我们一天花在屏幕上的时长是多少?
根据市场研究机构Data Reportal发布的数据,在全世界,人们平均每天盯着屏幕的时间是6小时55分钟。这意味着,在我们醒着的一天里,有近一半时间都在盯着屏幕。
智能手机、电脑等电子设备在我们的生活中占据越来越重要的地位,我们的社交、购物、点外卖,甚至很多工作也都搬到了线上。这些原本为我们生活带来便利的工具,越来越成为统治我们生活的“武器”。
如今,我们的一举一动都在网络上有迹可循,我们的网页浏览记录、通话记录、短视频的点赞、留言、购物清单、聊天记录、位置信息等散落在各个互联网应用里。“你的手机比你更了解你”似乎正在变为现实。
然而,近年来,公共领域所发生的众多个人信息安全事件危害到了网民的切身利益,也将个人信息保护问题推到了风口浪尖。越来越多的人开始担心自己的隐私是否安全,一方面,我们的工作和生活越来越离不开这些便利的数字技术,另一方面我们对数字技术也越来越不信任。
现代社会,我们该如何和数字技术共处?如何保护个人隐私信息的安全?近日,《人民邮电》报采访了中国电子技术标准化研究院网安中心测评实验室副主任何延哲。
手机会偷听我们说话吗?
“没必要!”何延哲斩钉截铁地回答记者,“虽然这(偷听)在技术上行得通,但不论是手机厂商还是APP(互联网应用开发者),他们都没有必要这样做。因为这样做被发现的可能性很大,且得不偿失。”
从技术实现角度分析,如果APP要实现偷听,有如下三种方式:静默状态录音、侧信道还原和突破系统权限。
第一种静默状态录音,是指APP通过移动终端系统提供的录音功能,在不通知用户的情况下,实现后台静默录音,从而达到偷听的目的,这也是大家在授权APP使用“录音”权限后,最为担心的情况。但是,最新的安卓和苹果手机操作系统已经采取了限制措施,不能在用户无感情况下实现偷听。
以现在的智能手机为例,当我们使用微信发语音时,能看到屏幕上方的“小红点”亮起,这个小红点是硬件厂商设置的麦克风使用提示。灯亮的时候表明手机正在录音,是一个物理提醒。如果手机偷听我们说话,这种情况是很容易被发现的。
第二种所谓的侧信道还原是一种非常前沿的技术,技术门槛非常高,实现过程包括深度学习模型的建立、训练、环境干扰因素影响等,在非实验环境下是否能有效使用都是未知数。
而第三种突破系统权限并不是一件容易的事。要做到这一点,要么让手机厂商对其开放特殊权限,要么通过利用系统漏洞、安装恶意程序等,无论哪种方式其难度及成本都是极高的。
按照现行《个人信息保护法》,这种行为有可能被处以5000万元甚至更高的罚款。更不要说被曝光后公信力完全丧失,进而带来更大的利益损失。
可为什么我们还是经常会有被偷听的感觉呢?比如刚说过某一件商品,打开手机某个APP,就能看到相关的广告推送,刚说起某件东西,随即就能在手机上看到商品链接,这让人不得不怀疑手机是不是在偷听。
何延哲表示,这主要是因为APP对我们做出的精准个性化推荐让人们产生的“幻觉”。它主要是通过对我们的购买记录、浏览记录、搜索记录、使用过的应用程序、输入的内容等信息进行大数据分析,同时还会关联用户的好友、同一位置、同一局域网内用户的一些行为。无数次的推送实验,总有几次押准的,人总是会对押准的这几次印象特别深,进而形成误解。
类似的监听从技术上是可以做到的,但商家一般不会这样做。一方面因为目前国内所有通信设备在出厂之前都会经由工信部组织的第三方检测机构进行严格的检测,如果存在技术漏洞,这样的硬件设备可能根本无法上市,即便上市也会被下架召回等。另一方面,工信部近几年针对侵害用户权益行为的APP定期通报,根据通报的信息,尚未发现有违规录音的违法行为。
要强化平台“守门人”责任
用户之所以经常会有被“偷听”的印象,更多是基于大数据分析的精准推送。而要防止个人信息被滥用,从治理的角度讲,必须强调互联网应用开发使用的“最小必要”原则。
何延哲曾作为主要起草人编制了国家标准《个人信息安全规范》。该标准的引言部分指出,针对个人信息面临的安全问题,依据国家相关法律法规,规范个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、泄露等乱象,最大限度地保障个人的合法权益和社会公共利益。
在该标准文件里,详细规定了个人信息、个人敏感信息的定义和范围,同时也对收集、同意、用户画像、删除、转让和共享等都进行了明确的说明。这份文件为互联网行业高质量发展提供了标准支持,同时也为保障用户权益提供了技术依据。
其中,“最小必要”原则作为信息收集和使用的核心原则之一,在标准中被反复强调。在何延哲看来,标准相当于一本参考书,作为法律条文的解释,专门为从业人员制定的。“就是企业看到法律提出的每一条要求,按照标准的解释从而做到合规。”
作为国家标准制定的主要参与者之一,何延哲表示,在制定标准的时候,其中一些条款的要求可能是“高于”法律的,它的要求比法律更严格。“法律是社会的底线,低于法律的标准要求就是违法的,但国家标准不是。”“有一些标准是具有引导性的,引导行业向更优的方向发展。”
此外,还应强化平台的“守门人”责任。平台作为互联网应用的“入口”,负有保障个人信息安全的责任。一方面,这种责任是与平台自身的专业能力、传播性质和影响范围相适应的合理的注意义务。从法理上讲,平台作为网络服务的提供者,开启了一种社会交往与实践活动的新模式,作为这种活动的组织者,理应对运营过程中随之而来的风险采取预防措施并承担相应责任,以保护公民权益免受侵害。另一方面,各类平台特别是超级互联网平台,他们拥有强大的专业团队和技术能力,能够预见可能发生的危险,也有能力采取措施防止损害的发生或减轻损害。并且,网络平台由于其广泛的传播范围及较大的社会影响力,若造成损害也难以恢复,所以理应承担相应的法律责任。
树立个人信息保护意识刻不容缓
“不要‘妖魔化’互联网是网民应具备的基本素养。”何延哲表示,对互联网要抱有合理期待,网络既不是万能的,也不是“洪水猛兽”。
对于每一个网民来讲,要明确个人信息、个人敏感信息这种基本的概念。比如我们的身份证号、手机号等都属于典型的个人信息,像银行卡号、地址、人脸等属于典型的敏感信息。“用网的时候,我们应该知悉当前网站/APP是干什么用的,他们收集使用我们的个人信息又有什么用,不收集行不行?”何延哲告诉记者,“在输入个人信息之前,首先要清楚收集的目的是什么,如果这个收集目的完全脱离了对用户的服务,这时就需要谨慎一些。对于个人敏感信息更是如此。”
可是,互联网应用为什么要收集个人信息呢?
“一般情况下,互联网应用掌握大量用户信息之后,就可以优化算法,进行个性化广告的推荐,吸引广告主投放广告,进而获取更大的利润。”何延哲告诉记者,以个性化广告为例,并不是所有个性化推荐都是有害的,对于用户来讲,根据个人的需求更快获取自己想要的商品,这个功能节约了用户购买商品花费的时间;对于企业来讲,更精准地把自己的产品推送到目标客户手里,从而降低产品的推广费用,增加利润。对于中小企业来讲,这一点尤其重要,能更加精准地把企业的产品推送给潜在的目标受众,可以节省一大笔推广费用。这也是为什么说互联网的发展有利于中小企业的成长。
个性化广告有没有风险呢?
“当然有。潜在的风险就是人们常说的‘大数据杀熟’。更确切地说,是数据权力的‘滥用’。”
何延哲认为,标准的作用就是规范互联网行业使用用户个人信息。个人信息要看使用场景,在《个人信息安全规范》标准中,明确了“匿名化”和“去标识化”的规定,即互联网应用开发者在对用户数据分析使用时,原始数据必须进行脱敏化处理。
技术能给我们带来便捷、智能,也会伴随着风险,也就是说,任何技术都有可能被滥用。因此,觉得技术有风险,便因噎废食并非解决问题的路径,科学地分析风险、处置风险,将风险控制在可接受范围内,技术就能给我们带来进步,创造价值。
“我们在网络上要坚持零信任原则,就是我不会信任你,我只信任一件事:风险可不可以接受?”何延哲补充说。(方正梁)