聊什么推什么,多次看到这些的你,是不是有很多疑虑,甚至还感到恐惧——我们难以摆脱依赖的手机,竟然成了“窃听器”?App真的在“偷听”我们聊天?我们又该如何保护好个人信息?
在搜狐科技11月9日举办的《AI十二谈》第五期直播中,清华大学人工智能国际治理研究院副院长、公共管理学院教授梁正,以及国内知名白帽子公司KEEN公司联合创始人、GeekPwn(极棒)实验室安全专家宋宇昊共同解读了手机App“偷听”的真相。
手机App精准推荐的背后也反映了对个人信息的过度索取,甚至是滥用的乱象。梁正认为,现在数字治理层面的法律法规已经形成“三驾马车”,关键是要结合具体场景落地执行。宋宇昊表示,App厂商也应该从技术层面去推动合法合规。
“我总结它是一种行为数据,可能我们自己都会忘记上个月购物的情况,但客观存在的数据被利用和分析以后,就可以挖掘出特别精准的特征。”梁正表示,目前通过分析语音信息实现监听并不容易实现,但现在不当获取个人信息或者任意扩大化的问题比较突出,典型的比如App索取超过服务范围之外的权限。
那么,App厂商真的能够监听用户吗?宋宇昊表示,这从技术上来讲很容易实现,打开手机麦克风就可以监听,没有任何技术壁垒,但问题是怎么去解读分析这些数据。按照目前AI的发展水平来看,想要理解或概括人类之间自然语言的对话,不是说做不到,但肯定还做不好,效果不好,同时成本又很高,不适合用在精准推荐的场景中。
梁正认为,个人信息滥用的风险现在肯定比过去要更大,这些风险不仅仅存在于个人层面,也会涉及到公共安全或者国家安全。但这些风险否会发生主要取决于怎么样去运用,最根本的是这些数据或信息能否得到有效规制,不被滥用。
手机App“偷听”实际上是大数据快速发展下暴露出的一个问题,而对于App违规收集或使用用户个人信息,以及强制、频繁、过度索取权限等情况,近年来国家监管部门也多次出手整治,先后有多批App被约谈、整改,甚至下架。
他具体分析到,这个月开始实施的《个人信息保护法》界定的是用户在享受服务时候的权利,对如何正常合理地使用个人信息数据给出了明确要求,比如提出在采集方面,需要在知情同意的情况下,遵循最小的、必要的、合理的原则,不能超出业务应用或者管理要求之外去获取信息。
宋宇昊认为,现在互联网上的免费服务其实并不是真的免费,而是以个人信息作为换取服务的代价。App厂商在这场交易中并没有动机去追求平衡,它的诉求就是尽可能利用用户的数据获取更大的商业利益,这时候就需要法律法规的监管和约束,保护用户的权益,让用户能够自主地去决定到底提供多少个人信息给厂商,让个人信息换取服务的交易变得更加公平。
梁正则提到,《个人信息保护法》并不是说要去单独限制企业、限制平台,而是考虑怎么去达成平衡的关系。“这个法律明确规定,用户提供个人信息需要在双方约定的条件下,同时应该是公平的、无歧视的,遵循匿名化处理原则,很大程度上把选择权交给了用户。同时明确不得以提供服务来获取信息,获取信息的前提是服务必要的,如果获取不必要的信息而且又拒绝服务,那就是违法。”
“如果某个App在11月1号以后,还存在过度索取个人信息等问题,就可以举报。如果没有遵守,还可以根据损害的严重程度,对企业进行追责处罚,包括罚款、停止服务,甚至入刑。”梁正表示,现在用很大力度推动《个人信息保护法》落地实施,比原来想象的要快,确实是因为问题到了非解决不可的时候。
目前,随着法律法规的逐步完善,企业就要履行在数据合规、数据安全管理等方面的主体责任。梁正认为,从法律的意图来看,对不同的企业也需要采取有所侧重的治理方式。超级平台、大型平台去履行责任需要囊括事前、事中、事后——事前要建立起内部的数据合规管理体系,事中需要进行数据审计、数据安全管理的审查,事后就是造成了影响、产生了后果则需要追责。对于中小企业来讲,事前的准入标准,事后的追责和处罚是很重要的手段,因为很难去全过程地监管每一个中小企业的应用。
宋宇昊还提出了一些技术上的解决办法。他认为,完全遏止App聊啥来啥、精准推荐的情况,技术上不可能完全杜绝,但可以设置一些限制,减少个人信息的暴露,比如根据App的用途关掉不需要的权限。“每个App需要申请哪些权限,在App的开发过程中有明确的标签可以设置,App开发者想在这方面做到合法合规的话,技术上完全可以实现。”
作为用户,如何更好地保护好个人信息和隐私权?宋宇昊提到,《个人信息保护法》中明确规定可以明确拒绝提供个人信息,但App不能以此为理由拒绝提供服务,用户要开始学会使用说不的权利。他还给出两个具体的安全建议:从正规的渠道下载App,如果App下载渠道都有问题,那么保护个人信息无从谈起;同时不要去连接不可信的Wifi,使用自己已知的Wifi,尽量不要使用公共Wifi。
黄仁勋数字人亮相GTC,英伟达秀“元宇宙”肌肉:看这巴掌大AI超算和虚拟化身平台