原标题:“我是不是被窃听了?”算法“偷窥”隐蔽区个人信息该管管了
近日,一款社交App被曝监听用户聊天记录,引发舆论关注。而后该App团队表示,并没有监测用户的聊天记录。App内的个性化广告基于用户的合法授权和内部数据技术支持,可以保护用户隐私的安全。
虚拟世界里,无形的推销无时无刻不在发生着。结合用户数据的个性化广告充斥着社交App、购物平台、搜索引擎等。
“这些个性化广告通常基于推荐算法,其目的是满足用户的个性化需求,实现信息精准服务,极具商业价值。目前,几乎所有App、网站等都嵌入了该技术。”中国科学院自动化研究所模式识别国家重点实验室研究员宗成庆说。
隐蔽区信息泄露问题显现
推荐算法就是对网络用户所积累的数据进行挖掘、归类,刻画用户的行为特征和倾向。一般只需三次人与物的关联,就能完成兴趣发现,实现个性化推荐。
宗成庆表示,推荐算法的最初目的是为了通过数据分析,优化用户体验,方便用户使用App等,但也有不少数据被用作商业用途。这一过程中,用户并不了解个人信息的去向,进而引发用户“我是不是被窃听了”的恐慌。
《2019年上半年我国互联网网络安全态势》显示,在目前下载量较大的千余款移动App中,每款应用平均申请25项权限。其中申请与业务无关的拨打电话权限的App数量占比超过30%;每款应用平均收集20项个人信息和设备信息,包括社交、出行、招聘、办公、影音等,App采集用户信息的情况不容乐观。
事实上,不少用户并不清楚自己的哪些数据被收集了,也不知道这些数据的去处。而后,有用户做了个小实验。该用户通过记录自己手机上App的启动和使用过程,发现不少App存在频繁自启动,访问、读取手机信息的现象。其中一款移动教学软件十几分钟访问手机照片和文件近25000次;另一款办公软件一小时内尝试自启动近7000次,并不停读取通讯录;还有很多常用的社交、办公、娱乐软件也存在后台运行情况下高频率读取个人信息的行为。
“目前,App等软件存在过度收集用户信息的现象,收集方式越来越隐蔽。当前,保护个人信息安全应该更关注隐蔽区的个人信息去向。”中国科学院信息安全国家重点实验室研究员林东岱告诉《中国科学报》。
林东岱介绍,搜索数据、浏览痕迹等不为人所看重的隐蔽区往往包含着大量的个人信息。随着算法技术的发展,越来越多的隐蔽区信息被分析、整合,用于洞察个人特征、生活习惯、消费方式等,进而用于商业用途。
优化算法解决“隐蔽”的烦恼
2019年,中央网信办等四部委针对App违法违规收集使用个人信息开展专项行动,出台《关于开展App违法违规收集使用个人信息专项治理的公告》,对App强制授权、过度索权、超范围收集个人信息的现象提出整改要求。而后,工业和信息化部建立App监测平台,同时与相关部门协同开展了联合执法行动。
相关法律法规的出台,并不能保证个人信息的绝对安全,“说者无意,听者有心”“无禁止即可为”等信息滥用滥采事件仍在不断发生,并且手段越来越隐蔽。林东岱表示,信息安全是相对的,不存在绝对的安全。法律法规是事后追责手段,并不能从源头上确保个人数据不被过度收集、滥用。
为了切断某App对个人数据的商业化用途,有网友试图关闭该App的个性化广告,经过一番尝试,发现需要十几个步骤才能关闭未来6个月的个性化广告,6个月后要想继续关闭还需要重新操作一次。
有没有更简单、直接的办法呢?技术专家们将目光投向算法。“推荐算法之所以有时候让人烦,是因为没有准确抓住用户的心。”宗成庆举例,之前他在某网站购买了两本专业书,此后一段时间每次登录该网站都会有相关书籍推荐,但他对那两本专业书并不甚满意,也不想再次购买。
“用户行为已经发生变化,或有些行为只是偶发,而算法模型一般根据历史数据训练,预测用户未来的行为倾向,具有滞后性,且很难从简单的数据中获取用户真实的心理和目的。”宗成庆说。
算法专家提醒,应对算法的滞后性,一般可以通过及时更新调整训练数据、调整特征工程,以及针对特殊情况或案例调整模型结构等,让推荐算法真正具有“先见之明”。宗成庆表示,目前,各大App都有专门的算法团队提供技术支持,从技术实现上看并非没有可能。
重新定义隐私让阳光照进隐蔽区
无论技术如何发展,事实上,用户和App等软件之间一直存在着信息鸿沟,很多用户并不是很清楚哪些个人信息被采集了又去往何方。此外,新技术、新应用带来的新的安全问题还时不时浮出水面,挑动着用户的敏感神经。
个人信息近乎裸奔般的困境是否无解呢?“保护用户数据安全,应该从技术和管理两方面去做工作。技术上可做的工作更多,比如监测收集信息的类型、信息的去向,但目前用户还无法追溯个人信息的用途,也没有技术提供专业支持。”左晓栋说。
中国信息安全研究院副院长左晓栋表示,只要是采集用户个人信息,就应当经过授权。手机操作系统可以对App进行可视化的监测。安装App时,操作系统可以提示这些App要采集用户的哪些信息。
工业和信息化部赛迪研究院副所长陆峰表示,App应用上架前,就应该对App进行监测,一旦发现超范围获取用户隐私行为则不予上架。
宗成庆建议,信息化时代应该重新定义个人隐私边界,将隐蔽区的个人信息纳入个人隐私范畴,确保个人信息安全;同时,可以建立黑名单制度,对打着个性化服务的旗号收集、滥用用户信息的企业或组织予以曝光,降低其信誉等级。
刚刚闭幕的全国两会上,全国人大常委会工作报告指出,“个人信息保护法”“数据安全法”将成为“下一步主要工作安排”。
来源:中国科学报
责任编辑:刘光博