文|劉曉春
App是否在“監聽”我們?
這一問題涉及使用者的隱私和個人資訊保護,受到媒體和公眾的高度關注,儘管並沒有被確切證實過,但是長期以來一直沒能打消使用者心中的疑慮。透過專業技術測評的方式對於“監聽”過程進行還原和評估,併為使用者提供自行判斷的有效工具,有助於建立使用者的信任感和安全感。
中國網路安全產業聯盟(CCIA)資料安全工作委員會、中國企業報財經研究院近期共同推出的一份實驗報告,為破除App監聽的疑雲提供了重要的依據和支撐。
隨著移動網際網路的發展,人們對於個人資訊收集、利用和保護的意識日益提升。一方面,透過各種同意機制授權各種App處理自己的個人資訊;另一方面,對於未經同意擅自收集和處理個人資訊的行為也愈加敏感。
隨著個人資訊保護制度從規則體系到落地執行各個環節的完善和壓實,各種違法違規收集個人資訊的行為都受到比較嚴格的監管和控制。整體上,使用者在個人資訊保護方面的安全感得到明顯提升。
不過,也有一些爭議和疑問,在公眾視野中時不時被提起並引起關注。比如所謂App“監聽”問題,由於部分使用者使用過程中,產生了是否被手機等終端上安裝的App“監聽”的疑慮,媒體也時常就這些問題展開報道,從而引發多輪關注和討論。
對於App“監聽”的擔憂,背後反映的是使用者信任的底層問題。
一方面,從使用者體驗看,存在對於“聊什麼,就給推什麼”的直觀感受,例如在跟家人、朋友聊完出行計劃或購物計劃之後,內容類App就開始推送相關內容,電商類App開始推薦相關商品或服務,旅行類App開始推薦相關機票和酒店等。這就導致使用者對於App是否在監聽自己談話產生懷疑。
另一方面,作為個體,使用者的確缺乏足夠的資訊和專業能力,對於手機軟體或者硬體是否在監聽進行檢測、評估,十分需要藉助專業、權威的觀點和驗證手段來判斷,否則就很難形成足夠的信任感。而且,公眾之所以對於App“監聽”問題如此關注和警惕,正是因為日常交談往往包含大量私密、敏感的個人資訊,未經告知、悄無聲息的持續監聽行為,不僅是明確的違法和侵權行為,後果嚴重的還需要承擔刑事責任。
當然,在媒體報道中也可以看到很多來自業界和專家的觀點,認為App監聽既不現實,也不經濟,不具有實際上的可操作性。對於這些觀點,不少使用者還是抱有將信將疑的態度。從公眾信任角度來說,還是需要提供更加具有科學性、權威性、可驗證的證據和論證過程,給出清晰明確、令人信服的觀點和結論,從而更加充分的消除資訊不對稱,同時能夠使得使用者獲得較為便捷而可靠的識別和驗證手段,重塑使用者的信任度和安全感。
從這個意義上說,中國網路安全產業聯盟(CCIA)資料安全工作委員會、中國企業報財經研究院等行業組織、媒體智庫單位聯合啟動,並由中國電子技術標準化研究院網安中心測評實驗室具體實施的《手機防禦系統下的App超限錄音與識別可行性實驗報告》(下稱“實驗報告”),有望在建立公眾信任方面發揮提供科學支撐的作用。
實驗報告從三個層面對涉及手機監聽的技術條件和系統情況進行了測試,在較為全面而縝密的實驗步驟基礎之上,給出了辨別手機系統是否在進行監聽的判斷標準。最終得出結論,在現有的手機裝置系統條件下,移動App想要在不被察覺的情況下實施公眾所懷疑的持續監聽行為,並不具有技術上的可行性。
實驗一測試了手機在被“監聽”中出現的物理反應,發現在“監聽”狀態下,手機電量下降速度較快,其耗電速度相較於正常情況會加快約27%。並且CPU和記憶體消耗較多,CPU佔用均值增長27.5%。在實際使用中,如涉及其他App同時執行,手機耗能將更明顯,出現發熱發燙的可能性很高,“監聽”行為通常難以在正常使用狀態下隱藏。也就是說,使用者可以透過對於手機使用過程中的狀態,自行識別是否存在可疑的“監聽”。
實驗二測試了常用手機系統在 App切入後臺後防止“監聽”的功能,發現手機在麥克風許可權被呼叫時,以及被持續的呼叫過程中,均有提示標誌,通常會以亮點方式提醒使用者,並且會在進行“監聽”的App轉入後臺執行後,啟動“一分鐘切斷”的機制。也就是說,現有的常用手機系統已經採取了相應的提醒和防範“監聽”的機制,使用者可以透過觀察是否存在“亮點”提示的方式,方便快捷地識別是否存在“監聽”的可能。
中國電子技術標準化研究院網安中心測評實驗室副主任何延哲
實驗三測試了手機作業系統對於“監聽”相關的許可權控制,發現麥克風只能被當前位於前臺的App或者最後一個使用的App佔用,也就是說,無法實現兩個App同時錄音,亦即無法實現多款App同時“監聽”的情況,因為同樣會受到手機作業系統“後臺一分鐘切斷機制”的限制。
在比較嚴格、嚴謹的實驗條件控制下,由技術專家展開的實驗和測試,透過實測資料展現了App實施“監聽”的技術過程和實際效果。這些過程透過專業的設計和可回溯、可驗證的步驟,充分披露了測試原理亦即相關資訊和資料。這一方面展現了“監聽”和非“監聽”情況下手機硬體和軟體的不同表現狀態,將測試實驗的原理進行充分展示,有助於使用者瞭解實驗過程和機理;另一方面也以簡潔明瞭的方式向用戶展示瞭如何方便、快捷地對手機App是否呼叫麥克風、錄音功能從而實施“監聽”的可能性,便於使用者自行識別和判斷。
實驗結論不僅具有相當的科學性和專業性,也保持了測試過程的透明度,使得實驗存在可還原性和可驗證性,也可以在其他場景下參照實驗設計進行設計,同時也為使用者瞭解原理和自行測試提供了資訊和工具,有助於使用者建立對於App使用的安全感和信任感。
實驗報告還指出,除了技術上不具有可行性,持續“監聽”,並據此展開資料分析的行為,對於App運營者來說也是一樁“不合算”的買賣。
一方面,監聽行為會導致非常嚴格的法律責任,包括刑事制裁。冒著重大法律風險實施“監聽”,目的只為實施精準營銷,這一行為不符常理。
另一方面,正如其他業內專家指出的,持續無目的“監聽”處理的資料量級超乎尋常,即使不考慮違法成本,單純從商業收益和成本角度來看也極其不合算。
以智慧語音行業某頭部公司的語音轉寫成本為例,市場售價為10元/萬秒,服務成本2元/萬秒。假設App每天有效監聽1小時,監聽成本0.72元/人日,日活1億的App每日成本達到 0.72億元,一年成本就為263億元,而如果按照每天監聽24小時來算,每年成本更是高達6307億元。如此高昂的成本,決定了現實中難以有哪種商業變現模式能以“監聽”產生收益。
隨著新技術新業態的不斷湧現,使用者的隱私安全和個人資訊保護,雖然在法律上主要依託於使用者知情同意的授權機制,但是,從公眾到專家都意識到,隱私和個人資訊的收集和處理依託複雜而專業的技術過程,缺乏專業知識和技能的使用者很難充分了解其中的技術細節。
在大多數情況下,App的合規情況透過政府建立的監管和執法機制來進行,相關政府部門透過常態化的檢查、抽查、評估、測評等方式,對於企業的資料安全合規進行督促和監管,並對違法違規行為進行處罰,後果嚴重的還可以追究刑事責任。與此同時,使用者也可以透過向法院提起侵權訴訟,主張自己的個人資訊被侵害,但如何從更多維度去打消對App“監聽”的誤解與憂慮,依然值得業界探索。
對於App“監聽”的懷疑,正是源自資訊不對稱帶來的使用者安全感缺失。透過具有權威性的專業機構的專家團隊提供第三方的技術評測報告,能夠為使用者提供客觀、科學、透明的評測結果,並且為使用者提供自行辨別的方法和手段,既“授之以魚”也“授之以漁”。
因此,在實驗報告的支撐下,使用者既可以消除安全使用環境下的疑慮,放心使用相關服務,也可以在出現未授權“監聽”情況下進行有效識別,並採取相應的保護措施。實驗報告對於App“監聽”疑雲的破除,起到了正本清源的效果。此類專業技術測評機制,有必要成為隱私和個人資訊保護領域的常態化機制,既可以為使用者自助維護權益提供基礎,也可以成為相關部門展開監管和執法的重要參考。
作者為中國社會科學院大學網際網路法治研究中心主任
責編 | 張雨菲