人們對手機(jī)數(shù)據(jù)的主動權(quán)訴求越來越強(qiáng)，但“竊聽風(fēng)云”其實(shí)很難實(shí)現(xiàn)在每一個(gè)普通人身上

文｜《財(cái)經(jīng)》記者 柳書琪

編輯｜謝麗容

關(guān)于App帶來的不安全感，越來越多人正在感受壓力。

國家網(wǎng)絡(luò)安全宣傳周今年9月發(fā)布的《App安全意識公眾調(diào)查問卷報(bào)告》顯示，32萬名受訪者中，近三分之一的人表示很反感App的精準(zhǔn)推送廣告行為，感覺遭到了窺探或偷聽。

剛和朋友聊過的產(chǎn)品就出現(xiàn)在推薦里，沒有打開定位權(quán)限卻一直被App推送當(dāng)?shù)刭Y訊，在這款A(yù)pp上搜過的內(nèi)容轉(zhuǎn)眼出現(xiàn)在另一款A(yù)pp上……在這個(gè)大數(shù)據(jù)時(shí)代里，沒有人能逃得過這形形色色的精準(zhǔn)推送。

過去，人們用“在互聯(lián)網(wǎng)上，沒人知道你是一條狗”來形容網(wǎng)絡(luò)的不可琢磨性。但現(xiàn)在，互聯(lián)網(wǎng)不僅知道你是誰，還知道你喜不喜歡狗，并且給你推送狗糧廣告。

英劇《黑鏡》里，一個(gè)女孩因?yàn)檫^度思念去世的男友，憑借著男友在社交網(wǎng)絡(luò)上留下的全部痕跡，拼湊出了與他幾乎一模一樣的AI模型。

“無處可逃。”浙江大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院周亞金教授長期研究網(wǎng)絡(luò)空間安全，他對《財(cái)經(jīng)》記者說，個(gè)人在互聯(lián)網(wǎng)上的困境越來越明顯。

360公司CEO周鴻祎在今年互聯(lián)網(wǎng)安全大會上說，部分軟件會打開用戶的攝像頭或麥克風(fēng)，獲得手機(jī)用戶信息，再通過這些收集來的信息找到關(guān)鍵詞，來匹配用戶的興趣愛好。

普遍被用戶感知到的App偷拍偷錄現(xiàn)象，真的存在嗎？如果不存在，App又是通過什么方式實(shí)現(xiàn)了如此高準(zhǔn)確度的智能推送呢？用戶數(shù)據(jù)的濫用與合理使用之間是否有邊界？如何在確保數(shù)據(jù)安全的同時(shí)實(shí)現(xiàn)人工智能技術(shù)的發(fā)展？

數(shù)據(jù)采集、交換和應(yīng)用的過程對普通用戶而言如同一個(gè)全封閉式的黑箱，內(nèi)部的運(yùn)轉(zhuǎn)機(jī)制錯(cuò)綜復(fù)雜?！敦?cái)經(jīng)》記者嘗試揭開這個(gè)黑箱的一角。

世界上最懂你的人，可能是算法

10月13日，備受矚目的個(gè)人信息保護(hù)法草案在全國人大常委會上首次亮相。這部專門針對個(gè)人信息保護(hù)的法律明確，“處理個(gè)人信息應(yīng)當(dāng)在事先充分告知的前提下取得個(gè)人同意，個(gè)人有權(quán)撤回同意；重要事項(xiàng)發(fā)生變更的應(yīng)當(dāng)重新取得個(gè)人同意；不得以個(gè)人不同意為由拒絕提供產(chǎn)品或者服務(wù)。”

這反映了個(gè)人信息中最關(guān)鍵的原則——告知同意。但在此前的實(shí)踐中，這項(xiàng)原則不時(shí)為互聯(lián)網(wǎng)公司所忽視。

早在兩年前，坊間就有App偷拍偷錄的傳言，首當(dāng)其沖的是QQ瀏覽器和百度輸入法。當(dāng)時(shí)，vivo Nex手機(jī)的前置攝像頭藏于手機(jī)內(nèi)部，只有調(diào)用時(shí)才會升起，而用戶使用QQ瀏覽器時(shí)會明顯看到，小小的攝像頭模塊被開啟了。同時(shí)，在百度輸入法界面沒有進(jìn)行任何操作時(shí)，手機(jī)也會提示正在錄音。

隨后，QQ瀏覽器和百度輸入法分別解釋稱，沒有偷偷調(diào)取用戶的錄音和拍照功能，而是由于某些網(wǎng)站讀取攝像頭參數(shù)、輸入法進(jìn)行語音麥克風(fēng)預(yù)熱優(yōu)化導(dǎo)致。

但喧囂并未就此散去，一個(gè)憂慮始終縈繞在人們心頭：我們的生活是否無時(shí)無刻不處于監(jiān)視之中？但這樣的猜疑往往來自于自身的使用感受，而不是確鑿的證據(jù)。

多位從事網(wǎng)絡(luò)安全、App開發(fā)的專家和資深人士告訴《財(cái)經(jīng)》記者，偷拍偷錄在技術(shù)上有可能實(shí)現(xiàn)，但這種方式經(jīng)濟(jì)效益并不劃算。這種方式不僅成本高昂、效率低下，還有嚴(yán)重的法律風(fēng)險(xiǎn)。換言之，不必過分擔(dān)心所謂App會偷拍、偷錄。

蔣琳是南都個(gè)人信息保護(hù)研究中心負(fù)責(zé)人，她向《財(cái)經(jīng)》記者歷數(shù)了偷拍偷錄不成立的三點(diǎn)原因。

首先，這需要硬件設(shè)備支持語音喚醒，并要求在嘈雜的現(xiàn)實(shí)環(huán)境下分辨方言、提高識別準(zhǔn)確度。

其次，上傳超大的錄音文件需要耗費(fèi)大量流量，很難躲過用戶注意。

更現(xiàn)實(shí)的因素是，通過監(jiān)聽來捕捉用戶喜好的成本極其高昂，從投入產(chǎn)出比來看公司沒有必要為此買單。

“這些技術(shù)（指偷拍偷錄）通常有特定的應(yīng)用場景，比如經(jīng)濟(jì)偵查、竊聽，會定向應(yīng)用在重要人物上，這么高精尖的技術(shù)不會大范圍地應(yīng)用在普通商用領(lǐng)域。”周亞金說。

可是緊接著的問題是，如果不存在普遍的偷拍、偷錄，為什么有如此多用戶都有相似的被監(jiān)聽的感受？

一位從事IOS系統(tǒng)開發(fā)多年的工程師告訴《財(cái)經(jīng)》記者，直接或間接獲取用戶數(shù)據(jù)、完善用戶畫像的方式還有很多。最常見的用戶數(shù)據(jù)來源依然是用戶的個(gè)人資料和瀏覽數(shù)據(jù)，包括搜索記錄、各個(gè)頁面的停留時(shí)長、從哪個(gè)頁面進(jìn)入哪個(gè)頁面等，從而為用戶建立起一套包含多個(gè)標(biāo)簽的畫像，比如“男性、本科畢業(yè)、30歲、中等收入、已婚、無子女、養(yǎng)貓”。

這套標(biāo)簽體系的形成很可能極為復(fù)雜。周亞金舉例說，多個(gè)用戶每晚同一時(shí)段連接的Wi-Fi是同一個(gè)，那么系統(tǒng)判斷大概率他們是一家人，推送的內(nèi)容很可能會交叉共享。

另外，即便用戶沒有給予一個(gè)App定位權(quán)限，通過Wi-Fi同樣可以判斷出他的大致所在地，從而匹配當(dāng)?shù)氐膹V告。

更不易被察覺的是嵌入在App內(nèi)的SDK（軟件開發(fā)工具包）。它是App內(nèi)提供特定功能或服務(wù)的插件，比如廣告、支付、地圖等。SDK的意義在于，當(dāng)開發(fā)者需要調(diào)用某項(xiàng)功能時(shí)，不需要從頭自行開發(fā)，只需要接入SDK即可。

“當(dāng)App A和App B都采取了同一家廣告SDK時(shí)，那么A和B內(nèi)收集的數(shù)據(jù)都可能上傳至這一家SDK上，A與B之間天然形成了數(shù)據(jù)共享。你在A上的搜索記錄和使用習(xí)慣有可能就會被反映在B上。”周亞金解釋。

正是由于它的隱蔽性，SDK也是數(shù)據(jù)安全和用戶隱私保護(hù)上的重難點(diǎn)。

上述不愿具名的工程師還指出了一個(gè)容易被忽略的“泄密者”——手機(jī)輸入法。他表示，許多第三方輸入法會統(tǒng)計(jì)用戶詞頻數(shù)據(jù)，而這些數(shù)據(jù)理論上都可以賣給其他公司。如此一來，很有可能你前腳剛和朋友說完想買某件商品，后腳購物App上就把這件商品推至前排。

即便是原本不屬于個(gè)人信息的數(shù)據(jù)，在不斷匯聚之后，也可能會被發(fā)掘出事物間不為人知的聯(lián)系，從而分析出用戶的私密信息。北京觀韜中茂(上海)律師事務(wù)所合伙人、首席數(shù)據(jù)官聯(lián)盟專家吳丹君告訴《財(cái)經(jīng)》記者，這種結(jié)果很可能在進(jìn)行數(shù)據(jù)處理前也無法預(yù)見。

所謂的App偷拍偷聽，“很有可能只是App‘猜你喜歡’猜得很精準(zhǔn)而已。”蔣琳說。畢竟，你永遠(yuǎn)不知道在App后臺里你的用戶畫像詳盡到什么程度。算法也許比你還懂你的心。

用戶已成驚弓之鳥

“過去頻頻發(fā)生的隱私泄露問題，讓大家有些過度焦慮和緊張了。”何延哲是四部門App專項(xiàng)治理工作組專家，長期從事App個(gè)人信息使用情況評估和相關(guān)技術(shù)指導(dǎo)文件的編制。在接受《財(cái)經(jīng)》記者采訪時(shí)，他還在去出差的路上，“最近太忙了。”編寫新的行業(yè)標(biāo)準(zhǔn)、調(diào)研收集操作系統(tǒng)和應(yīng)用商店的情況、處理App信息安全領(lǐng)域突發(fā)事件，何延哲無時(shí)無刻不感受著這份工作的壓力和調(diào)整。

“一方面，用戶的隱私保護(hù)意識越來越高是好事，但另一方面，很多人陷入了一個(gè)誤區(qū)，似乎一談到收集個(gè)人信息就是完全錯(cuò)誤的，但事實(shí)上App收集個(gè)人信息在很多情況下也是為用戶服務(wù)。”

何延哲說，他個(gè)人其實(shí)不是太反感互聯(lián)網(wǎng)跨平臺的廣告，因?yàn)樗肋@中間傳遞的信息是針對設(shè)備的用戶畫像，而不是個(gè)人可識別的信息，比如手機(jī)號、身份證號、住址。“我們不是要完全禁止個(gè)性化廣告，如果不存在個(gè)性化廣告，那就只能回到傳統(tǒng)媒體的廣告時(shí)代了。”

近日，蘋果更新的ioS 14系統(tǒng)中新增了用戶可查看調(diào)用剪切板的App的功能，TikTok、Chrome瀏覽器、CNN、google News和星巴克都被海外用戶發(fā)現(xiàn)，調(diào)用了剪切板功能。

這讓本就擔(dān)心隱私泄露的用戶再次成為了驚弓之鳥。“讀取剪切板是非常正常的功能，剪切板的誕生就是為了讀取和粘貼的。”何延哲向《財(cái)經(jīng)》記者解釋，只是在用戶沒有使用、也沒有后臺運(yùn)行一款A(yù)pp時(shí)，它還是獲取并且上傳了剪切板信息，這就可能構(gòu)成了違法違規(guī)收集使用個(gè)人信息行為。

對個(gè)人信息安全的憂慮，折射出的是用戶日益敏感的神經(jīng)，更是用戶缺乏對個(gè)人數(shù)據(jù)的知情權(quán)和主動權(quán)的表現(xiàn)。

今年9月，北京市環(huán)球律師事務(wù)所、南都個(gè)人信息保護(hù)研究中心和中國信息通信研究院安全研究所聯(lián)合發(fā)布了《個(gè)性化展示安全與合規(guī)報(bào)告》。這份報(bào)告對淘寶、京東、微信、微博、快手、攜程等20款常用App進(jìn)行測評，結(jié)果只有5款A(yù)pp設(shè)有可編輯、可刪除的統(tǒng)一標(biāo)簽管理系統(tǒng)。而即便有這一功能，可供編輯的標(biāo)簽也是系統(tǒng)預(yù)設(shè)的，而非由個(gè)人歷史數(shù)據(jù)生成的標(biāo)簽。

與之形成鮮明對比的是谷歌。在谷歌上，用戶可以看到系統(tǒng)基于個(gè)人使用偏好生成的一系列標(biāo)簽，包括教育背景、家庭收入、婚姻狀況、寵物等，對于谷歌可能推送的內(nèi)容也能做到心中有數(shù)。同時(shí)，用戶還可以選擇一鍵關(guān)閉個(gè)性化推送。

種種舉措，歸根結(jié)底是讓用戶清楚三個(gè)問題：App掌握了我的哪些數(shù)據(jù)？這些數(shù)據(jù)的用處是什么？我能否不允許它使用我的數(shù)據(jù)？

用戶的需求倒逼手機(jī)廠商開始采取行動。今年4月，小米推出的MIUI12系統(tǒng)主打賣點(diǎn)之一即是隱私保護(hù)，其中的“照明彈”功能會記錄App的一切敏感行為，包括相機(jī)、錄音和定位等，用戶也可隨時(shí)查看調(diào)用記錄。

在9月最新推出的的蘋果ioS 14正式版中，也有類似的功能。此外，ioS 14將廣告標(biāo)識符（IDFA）從原本的默認(rèn)開啟狀態(tài)改為默認(rèn)關(guān)閉，而如果關(guān)閉了IDFA，那就意味著App無法再追蹤用戶數(shù)據(jù)、進(jìn)行精準(zhǔn)的廣告投放。

周亞金告訴《財(cái)經(jīng)》雜志，這些技術(shù)措施讓App獲取個(gè)人信息變得困難且容易感知。如果改變了操作系統(tǒng)底層，有可能還會引起兼容性問題。

換言之，如果App的隱私保護(hù)意識還停留在冗長的、獲取用戶許可的隱私政策層面，不與時(shí)俱進(jìn)地更新個(gè)人信息保護(hù)舉措，將有可能陷入難以適配操作系統(tǒng)的尷尬境地。

隱私保護(hù)中的灰色地帶

從個(gè)人到企業(yè)，再到操作系統(tǒng)和法律法規(guī)，個(gè)人信息保護(hù)的重要性已經(jīng)達(dá)到了空前的高度。但與此同時(shí)，一些重要問題的模糊不清，加劇了立法和處罰的困難程度。

首先是隱私范圍的界定依然很模糊?！睹穹ǖ洹穼㈦[私界定為，自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。

近日公開的個(gè)人信息保護(hù)法草案中則明確，“個(gè)人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。個(gè)人信息的處理包括個(gè)人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動。”

值得注意的是，個(gè)人信息的范圍排除了匿名化后的信息，這相當(dāng)于為大數(shù)據(jù)行業(yè)的發(fā)展留出了空間。不過，蔣琳也指出，不同的人在不同場景下，對隱私的認(rèn)知是彈性的，仍需要具體場景具體分析。

其次，數(shù)據(jù)的所有者是誰？一個(gè)用戶在微信產(chǎn)生的數(shù)據(jù)是屬于他自己還是微信，微信是否有權(quán)利將用戶數(shù)據(jù)與其他公司共享？周亞金表示，從常識的角度來看，數(shù)據(jù)的所有者當(dāng)然屬于用戶，但在實(shí)踐中卻很難如此界定。

再次，如何圈定數(shù)據(jù)共享的范圍，也缺乏定論。周亞金舉例說，假設(shè)一個(gè)人使用了A應(yīng)用，而A應(yīng)用和B應(yīng)用屬于同一家公司，那么A應(yīng)用將他的數(shù)據(jù)授權(quán)給B應(yīng)用是否也需要相應(yīng)的授權(quán)？從用戶角度而言，他只使用了A沒有使用B，B不應(yīng)該擁有他的數(shù)據(jù)；但從公司角度而言，A和B之間數(shù)據(jù)共享是非常自然的。

更重要的議題是，在信息安全領(lǐng)域，有一項(xiàng)公認(rèn)的原則叫作“最小必要原則”，即App應(yīng)該只收集自己必需的信息。只是一些企業(yè)的做法恰恰相反，遵循的是“能收集多少就收集多少”的原則。

在實(shí)踐中，如何認(rèn)定“最小必要”卻不僅僅是技術(shù)層面的問題。有時(shí)候這種判定可以基于常識，例如一款外賣App如果要求授權(quán)通訊錄，通常沒有太大的必要性。

但周亞金指出，如果一款A(yù)pp本身只需要獲取模糊的定位，卻獲取了精確的地址，那么它是否在遵循最小必要原則就值得打一個(gè)問號了。但另一方面，它也可以聲稱，獲取最精確的地址有助于給用戶提供更好的服務(wù)。

更何況，即便是一款簡單的工具類的App，比如天氣預(yù)報(bào)、指南針，有時(shí)也會附加多個(gè)“雞肋”功能，從而光明正大地索要更多權(quán)限。

“在常識與規(guī)范之間，其中有很多模糊地帶，這就像法官判案一樣，依然需要很多專家知識的參與。”周亞金說。

隱私保護(hù)與行業(yè)發(fā)展如何兩全

早期的移動互聯(lián)網(wǎng)、大數(shù)據(jù)行業(yè)呈現(xiàn)著一股野蠻生長的態(tài)勢，企業(yè)和用戶對于個(gè)人信息安全的理解都是一片混沌。甚至有觀點(diǎn)認(rèn)為，中國互聯(lián)網(wǎng)行業(yè)之所以能夠迅速崛起并成為世界一極，其中一項(xiàng)重要原因正是大量用戶數(shù)據(jù)的反哺。

“大數(shù)據(jù)產(chǎn)業(yè)就像是一輛車。”何延哲說，“過去加速太猛了，超速了，現(xiàn)在需要踩剎車、做保養(yǎng)，這也是為了以后能更好地跑起來。”

周亞金向《財(cái)經(jīng)》記者強(qiáng)調(diào)，雖然人工智能和大數(shù)據(jù)的發(fā)展，必然以獲取多維度、多角度、多用戶的數(shù)據(jù)為基礎(chǔ)，但并不意味著就一定要侵犯用戶的隱私。多位受訪者都表示，目前聯(lián)邦學(xué)習(xí)、安全多方學(xué)習(xí)等技術(shù)能夠在不公開數(shù)據(jù)的前提下，完成數(shù)據(jù)建模、提升AI水平。

例如，一家公司擁有用戶的信用卡數(shù)據(jù)，另一家公司擁有購房數(shù)據(jù)，二者可以在不知道對方用戶數(shù)據(jù)的情況下，完成兩套數(shù)據(jù)的綜合和匹配，這在技術(shù)上完全可以實(shí)現(xiàn)。

但現(xiàn)實(shí)是，很多中小企業(yè)沒有動力采用這些前沿的技術(shù)。相對高的技術(shù)門檻、不菲的成本投入、有限的處罰措施，都是中小企業(yè)的合規(guī)阻礙。

何延哲為《財(cái)經(jīng)》記者算了一筆賬，在國內(nèi)一家公司要做到信息安全合規(guī)，至少需要聘請律師團(tuán)隊(duì)、購置安全設(shè)備、進(jìn)行相關(guān)測評。其中任何一條，都是成本。

歐盟的《通用數(shù)據(jù)保護(hù)條例》GDPR目前是世界上最嚴(yán)厲的數(shù)據(jù)保護(hù)條例。據(jù)隱私管理平臺DataGrail今年2月發(fā)布的報(bào)告顯示，74%中小企業(yè)在遵守GDPR上花費(fèi)了超過10萬美元。有20%的公司開支在100萬美元以上，僅有6%的公司支出少于5萬美元。

反觀國內(nèi)，通常一家小公司在網(wǎng)絡(luò)安全上一年的花費(fèi)不到10萬元，資金遠(yuǎn)遠(yuǎn)不夠。

“合規(guī)成本太高昂，相當(dāng)于給小公司的發(fā)展又制造了一道障礙。很多時(shí)候連生存都成問題，哪里有合規(guī)的余地？”何延哲說。因此，隱私安全保障不到位，不一定等同于這家公司是故意“作惡”，也有可能是“心有余而力不足”，懷有僥幸心理。一旦觸碰紅線，必然面臨被追責(zé)。

何延哲的理念是，盡可能不“逼”著公司做合規(guī)，而要“幫”著公司做合規(guī)。他所在的App專項(xiàng)治理工作組新推出了一款合規(guī)評估工具上，這項(xiàng)工具完全免費(fèi)，可以為App提供在線自評、幫助中小企業(yè)發(fā)現(xiàn)合規(guī)問題。“它還沒那么完美，但對中小企業(yè)來說已經(jīng)很有用了，以后這個(gè)產(chǎn)品的功能還會陸續(xù)更新。”

吳丹君長期為企業(yè)提供網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)法律服務(wù)，她感受到越來越多的公司愿意事前尋求律師協(xié)助，或委托律師起草隱私政策，而非出了問題再整改。如何編寫和展示隱私政策、從第三方獲取個(gè)人信息的合法性，都是企業(yè)法律咨詢的常見問題。

蔣琳所在的南都個(gè)人信息保護(hù)研究中心，從2017年起就在對100款常用App進(jìn)行個(gè)人信息保護(hù)的合規(guī)測評。她親身感受到，重視個(gè)人信息保護(hù)越來越成為互聯(lián)網(wǎng)行業(yè)普遍共識。

與2017年相比，2019年對100款A(yù)pp的隱私政策透明度測評報(bào)告中，透明度在較高級別以上的企業(yè)從不到10%上升至超過60%，而不合格的App比例從80%以上下降至17%。“這是歷次測評中表現(xiàn)最好的一次。”蔣琳強(qiáng)調(diào)，這很可能是好的開始。