相。
梁正将聊什么就推什么的现象归结为移动应用普及之下,客观存在的数据刻画出的个人画像所致。宋宇昊认为,“偷听”从技术上来讲很容易实现,但精准推荐的背后并不是手机 App 在监听语音,而是主要由大数据和人工智能所驱动的精准推荐广告的能力导致。
手机 App 精准推荐的背后也反映了对个人信息的过度索取,甚至是滥用的乱象。梁正认为,现在数字治理层面的法律法规已经形成“三驾马车”,关键是要结合具体场景落地执行。宋宇昊表示,App 厂商也应该从技术层面去推动合法合规。
同时,梁正和宋宇昊还对用户如何在使用 App 时更好地保护个人信息,提出了建议,如通过正规渠道下载 App、了解并学会使用《个人信息保护法》等相关法律武器等。
手机 App 真的在“偷听”?
为什么当聊到脱发、奶茶、手机后,就会有 App 给我们推送相关的商品,而且非常精准?对此,梁正分析称,在移动互联网、移动应用普及的情况下,利用多个来源的不同数据,就可以精准地刻画出个人的数据画像。
“我总结它是一种行为数据,可能我们自己都会忘记上个月购物的情况,但客观存在的数据被利用和分析以后,就可以挖掘出特别精准的特征。”梁正表示,目前通过分析语音信息实现监听并不容易实现,但现在不当获取个人信息或者任意扩大化的问题比较突出,典型的比如 App 索取超过服务范围之外的权限。
宋宇昊表示,虽然说是 App 在“偷听”,但精准推荐并不是监听语音所导致,主要原因来自大数据和人工智能所驱动的精准推荐广告的能力。他进一步分析到,每个用户在使用电脑、手机等智能设备的过程当中会留下大量的使用记录,这些使用记录包括搜索记录、购买记录、浏览记录、播放记录、GPS 定位等等这些信息,App 通过记录这些数据,传到云端后台,再去提取特征,就可以刻画出很精准的用户画像,从而作出精准推荐。
那么,App 厂商真的能够监听用户吗?宋宇昊表示,这从技术上来讲很容易实现,打开手机麦克风就可以监听,没有任何技术壁垒,但问题是怎么去解读分析这些数据。按照目前 AI 的发展水平来看,想要理解或概括人类之间自然语言的对话,不是说做不到,但肯定还做不好,效果不好,同时成本又很高,不适合用在精准推荐的场景中。
“对于成千上万的普通用户来说,为了广告推荐,用监听的方式肯定是舍近求远,这是一个赔本买卖,没人愿意做。”宋宇昊表示。
宋宇昊还提到,虽然精准推荐不是监听导致,但并不代表不会出现问题。“如果 App 不需要监听就能够用更低廉或者更快捷的技术手段来达到甚至超过类似监听的效果,那么一旦它被滥用,对我们的危害是更大的。”比如会带来更为精准的广告推荐,用户转化率更高,意味着用户会掏出更多的钱,更高的层面则会提升网络诈骗的成功率,甚至直接可以危害用户财产和人身安全。
梁正认为,个人信息滥用的风险现在肯定比过去要更大,这些风险不仅仅存在于个人层面,也会涉及到公共安全或者国家安全。但这些风险否会发生主要取决于怎么样去运用,最根本的是这些数据或信息能否得到有效规制,不被滥用。
如何保护好个人信息?
手机 App“偷听”实际上是大数据快速发展下暴露出的一个问题,而对于 App 违规收集或使用用户个人信息,以及强制、频繁、过度索取权限等情况,近年来国家监管部门也多次出手整治,先后有多批 App 被约谈、整改,甚至下架。
梁正认为,过去在治理上循环反复,主要是缺乏根本性的法律法规和可信的惩罚机制,但目前已有《网络安全法》《数据安全法》和《个人信息保护法》先后实施,这是数字经济治理的“三驾马车”,对不同层面进行了规范,而当务之急是怎么让这些基本的法律法规在各个垂直领域真正能够落地,跟具体的场景相结合,推动相关标准制定和具体治理举措。
他具体分析到,这个月开始实施的《个人信息保护法》界定的是用户在享受服务时候的权利,对如何正常合理地使用个人信息数据给出了明确要求,比如提出在采集方面,需要在知情同意的情况下,遵循最小的、必要的、合理的原则,不能超出业务应用或者管理要求之外去获取信息。
宋宇昊认为,现在互联网上的免费服务其实并不是真的免费,而是以个人信息作为换取服务的代价。App 厂商在这场交易中并没有动机去追求平衡,它的诉求就是尽可能利用用户的数据获取更大的商业利益,这时候就需要法律法规的监管和约束,保护用户的权益,让用户能够自主地去决定到底提供多少个人信息给厂商,让个人信息换取服务的交易变得更加公平。
梁正则提到,《个人信息保护法》并不是说要去单独限制企业、限制平台,而是考虑怎么去达成平衡的关系。“这个法律明确规定,用户提供个人信息需要在双方约定的条件下,同时应该是公平的、无歧视的,遵循匿名化处理原则,很大程度上把选择权交给了用户。同时明确不得以提供服务来获取信息,获取信息的前提是服务必要的,如果获取不必要的信息而且又拒绝服务,那就是违法。”
“如果某个 App 在 11 月 1 号以后,还存在过度索取个人信息等问题,就可以举报。如果没有遵守,还可以根据损害的严重程度,对企业进行追责处罚,包括罚款、停止服务,甚至入刑。”梁正表示,现在用很大力度推动《个人信息保护法》落地实施,比原来想象的要快,确实是因为问题到了非解决不可的时候。
目前,随着法律法规的逐步完善,企业就要履行在数据合规、数据安全管理等方面的主体责任。梁正认为,从法律的意图来看,对不同的企业也需要采取有所侧重的治理方式。超级平台、大型平台去履行责任需要囊括事前、事中、事后 —— 事前要建立起内部的数据合规管理体系,事中需要进行数据审计、数据安全管理的审查,事后就是造成了影响、产生了后果则需要追责。对于中小企业来讲,事前的准入标准,事后的追责和处罚是很重要的手段,因为很难去全过程地监管每一个中小企业的应用。
宋宇昊还提出了一些技术上的解决办法。他认为,完全遏止 App 聊啥来啥、精准推荐的情况,技术上不可能完全杜绝,但可以设置一些限制,减少个人信息的暴露,比如根据 App 的用途关掉不需要的权限。“每个 App 需要申请哪些权限,在 App 的开发过程中有明确的标签可以设置,App 开发者想在这方面做到合法合规的话,技术上完全可以实现。”
作为用户,如何更好地保护好个人信息和隐私权?宋宇昊提到,《个人信息保护法》中明确规定可以明确拒绝提供个人信息,但 App 不能以此为理由拒绝提供服务,用户要开始学会使用说不的权利。他还给出两个具体的安全建议:从正规的渠道下载 App,如果 App 下载渠道都有问题,那么保护个人信息无从谈起;同时不要去连接不可信的 Wifi,使用自己已知的 Wifi,尽量不要使用公共 Wifi。
梁正则建议到,从个人角度来讲,有两件事非常需要去做。一是要加强提升自身的数字素养,能够了解并学会使用《个人信息保护法》这类法律武器;二是用户也要积极参与到数字治理当中,积极行使自己的权利,推动相关法律法规落地的进程。(梁昌均)