freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

IoB势不可挡,你想要便利还是隐私?
2021-01-15 11:19:16

一、什么是IoB行为互联网

出于商业等目的对收集到的用户数据进行分析的行为并不新鲜,而行为互联网(Internet of Behavior,IoB)则是在这个基础上更进一步,被分析后的数据信息以其它形式出现在用户视野以影响用户的行为,形成了一种反馈机制。行为互联网是基于物联网(IoT)的,电子设备的互联产生了更多的用户操作数据,这些数据的流通让人们可以挖掘数据背后更丰富的用户心理信息,从而开拓了更为广泛的利用空间。很多人认为,2012年是行为互联网概念的开端,心理学教授Gothe Nyman在该年描述了物联网中获取的用户数据的价值;如今,用户任何联网设备都会留下痕迹,购物、购票、外卖、浏览论坛图文视频、健身运动、游戏等等,这些数据被机构收集、分析,已形成了一套自动化的生态系统,即很多互联网产品都会提醒使用者参与的“用户体验改进计划”。

IoB会为个人带来很多便利,例如推荐你感兴趣的新闻,提醒你可能会喜欢的商品有折扣之类。同时,2020年全球新冠疫情蔓延的情况下,各国政府等机构通过对个人体温、活动踪迹等信息的大规模收集和分析,保障了更多人的健康生命安全,取得了优秀的疫情防控成果。IoB也成为Gartner 2021年预言的九大重点趋势之一,后者认为IoB是以人为本的个性化服务,将会在保险领域受到更广泛的欢迎,如车险、医疗保险等,但同时也会在道德和社会层面带来影响。尽管个性化服务与隐私保护互斥,但也无法阻挡IoB在未来的发展,两者平衡或许在于数据使用的范围是否被滥用。

二、IoB:从购物轨迹,到一点一滴的芝麻信用

生活中我们已经离不开网购。但曾有网购用户反馈过一些现象,例如,网购了些婚礼相关用品的一年后,便收到该平台母婴用品的推送;在购物软件搜索某些关键词、看过某些宝贝后,关闭该软件,打开微博或一些其它软件的时候,广告位置上会赫然出现自己刚才浏览过的类似商品;以及之前备受关注的“大数据杀熟”,即同样商品在不同用户账号下展示价格不一样。这些APP收集用户的浏览痕迹,分析每一位用户的消费行为和消费特征,利用算法推断用户当下和未来的需求,利用用户心理影响其下一次购物行为,以获取更大利益。按照上面的例子,如果一位用户在婚后一年正好打算育儿,难道TA会不愿意点击平台“正好推出”的相关链接送去了解一下产品吗?而回头客由于信任店铺,在不知情的情况下,对于高一些的价格也确实更有承受力。

而随着网购的发展,同步兴旺的是互联网征信服务。在收集用户各类信息(包括但不限于消费信息)后,商业机构分析用户行为和心理特征,计算出用户的信用值,并依据信用值提供一定的生活便利,引导用户的下一次行为,以增加对自身产品的依赖性。以国内首个互联网征信产品、阿里蚂蚁金服旗下的“芝麻信用”为例,其以“用户信用历史、行为偏好、履约能力、身份特质、人脉关系”五个维度收集用户数据并为用户打分评级,即较差、中等、良好、优秀、极好5个档次。用户通过支付宝的各种行为(包括购物、打车、共享交通、租赁、转账、理财等等),甚至公益守约(例如蚂蚁种树),都会改变芝麻信用分数和等级,等级越高,用户享受的便利越多,如信用优秀等级的用户将享受使用共享交通工具时免押金、信用医疗等服务;信用极好等级用户可享受快速办理签证、快速退税等服务。

而为了得到更高的评分获取更多的便利,用户会更积极使用该产品,甚至会带动其它市场的发展。如CBNData联合芝麻信用发布的《2018国民“轻生活”报告 》中提到,免押金服务让共享租借成本更低,进一步推动了租生活的普及,改变了不少年轻人的生活方式。继2015年芝麻信用之后,京东“小白信用”在2016年入场,2019年微信推出“微信支付分”,2020年4月美团推出“信用分”……互联网巨头纷纷筑起了“信用”高墙,让自家产品的数据反馈、用户行为分析、服务改善形成完整闭环。

三、更深远的影响:通过广告推送影响美国大选

说到广告,不得不提起全球广告收入的龙头企业谷歌。据了解,谷歌搜索每年在广告上的收入达数百亿美元,欧美地区的市场份额在80%至90%之间,涉及用户隐私收集的相关产品多达22个,包括搜索、视频、地图、博客等。

其中,一款名为Google Analytics的工具专用于网站流量、来源、客户行为模式数据的收集与分析,而基于该工具的Firebase SDK更是受到移动APP和Web应用程序开发者们的欢迎:用户在使用谷歌浏览器时,每一项活动,如浏览的网站内容、停留时长、操作(是否点赞)等,都会被记录在案。基于对用户上网行为数据的收集和分析,谷歌将推断用户的下一步行为,并针对这些行为做出一系列影响,例如将分析报告提供给应用开发者以改进他们自身产品,增加用户对后者产品的使用率;或直接对用户投放其可能会感兴趣的各类广告,减轻用户心理抵触,提高广告点击率增加商品销量。

用户使用搜索引擎只想完成自己的事情,而谷歌的一系列影响,将可能改变用户原计划的行动,占据用户额外的时间精力。尽管谷歌在隐私政策条款里称,用户可随时关闭追踪、永久删除其上网数据,然而实际上或许并非如此。去年7月,路透社报道谷歌被用户集体诉讼,后者发现,就算关闭‘隐私控制’上的‘网络和应用程序活动’追踪功能后,谷歌仍在继续拦截相关信息,并利用Firebase SDK的一些数据来进行产品改进以及展示个性化广告等内容,他们称谷歌违反了美联邦的《窃听法》和加州的《侵犯隐私法》和《隐私权宪法》。

据了解,谷歌甚至会以“下架”作为威胁,要求高流量网站提供让其收集数据的权限(尽管此举在去年10月被控告违反了《反垄断法》),在利益和发展的驱使下,谷歌不太可能减轻其对用户数据的渴求和使用,只会基于政策法律的监管,找出新的折衷方案而已。如同它一直宣称“绝不向任何人出售用户的人信息“并在各场诉讼中坚称自己收集的是“匿名数据”,但对其广大用户的行为影响依旧在暗中进行。

而另外一家广告推送大户FaceBook,则被宣称涉嫌数据被滥用、操控推送内容,最终干涉了美国总统选举、英国脱欧公投等大型政治活动。

2016年特朗普当选美国总统不久,FaceBook便被曝有传播错误信息和虚假新闻影响用户的投票行为;2018年3月, NewYorkTimes 与英国观察者报共同发布深度报道,称脸书超过5000万用户信息数据被一家名为“剑桥分析”(Cambridge Analytica)的公司泄露,用于在2016年美国总统大选中针对目标受众推送广告,从而影响投票结果。

从报道细节上来看,剑桥分析公司这家第三方开发者利用脸书获取大量用户数据,在未征得用户同意的前提下通过建模来进一步挖掘他们的信息,获取其心理特点,从而针对性投放政治内容广告。同时,剑桥分析公司的前工作人员自曝,称其与加拿大数据公司AIQ合作影响了2016年英国脱欧公投选民的选择。脸书被指责未为用户隐私设置足够的保护措施,最后认罚50亿美元,剑桥分析公司也在报道公布3个月后宣布停止运营。然而,即使相关公司被处罚或者倒闭,用户曾被影响的行为却无法重置。

据了解,类似的事件在2008年奥巴马选举期间就已经存在,即通过脸书获取所谓的“数据定位选民”,让奥巴马团队可根据这些选民关心的问题与其交流;而奥巴马团队称其征求资料的是被自愿提供的。特朗普竞选等事件并不是第一个,很大程度上也不会是最后一个,而脸书至今仍居社交媒体高地,在2020年收入上涨27%,还即将与拥有20亿用户的Whatsapp共享数据。很多人对于这类app早已有了依赖性,虽然在使用中收到越来越精准化、个人化的服务是便捷愉快的——例如能第一时间看到自己喜欢的内容、结识三观相仿的新朋友,但谁也不愿意以过多隐私泄露作为代价,并还需顾忌自己所收到资讯是否有洗脑嫌疑。

于是,这也是IoB最受争议之处:在政治和经济利益的诱使下,大量用户数据的安全如何得到保障,使用范围如何被界定?

四、IoB公益应用与相关政策

尽管备受争议的用户数据收集行为不断出现,如2018年杭州某中学使用“智慧课堂行为管理系统”监督学生上课行为,2019年环卫工人智能手环收集员工定位、行走数据且“监工”,以及近日百度公开“员工工作状态的预测方法、装置、电子设备以及存储介质”专利预测员工身体状态等等,但IoB这项“以人为核心”的技术趋势依旧无法被阻拦。如果说大公司对IoB的痴迷和疯狂是出于经济利益,那政府等机构则是为了公益事业和更多人的福祉而努力。从去年至今的新冠疫情防控工作中,我国政府推动的“健康码”健康数据共享,给全国上下带来了无数便利,大大助力人民生命健康安全保障;新加坡政府在近期宣布,允许警方在必要时(仅限于“非常严重的犯罪行为”)获取本国新冠接触者追踪数据,以维护公共安全和利益,这些数据涉及的人员数量约占当地人口的78%。

更值得一提的是,我国的社会征信体系(SCS,social credit system)的建立和实施。该体系通过对法人、非法人等企事业单位或自然人的历史信用记录,以及构成其资质、品质的各要素、状态、行为等综合信息进行测算、分析、研究,借以判断其当前信用状态,判断其是否具有履行信用责任能力所进行的评价估算活动。这是一项全国性的IoB,涵盖了对我国14亿人口的数据收集和分析,约占世界总人口的18%。该体系在2011年的国务院常务会议上提出,具体条例《征信业管理条例》于2012年年底经国务院第228次常务会议通过,并在次年公布并施行至今。通过征信记录,可规范人们的守信与合作,提升整个社会的道德水平,从各个环节降低社会运行的成本,加速经济成长。

近年来,我国持续推进数字化基建,同时也十分重视数据的安全与使用,不断出台相关监管政策。2020年7月和10月,两部备受关注的《中华人民共和国数据安全法(草案)》(以下简称《安全法(草案)》)和《个人信息保护法(草案)》陆续出台,均已完成公开意见征求。《安全法(草案)》表示,在数据安全体系不断完善的前提下,要继续促进数据开发利用,同时要保护公民、组织的合法权益。《个人信息保护法(草案)》中,进一步明确了如何保护公民个人信息,个人信息授权可随时撤回,对违法收集、处理个人信息的行为也制定了更为严厉的处罚措施。对个人信息的处理方式,《个人信息保护法(草案)》中明确提到,除“为订立或者履行个人作为一方当事人的合同所必需”、“为履行法定指责或者法定义务所必需”、“突发公共卫生事件或紧急情况下为保护自然人的生命健康和财产安全所必需”、“为公共利益实施新闻报道、舆论监督等行为”、“法律、行政法规规定的其它情形”之外,一切个人信息的处理均需要征得个人同意。这意味着公共场合的一些图像采集、个人身份识别设备,只能用于公共安全,其它情况下其数据不得对外提供和公开。

五、技术手段保障

如同前文提到的,由于app已经融入人们生活的方方面面,其对个人信息的收集权限也存在滥用,在法规政策的推动下,一系列针对app权限监测的技术也相继得到应用。企业可通过这些技术获得用户个人信息合规基线建议保证合规;监管单位或测评机构则可以利用其作为行政执法依据,为相关应用开发运营公司提供整改建议。

对于那些合法获取了用户数据企业自身而言,建立完善的数据安全治理体系同样刻不容缓。现如今,数据安全防护技术已经较为成熟,如大家熟悉的数据泄露防护系统(Data leakage prevention, DLP)。

DLP通过内容识别达到对敏感数据的甄别和处理,并具备包含网络防护和终端防护在内的防护能力。作为一个综合体,DLP最终实现的效果应为智能发现、智能加密、智能管控、智能审计,也是一整套的数据泄露防护方案。毕竟,一旦关键数据泄漏,企业不但会承受巨额的经济、名誉损失,还将面临行政处罚。

六、结语

无论从经济发展还是公益活动上,IoB都势不可挡。Gartner预测,到2023年,IoB将对全球40%的人口进行数字跟踪以影响其行为;到2025年底,全球一半以上的人口将至少会参与一线商业或政府的IoB计划。互联网教父凯文凯利在十多年前就预言到了如今信息共享的局面,他一直建议应以谨慎的态度拥抱技术发展;这项新技术如同一把双刃剑,既可以因人而异构造每个人的服务天堂,为多数人带来安全和享受,又可能造成伦理和道德方面的作恶甚至带来改变历史进程的大型事件。而如何让它远离我们不希望的未来,尚需要多方的观察和政府各个相关部门的共同努力。

参考文章:

https://www.bmc.com/blogs/iob-internet-of-behavior/

https://gbksoft.com/blog/internet-of-behaviors/

https://www.reuters.com/article/us-alphabet-google-privacy-lawsuit/google-faces-lawsuit-over-tracking-in-apps-even-when-users-opted-out-idUSKCN24F2N4?utm_source=whatfinger

http://www.199it.com/archives/1130268.html

http://world.people.com.cn/n/2014/1121/c157278-26068230.html

https://zhuanlan.zhihu.com/p/40067455

https://policies.google.com/technologies/retention?hl=zh-CN

https://www.lexology.com/library/detail.aspx?g=94823e97-635f-4f24-837e-49763a8be386

https://cn.nytimes.com/technology/20161114/facebook-is-said-to-question-its-influence-in-election/

https://phys.org/news/2018-03-facebook-election-weapon-obama-trump.html

https://wap.cnki.net/lunwen-1015611588.html

https://www.rong360.com/gl/2020/02/05/181477.html

https://zhuanlan.zhihu.com/p/146706519

https://www.zdnet.com/article/singapore-police-had-used-covid-19-contact-tracing-data-in-murder-probe/

http://security.neu.edu.cn/2020/0704/c6442a175225/page.htm

https://xw.qq.com/cmsid/20201111A08XQX00

https://baike.baidu.com/item/%E7%A4%BE%E4%BC%9A%E5%BE%81%E4%BF%A1%E4%BD%93%E7%B3%BB/8200721

# 数据泄露 # 数据安全 # 个人隐私保护 # 行为互联网 # IoB
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录