來自《網絡傳播》雜誌10月刊,原標題為《收集使用個人信息,法治邊界在哪裡?》,作者何延哲、韓煜,作者單位為中國電子技術標準化研究院、公安部安全與警用電子產品質量檢測中心。
近年來,人臉識別技術給人們的生活帶來了極大的便利,但與此同時,其也引發了公眾對洩露個人信息的擔憂。近日,央視新聞調查發現,只要花2元錢就能買到上千張人臉照片,而5000多張人臉照片標價還不到10元。人臉識別技術在App裡到底是如何應用的?App為何會頻繁「自啟動」?
人臉識別技術在App中的應用問題
很多App 開始廣泛應用人臉識別技術,但是因為應用方式不規範、安全措施不到位導致用戶的人臉、行蹤軌跡等個人敏感信息洩露,更有媒體曝出人臉信息買賣黑色產業鏈,5000 多張人臉照片標價不到10元。
在對使用人臉識別技術的 App 進行檢測分析發現,不規範收集使用人臉信息的現象比較突出,常見的有:
在 App 隱私政策裡面,未說明收集使用人臉信息的規則;無法撤回被收集的人臉信息,無法進行帳戶註銷刪除人臉信息;強制收集用戶的人臉信息,否則 App 無法正常使用任何功能;安全措施缺失,人臉原始數據被反覆上傳,且能被網際網路直接訪問、下載;人臉識別技術可靠性差,錄入人臉信息後,使用翻拍照片等方式即可輕易破解。
目前,很多人對於人臉識別技術抱有反感、牴觸情緒,這與其應用過程不規範、安全不過關有關。如果人臉識別技術的應用得不到正確的引導、監督,不光是個人利益遭受侵害,安全與發展的失衡還可能導致產業受困、前景黯淡。
近年來,對於人臉信息,即個人信息中最為敏感的一類「個人生物識別信息」,保護的規則在不斷細化。
目前,全國信息安全標準化技術委員會新修訂發布的 GB/T35273-2020《信息安全技術 個人信息安全規範》中,對人臉信息等生物識別信息保護提出「增強型」要求。《生物特徵識別信息保護要求》《人臉識別數據安全要求》等已經在信安標委重點制定的標準之列。
7月7日,山西太原一高考考點,考務人員運用人臉識別技術核驗考生身份。供圖/視覺中國
App 在應用人臉識別技術時,應充分參照當前已有法律法規和相關標準,保障用戶權益和人臉特徵信息安全。
一是評估人臉識別技術應用的必要性,個人身份核驗準確性不會影響到個人重大利益或社會公共利益的情形可不優先考慮使用人臉識別技術。
二是不宜將人臉識別技術設置為唯一的身份核驗手段,不應強制要求或頻繁推薦用戶開通基於人臉識別的相關功能。
三是未經用戶同意或法律法規授權,不得通過高清攝像頭等私自採集人臉信息,不得使用人臉信息追蹤個人行為。
四是向用戶明示人臉信息收集使用的規則,並建立嚴格的內部管理措施,防止人臉信息被濫用、非法提供給第三方。
五是原則上應僅採取提取人臉特徵信息進行比對的方式進行身份核驗,完成身份核驗後及時刪除人臉圖片等原始樣本。
六是採用 AI 技術合成的數字人臉圖像需明確註明其為技術生成的虛擬圖像,生成和使用過程應經個人授權,遵循有關管理規定。
七是加強人臉識別技術、相關信息系統和終端設備的安全性檢測與認證,推動人臉識別技術成熟度不斷提升,防止人臉信息的偽造、冒用、洩露、丟失。
App「自啟動」「關聯啟動」機制的風險
為何會「自啟動」「關聯啟動」?
最近,有網友更新手機作業系統後,在其提供的功能中發現,有些 App 會自行在後臺啟動,有些 App 啟動後,短時間內喚醒了十餘款其他 App,這種「自啟動」「關聯啟動」的現象在安卓用戶中引發熱烈討論。很多網友表示「不解」「後怕」,擔心個人信息被竊取,媒體也對該現象進行了報導。
事實上,App「自啟動」「關聯啟動」等後臺喚醒問題,在國內的安卓生態下已經存在很多年。
目前國內安卓生態下沒有統一消息推送機制,App為了滿足及時向客戶端手機推送信息的需求,就要儘可能與消息推送伺服器保持長連接。
如果App沒有服務進程,一旦用戶選擇不主動打開App,就無法與用戶進行任何通信,久而久之用戶就會棄之不用甚至卸載,因而App 會想方設法地讓自己在系統中「保活」。
如果 App 開發者選擇了採用第三方推送 SDK 提供的聯合喚醒的機制或者其他類似喚醒機制來「保活」,這就可能導致大量的服務進程在後臺被喚醒、駐留,從而造成應用的「交叉喚醒」「關聯啟動」現象。
說到底,「自啟動」「關聯啟動」事實上是「開源型」的安卓作業系統給開發者留下的可以自行定義使用的空間。除了「消息推送」和「進程保活」,為了適應一些語音識別等智能化場景、與其他 App 業務功能的交互等,這些機制均能被開發者靈活使用。
有何風險?
這種開放型的設計,存在易被「濫用」的隱患。
在用戶安裝、首次打開、使用 App 等過程中,會根據需要授予電話 / 設備信息、存儲、位置等權限,這些權限一旦授予,App 則隨時可以通過權限收集相關的信息。
即使App 通過「自啟動」「關聯啟動」方式被喚醒,被喚醒的 App 服務進程也可以調用用戶已開啟的權限。
這就相當於App、SDK等只要有服務進程存活,也就具備了隨時可收集如 IMEI 等設備唯一識別符、位置信息、公共存儲區的數據等能力,而這些信息被廣泛用於用戶畫像、行為標籤等方面。
顯然,在這種機制下,超出用戶預期的收集使用個人信息的情形是有可能發生的。
《App 違法違規收集使用個人信息行為認定方法》第四條第 3 點指出,收集個人信息的頻度等超出業務功能實際需要,可認定為「違反必要原則,收集與其提供的服務無關的個人信息」;
GB/T 35273-2020《信息安全技術 個人信息安全規範》標準中指出,收集個人信息需滿足最小必要原則,自動收集個人信息的頻率應是實現產品或服務的業務功能所必需的最低頻率。
基於上述技術規範內容分析,App 通過「自啟動」「關聯啟動」等方式喚醒後,如果存在通過權限等機制收集個人信息的行為,且並未在隱私政策等規則中明確指出具體的目的的,其收集個人信息的頻度則涉嫌超出業務功能實際需要。
如何規範?
App通過「自啟動」「關聯啟動」喚醒的方式,是涉及安卓作業系統的一個複雜生態問題。該問題已經得到有關部門關注。
2017年,工信部指導成立由主流手機廠商和用戶基數大的 App 開發商組成的「安卓統一推送聯盟」,旨在推動各應用運營者能夠通過統一推送服務完成消息推送,各應用無須自己考慮消息推送的問題,而是把這個問題交由安卓系統層面去解決,從而避免「自啟動」「關聯啟動」方式的濫用。
除逐步推動「推送」等方面技術和標準上的統一化外,立足於現實情況,還可從技術規範等層面細化 App、SDK 收集使用個人信息的要求,不斷加強對過度收集個人信息行為的檢測評估、曝光處罰,推動「自啟動」「關聯啟動」行為規範化。
無論現有移動生態現狀如何、技術條件是否成熟,App、SDK 等均可從個人信息保護角度,公開、透明收集使用個人信息規則,並嚴格做到言行一致。如此,才能避免「自啟動」「關聯啟動」給用戶帶來的擔憂。
作業系統監測App行為機制的影響
近期,國產手機作業系統最新版本中,不斷加入對App 調用系統權限的時間、頻率、自啟動和關聯啟動狀況、後臺錄音錄像、私自截屏錄屏、提示讀取剪切板行為等進行監測的功能,這讓不少網友紛紛點讚,App 的一些收集個人信息行為不再成為「黑盒子」。
從國產手機廠商的上述舉措可以看出:
首先,專項治理工作的持續開展和技術規範的成熟推動了個人信息保護水平持續提升。
手機作業系統在隱私保護功能上日益強大,其採取的方案與相關監管措施、技術規範「如出一轍」。
比如,《App 違法違規收集使用個人信息行為認定方法》第四條指出,收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關,或收集個人信息的頻度等超出業務功能實際需要,可被認定為「違反必要原則,收集與其提供的服務無關的個人信息」,如果手機作業系統監測到某 App 在用戶未使用時「自啟動」並進行後臺錄音,則涉嫌屬於該情形。
隨著有關監管部門不斷完善立法立規工作,持續開展治理,之前推動 App 整改問題的模式將逐步演化為推動改善移動網際網路生態,以達到事半功倍、全面覆蓋的效果,形成良性循環。
目前,國產手機廠商主動在安卓原生系統基礎上深度定製化的做法彌補了一些隱私保護方面的「先天不足」「陳年頑疾」,既響應了監管要求和民眾訴求,也著實是一次硬實力和競爭力的提升。
其次,隱私保護友好型手機作業系統乃大勢所趨,App 必須做好適配的計劃。
在個人信息保護監管常態化、精細化的背景下,App不得不在個人信息保護問題上不斷強化責任意識,提升能力水平。
而手機廠商提供隱私保護的設置、功能,其本質是為各方「賦能」,一方面協助 App 更加方便地落地個人信息保護要求,另一方面協助用戶更加簡單地監督App 收集使用個人信息行為。
對此,如果部分 App 在開發、運營等環節未能將個人信息保護的相關舉措實質化,還停留在「隱私政策」一紙聲明、取得用戶同意便無所忌憚的狀態,恐怕無法適應今後的作業系統環境,更無法適應今後的監管要求。
8月8日,北京,菜市場裡的微信支付二維碼。供圖/視覺中國
但是,隱私保護技術的發展,也並非不會帶來新的問題,手機作業系統既然對 App 提出了更高的要求,其實也是對用戶提出了更高的要求,以下幾點有待繼續探討。
第一,作業系統提供的透明機制並非完全透明,需理性看待。
如上文所述,很多國產安卓手機作業系統支持對App 使用權限狀況的查看。近期,有某網友爆料,截圖說明某 App 一段時間內讀寫存儲空間1萬餘次。
表面上看,這款 App 似乎超出常理有過度收集個人信息的行為,然而,如果通過不斷打開、關閉App 或自動化點擊、操作,不斷在 App 裡選擇可能使用存儲空間的行為,均可以在短時間內把數據「惡意刷上去」。
若如此,本來手機作業系統透明化的良好機制也就可能被利用。由此可見,這種透明化機制所提供的數據僅是一種參考,而非事實全貌。
如果要去評判 App 是否存在不合理行為,最終需要依靠專業機構的檢測與分析,但是,對於用戶平時了解 App 行為的一個參考數據而言,該機制已經能幫到用戶很多,且對於App 運營者確實存在很顯著的震懾效果。
第二,把更多選擇權交給用戶之後,怎麼有效引導用戶選擇是難題。
如上文所述,不管是透明化還是加強對個人信息的控制,最後的結果就是把選擇權給了用戶。面對越來越完善的隱私保護機制,用戶不得不面臨越來越多的選擇。
對於大多數普通網民,面對大量的告知、選擇,是否能做出合理的判斷,是否因為過多的擔心喪失了享受便捷的服務,是否因為一味地拒絕新方案使得帳戶安全性等方面有所減損都是未知數。
最近蘋果最新版 iOS 系統更新,向用戶進一步開放是否允許提供 IDFA(廣告標識符)的選擇權,包括默認替用戶做出關閉選擇的選項,引發業界爭議。
這也說明了手機作業系統更易在系統層面監督,甚至控制 App 的行為,從個人信息保護的角度看,確實會產生更加直接的效果,但是從對個人使用 App 的價值來看,替用戶做決定是否會損害一部分用戶的訴求也需要進一步探討。
從以上分析可以看出,全社會所關注的 App 個人信息保護問題已經與以往大不相同,問題變得很深入、很複雜、很尖銳,用戶的隱私保護訴求已是當下的剛需。
這一方面為App在個人信息保護方面設置了更高的門檻要求,另一方面也為有關監督管理部門進一步根除問題、改善生態指明了方向。
但是,從分析內容可知,目前典型的難點問題,不只是單一的個人信息保護訴求,還「衝擊」到產業生態的各個環節。歸根結底,是「如何把握髮展和安全的平衡」的問題,也是「社會各界如何形成共識」的問題。
結合當下國際國內在個人信息保護方面的經驗積累,恐怕一時很難得到解決問題的最終答案。但是發展的腳步不會停止,問題也會不斷浮現,這就需要「以問題為導向」,提出措施,逐步落實,不斷改進。
解決問題不一定要先找到一勞永逸的途徑,在發展過程中,直面安全問題,控制安全風險,維持動態平衡才是務實之舉。