《TA知道的太多了——虚拟人应用中的隐私保护探讨.docx》由会员分享,可在线阅读,更多相关《TA知道的太多了——虚拟人应用中的隐私保护探讨.docx(15页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、TA知道的太多了虚拟人应用中的隐私保护探讨虚拟人应用在市场上大放异彩的同时,暗藏着泄露用户隐私的风险。为增强与虚拟人的TA在互动、交流或使用相关设备时的体验感,用户很有可能透露自己的个人敏感信息。如何在虚拟人应用中,寻找保护隐私的最优解,仍待各方讨论。虚拟人应用越来越广泛,渗透到日常生活的每个角落。但是在虚拟人应用在市场上大放异彩的同时,暗藏着泄露用户隐私的风险。为增强与虚拟人的TA在互动、交流或使用相关设备时的体验感,用户很有可能透露自己的个人敏感信息,此外,中之人的个人隐私保护也是虚拟人应用的痛点之一。如何在虚拟人应用中,寻找保护隐私的最优解,仍待各方讨论。一、虚拟人应用中的隐私安全风险虚
2、拟人的应用不仅包括虚拟偶像、虚拟员工,渐渐衍生出虚拟AI伴侣、虚拟主播等应用,而这些新兴的虚拟人应用模式,也给用户带来了更多的隐私安全风险。(一)泄露风险1. AI伴侣、虚拟化身斯派克琼斯曾在2013年编剧并执导了一部名为她的科幻爱情片,讲述了作家西奥多爱上了电脑操作系统里的人工智能女声“萨曼莎”,“萨曼莎”风趣幽默、善解人意,是孤独的男主在现实生活中的情感寄托。如今,曾经的科幻电影已经成为现实,“Replika”、“微软小冰虚拟恋人”等虚拟AI伴侣类应用,吸引到了许多生活在高压力、快节奏现代社会下的年轻一代用户。在这类应用中,用户可以根据自己的喜好量身定做理想中的“男友”/“女友”,与虚拟A
3、I伴侣畅所欲言。在与虚拟AI伴侣交流的过程中,用户会不自觉地将自己包括个人姓名、住址、联系方式等个人信息,再到其爱好、性格、使用习惯,甚至情绪等敏感信息透露给虚拟AI伴侣。虚拟AI伴侣通过深度学习模型,不断全方位收集用户的信息,利用算法不断地学习与总结,这段关系将越来越具有真实感。2. 穿戴设备人工智能穿戴设备也受到了用户的追捧,除了虚拟现实装备如VR眼镜,运动手环、智能手表等也拥有广大的用户基础。在使用这些人工智能产品时,为提供更优质、更全面的服务,人工智能产品可能会要求用户授权其获取用户的身体参数数据,如心跳、步数、运动轨迹等,还会收集用户的位置信息。随着技术的发展,一些VR眼镜在开发时,
4、还加入了可进行拍摄或追踪的功能,也涉及到获取个人所处具体位置的隐私信息。3. 中之人的个人信息泄露所谓的“中之人”,是虚拟主播的“灵魂”,中之人通过为虚拟主播提供配音、动作捕捉,为虚拟主播提供支持,可以说是虚拟主播的角色扮演者。虚拟主播一般分为虚拟数字人主播和虚拟化主播,前者是完全以虚拟形象面世的虚拟人,依靠中之人与虚拟现实技术的支持营业的主播;而后者是将现实中的自然人进行虚拟化与数字化。但随着虚拟主播的广受关注,中之人的个人信息泄露成为又一个问题。(二)泄露的后果随着虚拟人应用的场景逐渐增多,个人信息的泄露途径也随着应用场景的增加而增加,而个人信息泄露后,不仅会给用户带来不良后果,对虚拟人的
5、商业价值也会带来一定折损。1. 用户画像用户画像指通过算法对大量个人信息进行分析和计算,推断出用户的行为、偏好和消费能力等。获得的个人信息越全面、越立体,得出的用户画像就越为精准。商家根据用户画像对用户进行个性化的商品推荐,就会精准地把握住用户的喜好与需求,同时也能把握住用户的消费能力和支付意愿。正所谓“最懂你的人,却伤你最深”,对于用户画像的不当利用可能导致一系列负面作用,例如利用大数据对用户进行差异化定价的“大数据杀熟”,引导过度消费等侵害消费者权益的情形。2. 信息茧房信息茧房是指人们习惯性关注自己所感兴趣的信息领域,久而久之,会把自己桎梏在“茧房”中,失去了解不同事物的机会与能力。通过
6、算法设计,结合用户的个人信息、点击、评论以及页面停留时间等其他信息,为用户“量身打造”个人用户日志,反复推送且只推送符合个人用户画像的信息,就会形成信息茧房。用户因此被剥夺了接受多元化信息的权利,进一步的,无法接受新信息的用户会不断巩固现有的认知,削弱个人思考能力与理解能力,使得带有个人偏见的价值观被不断放大。3. 虚拟主播商业价值的降低作为虚拟人的“灵魂”,保护中之人的个人信息不被“开盒”,不仅是对中之人的保护,也是一种商业需要。国内虚拟偶像顶流组合A-SOUL就曾经因成员的中之人隐私信息被频频曝光,而导致粉丝与运营公司爆发矛盾,A-SOUL团体发展的势头也大不如前。4. 伦理问题虚拟人的伦
7、理问题也引起了社会的关注与讨论。目前虚拟人所主要面临的伦理问题集中在利用虚拟人技术“复活”逝者,“复活”势必要使用逝者本人的敏感数据,且逝者本人对于以其为本体制作出的虚拟人,没有任何控制能力,这种“复活”的行为是否违反社会善良风俗,还有待讨论。二、相关法律法规与行业规范(一)个人信息保护法个人信息保护法(“个保法”)的颁布意味着中国个人信息保护进入了新时代。个保法确立了“告知-同意”个人信息保护原则,并对如何保护个人信息进行了具体的规定。(二)互联网信息服务算法推荐管理规定算法是虚拟人技术的重要组成部分,为规范互联网信息服务算法推荐活动,国家互联网信息办公室、工业和信息化部联合公安部与国家市场
8、监督管理总局于2022年3月1日正式实施的互联网信息服务算法推荐管理规定(“算法推荐规定”)。算法推荐规定以算法的服务规范、用户权益保护两方面作为重点,规范算法推荐服务提供者的行为。(三)互联网信息服务深度合成管理规定(征求意见稿)为了规范以深度学习、虚拟现实为代表的生成合成类算法制作文本、图像、音频、视频、虚拟场景等信息的技术,国家互联网信息办公室制定了互联网信息服务深度合成管理规定(征求意见稿)(“深度合成规定”),向社会公开征求意见。(四)新一代人工智能伦理规范为将伦理道德融入人工智能全生命周期,促进公平、公正、和谐、安全,避免偏见、歧视、隐私和信息泄露等,国家新一代人工智能治理专业委员
9、会于2021年9月25日发布了新一代人工智能伦理规范。从人工智能的管理、研发、供应和使用等角度规范人工智能行业,推动人工智能伦理治理实践。其中明言,要在算法设计、实现、应用等环节,提升透明性、可解释性等,加强伦理审查,避免算法偏见。三、合规及风险防范建议(一)控制个人信息数据处理方式个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等1。个保法对于个人信息的收集和处理原则已有明确规定。在处理个人信息数据时,必须遵循个保法的相关规定。1. 收集个人信息根据个保法的规定,个人信息处理者收集个人信息,一般情况下,均应当遵循知情同意原则。知情同意原则是最基础、最首要的个人信息处
10、理原则,个人信息处理者在该原则下,主要应做到:(1) 公开个人信息处理规则,明示处理的目的、方式和范围;(2) 处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关;采取对个人权益影响最小的方式,获取的个人信息限于实现处理目的的最小范围。一方面,服务供应商提供虚拟人服务时,应当根据实际所提供的服务所需,不得超范围收集个人信息。另一方面,也要通过在网络平台公示或通过向用户发送邮件、站内信等方式明确告知用户个人信息处理规则,并取得用户的明示同意。尤其涉及包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息等个人敏感信息时,更应当取得个人
11、的单独同意。2. 处理个人信息基于不同的服务类别,虚拟人应用服务会收集用户的各类个人信息,甚至包括用户的敏感信息。为此,对于相应的个人信息处理者应当对采集的个人信息实施分类管理。依据个保法,虚拟人服务供应商处理个人信息时,至少应当征得个人同意、采取保密措施和进行必要的脱敏处理等。3. 未成年人个人信息的特殊保护虚拟人应用服务在青少年中尤其受到欢迎。依据个保法第三十一条的规定,虚拟人服务供应商处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意,并且还应当制定专门的个人信息处理规则。4. 自动化决策保护个保法对于“大数据杀熟”等使用自动化决策而向个人进行信息推送、商业营
12、销的行为,也作出了相应要求。使用自动化决策进行营销的虚拟人服务供应商,应当“同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式”,而对于通过自动化决策作出对个人权益有重大影响决定的,赋予了个人拒绝的权利,个人“有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。5. 建立数据安全监管措施根据个保法的要求,虚拟人服务供应商作为个人信息处理者,应当制定内部管理制度和操作规程,要对个人信息实行分类管理,并采取相应的加密、去标识化等安全技术措施,在实际管理场景中,要合理确定个人信息处理的操作权限,制定并组织实施个人信息安全事件应急预案,并定期对从业人员进
13、行安全教育和培训,以建立起行之有效的数据安全监管措施。(二)算法审核与备案在虚拟人应用服务中,必不可少的会用到算法。正如前文所述,算法在虚拟人中应用也蕴含着一系列问题,例如大数据杀熟,虚拟人服务供应商也应遵循算法相关的法律法规而提供虚拟人服务。因此,算法推荐规定等一系列的规定相继出台,规范算法推荐活动。1. 机制机理审核根据算法推荐规定,算法推荐服务提供者应当建立健全算法机制机理审核。应当定期审核、评估、验证算法机制机理、模型、数据和应用结果等,不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型。2. 算法备案并且,网信部门对算法推荐服务实施备案管理。根据算法推荐规定,具有
14、舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。2022年8月12日,网信办公布了第一批算法境内互联网信息服务算法备案清单, 30项应用产品取得了备案编号。算法推荐规定没有直接定义“具有舆论属性或者社会动员能力”。根据具有舆论属性或社会动员能力的互联网信息服务安全评估规定第二条,“具有舆论属性或社会动员能力的互联网信息服务”,包括下列情形:“(一)开办论坛、博客、微博客、聊天室、通讯群组、公众账号、短视频、网络直播、信息分享、小程序等信息
15、服务或者附设相应功能;(二)开办提供公众舆论表达渠道或者具有发动社会公众从事特定活动能力的其他互联网信息服务。”显然,大部分虚拟人应用服务会落入上述情形,从而需要办理算法备案。(三)深度合成技术的合规根据深度合成规定,虚拟人服务供应商利用以深度学习、虚拟现实为代表的生成合成类算法,使用人脸生成、人脸替换、人物属性编辑、人脸操控、姿态操控等对图像、视频内容中人脸等生物特征进行生成或者编辑的技术,属于深度合成服务提供者,在应用深度合成技术时,也需注意如下合规要点。1. 备案对于其提供的服务应当按照算法推荐规定,履行备案手续,并显著标明其备案编号并提供公示信息链接;应用商店服务提供者则应当对提供的深
16、度合成应用程序履行安全管理责任,依法依约核验深度合成应用程序的安全评估、备案等情况。2. 安全评估虚拟人服务供应商应当定期审核、评估、验证算法机制机理,并应当就虚拟人应用自行开展安全评估,预防信息安全风险。3. 对使用者的提示及义务虚拟人服务供应商对于使用虚拟人应用制作、发布传播信息的组织、个人(“深度合成服务使用者”)的合规义务包括:(1) 验证深度合成服务使用者的真实身份信息;(2) 以显著方式提示深度合成服务使用者信息安全义务,并依法依约履行相应管理责任;(3) 履行内容管理义务,采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核;(4) 提供人脸、人声等生物识别信息的显著编辑功能的,应当提示深度合成服务使用者依法告知并取得被编辑的个人信息主体的单独同意等。结语:虚拟人相关产业规模随着人工智能、深度合成等技术的进步,虚拟人应用场景将不断拓展,用户群体也在不断增多,随之而来的隐私保护问题势必会引起社会的关注。虚拟人应用开发者和运营商应在现有法律的框架之内,采取行之有效的合规措施,降低隐私泄露风险,共同维护虚拟人产业的健康发展。注1个人信息保护法第四条第二款15