手机APP“偷听、偷看、偷用”?清华梁正:《个保法》下用户可举报

作者 | 梁昌均

编辑 | 杨锦

“在移动互联网、移动应用普及的情况下,利用很多不同来源的数据,就可以去精准地刻画出个人的数据画像。”近日,在搜狐科技举办的《AI十二谈》第五期的沙龙直播中,清华大学人工智能国际治理研究院副院长、公共管理学院教授梁正在分析“聊到什么手机APP就推什么”的原因时说到。

梁正将这种情况总结为一种行为数据。“我们可能自己都会忘记上个月的购物情况,但客观存在的数据在被利用和分析以后,就可以挖掘出特别精准的特征。”

他也在直播中坦言,聊什么手机APP就推什么是一个比较普遍的现象,自己也有收到过推送,最开始感觉很正常,甚至感到便利。“比如买书,能够精准地把握我的爱好,可以节省时间。但在有些场景下,比如搜索的医疗数据被窥探,这可能就会有不同的感受。”

这也在一定程度上反映出目前APP规模应用发展后的一些乱象。梁正就提到,很多APP都会索取跟服务相关之外的其它权限,比如某些教育类APP不仅要用身份证,还需要位置、相机、读取通讯录等,普通用户自然就会认为它有通过这些权限获取个人信息的可能,目前不当获取个人信息或任意扩大化的问题比较突出。

实际上,个人信息的过度收集、不合理使用,以及算法的滥用已经带来很多风险,比如个人信息的泄露、持续增长的网络诈骗等。梁正表示,这种风险已经越来越严重,不仅涉及个人层面,甚至还涉及到公共安全或者国家安全。“关键是怎么去运用这些信息和数据,最根本的是能否得到有效规制,不被滥用。”

3d75c80f74904ddbae3f876b91d1900a

这也正是梁正所在的清华大学人工智能国际治理研究院的重要方向,研究如何通过建立制度体系、法规体系去解决这些问题。他认为,过去几年,监管部门做了很多专项整顿、专项治理,但依旧难以根治违规收集或使用个人信息的问题,最大的问题在于缺乏根本性的法律法规和可信的惩罚机制。

“法律法规是一个底线思维,《网络安全法》《数据安全法》和《个人信息保护法》的先后实施,已经成为我国数字经济治理的三驾马车。”梁正表示。

他具体分析到,《网络安全法》针对的是数字经济运行的基础设施,被界定为关键基础设施的运营者涉及到更多的是公共安全问题,比如电信运营商,需要承担更多义务,不能完全按照商业利益去权衡。《数据安全法》则是把数据看作一个要素,不是仅仅针对个人数据,规定了数据无论从消费者的行为当中提取,还是从企业的生产运营环节中提取,在采集、存储、传输、使用等方面都应该保证数据安全。

在梁正看来,这个月开始正式实施的《个人信息保护法》则是个人信息保护方面的一部最根本的大法,其立意不是说要单独限制企业和平台,而是怎么去和用户达成平衡。他介绍到,这部法律开篇就界定了在什么条件下可以提供个人信息,即双方合同约定的条件下,用户也可以自己选择要不要提供信息,保证用户的知情同意权。同时,这个约定应该是公平的、无歧视的,也要遵循匿名化处理的原则,包括用户有权知道企业如何使用这些信息及其可能产生的后果。

同时,梁正提到,法律落地实施,关键是在执行环节。当然,首先规则要非常明确,而且有依据。《个人信息保护法》界定了什么是个人信息,对如何保护个人信息,正常合理地使用数据,都给出了明确的要求。比如在采集上要遵循最小、必要、合理的原则,不能超出业务应用或管理要求之外去获取信息;明确提出不得以提供服务为前提获取信息,获取信息的前提是服务必要的,如果获取不必要的信息而且又拒绝服务,那就是违法。

“在这样的要求下我们去对照,如果一个APP在11月1号以后还没有体现《个人信息保护法》相关要求,那就可以举报。”梁正说,如果没有遵守,还可以根据造成损害的严重程度,对企业进行罚款、停止服务、甚至入刑等追责。

在精准推荐的背后,算法也发挥了关键作用,很多APP都采用了这一技术。梁正认为,算法的问题本身是技术问题,其自身也存在固有缺陷,现在需要明确的是,如果算法被不当使用产生后果,需要承担什么样的责任。

不过,算法层面的监管也在开始加强。不久前,网信办发布了《互联网信息服务算法推荐管理规定(征求意见稿)》,对算法服务提供者在个性化推送等方面进行了规定,比如加强数据安全保护和个人信息保护等管理制度,不得设置歧视性或者偏见性用户标签,不得利用算法过度推荐等,向用户提供关闭算法推荐服务的选项等。

梁正认为,对算法的治理要求,和数据治理不太一样,除了要考虑后果和社会责任,还需要考虑算法可解释、算法透明的问题,需要从源头考虑训练数据、输入逻辑、参数选择等方面。同时,算法透明并不是说要把算法及其背后的模型公布出来,而是把算法决策的依据和可能造成的后果、责任划分讲清楚。

“现在更重要的是如何推动这些法律法规在各个垂直领域真正落地,跟具体场景结合,推动相关标准制定和具体治理举措。”梁正说,比如针对消费领域、公共领域等的具体场景,可以出台标准合同,让企业和公共部门更好地具体执行。

对企业来说,则需要履行其在数据合规、数据安全管理上面的主体责任。梁正提出,对于掌握大量数据的超级平台或大型平台,履行这些责任需要囊括事前、事中、事后——事前要建立起内部的数据合规管理体系,事中需要进行数据审计、数据安全管理的审查,事后就是造成了影响、产生了后果则需要追责。对于中小企业来讲,事前的准入标准,事后的追则和处罚是很重要的手段,因为很难去全过程监管每一个中小企业的应用。

此外,从用户角度来讲,如何保护好个人信息?梁正表示,有两件事需要去做。第一是要加强提升自身的数字素养,要了解并学会使用《个人信息保护法》等这类法律武器;第二是要参与到数字治理的过程中来,APP使用者本身也是数据贡献者,应利用好提供参与的机会。

(转自:搜狐科技)

栏目简介:人工智能是当下最热门的技术与赛道之一,关于它,大众抱有诸多好奇的同时也有着不少疑惑。基于此,搜狐科技重磅推出《AI十二谈》栏目,第一季计划播出12期,每期筛选网友日常关心、关注的AI方面的痛点问题,邀请相关专家教授、企业高管组成嘉宾阵容,进行AI知识科普,答疑解惑。

本期嘉宾简介:梁正,南开大学经济学博士,现任清华大学公共管理学院教授,人工智能治理研究中心主任,清华大学人工智能国际治理研究院副院长,清华大学中国科技政策研究中心副主任,清华大学科技发展与治理研究中心学术委员会秘书长等,《科学与管理》、《中国标准化》杂志编委。主要研究方向为科技创新政策、研发全球化、标准与知识产权、新兴技术治理。在国内外学术期刊上发表论文超过70篇,出版各类著作30余部,先后获第八届高等学校科学研究优秀成果一等奖,中国科学学与科技政策研究会优秀青年奖等多项奖励。

话题:
No Tag