一篇名为《我被美团会员割了韭菜》的文章,在社交网络大火。背后却是利用大数据杀熟,对用户进行“精准营销”。
不久之前,售楼处人脸识别的调查报道,也引发社会关注。
一不留神,我们的隐私就成为了一群人的赚钱机器,被无数商家购买利用。
截至2020年6月,我国网民规模达9.4亿,其中超20%网民个人信息遭到过泄露。
有人说:“想要享受各种方便快捷的生活,跟上时代的脚步的时候,对于隐私的让步,就是我们付出的条件之一。”
为什么隐私泄露的如此泛滥,我们还不拒绝?中国人真的对自己的隐私那么不看中吗?
昨日,2020南都智库产品发布周第二天,由南都个人信息保护研究中心举办的“啄木鸟数据治理论坛”在北京召开。
论坛分为“个人信息保护专场”“数字经济与反垄断专场”“人工智能伦理专场”。针对这三个主题,南都个人信息保护研究中心发布了三份报告——《个人信息安全年度报告》《互联网平台竞争与垄断观察报告》《移动端人脸识别应用合规报告》。
《报告》在中国金融认证中心(CFCA)的技术支持下,对60款App嵌入的SDK收集使用个人信息的情况进行了测评。结果发现,平均每款App使用11.3个SDK,头中尾部App使用的SDK个数相差不大,仅在类型上有所差异。所有受测App使用的SDK获取的权限超出最小必要范围,高德地图和友盟SDK存在隐瞒收集用户个人信息的嫌疑。
今年7月,央视3•15晚会曝光,有SDK在用户不知情的情况下读取用户手机IMEI号(一种设备标识符)、通讯录、短信等隐私信息,读完还会悄悄地将数据传送到指定的服务器存储起来。
报告指出,尽管App平均嵌入上十个SDK,告知方面却常常不到位。《可可英语、乐心健康等12款App没有在隐私政策中列出所使用的SDK,Keep、薄荷健康、学而思网校等16款App则调用了声明之外的SDK。
比如薄荷健康App仅在隐私政策列出三个 SDK,实际上却使用了号码速验、轻牛、神策数据、UC浏览器等12个SDK;掌门1对1辅导App虽然列出了17个SDK,实测中却触发了个推、淘宝推送、UC浏览器等22个SDK。
此外,有21个SDK获取了地理位置、手机相册、视频文件、手机号、账户信息等用户个人信息,但其中一些SDK获取的目的与其功能没有直接关系。
比如魅族SDK属于消息推送类,实现它的功能无需收集用户的手机号,但当嵌入申万宏源和腾讯视频App时,魅族SDK均获取了用户的手机号,上述两个App也并未在隐私政策中告知。
最新版国家标准《信息安全技术移动互联网应用(App)收集个人信息基本规范》征求意见稿列明了30种常用服务类型App的最小必要权限范围。同理,SDK理论上获取的最小必要权限也不应超出。
值得注意的是,《报告》显示60款App使用的SDK获取的权限均超出最小必要范围。其中57款App使用的SDK获取了设备状态权限、已安装列表等;54款App使用的SDK获取了网络身份标志权限。
TalkingData、Mob推送、号码速验、友盟推送、高德地图和友盟SDK。有隐瞒收集用户个人信息的嫌疑。
比如其中TalkingData SDK 仅声明获取地理位置权限,但其代码有能力获取通话记录、已绑定的 NFC 支付卡信息和第三方账户信息。Mob推送SDK同样仅声明了地理位置权限,但有能力获取手机号。
《网络安全标准实践指南—移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》要求,SDK收集使用个人信息的实际行为应与官方文档声明保持一致。报告认为,如果没有实际用途,SDK应删除此类代码。
论坛上,中央网信办网络安全协调局副处长梁立军表示,互联网时代,数据处理活动的泛在化、自动化和智能化,如果缺乏有效的引导和必要的监管,可能带来安全隐患。所以说要高度重视数据安全的相关问题,科学理性地采取措施,保障数据活动始终朝着造福人类的方向发展。
App专项治理工作组专家何延哲则指出,App一直在想数据变现,却忽略了数据应该是为了给人们提供更优质的服务,只有转变成这样的观念,才能变得更好用、更安全,才能更有前景。
作为“国内人脸识别第一案”当事人,浙江理工大学法政学院特聘副教授、网络法研究所副所长郭兵分享了拒绝动物园刷脸的经历。他说案件的关注度远超乎想象,“不仅是周围人,公众也挺在乎自己的脸”。
“因为人脸只有一张。”最高检察院技术信息研究中心副主任贺德银谈道,人脸信息不像手机号、电子邮箱、账号密码那样可以修改;也不像指纹那样需要主动操作;人脸本身公开外露,在无感的情况下就能被采集。
此外数据作为一种生产资源,掌握大量数据的平台竞争优势明显。凭借雄厚资本、海量数据、精准算法,大型平台企业不断延伸触角,形成“赢者通吃,强者愈强”的局面,由此也引发了竞争担忧。
国务院反垄断委员会专家咨询组前成员、深圳大学特聘教授王晓晔认为,数字经济给社会带来了巨大福利。相比传统行业,互联网平台具有网络效应、规模经济和零边际成本等特征,这使得大平台很容易成长为“数字巨无霸”。
“数字经济监管不单只有反垄断,但毫无疑问,反垄断是监管的核心内容。”王晓晔补充道。
对于“从大数据杀熟到人脸识别滥用,数据治理新挑战”专家们也给出自己的看法和建议。
中国信息通信研究院安全研究所数据安全研究部研究员葛鑫表示,从个人信息保护的角度看,售楼处人脸识别的曝光就如同“撕开了一道口子”,让人们意识到大量线下场景也在利用数字技术收集个人信息。而在此之前,监管部门和民众的关注重点是App等线上应用。
葛鑫认为,线下人脸识别的应用方并不是传统意义上的“个人信息控制者”。很多应用方其实采购的是第三方的技术和设备,应用方本身没有能力来完成数据安全的保障。如何推动这些应用方落实数据安全保障的义务,应该是之后需要重点考虑的问题。当人脸识别进入线下场景的时候,我们传统的数据安全思考逻辑,可能都要进行调整。
瑞莱智慧公司CEO田天表示,包括人脸识别在内,各种类型的人工智能应用都需要解决算法不完善导致的算法歧视问题。目前,国内已经有一些厂商尝试展开算法公平性检测。“对待不同的人群和使用者,算法是不是一视同仁?这是我们需要从技术方面解决的问题。”
中国社会科学院大学竞争法研究中心执行主任、副教授韩伟认为,规范人脸识别应用,还需要强有力的法律规制。但在规制的同时,也需要考虑一些商业场景下,技术带来的福利改善、效率提升作用。
“现在各种类型厂商都在应用人脸识别,有的应用甚至可以被一张静态照片破解。提高技术应用门槛,要求它们达到一定标准才能上市,可以有效解决一部分的滥用问题。”小米集团安全与隐私委员会副主席、法务部数据合规总监朱玲凤说。
中国人民大学法学院副教授、未来法治研究院研究员郭锐表示,传统的消费者保护法和民法规则已不适应新技术的监管需求,社会各方需要寻找全新的管制方式。而受到新技术影响的每一个人,都应该进行“有意义的参与”。他特别谈到,新技术的滥用可能伤害到社会中的每一个人,但是更容易伤害的是弱势群体。在这种情况下,社会各界需要构建合适的沟通与治理机制,实现对弱势群体的保护。
韩伟注意到,随着数字经济的发展,竞争规则、数据规则和消费者保护规则存在竞合趋势,大数据“杀熟”就是其中典型代表。他提出疑问——“我们需要考虑这种行为是否产生排除、限制竞争效果,还是只需考虑‘杀熟’是针对消费者的一种剥削性价格歧视?”
在他看来,用反垄断法来规制杀熟行为,相对来说是更麻烦的事情。通过消费者保护规则以及数据规则可能更为高效,比如关注消费者保护规则的完善与落实,以及个人信息保护法出台后的有力实施。
据悉,“啄木鸟数据治理论坛”已连续举办四年。南都个人信息保护研究中心表示,未来对于数字经济治理,南都将持续发声。特别希望像啄木鸟一样,发现并消除数字经济发展中出现的问题,与行业和谐共生,也希望能联合各界的专业人士,一起来助力企业数据治理措施改善,为相关部门的立法与监管提供研究支持。
( 责任编辑: 李元志 )