剛聊完脫髮，就收到了植髮廣告；剛跟朋友想說喝奶茶，開啟外賣軟體就有好幾家奶茶店在首頁；剛說想換手機，購物軟體就有相關商品推薦……

聊什麼推什麼，多次看到這些的你，是不是有很多疑慮，甚至還感到恐懼 —— 我們難以擺脫依賴的手機，竟然成了“竊聽器”？App 真的在“偷聽”我們聊天？我們又該如何保護好個人資訊？

在搜狐科技 11 月 9 日舉辦的《AI 十二談》第五期直播中，清華大學人工智慧國際治理研究院副院長、公共管理學院教授樑正，以及國內知名白帽子公司 KEEN 公司聯合創始人、GeekPwn（極棒）實驗室安全專家宋宇昊共同解讀了手機 App“偷聽”的真相。

樑正將聊什麼就推什麼的現象歸結為移動應用普及之下，客觀存在的資料刻畫出的個人畫像所致。宋宇昊認為，“偷聽”從技術上來講很容易實現，但精準推薦的背後並不是手機 App 在監聽語音，而是主要由大資料和人工智慧所驅動的精準推薦廣告的能力導致

手機 App 精準推薦的背後也反映了對個人資訊的過度索取，甚至是濫用的亂象。樑正認為，現在數字治理層面的法律法規已經形成“三駕馬車”，關鍵是要結合具體場景落地執行。宋宇昊表示，App 廠商也應該從技術層面去推動合法合規。

同時，樑正和宋宇昊還對使用者如何在使用 App 時更好地保護個人資訊，提出了建議，如通過正規渠道下載 App、瞭解並學會使用《個人資訊保護法》等相關法律武器等。

手機 App 真的在“偷聽”？

為什麼當聊到脫髮、奶茶、手機後，就會有 App 給我們推送相關的商品，而且非常精準？對此，樑正分析稱，在移動網際網路、移動應用普及的情況下，利用多個來源的不同資料，就可以精準地刻畫出個人的資料畫像。

“我總結它是一種行為資料，可能我們自己都會忘記上個月購物的情況，但客觀存在的資料被利用和分析以後，就可以挖掘出特別精準的特徵。”樑正表示，目前通過分析語音資訊實現監聽並不容易實現，但現在不當獲取個人資訊或者任意擴大化的問題比較突出，典型的比如 App 索取超過服務範圍之外的許可權。

宋宇昊表示，雖然說是 App 在“偷聽”，但精準推薦並不是監聽語音所導致，主要原因來自大資料和人工智慧所驅動的精準推薦廣告的能力。他進一步分析到，每個使用者在使用電腦、手機等智慧裝置的過程當中會留下大量的使用記錄，這些使用記錄包括搜尋記錄、購買記錄、瀏覽記錄、播放記錄、GPS 定位等等這些資訊，App 通過記錄這些資料，傳到雲端後臺，再去提取特徵，就可以刻畫出很精準的使用者畫像，從而作出精準推薦。

那麼，App 廠商真的能夠監聽使用者嗎？宋宇昊表示，這從技術上來講很容易實現，開啟手機麥克風就可以監聽，沒有任何技術壁壘，但問題是怎麼去解讀分析這些資料。按照目前 AI 的發展水平來看，想要理解或概括人類之間自然語言的對話，不是說做不到，但肯定還做不好，效果不好，同時成本又很高，不適合用在精準推薦的場景中。

“對於成千上萬的普通使用者來說，為了廣告推薦，用監聽的方式肯定是捨近求遠，這是一個賠本買賣，沒人願意做。”宋宇昊表示。

宋宇昊還提到，雖然精準推薦不是監聽導致，但並不代表不會出現問題。“如果 App 不需要監聽就能夠用更低廉或者更快捷的技術手段來達到甚至超過類似監聽的效果，那麼一旦它被濫用，對我們的危害是更大的。”比如會帶來更為精準的廣告推薦，使用者轉化率更高，意味著使用者會掏出更多的錢，更高的層面則會提升網路詐騙的成功率，甚至直接可以危害使用者財產和人身安全。

樑正認為，個人資訊濫用的風險現在肯定比過去要更大，這些風險不僅僅存在於個人層面，也會涉及到公共安全或者國家安全。但這些風險否會發生主要取決於怎麼樣去運用，最根本的是這些資料或資訊能否得到有效規制，不被濫用。

如何保護好個人資訊？

手機 App“偷聽”實際上是大資料快速發展下暴露出的一個問題，而對於 App 違規收集或使用使用者個人資訊，以及強制、頻繁、過度索取許可權等情況，近年來國家監管部門也多次出手整治，先後有多批 App 被約談、整改，甚至下架。

樑正認為，過去在治理上迴圈反覆，主要是缺乏根本性的法律法規和可信的懲罰機制，但目前已有《網路安全法》《資料安全法》和《個人資訊保護法》先後實施，這是數字經濟治理的“三駕馬車”，對不同層面進行了規範，而當務之急是怎麼讓這些基本的法律法規在各個垂直領域真正能夠落地，跟具體的場景相結合，推動相關標準制定和具體治理舉措。

他具體分析到，這個月開始實施的《個人資訊保護法》界定的是使用者在享受服務時候的權利，對如何正常合理地使用個人資訊資料給出了明確要求，比如提出在採集方面，需要在知情同意的情況下，遵循最小的、必要的、合理的原則，不能超出業務應用或者管理要求之外去獲取資訊。

宋宇昊認為，現在網際網路上的免費服務其實並不是真的免費，而是以個人資訊作為換取服務的代價。App 廠商在這場交易中並沒有動機去追求平衡，它的訴求就是儘可能利用使用者的資料獲取更大的商業利益，這時候就需要法律法規的監管和約束，保護使用者的權益，讓使用者能夠自主地去決定到底提供多少個人資訊給廠商，讓個人資訊換取服務的交易變得更加公平。

樑正則提到，《個人資訊保護法》並不是說要去單獨限制企業、限制平臺，而是考慮怎麼去達成平衡的關係。“這個法律明確規定，使用者提供個人資訊需要在雙方約定的條件下，同時應該是公平的、無歧視的，遵循匿名化處理原則，很大程度上把選擇權交給了使用者。同時明確不得以提供服務來獲取資訊，獲取資訊的前提是服務必要的，如果獲取不必要的資訊而且又拒絕服務，那就是違法。”

“如果某個 App 在 11 月 1 號以後，還存在過度索取個人資訊等問題，就可以舉報。如果沒有遵守，還可以根據損害的嚴重程度，對企業進行追責處罰，包括罰款、停止服務，甚至入刑。”樑正表示，現在用很大力度推動《個人資訊保護法》落地實施，比原來想象的要快，確實是因為問題到了非解決不可的時候。

目前，隨著法律法規的逐步完善，企業就要履行在資料合規、資料安全管理等方面的主體責任。樑正認為，從法律的意圖來看，對不同的企業也需要採取有所側重的治理方式。超級平臺、大型平臺去履行責任需要囊括事前、事中、事後 —— 事前要建立起內部的資料合規管理體系，事中需要進行資料審計、資料安全管理的審查，事後就是造成了影響、產生了後果則需要追責。對於中小企業來講，事前的准入標準，事後的追責和處罰是很重要的手段，因為很難去全過程地監管每一箇中小企業的應用。

宋宇昊還提出了一些技術上的解決辦法。他認為，完全遏止 App 聊啥來啥、精準推薦的情況，技術上不可能完全杜絕，但可以設定一些限制，減少個人資訊的暴露，比如根據 App 的用途關掉不需要的許可權。“每個 App 需要申請哪些許可權，在 App 的開發過程中有明確的標籤可以設定，App 開發者想在這方面做到合法合規的話，技術上完全可以實現。”

作為使用者，如何更好地保護好個人資訊和隱私權？宋宇昊提到，《個人資訊保護法》中明確規定可以明確拒絕提供個人資訊，但 App 不能以此為理由拒絕提供服務，使用者要開始學會使用說不的權利。他還給出兩個具體的安全建議：從正規的渠道下載 App，如果 App 下載渠道都有問題，那麼保護個人資訊無從談起；同時不要去連線不可信的 Wifi，使用自己已知的 Wifi，儘量不要使用公共 Wifi。

樑正則建議到，從個人角度來講，有兩件事非常需要去做。一是要加強提升自身的數字素養，能夠了解並學會使用《個人資訊保護法》這類法律武器；二是使用者也要積極參與到數字治理當中，積極行使自己的權利，推動相關法律法規落地的程序。