聊什麼推什麼,多次看到這些的你,是不是有很多疑慮,甚至還感到恐懼——我們難以擺脫依賴的手機,竟然成了“竊聽器”?APP真的在“偷聽”我們聊天?我們又該如何保護好個人信息?
搜狐科技《AI十二談》第五期直播現場
剛聊完脫髮,就收到了植髮廣告;剛跟朋友想說喝奶茶,打開外賣軟件就有好幾家奶茶店在首頁;剛說想換手機,購物軟件就有相關商品推薦……
在搜狐科技11月9日舉辦的《AI十二談》第五期直播中,清華大學人工智能國際治理研究院副院長、公共管理學院教授梁正,以及國內知名白帽子公司KEEN公司聯合創始人、GeekPwn(極棒)實驗室安全專家宋宇昊共同解讀了手機APP“偷聽”的真相。
梁正將聊什麼就推什麼的現象歸結為移動應用普及之下,客觀存在的數據刻畫出的個人畫像所致。宋宇昊認為,“偷聽”從技術上來講很容易實現,但精準推薦的背後並不是手機APP在監聽語音,而是主要由大數據和人工智能所驅動的精準推薦廣告的能力導致。
手機APP精準推薦的背後也反映了對個人信息的過度索取,甚至是濫用的亂象。梁正認為,現在數字治理層面的法律法規已經形成“三駕馬車”,關鍵是要結合具體場景落地執行。宋宇昊表示,APP廠商也應該從技術層面去推動合法合規。
同時,梁正和宋宇昊還對用戶如何在使用APP時更好地保護個人信息,提出了建議,如通過正規渠道下載APP、了解並學會使用《個人信息保護法》等相關法律武器等。
手機APP真的在“偷聽”?
為什麼當聊到脫髮、奶茶、手機后,就會有APP給我們推送相關的商品,而且非常精準?對此,梁正分析稱,在移動互聯網、移動應用普及的情況下,利用多個來源的不同數據,就可以精準地刻畫出個人的數據畫像。
“我總結它是一種行為數據,可能我們自己都會忘記上個月購物的情況,但客觀存在的數據被利用和分析以後,就可以挖掘出特別精準的特徵。”梁正表示,目前通過分析語音信息實現監聽並不容易實現,但現在不當獲取個人信息或者任意擴大化的問題比較突出,典型的比如APP索取超過服務範圍之外的權限。
清華大學人工智能國際治理研究院副院長、公共管理學院教授梁正
宋宇昊表示,雖然說是APP在“偷聽”,但精準推薦並不是監聽語音所導致,主要原因來自大數據和人工智能所驅動的精準推薦廣告的能力。他進一步分析到,每個用戶在使用電腦、手機等智能設備的過程當中會留下大量的使用記錄,這些使用記錄包括搜索記錄、購買記錄、瀏覽記錄、播放記錄、GPS定位等等這些信息,APP通過記錄這些數據,傳到雲端後台,再去提取特徵,就可以刻畫出很精準的用戶畫像,從而作出精準推薦。
那麼,APP廠商真的能夠監聽用戶嗎?宋宇昊表示,這從技術上來講很容易實現,打開手機麥克風就可以監聽,沒有任何技術壁壘,但問題是怎麼去解讀分析這些數據。按照目前AI的發展水平來看,想要理解或概括人類之間自然語言的對話,不是說做不到,但肯定還做不好,,效果不好,同時成本又很高,不適合用在精準推薦的場景中。
“對於成千上萬的普通用戶來說,為了廣告推薦,用監聽的方式肯定是捨近求遠,這是一個賠本買賣,沒人願意做。”宋宇昊表示。
宋宇昊還提到,雖然精準推薦不是監聽導致,但並不代表不會出現問題。“如果APP不需要監聽就能夠用更低廉或者更快捷的技術手段來達到甚至超過類似監聽的效果,那麼一旦它被濫用,對我們的危害是更大的。”比如會帶來更為精準的廣告推薦,用戶轉化率更高,意味着用戶會掏出更多的錢,更高的層面則會提升網絡詐騙的成功率,甚至直接可以危害用戶財產和人身安全。
梁正認為,個人信息濫用的風險現在肯定比過去要更大,這些風險不僅僅存在於個人層面,也會涉及到公共安全或者國家安全。但這些風險否會發生主要取決於怎麼樣去運用,最根本的是這些數據或信息能否得到有效規制,不被濫用。
如何保護好個人信息?
手機APP“偷聽”實際上是大數據快速發展下暴露出的一個問題,而對於APP違規收集或使用用戶個人信息,以及強制、頻繁、過度索取權限等情況,近年來國家監管部門也多次出手整治,先後有多批APP被約談、整改,甚至下架。
梁正認為,過去在治理上循環反覆,主要是缺乏根本性的法律法規和可信的懲罰機制,但目前已有《網絡安全法》《數據安全法》和《個人信息保護法》先後實施,這是數字經濟治理的“三駕馬車”,對不同層面進行了規範,而當務之急是怎麼讓這些基本的法律法規在各個垂直領域真正能夠落地,跟具體的場景相結合,推動相關標準制定和具體治理舉措。
他具體分析到,這個月開始實施的《個人信息保護法》界定的是用戶在享受服務時候的權利,對如何正常合理地使用個人信息數據給出了明確要求,比如提出在採集方面,需要在知情同意的情況下,遵循最小的、必要的、合理的原則,不能超出業務應用或者管理要求之外去獲取信息。
宋宇昊認為,現在互聯網上的免費服務其實並不是真的免費,而是以個人信息作為換取服務的代價。APP廠商在這場交易中並沒有動機去追求平衡,它的訴求就是儘可能利用用戶的數據獲取更大的商業利益,這時候就需要法律法規的監管和約束,保護用戶的權益,讓用戶能夠自主地去決定到底提供多少個人信息給廠商,讓個人信息換取服務的交易變得更加公平。
KEEN公司聯合創始人、GeekPwn(極棒)實驗室安全專家宋宇昊
梁正則提到,《個人信息保護法》並不是說要去單獨限制企業、限制平台,而是考慮怎麼去達成平衡的關係。“這個法律明確規定,用戶提供個人信息需要在雙方約定的條件下,同時應該是公平的、無歧視的,遵循匿名化處理原則,很大程度上把選擇權交給了用戶。同時明確不得以提供服務來獲取信息,獲取信息的前提是服務必要的,如果獲取不必要的信息而且又拒絕服務,那就是違法。”
“如果某個APP在11月1號以後,還存在過度索取個人信息等問題,就可以舉報。如果沒有遵守,還可以根據損害的嚴重程度,對企業進行追責處罰,包括罰款、停止服務,甚至入刑。”梁正表示,現在用很大力度推動《個人信息保護法》落地實施,比原來想象的要快,確實是因為問題到了非解決不可的時候。
目前,隨着法律法規的逐步完善,企業就要履行在數據合規、數據安全管理等方面的主體責任。梁正認為,從法律的意圖來看,對不同的企業也需要採取有所側重的治理方式。超級平台、大型平台去履行責任需要囊括事前、事中、事後——事前要建立起內部的數據合規管理體系,事中需要進行數據審計、數據安全管理的審查,事後就是造成了影響、產生了後果則需要追責。對於中小企業來講,事前的准入標準,事後的追則和處罰是很重要的手段,因為很難去全過程地監管每一個中小企業的應用。
宋宇昊還提出了一些技術上的解決辦法。他認為,完全遏止APP聊啥來啥、精準推薦的情況,技術上不可能完全杜絕,但可以設置一些限制,減少個人信息的暴露,比如根據APP的用途關掉不需要的權限。“每個APP需要申請哪些權限,在APP的開發過程中有明確的標籤可以設置,APP開發者想在這方面做到合法合規的話,技術上完全可以實現。”
作為用戶,如何更好地保護好個人信息和隱私權?宋宇昊提到,《個人信息保護法》中明確規定可以明確拒絕提供個人信息,但APP不能以此為理由拒絕提供服務,用戶要開始學會使用說不的權利。他還給出兩個具體的安全建議:從正規的渠道下載APP,如果APP下載渠道都有問題,那麼保護個人信息無從談起;同時不要去連接不可信的Wifi,使用自己已知的Wifi,盡量不要使用公共Wifi。
梁正則建議到,從個人角度來講,有兩件事非常需要去做。一是要加強提升自身的數字素養,能夠了解並學會使用《個人信息保護法》這類法律武器;二是用戶也要積极參与到數字治理當中,積極行使自己的權利,推動相關法律法規落地的進程。