《黑鏡》里有一集短劇,講述的是一個失去新婚丈夫的女主,為了緩解自己的傷痛,使用了一家公司的AI算法服務。後者通過收集丈夫在線上留存的各種數據,重新還原丈夫的說話與反應習慣,並以此為原型,造出了跟丈夫相似度極高的機器人。
《中華人民共和國個人信息保護法》通過:不得進行“大數據殺熟”
隨着我們使用數字化場景越來越多元和深入,“數據”本身的意義越來越複雜。它不再是代表一次次孤立的使用行為,或者簡單的業務數據記錄。通過將圍繞一個人的數據不斷串聯,“數據”這一資產,或許將逐漸演化為人類在社會存在中的“DNA”。
換言之,如果失去了對自己數據的掌控權,未來真正了解你的或許將不再是你自己,而是某些擁有巨大數據存量體系的互聯網平台。這是在過去幾年移動互聯網徹底滲透人們生活,平台型企業逐漸變成龐然大物的過程中,越來越困擾普通人的問題。
如何避免這樣的風險,世界各國都在加強監管手段。2021年8月20日,十三屆全國人大常委會第三十次會議表決通過了《中華人民共和國個人信息保護法》(以下簡稱“《保護法》”),該法案將於2021年11月1日起執行。
《保護法》的第四條對這裡提到的個人信息進行了定義:個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。
其實這裡的個人信息在大眾語境里,就是數據。
據新華社的總結,《保護法》明確了:①通過自動化決策方式向個人進行信息推送、商業營銷,應提供不針對其個人特徵的選項或提供便捷的拒絕方式②處理生物識別、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息,應取得個人的單獨同意③對違法處理個人信息的應用程序,責令暫停或者終止提供服務。
也就是說,《保護法》從數據產生、收集、使用等各個維度,對互聯網業務進行規範。而信息處理在大眾語境里,更多就是指向算法。
由於數據收集的隱蔽性,人們對個人信息保護的訴求越來越多的體現在對算法帶來的影響的反思上。
一個最常討論的話題就是,“算法有原罪嗎?”
把算法作為一項新技術來表達支持的人們認為,“算法”是一個典型的技術產物。從某種程度上而言,這種技術中立性達到了一種極致——在很多時候。即便是算法的設計者本身,也不能完全弄清楚這背後發生的機理。
而作為互聯網的發展引擎,算法同時締造了娛樂神話和商業神話,在互聯網奇迹中功不可沒。
但對算法充滿警惕的人們則認為,算法背後有明顯的目的性。如果沒有定量的反饋結果,算法便無法工作。而正是這種目的本身,無論是增加用戶的點擊概率,還是延長用戶在界面上的停留時間,甚至是臭名昭著的“大數據殺熟”,都是帶有部分“原罪”的。
無論是支持者,還是反對者,沒有誰是絕對正確或者錯誤。但問題在於,“算法”有一種與生俱來的裹挾能力:
一方面,算法以海量的數據為食。通過不斷優化的正向反饋,“算法”像滾雪球一樣放大自己在用戶中的地位;另一方面,算法背後需要海量的數據驗證,這也意味着“算法邏輯”天然是傾向於平台級巨頭的。這些平台以及背後的商業體系,並不會讓我們輕易拒絕這套高效率的運營工具。
而且,算法對人的追逐並不局限在單個應用或者平台,它們開始出現“合謀”。
最典型的案例,莫過於蘋果在去年宣布調整臭名昭著的IDFA(Identifier For Advertising)規則修訂。IDFA這類系統簡單來講,就是當你在不同平台跳轉時,所有平台依然能知道你是誰,從而形成一種各個算法對同一個用戶的“圍獵”。
去年,IOS系統將IDFA從默認開啟改為默認關閉。這套系統通過標記用戶的行為,將用戶與廣告做高效率匹配。儘管擁有一定的條例授權,但大部分用戶都並不知曉這種收集+匹配行為,因此被廣泛認知為“灰色產業”。
條例出台之後,引發了大量的廣告代理商反彈。Facebook據稱可能因此損失旗下“廣告聯盟”一半的營收潛力。
僅一個IDFA調整,便可以引發行業劇震。隱私權歸屬問題在商業中的影響力,或許將遠超我們想象。在國內外的流媒體和社交平台生態體系中,大量的用戶數據獲取行為,其實都是互聯網商業變現效率的養料。
例如,某電商平台頁面中,如果用戶不登陸,便無法做商品搜索;
某社交平台中,用戶關閉掉個性化廣告功能后,6個月便會自動恢復;
在某視頻流媒體中,用戶的每一次點選,都會變成平台進一步分析用戶喜好的工具,以至於“知人知面不知‘X音’”,短視頻流媒體的個人賬號,可以成為新時代的“人品鑒定器”;
在某探交友平台上,用戶的每一次點選與劃掉,都在幫助平台記錄使用者的喜好…
在購物與閱讀軟件的結束頁,則都會留下一個遊盪在互聯網世界幽靈:“猜你喜歡”。
在巨頭提供的“便利服務”面前,用戶往往是沒有充分選擇權的。大部分用戶不能真正離開上述的那些帶有壟斷色彩的互聯網平台。在當下即刻滿足的便利,與副作用遙遙無期的隱私相比,大部分人只能捏着鼻子選擇前者。
而這次的《保護法》就非常有針對性的對這些被詬病許久的行為做出約束。
比如其中的第十六條規定,“個人信息處理者不得以個人不同意處理其個人信息或者撤回同意為由,拒絕提供產品或者服務;處理個人信息屬於提供產品或者服務所必需的除外”。
這就是針對老百姓總在抱怨的“不同意這些流氓條款,app你就用不了”的現象,強制要求平台方為用戶提供選擇權。
比如其中第二十四條要求,“個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。
通過自動化決策方式向個人進行信息推送、商業營銷,應當同時提供不針對其個人特徵的選項,或者向個人提供便捷的拒絕方式。
通過自動化決策方式作出對個人權益有重大影響的決定,個人有權要求個人信息處理者予以說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。”
這是在法律的語境里的表述,而事實上指向的就是“大數據殺熟”,以及經常讓用戶感到被濫用的個性化推薦。在互聯網企業帶着用戶的數據狂奔多年後,終於有了一部法律,讓人們可以對這些習慣但事實上問題重重的算法規制行為說不。
從《保護法》的草案,徵求意見到最終的定稿發布,業內都將其嚴厲程度與歐盟的GDPR(《通用數據保護條例》)對標。在同意規則、數據保存期限、信息處理者的行為規範和義務以及如人臉數據等重要的具體類型數據的保護規定上,《保護法》都給出了明確和具體的指引與要求。
《保護法》配合的懲罰措施也十分嚴厲:
有前款規定的違法行為,情節嚴重的,由省級以上履行個人信息保護職責的部門責令改正,沒收違法所得,並處五千萬元以下或者上一年度營業額百分之五以下罰款,並可以責令暫停相關業務或者停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照;對直接負責的主管人員和其他直接責任人員處十萬元以上一百萬元以下罰款,並可以決定禁止其在一定期限內擔任相關企業的董事、監事、高級管理人員和個人信息保護負責人。
而且,縱覽整個法律文本,在舉證等行為以及權利的認定和界定上,都能看出立法向普通用戶們的傾斜。
這些都使得普通人對自我的數據保護有了前所未有的詳細和明確的依據。
在《保護法》中另一個值得關注的地方是,它專門用一章來明確了個人信息跨境提供的規則,要求跨境提供信息者要接受國家網信部門組織的各類安全檢查。這也呼應着最近多個企業數據出海中涉及到的安全隱患處置方法,這些跨境流動的數據也是普通用戶需要被保護起來的重要數據的一部分。
《中華人民共和國個人信息保護法》註定是一部里程碑式的法律。它希望全方位為普通用戶提供保護,同時也給這個互聯網時代的企業們提供了一個指引。當它在11月正式生效后,任何掌握和處理着數據的企業,再以監管跟不上業務和技術進步為由來搪塞自己的平台責任,放任算法去逐利而忽視對用戶權益的保護,就不僅不合時宜,而且要付出真金白銀的代價了。
躲在“黑箱”里的算法,之後終於要拿出來溜一溜了。
