手机APP“偷听、偷看、偷用”？清华梁正：《个保法》下用户可举报

作者 | 梁昌均

编辑 | 杨锦

“在移动互联网、移动应用普及的情况下，利用很多不同来源的数据，就可以去精准地刻画出个人的数据画像。”近日，在搜狐科技举办的《AI十二谈》第五期的沙龙直播中，清华大学人工智能国际治理研究院副院长、公共管理学院教授梁正在分析“聊到什么手机APP就推什么”的原因时说到。

梁正将这种情况总结为一种行为数据。“我们可能自己都会忘记上个月的购物情况，但客观存在的数据在被利用和分析以后，就可以挖掘出特别精准的特征。”

他也在直播中坦言，聊什么手机APP就推什么是一个比较普遍的现象，自己也有收到过推送，最开始感觉很正常，甚至感到便利。“比如买书，能够精准地把握我的爱好，可以节省时间。但在有些场景下，比如搜索的医疗数据被窥探，这可能就会有不同的感受。”

这也在一定程度上反映出目前APP规模应用发展后的一些乱象。梁正就提到，很多APP都会索取跟服务相关之外的其它权限，比如某些教育类APP不仅要用身份证，还需要位置、相机、读取通讯录等，普通用户自然就会认为它有通过这些权限获取个人信息的可能，目前不当获取个人信息或任意扩大化的问题比较突出。

实际上，个人信息的过度收集、不合理使用，以及算法的滥用已经带来很多风险，比如个人信息的泄露、持续增长的网络诈骗等。梁正表示，这种风险已经越来越严重，不仅涉及个人层面，甚至还涉及到公共安全或者国家安全。“关键是怎么去运用这些信息和数据，最根本的是能否得到有效规制，不被滥用。”

这也正是梁正所在的清华大学人工智能国际治理研究院的重要方向，研究如何通过建立制度体系、法规体系去解决这些问题。他认为，过去几年，监管部门做了很多专项整顿、专项治理，但依旧难以根治违规收集或使用个人信息的问题，最大的问题在于缺乏根本性的法律法规和可信的惩罚机制。

“法律法规是一个底线思维，《网络安全法》《数据安全法》和《个人信息保护法》的先后实施，已经成为我国数字经济治理的三驾马车。”梁正表示。

他具体分析到，《网络安全法》针对的是数字经济运行的基础设施，被界定为关键基础设施的运营者涉及到更多的是公共安全问题，比如电信运营商，需要承担更多义务，不能完全按照商业利益去权衡。《数据安全法》则是把数据看作一个要素，不是仅仅针对个人数据，规定了数据无论从消费者的行为当中提取，还是从企业的生产运营环节中提取，在采集、存储、传输、使用等方面都应该保证数据安全。

在梁正看来，这个月开始正式实施的《个人信息保护法》则是个人信息保护方面的一部最根本的大法，其立意不是说要单独限制企业和平台，而是怎么去和用户达成平衡。他介绍到，这部法律开篇就界定了在什么条件下可以提供个人信息，即双方合同约定的条件下，用户也可以自己选择要不要提供信息，保证用户的知情同意权。同时，这个约定应该是公平的、无歧视的，也要遵循匿名化处理的原则，包括用户有权知道企业如何使用这些信息及其可能产生的后果。

同时，梁正提到，法律落地实施，关键是在执行环节。当然，首先规则要非常明确，而且有依据。《个人信息保护法》界定了什么是个人信息，对如何保护个人信息，正常合理地使用数据，都给出了明确的要求。比如在采集上要遵循最小、必要、合理的原则，不能超出业务应用或管理要求之外去获取信息；明确提出不得以提供服务为前提获取信息，获取信息的前提是服务必要的，如果获取不必要的信息而且又拒绝服务，那就是违法。

“在这样的要求下我们去对照，如果一个APP在11月1号以后还没有体现《个人信息保护法》相关要求，那就可以举报。”梁正说，如果没有遵守，还可以根据造成损害的严重程度，对企业进行罚款、停止服务、甚至入刑等追责。

在精准推荐的背后，算法也发挥了关键作用，很多APP都采用了这一技术。梁正认为，算法的问题本身是技术问题，其自身也存在固有缺陷，现在需要明确的是，如果算法被不当使用产生后果，需要承担什么样的责任。

不过，算法层面的监管也在开始加强。不久前，网信办发布了《互联网信息服务算法推荐管理规定（征求意见稿）》，对算法服务提供者在个性化推送等方面进行了规定，比如加强数据安全保护和个人信息保护等管理制度，不得设置歧视性或者偏见性用户标签，不得利用算法过度推荐等，向用户提供关闭算法推荐服务的选项等。

梁正认为，对算法的治理要求，和数据治理不太一样，除了要考虑后果和社会责任，还需要考虑算法可解释、算法透明的问题，需要从源头考虑训练数据、输入逻辑、参数选择等方面。同时，算法透明并不是说要把算法及其背后的模型公布出来，而是把算法决策的依据和可能造成的后果、责任划分讲清楚。

“现在更重要的是如何推动这些法律法规在各个垂直领域真正落地，跟具体场景结合，推动相关标准制定和具体治理举措。”梁正说，比如针对消费领域、公共领域等的具体场景，可以出台标准合同，让企业和公共部门更好地具体执行。

对企业来说，则需要履行其在数据合规、数据安全管理上面的主体责任。梁正提出，对于掌握大量数据的超级平台或大型平台，履行这些责任需要囊括事前、事中、事后——事前要建立起内部的数据合规管理体系，事中需要进行数据审计、数据安全管理的审查，事后就是造成了影响、产生了后果则需要追责。对于中小企业来讲，事前的准入标准，事后的追则和处罚是很重要的手段，因为很难去全过程监管每一个中小企业的应用。

此外，从用户角度来讲，如何保护好个人信息？梁正表示，有两件事需要去做。第一是要加强提升自身的数字素养，要了解并学会使用《个人信息保护法》等这类法律武器；第二是要参与到数字治理的过程中来，APP使用者本身也是数据贡献者，应利用好提供参与的机会。

（转自：搜狐科技）

栏目简介：人工智能是当下最热门的技术与赛道之一，关于它，大众抱有诸多好奇的同时也有着不少疑惑。基于此，搜狐科技重磅推出《AI十二谈》栏目，第一季计划播出12期，每期筛选网友日常关心、关注的AI方面的痛点问题，邀请相关专家教授、企业高管组成嘉宾阵容，进行AI知识科普，答疑解惑。

本期嘉宾简介：梁正，南开大学经济学博士，现任清华大学公共管理学院教授，人工智能治理研究中心主任，清华大学人工智能国际治理研究院副院长，清华大学中国科技政策研究中心副主任，清华大学科技发展与治理研究中心学术委员会秘书长等，《科学与管理》、《中国标准化》杂志编委。主要研究方向为科技创新政策、研发全球化、标准与知识产权、新兴技术治理。在国内外学术期刊上发表论文超过70篇，出版各类著作30余部，先后获第八届高等学校科学研究优秀成果一等奖，中国科学学与科技政策研究会优秀青年奖等多项奖励。