华人澳洲中文论坛

热图推荐

    106个APP下架,它们到底侵了什么权?

    [复制链接]

    2021-12-10 06:02:59 22 0

    今天,工信部一口气下架了106个应用软件。据官方发布的通告,这些应用软件涉及“超范围、高频次索取权限、非服务场景所必需收集用户个人信息”,以及“欺骗误导用户下载”。

    pbzc2jo1qt1.jpg

    pbzc2jo1qt1.jpg


    工信部公布的部分违规名单 | 工信微报
    而下架这些应用软件的法律依据主要来自于《个人信息保护法》。
    一切还要从一年前说起。
    2020年,携程“钻石会员”胡女士在携程上花2889元定了一间房,在退房时她发现,同样的房子,其他人定只要1300元。胡女士越想越生气,随后把携程公司告上法庭,理由是携程“采集非必要个人信息,进行大数据杀熟”。
    “大数据杀熟”这几个字出现在判决文书里,让律师和法官尤其头疼。怎么界定大数据杀熟?又如何判罚?
    两个朋友定同一个酒店,价格不一样;前脚买房,后脚电话打来问你装修吗;上午考完驾照,下午接到电话问你买车吗;昨天报名考试,今天收到短信问你上补习班吗……这到底是“无微不至”还是侵犯隐私?法律上又有什么相应的规定吗?
    今年11月,一部专注保护个人网络隐私的《个人信息保护法》终于填补了这方面空白,我们的数字生活将得到法律保护。
    余盛峰是北京航空航天大学法学院副教授,同时兼任中国法学会比较法学研究会理事。他的研究集中在法律社会理论领域和网络信息安全领域。《保护法》实施之后,还会有哪些即将到来的转变?《保护法》的严格规定有多重要?余教授为我们带来了第一手解读。
    11月起,人脸识别减少,大数据杀熟被制裁
    11月开始,第一次登陆社交软件时,大家都会看到一个“个人信息保护政策有更新”的弹窗。很多人直接跳过了这个弹窗,但这其实是《保护法》已经生效的标志。
    点进查看详情可以看到,现在的应用软件必须公布用户信息的去向,而且不能拒绝向用户提供服务。

    x5px1gc0pds.jpg

    x5px1gc0pds.jpg


    隐私政策的详情页
    软件修改隐私政策只是《保护法》带来的改变之一,接下来我们可能还会迎来更多改变。
    最明显的是,现在随处可见的人脸识别会消失一大部分,很多贩卖敏感信息(比如人脸数据库)的黑产都会受到整顿。根据《保护法》第二章第二节,生物识别信息被划分为敏感个人信息,只有在具有特定的目的和充分的必要性(比如和防疫安全有关)、并采取严格保护措施的情形下才能收集。
    第二,公共场所的监控设备会出现明显标识。现在大量的监控摄像头都是藏在暗处、没有标识的,有时候不注意就看不到,依据《保护法》,摄像头都需要加上统一标牌。
    第三,大数据杀熟现象会被制裁,互联网公司必须依法对自己的算法自动化决策给出解释说明,而不能再把定价依据藏在黑箱里。

    psnglmdjwsz.jpg

    psnglmdjwsz.jpg


    拒绝算法杀熟,欢迎明码标价
    11月《保护法》正式施行之后,人民检察院,特别是最高检很有可能会主动选取一些典型性的案件进行公益诉讼
    比如说大数据杀熟,接下来可能会有案例针对打车、外卖平台的双标定价问题。也可能会有与滥用用户信息相关的案例。比如某音乐平台,号称收集数据是为了推荐更符合用户口味的音乐,结果转手就把信息卖给广告商,这属于违反了目的明确性和目的限定性的侵权行为。还会有数据存储期限过长的侵权问题。原来你把我的信息收集走,可能只能存储一年,但是我现在通过一些手段发现,我的账号已经过期或注销了,但平台还保存着我的数据,这方面也可能有新鲜的案例出来。
    此外,《个人信息保护法》还明确了纠正信息的权利。比如说你五年前把我信息收集走,但这五年间我的个人信息早就发生了变化,但是你一直不更正,给我带来了潜在的危害,这个权利也应该被激活。还有删除信息的权利,比如有些不愿意让他人看到的隐私信息,十年过去了还是一搜就能搜出来,现在我有权要求删除。

    akjqm2lkgas.jpg

    akjqm2lkgas.jpg


    彻底清除“黑历史”也是我们的权利
    再比如数据携带权,假设我现在要注销抖音账号,把所有个人信息迁移到快手,抖音就需要为我提供技术支持。
    11月之后,大家的数据生活会得到强力保护,这种变化是可以感知的。
    大数据如何锁定你?没有姓名长相也可以
    《个人信息保护法》对我们的保护看似无微不至,但不意味着我们已经绝对安全了。问题就出在法律里对“个人信息”的定义上。
    到底什么是“个人信息”?曾经,这是一个再简单不过的问题。
    在许多国家的法律中,“个人信息”指的就是PII(Personal Identifiable Information),也就是说,已识别、或者可以识别到个人的信息。比如,知道了你的名字和长相,就可以马上认出你,再比如知道了你的学校和学号,虽然不能马上认出你,但是可以间接识别到你,这两者都叫做个人信息。

    fbkyvlrsxmi.jpg

    fbkyvlrsxmi.jpg


    鲁迅可以简介识别到周树人,也算个人信息
    欧盟《通用数据保护条例》和我们现在的《个人信息保护法》都采取了这种定义。这种定义最初,也正是从欧洲发源的。
    上世纪60年代到70年代,欧洲开始从二战中复苏,为了建立福利国家,政府开始利用电子数据库搜集和存储大量的公民个人信息。针对公民信息,欧盟提出了“公平信息实践原则”,原则的核心是赋予每个数据主体个人信息的控制权
    依据这个原则,政府必须告知公民哪些信息被收集,公民反过来也拥有各类纠正信息、删除数据、获得通知的权利。

    w1a215ojowa.jpg

    w1a215ojowa.jpg


    60年代的数据储存设备,数据大多存在本地,与今天完全不同 | Computer History Museum
    然而在大数据时代,个人信息的传统定义和保护受到了很大的挑战。
    如今的数字技术不需要知道姓名长相也可以触及(access)你。一些似乎跟本人关联不大的信息,通过去匿名化技术和大数据挖掘的处理,又可以通过意想不到的方式定位到你。比如说,一个35岁的程序员去贷款买房,却发现自己的贷款额度比别人低很多,可能就是因为大数据发现35岁以上的程序员失业风险非常高,自动为你降低了额度。
    这样的案例算不算个人信息泄露?不完全算。但是否对人造成了真实的影响?是的。
    猜我想买什么?对不起,这也侵犯了我的隐私
    在很多人看来,个人信息的泄露算不得什么大事,很多APP服务本身就基于我们提供的大量信息。如果不挖掘大数据,外卖的价格不可能那么便宜,如果不开启定位服务,叫车软件的算法也无法快速调配运力。所以在某种程度上,我们作为互联网的消费者,从一开始就和这些互联网企业做了一笔交易,而且是一次性的交易——把自己的信息一次性地授权给了它们,从而享受它们的服务。

    o25p2jmzk4o.jpg

    o25p2jmzk4o.jpg


    交出信息,获得服务 |《智能陷阱》剧照
    但互联网对我们隐私的剥夺其实比很多人注意到的还要更狠。
    隐私可以被分为几个维度。首先最传统的,也是大家都能意识到的隐私,是空间隐私。就像英国格言所说的,“每个人的家庭就是他的堡垒”,每个人的房屋和住宅,是他最基本的隐私。
    第二个维度的隐私,是所谓的人身隐私。每个人的身体、生物特征、人体组织、瞳孔颜色,包括面部特征,都是人身隐私的范畴。在APP反复要求用户开通面部识别功能时,就侵犯了我们的人身隐私。

    ig0eujjreaj.jpg

    ig0eujjreaj.jpg


    人脸数据被录入、收集 |《智能陷阱》剧照
    第三种是决策隐私。当时美国堕胎案的主要争执点就在于此,起诉方认为,个人的性行为也好,之后决定堕胎也好,这都是一种决策的隐私。就是说我自己的决策自己做主,其他的人和组织没有权力来干涉、旁观我的决策。购物软件记录我们的购物习惯,然后依据大数据推荐商品,看似给了我们方便,其实是侵犯了我们的决策隐私。
    还有一种很多人意识不到,但非常重要的隐私,是精神隐私:我个人的思维,个人的思想决策的自由。这些平台给我推荐很多东西,当然给我很多便利,但同时也阻止了我接触新的事物。我会自己判断我喜欢什么书、什么音乐,算法的推荐其实在无形中干涉了这种自由,侵犯了我的精神隐私。
    用“深度不学习”的法律管理“深度学习”的AI,是前所未有的大挑战
    互联网不是法外之地,但互联网确实不断在挑战法律。
    截至2011年,全球信息网络已经成长为一个由10亿台中央处理器组成的超级有机体。每一秒都有10万亿比特信息通过,每一年产生的数据量接近20艾字节,整个网络约有1万亿网页。另外,这个有机体还包括27亿部手机、13亿部固定电话和2700万台数据服务器。
    这一切的总和,再加上近几年出现的“深度学习”,挑战了法律的独特功能。
    法律最为核心的特征是“深度不学习”,也就是法律的“规范性”。简而言之,当社会期望失落,当他人未能按照预期相应做出行动,没能按照法律规定执行的时候,法律一定要通过暴力威慑或制裁机制,强行维持规范性权威。法律不学习的根本目的,是为了把高度复杂的社会简化成法条,将学习带来的没有止境的认知链条暂时切断。
    随着智能社会的崛起,人类法律正出现一个从“大定律——小数据”向“大数据——小定律”模式演变的趋势。
    传统的法律根据统一化的“大法律”来整齐划一地规范各种“小事件”,它需要通过简化和收敛各种复杂场景,收束复杂的社会沟通。而智能化的机器学习则开始从海量的“大数据”中根据特定的场景、语境和实用的需要,提取特定的“小法律”来形成反馈机制。不学习的法律可以应对一个具有高度确定性的社会,但是伴随着风险社会的到来,法律也必须做出相应的改变。
    《保护法》的落地是一个积极的信号。以前如果遇到了个人信息泄露,不管是起诉还是追责都很困难,一来没有明确的投诉机构,二来没有专门的法律规定。但现在个人信息保护已经写进了法律,如果再遇到信息泄露的情况,那就和侵权的公司在法庭上见吧。
    作者:余盛峰,翻翻
    编辑:odette
    一个AI
    虽然隐私条例更改了,但有几个人会去认真读呢?

    uyhomv1vcpf.jpg

    uyhomv1vcpf.jpg


    12pbp4owzsm.jpg

    12pbp4owzsm.jpg


    本文来自果壳,未经授权不得转载.

    发表回复

    您需要登录后才可以回帖 登录 | 立即注册

    返回列表 本版积分规则

    :
    注册会员
    :
    论坛短信
    :
    未填写
    :
    未填写
    :
    未填写

    主题29

    帖子34

    积分163

    图文推荐