关于App带来的不安全感,越来越多人正在感受压力。国家网络安全宣传周今年9月发布的《App安全意识公众调查问卷报告》显示,32万名受访者中,近三分之一的人表示很反感App的精准推送广告行为,感觉遭到了窥探或偷听。当你在一个平台搜索某件商品,或者搜索某件事情,当你打开另一个平台时,就会跳出来你浏览过的商品或者事件的广告?刚和朋友聊过的产品就出现在推荐里,没有打开定位权限却一直被App推送当地资讯……在这个大数据时代里,没有人能逃得过这形形色色的精准推送。普遍被用户感知到的App偷拍偷录现象,真的存在吗?如果不存在,App又是通过什么方式实现了如此高准确度的智能推送呢?
世界上最懂你的 可能是算法
10月13日,备受瞩目的个人信息保护法草案在全国人大常委会上首次亮相。这部专门针对个人信息保护的法律明确,“处理个人信息应当在事先充分告知的前提下取得个人同意,个人有权撤回同意;重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。”这反映了个人信息中最关键的原则——告知同意。但在此前的实践中,这项原则不时为互联网公司所忽视。
早在两年前,坊间就有App偷拍偷录的传言,忧虑始终萦绕在人们心头:我们的生活是否无时无刻不处于监视之中?但这样的猜疑往往来自于自身的使用感受,而不是确凿的证据。多位从事网络安全、App开发的专家和资深人士告诉记者,偷拍偷录在技术上有可能实现,但这种方式经济效益并不划算。这种方式不仅成本高昂、效率低下,还有严重的法律风险。换言之,不必过分担心所谓App会偷拍、偷录。
一位从事iOS系统开发多年的工程师告诉记者,直接或间接获取用户数据、完善用户画像的方式还有很多。最常见的用户数据来源依然是用户的个人资料和浏览数据,包括搜索记录、各个页面的停留时长、从哪个页面进入哪个页面等,从而为用户建立起一套包含多个标签的画像,比如“男性、本科毕业、30岁、中等收入、已婚、无子女、养猫”。
这套标签体系的形成很可能极为复杂。浙江大学计算机科学与技术学院周亚金教授举例说,多个用户每晚同一时段连接的Wi-Fi是同一个,那么系统判断大概率他们是一家人,推送的内容很可能会交叉共享。另外,即便用户没有给予一个App定位权限,通过Wi-Fi同样可以判断出他的大致所在地,从而匹配当地的广告。
即便是原本不属于个人信息的数据,在不断汇聚之后,也可能会被发掘出事物间不为人知的联系,从而分析出用户的私密信息。
所谓的App偷拍偷听,“很有可能只是App‘猜你喜欢’猜得很精准而已。”南都个人信息保护研究中心负责人蒋琳说。毕竟,你永远不知道在App后台里你的用户画像详尽到什么程度。算法也许比你还懂你的心。
用户已成惊弓之鸟
“过去频频发生的隐私泄露问题,让大家有些过度焦虑和紧张了。”何延哲是四部门App专项治理工作组专家,长期从事App个人信息使用情况评估和相关技术指导文件的编制。
“一方面,用户的隐私保护意识越来越高是好事,但另一方面,很多人陷入了一个误区,似乎一谈到收集个人信息就是完全错误的,但事实上App收集个人信息在很多情况下也是为用户服务。”何延哲说,他个人其实不是太反感互联网跨平台的广告,因为他知道这中间传递的信息是针对设备的用户画像,而不是个人可识别的信息,比如手机号、身份证号、住址。“我们不是要完全禁止个性化广告,如果不存在个性化广告,那就只能回到传统媒体的广告时代了。”
对个人信息安全的忧虑,折射出的是用户日益敏感的神经,更是用户缺乏对个人数据的知情权和主动权的表现。
用户的需求倒逼手机厂商开始采取行动。今年4月,小米推出的MIUI12系统主打卖点之一即是隐私保护,其中的“照明弹”功能会记录App的一切敏感行为,包括相机、录音和定位等,用户也可随时查看调用记录。
在9月最新推出的苹果iOS14正式版中,也有类似的功能。此外,iOS 14将广告标识符(IDFA)从原本的默认开启状态改为默认关闭,而如果关闭了IDFA,那就意味着App无法再追踪用户数据进行精准的广告投放。
周亚金表示,这些技术措施让App获取个人信息变得困难且容易感知。如果改变了操作系统底层,有可能还会引起兼容性问题。换言之,如果App的隐私保护意识还停留在冗长的、获取用户许可的隐私政策层面,不与时俱进地更新个人信息保护举措,将有可能陷入难以适配操作系统的尴尬境地。
隐私保护中的灰色地带
从个人到企业,再到操作系统和法律法规,个人信息保护的重要性已经达到了空前的高度。但与此同时,一些重要问题的模糊不清,加剧了立法和处罚的困难程度。
首先是隐私范围的界定依然很模糊。《民法典》将隐私界定为自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。
近日公开的个人信息保护法草案中则明确,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。”
值得注意的是,个人信息的范围排除了匿名化后的信息,这相当于为大数据行业的发展留出了空间。不过,蒋琳也指出,不同的人在不同场景下,对隐私的认知是弹性的,仍需要具体场景具体分析。
其次,数据的所有者是谁?一个用户在微信产生的数据是属于他自己还是微信,微信是否有权利将用户数据与其他公司共享?周亚金表示,从常识的角度来看,数据的所有者当然属于用户,但在实践中却很难如此界定。
再次,如何圈定数据共享的范围,也缺乏定论。周亚金举例说,假设一个人使用了A应用,而A应用和B应用属于同一家公司,那么A应用将他的数据授权给B应用是否也需要相应的授权?从用户角度而言,他只使用了A没有使用B,B不应该拥有他的数据;但从公司角度而言,A和B之间数据共享是非常自然的。
“在常识与规范之间,其中有很多模糊地带,这就像法官判案一样,依然需要很多专家的参与。”周亚金说。
据《财经》
缩小
默认
