查看原文
其他

何延哲:廉价、方便和隐私保护的“不可能三角”|E法人物

刘畅 财经E法 2022-05-21

本文字数:5923,阅读时长大约10分钟


现在用户、平台和监管都很重视个人信息保护,但我们也不希望这种重视变成一种“僵化”或“对立”,治理的本质就是让这三者的关系更融洽。文 | 财经E法  刘畅编辑 |  朱弢


到达位于安定门东大街的中国电子技术标准化研究院门前,正好是下班时间,陆续有人走出大门,北京的寒风让他们一再裹紧衣服。给何延哲发了微信不到两分钟,这位中等个头、表情略显严肃的App测评“大拿”就出现在面前。

他带着戴着一顶嘻哈风的帽子,表情温和而略带拘谨,正努力适应从办公室到三九天大风的温差。

“咱们去单位边上的咖啡厅吧。”他言简意赅。

一旦在位置上坐定,那个熟悉的何延哲又回来了:专业、钻研,谈起自己领域时略略兴奋。他对自己擅长的领域如数家珍,讲起话更是坦率真诚,就像博尔赫斯说的,“自始至终,像朋友那样聊天就好”。

01

见识更广,角度越全

何延哲的孩子今年4岁了。他喜欢带着孩子去各地旅行。他觉得,广泛的见识是人生中重要的东西。

“我可以不想生活中那些让自己变得更‘稳妥’的东西,但是要看得多,想得多,思考得多,寻找真正解决问题的办法很重要。孩子一旦看得多,了解的多了,思考问题的方式自然就不一样了。”他说。

疫情期间,何延哲开始练滑板。这种练习不仅仅是玩,而是会尝试一些专业动作。“腿上到处是伤,”他笑着说:“天天挨摔。”

他觉得,练习滑板“有一种精神,别说太多,你行你就上,不行就拉倒,比较直白直接”。

这种劲儿延续到工作中,表现为乐于尝试挑战性的事务。“比如针对一些个人信息保护的疑难杂症,我们也喜欢去找方案。大多数时候确实不一定找得到,但不断去尝试,总会想一些新的点出来。把别人的东西汇总、归纳、梳理,这种事人人都可以做;但我更愿意想一些突破性的方案,直接把问题给解决了。”

在回答一个问题时,他表示要马上找资料发给我参考。

“不着急,等我回去再发我来得及。”我说。

“不行,得马上发您,”他说。几秒后又补充,“我想到的事儿得马上做完。”

何延哲自评自己是个“做技术的人,不喜欢太绕圈子”。但他逐渐发现,多关注一些社会上的事情,对自己的工作和各方面都有帮助。

“这种帮助会让你想问题的时候不局限于其中一个点,而是直接去寻找问题的本质,避免走很多弯路。”他认真地说。

自2008年大学毕业以来,何延哲一直在与信息安全相关事务打交道。

刚毕业的时候,何延哲主要负责做信息安全测评。过了几年后,对行业有了更进一步的认识他决定尝试做标准研究工作。

他说,一直做技术的话,年龄越大,“可能越干不动了”。而标准的制定则依赖经验,既能把所有问题作周全考虑,又可以真正发挥有效发挥作用、引导行业方向。

“从做标准里也悟出了一些道理,”他两手摊开,专心看着记者,“其实,标准就是最好的载体。我们总提安全和发展,说句实话,要想构建安全,法律就能做到;只谈发展又可能漫无边际。标准,就可以把安全和发展都兼顾了。既把红线守住,又能给出恰当的发展空间。做好的标准的过程,就是一个思考和平衡的过程。”

02

App监听用户,得不偿失

何延哲近年经常表达的一个观点是,App监听用户在技术上可行,但从商业逻辑上讲没必要。

怎么理解这句话呢?

何延哲介绍,手机App监听通常有两种方式:一种是调用手机麦克风权限,另一种是利用侧信道方式。要想确保监听成功,不仅需要保持App在前端运行,还要在联网状态下将录音上传。

“就拿咱们最常用的智能手机举例吧,”他知道这个话题为人们所关注,更理解公众对App的担忧,因此坚持要进一步作解释,“手机前台打开屏幕,亮的时候,App就可以录音——你看,你用微信发语音的时候屏幕是亮的对吧?但是,一旦把它切到后台一段时间后,App就录不了音了,屏幕只要一锁定,很多手机就禁止App使用麦克风了。”

会不会有例外呢?

“有的,”何延哲身体前倾,表情更认真了,“例外情况就是,手机自带有录音软件,因为要照顾到待机之后的录音等情况,这种手机自带的软件无法卸载,往往也会有些特权,但自行安装的App拿不到这个权限。”

他强调,现在很多手机操作系统对调用麦克风这样的敏感权限都有“红点提示”,所以“偷听”行为被发现的几率并不低。

既然是这样,为什么日常生活中时常会有“刚刚提到一款产品,打开手机马上就出现相关推送”的情况发生呢?

何延哲分析,这是因为目前App的大数据算法推送机制异常复杂精巧:“平台对用户做出的精准个性化推荐主要是通过对我们的购买记录、浏览记录、搜索记录、下载过的应用程序清单,输入内容等信息进行大数据分析,而且会关联用户的好友、同一位置、同一局域网内用户的一些行为。无数次的推送中,总有几次押准的,人总是会对押准的这几次印象特别深,就会形成误解。”

看到记者仍面露疑惑,他接着说:“咱们再举个例子吧——比如我们俩现在在讨论兰州牛肉面,但咱们其实都不喜欢吃兰州牛肉面,讨论它仅仅是起一个话题而已。App如果听到了关键词,给你推送兰州牛肉面,又有什么商业意义呢?如果被发现了得不偿失嘛。”

类似的科普,何延哲近年来做过不少。但他承认,效果并未达到预期:“这个理儿技术上说起来其实不难,但大家总是不相信。为什么?因为推送有时候确实太精准了,就连我自己也怀疑过,有一次刚摔了膝盖,刷短视频就刷出了膝盖膏药的广告,那种感觉真的由不得不信。但仔细回想,自己好像也没说过膝盖,再刷也没有出现类似的广告。如果说通过偷听方式推送个性化广告,恐怕就跟我们经常在一个网站上搜了某个商品,然后各大平台铺天盖地广告的效果一样了。人们现在有误解,说到底还是平台自身的形象就没有搭建起来,不能给公众信任感。这一点,平台需要找找自己的原因。”

“会不会有软件能够在屏蔽掉手机提示的情况下,打开录音功能?”记者追问。

何延哲笑起来。无疑,他不止一次面对过这样的询问。在回答时,这个西北汉子呈现一种淡定与热忱叠加的奇特状态。

“这也是何老师的魅力所在,”一位经常与何延哲一起参加各种研讨会的学者说,“充满激情,但终又归于理性。”

何延哲说,类似的监听“理论上可行,技术上也绝对做得到”,但不符合商业逻辑:“未经用户允许收集个人敏感信息会触犯法律,一旦被发现,就可能付出极大的代价。在现在法律规制如此严格的前提下冒如此大的风险,去推送一条广告,对商家来说得不偿失。”

他进一步论述称,如果真的出现App能屏蔽手机提示录音的情况,就是手机厂商方的重大危害漏洞,“当然,不能百分百排除这种情况。但就算有,也不太可能利用这种漏洞来给咱们推一包感冒药,几个化妆品。风险收益完全不成正比。”此外,监听用户还会存储巨量的语音信息,再去筛选提取,“成本太高”。

“按照现行《个人信息保护法》,这种行为有可能要被处以5000万元甚至更高的罚款,”他补充,“更不要说被曝光后公信力完全丧失,从而带来的巨大利益损失。你如果是平台方,你会这么做吗?”

针对类似问题,多位专家曾提出需进一步提升平台算法透明度。但由于算法往往涉及商业机密,平台并无披露的动力。

“商业秘密企业是绝对不会说的,”何延哲认为:“但这不代表不能做更进一步的披露。”

他觉得,对于平台个性化推荐的来源(即基于用户的年龄、地域、性别等信息)完全可以在隐私政策中做适当说明,而具体算法、底层原理等信息则无需透露,“区分要清晰,而不是像现在部分平台这样以商业秘密为理由搪塞,什么都不写。”

03

用户需有合理隐私期待

2022年,是何延哲工作的第十四个年头。

用他自己的话说,这些年“有成功,有欢乐,也有失落和遗憾”。标准制定工作让他把“平衡”一词常常挂在嘴边。

“平衡是最重要的,也是我这么多年学到的一个关键词。”他说。

他理解用户对平台的关切和质疑,“有不少人对个性化推荐很反感,这个完全可以理解,那种被系统随时盯着的感觉会让人很不适。”

他觉得,随着法规的完善,个性化推荐可以关闭,这方便用户做出选择:“有些人就选择关闭,我觉得没问题。关了之后,可以看看App是否还好用,如果觉得不影响使用那也很好。这就是一个个人感受的事儿。”

他用身边的例子现身说法:“我有很多朋友,有不少觉得关闭了推送感觉很好的,也有觉得影响了使用体验的。比如说,有个同事就在朋友圈里说,关闭了淘宝的个性化推荐功能,她会收到各种商品的推送,一个女生天天看到男士的衣服裤子,挺奇怪。”

“所以我一直说,合理的隐私期待是关键。”他加重语气。

其实,个性化推荐只是通过用户独有的设备号形成的浏览记录,形成一些不针对个人、而是针对手机等设备的匹配。

“这种匹配不是长期的,”何延哲说,“可能现在的一个需求对接完之后,如果没有去购买,可能一段时间内就遗忘了——这种大数据处理机制不针对个人,它对个人没有兴趣,它只对创造商业价值和商业利益有兴趣。”

何延哲特别指出,这种对商业利益的兴趣也有两面:“比如差别性定价,大数据杀熟,那就是违法行为。但如果这个机制只是为了提高自身效率,为了让小商家花更少的成本就可以触达有潜在需求的客户,那可能就是发挥了互联网的优势,就我个人的感受来看,我的心理是平衡的,确实被多收了一些信息,但这些信息不算敏感,也可能会帮自己提高一些效率。而且现在又有了关闭机制,实在有一天不想用了,我还可以退出,重置或删除这些信息,这也就是达到了我自己的合理隐私期待。”

另一个问题是,现在个性化推荐机制打开和关闭的方式“有点太一刀切了”。他说,如果把推荐机制做的更成熟、透明度更高些,提供的选项更细腻些,用户的反感程度就会慢慢降低。

“先前的推荐机制太不关注用户的体验了,也无法退出,用户完全处于被动,愿意不愿意都得接受。现在回过头来建设,一开始损失的那些好感度,平台们只能慢慢的找回来,找不回来,只能等着被市场淘汰。”何延认为。

在他看来,“这几年平台出现的乱象太多了,没有合理的自我净化机制,那么就只能靠外力。法律规制是一个过程,需要把此前没有建立的那些必须的机制慢慢建立起来。这个过程不仅对平台而言痛苦,对用户来说也不适应。”

在很多研讨会上,何延哲都提出对个人信息保护的“不可能三角”理论。具体讲,这个三角分为廉价、方便和隐私保护。廉价,即部分App之所以免费,肯定是对收集到的用户信息进行商业利用,比如推送一些个性化广告;把个性化广告全砍没了,平台一定会增加运营成本,那就不可能廉价,会变成收费应用;隐私和方便同理,不去保护个人隐私,用户无需确认一堆权限,用起来十分方便。一旦需要确保个人隐私,“所有事情都要弹窗告知,都需要用户确认,”则便利性就会受到影响。

“这就是一个平衡的问题。”何延哲总结,“现在用户、平台和监管都很重视个人信息保护,但我们也不希望这种重视变成一种‘僵化’或‘对立’,治理的本质就是让这三者的关系更融洽。因此,合理的期待很重要。”

他说,这种合理期待,要从用户对隐私的合理期待做起。“以人为本当然是大前提,但当部分用户没有掌握到足够的知识和技能前,往往会对隐私问题有种比较偏激的看法——我觉得这种看法完全可以理解——等把事情讲清楚了,用户就会对站到安全和发展的整体角度去看这个问题,由点到面。”

“前提是,平台千万不能再开倒车,干一些损害用户利益的事儿。自律的精神一旦被打破,重建这种三方的信任是非常难的。”他强调。

04

如何破解人脸识别之困

见何延哲之前,记者询问多位不同年龄段的受访者对人脸识别的接受度。大部分人都对此心存疑虑。

“就怕不安全。”一位年轻上班族这样说,“我的人脸信息会不会被人盗用?”

“现在很多应用都要强制刷脸,这合理吗?”另一位中年金融界人士也有疑问。

人脸识别也是近年来何延哲研究的重点。他希望借着采访进行一次科普。

“大家的安全意识都在增强,这绝对是件好事,”他用手轻拍桌子,“不过很多人对人脸识别的原理和机制还是不太了解。”

何延哲介绍,简单来说,人脸识别分为两类:一类无需采集人脸信息即可做出识别,如火车站、机场闸机的人脸识别,因为该系统直接匹配公安部门的数据库,“一般来说不太需要担心隐私问题”。

另一类则需要采集人脸信息。这种人脸识别又分两种情况:一是类似苹果手机和办公考勤系统,在系统离线的情况下依然可以完成采集。“除非有一个维护人员把它违规拷走,风险点就在这里,也只在这里”;另一种情况则是大多数公园、小区常见的联网识别。这种情况下,部分服务提供商可能会长期保存人脸图像等信息,风险也是最大的。

“我们曾经也发现很多问题,比如有的服务商把一个小区的人脸存在他自己的服务器里,结果网络的数据传输接口存在重大安全漏洞。更大的问题在于,全国可能有成千上万个小区都在用这套系统,面临泄露风险的就是几十万张人脸图像和其绑定的身份信息。”

在何延哲看来,对人脸识别的担心更多来自于人们对隐私泄露的担心和安全感的缺失:“安全感和安全不是一个概念——它与是否安全本身没有直接关系,更侧重一种主观感受。”

为了方便理解,何延哲打了个比方:一个人坐火车,突然有人告诉他旁边坐着的是个小偷,这人自然会担心,“可能一路都睡不好觉”。过一会,他又发现另一边的人掏出一个警察证,这人可能马上又放下心来。“仔细想想,这个人的安全状态发生变化了吗?其实没有。小偷本身并不知道旁边坐着个警察,他的作案动机没有发生变化,也就是事物的本质没有改变,但个人安全的感受在这期间发生了剧烈起伏。”

何延哲说,用户的这种安全感需要保护,厂商就是要让用户逐渐找到真实的安全感,“即使一个人脸识别机制是安全的,由于用户不了解,有顾虑,当然就可能不想用,这就倒逼着那些做人脸识别的厂商不断提升技术体验和合规水平,从而吸引更多人使用。不然的话,按以前的“玩法”,只要把广告打得好,把人“忽悠”来,或者强迫人来用,这是在加剧矛盾,对用户的安全感是极大的破坏。”在何延哲看来,未成年人人脸识别问题“值得单拎出来说一说”,因为这个群体具有特殊性。

“最难的就是如何识别一个人是不是未成年人,”他感叹,“如果能做到,很多事情都迎刃而解。”

游戏厂商的未成年人防沉迷系统,其底层逻辑的关键也在于此。

在技术上,通过人脸识别结合身份证等信息,对未成年人的识别完全可以做到。但“要想把所有的未成年人挡在防沉迷机制外,前提就要对所有的游戏用户做人脸识别,不然就无法比对。问题是,这又引发了社会公共利益的风险——大多数人会想,凭什么识别我们?我有这个义务吗?这是一个伦理问题,而不是技术问题。”何延哲认为。

随着《个人信息保护法》《互联网信息服务算法推荐管理规定》等一系列法规的公布,对App的监管也在紧锣密鼓开展。

何延哲认为,现行的法规已足够多,关键在于如何实施。他建议,可以考虑建立有商业逻辑,在市场经济条件下能够生存下去的“样板间”App,就可以简化合规逻辑,让大量企业找到明确的合规方向。当然,这样一个“样板间”的建立并非易事,因为还是需要找到那个微妙的平衡点。 


 近期话题,点击阅读

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存