剛聊完脫發(fā)，就收到了植發(fā)廣告;剛跟朋友想說喝奶茶，打開外賣軟件就有好幾家奶茶店在首頁;剛說想換手機(jī)，購物軟件就有相關(guān)商品推薦……

聊什么推什么，多次看到這些的你，是不是有很多疑慮，甚至還感到恐懼——我們難以擺脫依賴的手機(jī)，竟然成了“竊聽器”?APP真的在“偷聽”我們聊天?我們又該如何保護(hù)好個(gè)人信息?

在搜狐科技11月9日舉辦的《AI十二談》第五期直播中，清華大學(xué)人工智能國際治理研究院副院長、公共管理學(xué)院教授梁正，以及國內(nèi)知名白帽子公司KEEN公司聯(lián)合創(chuàng)始人、GeekPwn(極棒)實(shí)驗(yàn)室安全專家宋宇昊共同解讀了手機(jī)APP“偷聽”的真相。

梁正將聊什么就推什么的現(xiàn)象歸結(jié)為移動應(yīng)用普及之下，客觀存在的數(shù)據(jù)刻畫出的個(gè)人畫像所致。宋宇昊認(rèn)為，“偷聽”從技術(shù)上來講很容易實(shí)現(xiàn)，但精準(zhǔn)推薦的背后并不是手機(jī)APP在監(jiān)聽語音，而是主要由大數(shù)據(jù)和人工智能所驅(qū)動的精準(zhǔn)推薦廣告的能力導(dǎo)致。

手機(jī)APP精準(zhǔn)推薦的背后也反映了對個(gè)人信息的過度索取，甚至是濫用的亂象。梁正認(rèn)為，現(xiàn)在數(shù)字治理層面的法律法規(guī)已經(jīng)形成“三駕馬車”，關(guān)鍵是要結(jié)合具體場景落地執(zhí)行。宋宇昊表示，APP廠商也應(yīng)該從技術(shù)層面去推動合法合規(guī)。

同時(shí)，梁正和宋宇昊還對用戶如何在使用APP時(shí)更好地保護(hù)個(gè)人信息，提出了建議，如通過正規(guī)渠道下載APP、了解并學(xué)會使用《個(gè)人信息保護(hù)法》等相關(guān)法律武器等。

手機(jī)APP真的在“偷聽”?

為什么當(dāng)聊到脫發(fā)、奶茶、手機(jī)后，就會有APP給我們推送相關(guān)的商品，而且非常精準(zhǔn)?對此，梁正分析稱，在移動互聯(lián)網(wǎng)、移動應(yīng)用普及的情況下，利用多個(gè)來源的不同數(shù)據(jù)，就可以精準(zhǔn)地刻畫出個(gè)人的數(shù)據(jù)畫像。

“我總結(jié)它是一種行為數(shù)據(jù)，可能我們自己都會忘記上個(gè)月購物的情況，但客觀存在的數(shù)據(jù)被利用和分析以后，就可以挖掘出特別精準(zhǔn)的特征。”梁正表示，目前通過分析語音信息實(shí)現(xiàn)監(jiān)聽并不容易實(shí)現(xiàn)，但現(xiàn)在不當(dāng)獲取個(gè)人信息或者任意擴(kuò)大化的問題比較突出，典型的比如APP索取超過服務(wù)范圍之外的權(quán)限。

宋宇昊表示，雖然說是APP在“偷聽”，但精準(zhǔn)推薦并不是監(jiān)聽語音所導(dǎo)致，主要原因來自大數(shù)據(jù)和人工智能所驅(qū)動的精準(zhǔn)推薦廣告的能力。他進(jìn)一步分析到，每個(gè)用戶在使用電腦、手機(jī)等智能設(shè)備的過程當(dāng)中會留下大量的使用記錄，這些使用記錄包括搜索記錄、購買記錄、瀏覽記錄、播放記錄、GPS定位等等這些信息，APP通過記錄這些數(shù)據(jù)，傳到云端后臺，再去提取特征，就可以刻畫出很精準(zhǔn)的用戶畫像，從而作出精準(zhǔn)推薦。

那么，APP廠商真的能夠監(jiān)聽用戶嗎?宋宇昊表示，這從技術(shù)上來講很容易實(shí)現(xiàn)，打開手機(jī)麥克風(fēng)就可以監(jiān)聽，沒有任何技術(shù)壁壘，但問題是怎么去解讀分析這些數(shù)據(jù)。按照目前AI的發(fā)展水平來看，想要理解或概括人類之間自然語言的對話，不是說做不到，但肯定還做不好，，效果不好，同時(shí)成本又很高，不適合用在精準(zhǔn)推薦的場景中。

“對于成千上萬的普通用戶來說，為了廣告推薦，用監(jiān)聽的方式肯定是舍近求遠(yuǎn)，這是一個(gè)賠本買賣，沒人愿意做。”宋宇昊表示。

宋宇昊還提到，雖然精準(zhǔn)推薦不是監(jiān)聽導(dǎo)致，但并不代表不會出現(xiàn)問題。“如果APP不需要監(jiān)聽就能夠用更低廉或者更快捷的技術(shù)手段來達(dá)到甚至超過類似監(jiān)聽的效果，那么一旦它被濫用，對我們的危害是更大的。”比如會帶來更為精準(zhǔn)的廣告推薦，用戶轉(zhuǎn)化率更高，意味著用戶會掏出更多的錢，更高的層面則會提升網(wǎng)絡(luò)詐騙的成功率，甚至直接可以危害用戶財(cái)產(chǎn)和人身安全。

梁正認(rèn)為，個(gè)人信息濫用的風(fēng)險(xiǎn)現(xiàn)在肯定比過去要更大，這些風(fēng)險(xiǎn)不僅僅存在于個(gè)人層面，也會涉及到公共安全或者國家安全。但這些風(fēng)險(xiǎn)否會發(fā)生主要取決于怎么樣去運(yùn)用，最根本的是這些數(shù)據(jù)或信息能否得到有效規(guī)制，不被濫用。

如何保護(hù)好個(gè)人信息?

手機(jī)APP“偷聽”實(shí)際上是大數(shù)據(jù)快速發(fā)展下暴露出的一個(gè)問題，而對于APP違規(guī)收集或使用用戶個(gè)人信息，以及強(qiáng)制、頻繁、過度索取權(quán)限等情況，近年來國家監(jiān)管部門也多次出手整治，先后有多批APP被約談、整改，甚至下架。

梁正認(rèn)為，過去在治理上循環(huán)反復(fù)，主要是缺乏根本性的法律法規(guī)和可信的懲罰機(jī)制，但目前已有《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》先后實(shí)施，這是數(shù)字經(jīng)濟(jì)治理的“三駕馬車”，對不同層面進(jìn)行了規(guī)范，而當(dāng)務(wù)之急是怎么讓這些基本的法律法規(guī)在各個(gè)垂直領(lǐng)域真正能夠落地，跟具體的場景相結(jié)合，推動相關(guān)標(biāo)準(zhǔn)制定和具體治理舉措。

他具體分析到，這個(gè)月開始實(shí)施的《個(gè)人信息保護(hù)法》界定的是用戶在享受服務(wù)時(shí)候的權(quán)利，對如何正常合理地使用個(gè)人信息數(shù)據(jù)給出了明確要求，比如提出在采集方面，需要在知情同意的情況下，遵循最小的、必要的、合理的原則，不能超出業(yè)務(wù)應(yīng)用或者管理要求之外去獲取信息。

宋宇昊認(rèn)為，現(xiàn)在互聯(lián)網(wǎng)上的免費(fèi)服務(wù)其實(shí)并不是真的免費(fèi)，而是以個(gè)人信息作為換取服務(wù)的代價(jià)。APP廠商在這場交易中并沒有動機(jī)去追求平衡，它的訴求就是盡可能利用用戶的數(shù)據(jù)獲取更大的商業(yè)利益，這時(shí)候就需要法律法規(guī)的監(jiān)管和約束，保護(hù)用戶的權(quán)益，讓用戶能夠自主地去決定到底提供多少個(gè)人信息給廠商，讓個(gè)人信息換取服務(wù)的交易變得更加公平。

梁正則提到，《個(gè)人信息保護(hù)法》并不是說要去單獨(dú)限制企業(yè)、限制平臺，而是考慮怎么去達(dá)成平衡的關(guān)系。“這個(gè)法律明確規(guī)定，用戶提供個(gè)人信息需要在雙方約定的條件下，同時(shí)應(yīng)該是公平的、無歧視的，遵循匿名化處理原則，很大程度上把選擇權(quán)交給了用戶。同時(shí)明確不得以提供服務(wù)來獲取信息，獲取信息的前提是服務(wù)必要的，如果獲取不必要的信息而且又拒絕服務(wù)，那就是違法。”

“如果某個(gè)APP在11月1號以后，還存在過度索取個(gè)人信息等問題，就可以舉報(bào)。如果沒有遵守，還可以根據(jù)損害的嚴(yán)重程度，對企業(yè)進(jìn)行追責(zé)處罰，包括罰款、停止服務(wù)，甚至入刑。”梁正表示，現(xiàn)在用很大力度推動《個(gè)人信息保護(hù)法》落地實(shí)施，比原來想象的要快，確實(shí)是因?yàn)閱栴}到了非解決不可的時(shí)候。

目前，隨著法律法規(guī)的逐步完善，企業(yè)就要履行在數(shù)據(jù)合規(guī)、數(shù)據(jù)安全管理等方面的主體責(zé)任。梁正認(rèn)為，從法律的意圖來看，對不同的企業(yè)也需要采取有所側(cè)重的治理方式。超級平臺、大型平臺去履行責(zé)任需要囊括事前、事中、事后——事前要建立起內(nèi)部的數(shù)據(jù)合規(guī)管理體系，事中需要進(jìn)行數(shù)據(jù)審計(jì)、數(shù)據(jù)安全管理的審查，事后就是造成了影響、產(chǎn)生了后果則需要追責(zé)。對于中小企業(yè)來講，事前的準(zhǔn)入標(biāo)準(zhǔn)，事后的追則和處罰是很重要的手段，因?yàn)楹茈y去全過程地監(jiān)管每一個(gè)中小企業(yè)的應(yīng)用。

宋宇昊還提出了一些技術(shù)上的解決辦法。他認(rèn)為，完全遏止APP聊啥來啥、精準(zhǔn)推薦的情況，技術(shù)上不可能完全杜絕，但可以設(shè)置一些限制，減少個(gè)人信息的暴露，比如根據(jù)APP的用途關(guān)掉不需要的權(quán)限。“每個(gè)APP需要申請哪些權(quán)限，在APP的開發(fā)過程中有明確的標(biāo)簽可以設(shè)置，APP開發(fā)者想在這方面做到合法合規(guī)的話，技術(shù)上完全可以實(shí)現(xiàn)。”

作為用戶，如何更好地保護(hù)好個(gè)人信息和隱私權(quán)?宋宇昊提到，《個(gè)人信息保護(hù)法》中明確規(guī)定可以明確拒絕提供個(gè)人信息，但APP不能以此為理由拒絕提供服務(wù)，用戶要開始學(xué)會使用說不的權(quán)利。他還給出兩個(gè)具體的安全建議：從正規(guī)的渠道下載APP，如果APP下載渠道都有問題，那么保護(hù)個(gè)人信息無從談起;同時(shí)不要去連接不可信的Wifi，使用自己已知的Wifi，盡量不要使用公共Wifi。

梁正則建議到，從個(gè)人角度來講，有兩件事非常需要去做。一是要加強(qiáng)提升自身的數(shù)字素養(yǎng)，能夠了解并學(xué)會使用《個(gè)人信息保護(hù)法》這類法律武器;二是用戶也要積極參與到數(shù)字治理當(dāng)中，積極行使自己的權(quán)利，推動相關(guān)法律法規(guī)落地的進(jìn)程。