剛聊完脫發(fā)，就收到了植發(fā)廣告;剛跟朋友想說喝奶茶，打開外賣軟件就有好幾家奶茶店在首頁;剛說想換手機，購物軟件就有相關商品推薦……

聊什么推什么，多次看到這些的你，是不是有很多疑慮，甚至還感到恐懼——我們難以擺脫依賴的手機，竟然成了“竊聽器”?APP真的在“偷聽”我們聊天?我們又該如何保護好個人信息?

在搜狐科技11月9日舉辦的《AI十二談》第五期直播中，清華大學人工智能國際治理研究院副院長、公共管理學院教授梁正，以及國內(nèi)知名白帽子公司KEEN公司聯(lián)合創(chuàng)始人、GeekPwn(極棒)實驗室安全專家宋宇昊共同解讀了手機APP“偷聽”的真相。

梁正將聊什么就推什么的現(xiàn)象歸結為移動應用普及之下，客觀存在的數(shù)據(jù)刻畫出的個人畫像所致。宋宇昊認為，“偷聽”從技術上來講很容易實現(xiàn)，但精準推薦的背后并不是手機APP在監(jiān)聽語音，而是主要由大數(shù)據(jù)和人工智能所驅(qū)動的精準推薦廣告的能力導致。

手機APP精準推薦的背后也反映了對個人信息的過度索取，甚至是濫用的亂象。梁正認為，現(xiàn)在數(shù)字治理層面的法律法規(guī)已經(jīng)形成“三駕馬車”，關鍵是要結合具體場景落地執(zhí)行。宋宇昊表示，APP廠商也應該從技術層面去推動合法合規(guī)。

同時，梁正和宋宇昊還對用戶如何在使用APP時更好地保護個人信息，提出了建議，如通過正規(guī)渠道下載APP、了解并學會使用《個人信息保護法》等相關法律武器等。

手機APP真的在“偷聽”?

為什么當聊到脫發(fā)、奶茶、手機后，就會有APP給我們推送相關的商品，而且非常精準?對此，梁正分析稱，在移動互聯(lián)網(wǎng)、移動應用普及的情況下，利用多個來源的不同數(shù)據(jù)，就可以精準地刻畫出個人的數(shù)據(jù)畫像。

“我總結它是一種行為數(shù)據(jù)，可能我們自己都會忘記上個月購物的情況，但客觀存在的數(shù)據(jù)被利用和分析以后，就可以挖掘出特別精準的特征。”梁正表示，目前通過分析語音信息實現(xiàn)監(jiān)聽并不容易實現(xiàn)，但現(xiàn)在不當獲取個人信息或者任意擴大化的問題比較突出，典型的比如APP索取超過服務范圍之外的權限。

宋宇昊表示，雖然說是APP在“偷聽”，但精準推薦并不是監(jiān)聽語音所導致，主要原因來自大數(shù)據(jù)和人工智能所驅(qū)動的精準推薦廣告的能力。他進一步分析到，每個用戶在使用電腦、手機等智能設備的過程當中會留下大量的使用記錄，這些使用記錄包括搜索記錄、購買記錄、瀏覽記錄、播放記錄、GPS定位等等這些信息，APP通過記錄這些數(shù)據(jù)，傳到云端后臺，再去提取特征，就可以刻畫出很精準的用戶畫像，從而作出精準推薦。

那么，APP廠商真的能夠監(jiān)聽用戶嗎?宋宇昊表示，這從技術上來講很容易實現(xiàn)，打開手機麥克風就可以監(jiān)聽，沒有任何技術壁壘，但問題是怎么去解讀分析這些數(shù)據(jù)。按照目前AI的發(fā)展水平來看，想要理解或概括人類之間自然語言的對話，不是說做不到，但肯定還做不好，，效果不好，同時成本又很高，不適合用在精準推薦的場景中。

“對于成千上萬的普通用戶來說，為了廣告推薦，用監(jiān)聽的方式肯定是舍近求遠，這是一個賠本買賣，沒人愿意做。”宋宇昊表示。

宋宇昊還提到，雖然精準推薦不是監(jiān)聽導致，但并不代表不會出現(xiàn)問題。“如果APP不需要監(jiān)聽就能夠用更低廉或者更快捷的技術手段來達到甚至超過類似監(jiān)聽的效果，那么一旦它被濫用，對我們的危害是更大的。”比如會帶來更為精準的廣告推薦，用戶轉(zhuǎn)化率更高，意味著用戶會掏出更多的錢，更高的層面則會提升網(wǎng)絡詐騙的成功率，甚至直接可以危害用戶財產(chǎn)和人身安全。

梁正認為，個人信息濫用的風險現(xiàn)在肯定比過去要更大，這些風險不僅僅存在于個人層面，也會涉及到公共安全或者國家安全。但這些風險否會發(fā)生主要取決于怎么樣去運用，最根本的是這些數(shù)據(jù)或信息能否得到有效規(guī)制，不被濫用。

如何保護好個人信息?

手機APP“偷聽”實際上是大數(shù)據(jù)快速發(fā)展下暴露出的一個問題，而對于APP違規(guī)收集或使用用戶個人信息，以及強制、頻繁、過度索取權限等情況，近年來國家監(jiān)管部門也多次出手整治，先后有多批APP被約談、整改，甚至下架。

梁正認為，過去在治理上循環(huán)反復，主要是缺乏根本性的法律法規(guī)和可信的懲罰機制，但目前已有《網(wǎng)絡安全法》《數(shù)據(jù)安全法》和《個人信息保護法》先后實施，這是數(shù)字經(jīng)濟治理的“三駕馬車”，對不同層面進行了規(guī)范，而當務之急是怎么讓這些基本的法律法規(guī)在各個垂直領域真正能夠落地，跟具體的場景相結合，推動相關標準制定和具體治理舉措。

他具體分析到，這個月開始實施的《個人信息保護法》界定的是用戶在享受服務時候的權利，對如何正常合理地使用個人信息數(shù)據(jù)給出了明確要求，比如提出在采集方面，需要在知情同意的情況下，遵循最小的、必要的、合理的原則，不能超出業(yè)務應用或者管理要求之外去獲取信息。

宋宇昊認為，現(xiàn)在互聯(lián)網(wǎng)上的免費服務其實并不是真的免費，而是以個人信息作為換取服務的代價。APP廠商在這場交易中并沒有動機去追求平衡，它的訴求就是盡可能利用用戶的數(shù)據(jù)獲取更大的商業(yè)利益，這時候就需要法律法規(guī)的監(jiān)管和約束，保護用戶的權益，讓用戶能夠自主地去決定到底提供多少個人信息給廠商，讓個人信息換取服務的交易變得更加公平。

梁正則提到，《個人信息保護法》并不是說要去單獨限制企業(yè)、限制平臺，而是考慮怎么去達成平衡的關系。“這個法律明確規(guī)定，用戶提供個人信息需要在雙方約定的條件下，同時應該是公平的、無歧視的，遵循匿名化處理原則，很大程度上把選擇權交給了用戶。同時明確不得以提供服務來獲取信息，獲取信息的前提是服務必要的，如果獲取不必要的信息而且又拒絕服務，那就是違法。”

“如果某個APP在11月1號以后，還存在過度索取個人信息等問題，就可以舉報。如果沒有遵守，還可以根據(jù)損害的嚴重程度，對企業(yè)進行追責處罰，包括罰款、停止服務，甚至入刑。”梁正表示，現(xiàn)在用很大力度推動《個人信息保護法》落地實施，比原來想象的要快，確實是因為問題到了非解決不可的時候。

目前，隨著法律法規(guī)的逐步完善，企業(yè)就要履行在數(shù)據(jù)合規(guī)、數(shù)據(jù)安全管理等方面的主體責任。梁正認為，從法律的意圖來看，對不同的企業(yè)也需要采取有所側(cè)重的治理方式。超級平臺、大型平臺去履行責任需要囊括事前、事中、事后——事前要建立起內(nèi)部的數(shù)據(jù)合規(guī)管理體系，事中需要進行數(shù)據(jù)審計、數(shù)據(jù)安全管理的審查，事后就是造成了影響、產(chǎn)生了后果則需要追責。對于中小企業(yè)來講，事前的準入標準，事后的追則和處罰是很重要的手段，因為很難去全過程地監(jiān)管每一個中小企業(yè)的應用。

宋宇昊還提出了一些技術上的解決辦法。他認為，完全遏止APP聊啥來啥、精準推薦的情況，技術上不可能完全杜絕，但可以設置一些限制，減少個人信息的暴露，比如根據(jù)APP的用途關掉不需要的權限。“每個APP需要申請哪些權限，在APP的開發(fā)過程中有明確的標簽可以設置，APP開發(fā)者想在這方面做到合法合規(guī)的話，技術上完全可以實現(xiàn)。”

作為用戶，如何更好地保護好個人信息和隱私權?宋宇昊提到，《個人信息保護法》中明確規(guī)定可以明確拒絕提供個人信息，但APP不能以此為理由拒絕提供服務，用戶要開始學會使用說不的權利。他還給出兩個具體的安全建議：從正規(guī)的渠道下載APP，如果APP下載渠道都有問題，那么保護個人信息無從談起;同時不要去連接不可信的Wifi，使用自己已知的Wifi，盡量不要使用公共Wifi。

梁正則建議到，從個人角度來講，有兩件事非常需要去做。一是要加強提升自身的數(shù)字素養(yǎng)，能夠了解并學會使用《個人信息保護法》這類法律武器;二是用戶也要積極參與到數(shù)字治理當中，積極行使自己的權利，推動相關法律法規(guī)落地的進程。