來源:時代財經
作者:時代財經 餘思毅
蘋果慫了嗎?
原定9月17日凌晨,蘋果上線最新的行動作業系統iOS 14,這一版更新最為亮點的是將大幅提升用戶隱私保護的力度。其中,最值得關注的兩個更新,是關於IDFA(Identifier for Advertising,廣告識別符)和剪切板,因為此舉將深刻影響各大App的商業模式。
但就在iOS 14原定更新日期前10天,蘋果宣布將把關於廣告識別符的更新推遲到明年,將其解釋為「給開發人員足夠的時間來做必要的改變」,但評論普遍認為這是受到利益相關公司的壓力,由保護隱私引爆的商業博弈硝煙甚濃。
在國內,網際網路領域的隱私保護也備受關注。近日創新工場董事長兼CEO李開復在一個公開場合提到,「我們早期幫助曠視科技尋找了合作夥伴,包括美圖、螞蟻金服,讓他們拿到了大量的人臉數據,然後再幫助他們分析各個行業怎麼切入。」李開復的發言短時間內將曠視科技和螞蟻集團帶入輿論風暴。目前,涉事三方均已緊急闢謠或道歉,但對於曠視這樣的人臉識別技術企業來說,考驗或許才剛剛開始。
當個人信息,一旦與商業、支付安全、財富掛鈎,如果確保用戶個人信息被合理安全地使用?如何解讀蘋果升級系統保護信息,隨後又被押後延遲?人臉識別應用場景不斷普及,有何信息安全隱患?9月17日,時代財經專訪了浙江理工大學法政學院特聘副教授郭兵先生。
去年11月,郭兵作為消費者因不願意使用人臉識別,將杭州野生動物世界告上了法庭,該案也成為國內「人臉識別第一案」。郭兵稱,現在很多公司打卡、小區準入、遊樂場所準入都採用人臉識別,這樣的情形持續泛濫下去,隱患非常巨大。郭兵認為,手機號、姓名等信息可以更改,但面部特徵信息無法更改。面部特徵跟財產尤其是支付掛鈎,一旦洩漏就隱患無窮。
郭兵表示,對於個人信息保護有一個基本共識,即個人信息在遵循相關法規的前提下可以合理利用,但同時應該根據個人信息的敏感度來做區分監管。對於收集面部特徵信息的人臉識別相關技術,郭兵認為可以考慮納入行政許可範圍。「只有獲得相應的許可才能從事或者提供相應的技術,這對刷臉場景的濫用能有一定的遏制作用。」
而對於蘋果延遲更新廣告識別符,郭兵坦言,蘋果迭代系統目的是把個人信息的控制權和選擇權更多地交給用戶。但「蘋果畢竟是一家上市企業,既要對用戶負責,也要對股東負責。最終蘋果會不會這麼做,只能拭目以待。」
圖片漣源:圖蟲創意
隱私保護中的商業博弈
時代財經:蘋果日前宣布上線最新的行動作業系統iOS 14,聲稱將大幅提升用戶隱私保護的力度。此舉引發Facebook等通過追蹤用戶行為從而決定廣告投放的公司對iOS 14籤署功能的反對。隨後蘋果宣布推遲關於廣告識別符的更新。你怎麼看?
郭兵:蘋果系統升級版本加強對用戶隱私的保護,是平臺自律的行為。蘋果系統給人的印象就是對用戶隱私保護相較其他系統更嚴格。蘋果系統是封閉的操縱系統,如果它要提高用戶數據安全,實施起來也相對容易。
至於個人信息保護,我認為,並非所有個人信息都要進行非常嚴格的保護。因為這對數字經濟的發展不是好事情,可能也會給用戶帶來一定的不便。當下,無論在相對開放的美國,還是相對保守的歐洲,國際上都有共識——在遵循相關法規的前提下個人信息是可以合理利用的。
蘋果的公司的升級措施,目的是把個人信息的控制權和選擇權更多地交給用戶,而不是交給應用平臺。實際上,蘋果公司不論在美國還是歐洲,由於其系統問題也曾面臨很多行政處罰,在個人信息保護方面,蘋果、谷歌、Facebook等都面臨挑戰。
這次升級涉及的利益相關方非常多,對蘋果公司自身的利益也有一定的損害。蘋果手機上面的應用程式很多是付費的,一旦採取嚴格的保護措施,勢必影響到蘋果公司的收益。
蘋果畢竟是一家上市企業,既要對用戶負責,也要對股東負責。所以,蘋果推遲了關於隱私設置的更新到今年年底。如果因為升級迭代的一個措施,導致公司利益受到非常大的影響,蘋果就會進一步去評估風險。最終蘋果會不會這麼做,只能拭目以待。
時代財經:如果蘋果真那麼做,是不是很多網際網路公司要考慮調整商業模式?
郭兵:是的,蘋果如果這樣做肯定會使得很多公司在蘋果應用場景下的開發成本大增。蘋果的提示可能會讓很多用戶選擇拒絕,對蘋果系統上的APP應用而言利益就會受到極大影響,用戶在使用時的體驗可能也會受到一定影響。
很多應用是通過個性化的廣告推送實現利益最大化的,因為有目的地把廣告推送給相關的用戶,用戶更願意點擊,就會產生流量以及更大的廣告收益。
一旦蘋果把行蹤的控制權完全交給用戶時,精準化的廣告推送會可直接受到影響。當然也有一些觀點認為可能很多用戶也不當一回事,就會選擇同意。但相對於之前,肯定是會受到影響的。
應把人臉識別納入行政許可範疇
時代財經:科技公司之間存在是否從臉部識別公司獲取大量人臉數據用以分析行業切入或其他用途?
郭兵:針對使用人臉數據的問題,李開復、曠視、螞蟻集團三方都做了澄清。
至於人臉數據到底會不會被挪用、被共享,我也有這方面的疑惑與擔憂。以我起訴杭州野生動物世界的案件為例,動物園使用人臉識別技術時實現刷臉入園,必定引入第三方技術服務公司。但是動物園到底與哪家第三方技術公司合作、是否對人臉信息處理籤署了相關保密協議等問題,對方至今都認為是商業秘密,不能透露。
值得一提的是,像動物園入園這樣的線下刷臉場景以及APP或網絡平臺的線上刷臉場景,在隱私政策方面顯然是存在明顯差別的。線下的以商業秘密為由拒絕給消費者作任何說明。而APP還是會提供一個非常長的隱私政策,哪怕用戶在使用時「被迫」點擊同意。
所以我認為,李開復口誤引爆的個人信息保護的話題,值得進一步去引發社會討論,最終達成某種共識。
時代財經:在你研究過程中,有沒有一些挪用個人信息的案例?
郭兵:傳統行業在數位化轉型過程中,對第三方技術公司非常依賴,這就導致第三方公司在為眾多公司提供服務的過程中,有可能違反保密協議,挖掘用戶的個人數據,用於其他的與服務不相關的事情。
第三方技術公司可能利用用戶數據從事其他大數據的商業應用推送,甚至有些第三方技術公司的工作人員違反保密,私下盜取用戶數據進行非法交易,將用戶數據賣給其他有需求的個人或者公司。
目前不論在國內還是國外,都出現了用面部特徵信息來從事違法犯罪活動的案例,如犯罪團夥把銀行的人臉識別系統攻破,去謀取不正當的利益;國外有公司已經開發出用面部特徵信息攻破支付系統。這些都表明人臉識別的安全形勢是比較嚴峻的。
時代財經:政府監管部門是否有較為有效的手段確保用戶數據不被濫用?
郭兵:現行的法律體系中,比較有針對性的監管依據是《網絡安全法》,裡面有一章是專門涉及個人信息保護的。但《網絡安全法》也有不足,關於個人信息保護的規定並沒有對個人信息作出具體區分,進而採取有區別化的監管措施。
《民法典》雖然對個人信息的類型進行了列舉,也明確列舉了生物識別信息,但在具體規定中並沒有對生物識別信息等個人敏感信息做出特別規定。不論是《網絡安全法》還是《民法典》,都是把生物識別信息作為個人信息來統一保護的。
事實上,在涉及到政府監管時,應該根據信息的敏感程度來做區分監管,而臉部數據應該是受到最嚴格的監管。指紋或身份證號碼,在使用時還需要其他的認證方式,而臉部特徵信息最容易實現認證。如果臉部信息遭非法收集或者洩露,危害性非常大。
現在很多公司打卡、小區進出、遊樂場所準入都採用人臉識別,這樣泛濫下去的話,隱患是非常巨大的。手機號和姓名都是可以更改的,但如果一旦面部特徵信息洩露了就無法更改。面部特徵跟財產、支付掛鈎,一旦洩漏的話,隱患無窮。
現在學界有討論,包括我在內不少學者建議人臉識別技術應當納入到行政許可的範圍,就是說企業在使用人臉識別技術採集用戶或者消費者的面部特徵信息的,是要經過事前許可的。這樣能更有針對性進行監管,提高使用刷臉場景的門檻,不能讓公司、小區、動物園、遊樂園等都不受限制的使用人臉識別技術,這對刷臉場景的濫用能有一定的遏制作用。
需要指出的是,行政許可是事前監管,相對於事中、事後監管,其監管要求相對較高。若是把所有的涉及個人信息收集的場景都納入到行政許可的範圍是不現實的,對經濟發展也是不利的。我比較贊同,只是把收集面部信息的人臉識別相關技術納入行政許可範圍。
三管齊下可促進隱私保護
時代財經:為用戶提供便利以及侵犯用戶隱私之間應該如何取得平衡?如何確保用戶個人信息被合理安全地使用?
郭兵:針對在所有的網絡平臺場景如何在便利與保護隱私中取得平衡,現在法學理論中還沒討論出共識。
APP會提供隱私政策來讓用戶來全面的了解他們怎麼保護隱私、怎麼使用收集到的信息,但這些隱私政策會非常的長,一般的用戶不可能去看。在平衡用戶便利和用戶隱私方面,作用非常的有限。
我認為,首先是強調像蘋果公司這樣的自律行為,鼓勵企業在技術開發時設計相應的隱私保護功能。
第二,在監管方面加大處罰力度,大幅度提高侵害用戶隱私行為的機構或者個人的違法成本。現行《網絡安全法》的處罰力度是非常弱的。像歐美監管部門對網際網路巨頭的處罰動輒上十幾億甚至幾十億歐元或者美元。國內在這方面的處罰額度與歐美完全不在一個量級上。目前《個人信息保護法》(草案)正在制定,我了解到處罰力度相對於《網絡安全法》處罰力度會提高。
此外,我國監管部門比較多,關於個人信息安全可能涉及網信、工信、公安、還有市場監管等部門。由於監管執法部門不統一,或導致即便處罰力度加大了,但依然存在監管不作為、不到位的現象。
在監管仍然乏力的情況下,應當鼓勵或者推動公益訴訟,作為個人信息保護的補充手段。公益訴訟指的是像檢察機關或者消費者權益保護協會這樣的機構或社會組織,提出來的為了維護不特定的多數群體的訴訟。公益訴訟可以更好的去推動政府的監管以及敦促平臺自律。