|
【案例】 互联网追踪技术发展及其对保密工作的挑战
编者按: 3月以来,吉林长春疫情、深圳疫情、上海疫情、北京疫情,让中国多个城市按下暂停键,也导致由居家办公带来的数据泄露风险上升。5月5日,河南洛阳中级人民法院在其澎湃政务号上刊文称,由微信办公导致的泄密风险呈现快速上升的趋势,已有人被问责、追责。 随着《数据安全法》《个人信息保护法》等法律法规的实施,我国正进一步推动数据安全体系的建设和发展,但这还远远不够。《网络数据安全管理条例(征求意见稿)》仍在立法进程中,它能在多大程度上规范互联网追踪行为,尚待观察。 今日,《互联网法律评论》刊发特约专家左晓栋教授的文章,全面阐述全球互联网追踪技术的发展现状、保密工作当前面对的三大挑战,并提出四项对策建议。 技术是中立的,但有一些技术天生就容易引发遐想,“追踪”便是如此。 互联网最初诞生于军事领域,在其迅速商业化并服务普罗大众后,追踪技术便应运而生,而且几乎被用到了极致。 众所周知,“免费”是互联网的特色,其背后是广告业的支持,而这一商业逻辑得以实现的根本原因,便是追踪技术的应用。 因此,无论从历史,还是应用场合、频率看,互联网追踪技术都不是新鲜事物。但其曾长期脱离公众视野,这固然与互联网发展阶段有关,也反映了各利益攸关方长期博弈但无果的现实。 然而,在今天的移动互联网时代,海量移动互联网应用(App)支撑起我们的工作和生活,这个问题的严重性和影响面已经被放大若干倍,规范互联网追踪技术的应用已经势在必行。特别是追踪技术的滥用正在对新形势下的保密工作带来巨大挑战,必须予以高度关注。 一、互联网追踪技术的前世今生 (一)基本概念 互联网追踪技术(Tracking)的核心是数据,是指对用户在不同应用场景下各种行为数据的收集,然后在其他应用场景下使用、共享和处理这些数据。 为什么要追踪呢?其直接应用就是定向推送,最典型的便是互联网广告。与之相关的技术称为“行为定向”(Behavioural Targeting),即根据访问者的兴趣爱好(即用户画像),将在线内容(尤其是广告)定制化推送的行为。 由于发生在网上,业内对其有一个更通俗的说法:在线追踪。从应用模式上说,其一般分为第一方追踪和第三方追踪。 l 第一方追踪是由与用户直接交互的网站或应用实施的。典型应用是,网站记录用户购物车、偏好等信息。此外,第一方追踪也可用于防欺诈、反洗钱、国家安全、执法等需要。 l 第三方追踪是由独立于用户(用户为第二方)及其直接交互的网站或应用之外的第三方实施的。例如,Facebook通过“like”追踪用户。当用户访问一个含有“like”按钮的网站时,即使用户没有点击这个按钮,Facebook也会收到通知。再如,当一个用户访问一个新闻网站时,浏览器可能会向另一个不相关的社交网站发送信息,随后该社交网站将把这个新闻网站与其持有的用户画像进行关联。 (二)主要用途 l 虽然“追踪”令普通人谈虎色变,但这项技术的产生有着多种客观需求: l 提升用户的个性化使用体验,如留存用户搜索历史、网页访问历史等。 l 网络分析/测量(Web Analytics/Measurement),如进行网站流量统计、评估广告有效曝光率等。 l 用户画像(User Profiling) ,即收集用户兴趣爱好和个人特征(年龄、性别、购物习惯等),构建用户画像,进而实现在线广告推送。相比“漫天撒网”,广告商有着强大的动力构建精确、完整的用户画像,进而最大化点击率,以获取收入。 l 提供基础服务。丰富多彩的互联网服务离不开对用户行为的追踪,如果不能获取相关数据,某些互联网服务甚至无法实现。典型的例子就是基于位置的服务(LBS) ,其高度依赖对用户物理位置的实时追踪,否则网上约车等功能便难以落地。 l 提供增值服务。一-些企业追踪获取用户行为数据后,在企业内部开发,用于改善服务质量、提升用户体验、研发新产品,或向用户提供网络安全服务。 l 配合执法工作。根据法律法规要求,某些用户的行为数据需要留存- -定时长,如用户登录信息。此外,为减轻企业合规风险,有时企业需要建立风控体系,这也离不开对用户的追踪。例如,企业可能会追踪用户输入身份证号码的速度,以判断是否为本人操作。 二、追踪VS反追踪 几十年来,互联网的巨大红利催生了一代又一代的追踪技术。典型技术有: l Cookies: 这堪称历史最悠久的追踪技术,其技术实质是用户储存在浏览器中的一-段文本,并作为HTTP请求的一-部分进行传送。例如,可以利用Cookies存储身份识别信息、用户偏好或鉴别令牌等,避免再次输入。这些信息存储在用户浏览器中,直至明确删除或到期。每次访问网站时,浏览器会不加修改地发送回这些信息,故这些信息可被网站用来追踪用户。 l Supercookies和Evercookies。鉴于反Cookies技术层出不穷,业界研发了更加强健的追踪机制,即“Supercookies”, 其中最有名的就是AdobeFlash Plugin 提供的“F1ashCookies”。其不但能够以传统Cookies所有方式追踪用户,并且在用户访问-个包 含F1ash应用的网页时,还会存储或检索用户信息。Evercookies 则是Supercookies的改进版,组合了不同追踪技术,即使标准Cookies和F1ash Cookies被 删除,仍可用来识别客户端。 l JavaScript。 很多网站包含可执行Javascript文件,供用户下载,其能够访问存储在浏览器中的信息,包括缓存对象、访问的链接等。结合Cookies和Javascript,便可追踪到典型HTTP请求的所有信息:用户IP地址、当前和以前的URL、语言偏好等。 l 位置追踪(Location Tracking) 。很多浏览器( 如Firefox、Opera、Chrome、IE)通过插件形式支持W3C Geolocation API,该API允许网站向客户端设备索取位置信息。在得到用户授权后,浏览器将发送客户端IP地址、无线接入点MAC地址、移动电话ID等。 l 无状态追踪(Stateless Tracking)。这项技术也称为浏览器指纹,其主要是利用了网站的各种信息,如用户代理、字体、屏幕分辨率等。有研究表明,浏览器指纹可以从29万个浏览器中确定--个特定的浏览器。 l WebRTC (Web Real-Time Communication) 。该项技术能够收集实时通信协议信息,如视屏会议、屏幕共享等,可用来确定浏览器本地注册IP地址,由此可为追踪生成一-个特定标识符,而且不会被用户察觉。 l Canvas Fingerprinting。 通过读取从存储区映射到显示区的反向渲染文本,可以检测显示的细微差异。这项技术生成的标识符信息量不是很大,但当与其他信息(如源IP地址)组合使用时,仍可识别出用户。 l Font/P1ug-in Detection。 这项技术是利用受浏览器支持的字体和插件生成唯一 签名,服务器可在不同交互中使用该签名来识别用户。 l MediaStream。这项技术是利用Media Capture and Streams API生成的唯一 流标识符,原理是访问媒体设备(如网络摄像头或麦克风)的主要界面,获取视频分辨率、麦克风音量等特征信息。 l Cache Storage。 这是针对已广泛应用的缓存技术做文章。原理是,用户发出页面访问请求时,服务器首先产生Etag,用户再次访问页面时,服务器便会利用Etag来判断页面是否已经发生更新。目前,很多开发者已利用这- -过程识别或追踪用户。 (二)反追踪技术 l 魔高一尺,道高一丈。为有效保护隐私,另外一些团体开发了相应的反追踪技术: l 可视化工具。以拓扑图或其他直观方式,向用户展现哪些信息被追踪,以及信息的流向,如浏览器插件Collusion、PrivacyBucket等。 l 拦截工具。一般为浏览器工具和插件形式,可检测并拦截部分或全部第三方追踪行为。例如,Firefox插件NoScript确保只有JavaScript运行在一个可信域内才可被执行;Firefox插件BetterPrivacy可以发现硬盘上的Flash Cookies, 并对其定期删除。 l 追踪保护列表。该列表由多个组织共同建立,列出存在恶意追踪站点的网址。如果出现位于列表中的网址,浏览器厂商将阻拦访问,或提出警示。 l 隐私模式、匿名网络。一些浏览器提供了隐私模式,用户选择该模式时,客户端将不会保存浏览记录、Cookie、表单信息等。 l Do not Track (DNT)。DNT的基本原理是,当用户提出DNT请求时,具有该功能的浏览器将在HTTP数据传输中添加一个“头文件信息”,向商业网站的服务器表明用户不希望被追踪。由此,遵守该规则的网站就不会再追踪用户的个人信息。该功能完全依赖于服务端的自觉和自律,因此广告商可以忽略这个机制。 三、移动互联网时代巨头的纠结 进入移动互联网时代后,App取代浏览器,成为人们的上网入口,互联网生态发生巨大改变,导致反追踪技术实施难度加大。 时代将智能手机操作系统推到前台,于是谷歌的安卓和苹果的iOS两大操作系统成为反追踪技术的前沿阵地。特别是,随着欧盟《通用数据保护条例》(GDPR)于2018年开始实施,安卓和iOS两大操作系统受到欧盟前所未有的严格监管,不得不下大力气加强隐私保护功能设计。但在线广告的巨大利益又使谷歌和苹果公司投鼠忌器,这造成两大公司迄今摇摆不定。 (一)谷歌的反追踪方案和技术 2019年,谷歌为其Chrome浏览器提出了“隐私沙盒”方案,目的是兼顾广告商和用户的利益,希望做到两全其美:广告可以精准定位到需要人群,用户也不用担心隐私泄露,即创建一种个性化,但又可以保护用户隐私的安全浏览环境。 为此,Chrome提出了隐私预算的概念,即网站可以调用API、读取用户数据,但读取的信息不会确定到用户个人,只能确定到群体喜好的范围。 在这种情形下,每个用户都是匿名状态。如果网站想要更精准,浏览器将干预并阻止进一步的调用用户数据。Chrome使用联邦学习和差分隐私来完善隐私沙盒。 但实际上,谷歌这样做并不只是为用户考虑,而是旨在限制网站追踪技术的同时,又能让广告商推广到目标客户人群。 2021年1月,谷歌推出FLoC(Federated Learning of Cohorts)技术,旨在逐步替代第三方Cookies。 FLoC技术使用机器学习算法来分析用户数据,将具有相似兴趣的大批人群聚集在一起,帮助企业定位用户,广告商不会获得用户的本地数据,而是直接获得更广泛的人群画像,从而进行广告投放,同时这种方法能有效地将个人隐藏在“人群中”,保护用户隐私。但是,FLoC技术并没有得到业界的普遍认可,多家企业都明确表示反对FLoC,主要是认为尽管FLoC相较于Cookies更具复杂和私密性,但如果未正确实施,仍然有可能带来一些潜在的隐私隐患。 因此,谷歌也在积极探索替代FLoC技术的方案,即Topics API方案。Topics API的工作原理是让浏览器在本地设备上确定“根据浏览历史代表用户本周最感兴趣的主题(Topics)”。 谷歌最初提供健身、旅行和新闻等大约350个主题,但不包括潜在的敏感类别,如性别或种族,而且主题将在三周后被自动删除。用户可以随意查看和删除其主题,或完全禁用该功能。当用户访问请求主题的网站时,浏览器会选择其中三个与出版和广告合作伙伴分享。后者将使用这些信息来投放与主题相关的广告。 (二)苹果的反追踪方案和技术 近年来,苹果一直在逐步增强其产品的用户隐私保护功能,一方面增强软件公司在权限和搜集用户信息上的透明度,并且将选择权完全交给用户;另一方面使用户更好地在网上隐藏自己的信息,使得自己的信息不被他人知晓。 2021年上半年,苹果发布的iOS14.5默认关闭了广告标识符(IDFA)权限。IDFA可以帮助开发者获取用户信息,更好地展示个性化广告。 以往IDFA都是默认开启状态,但在iOS14.5版本中,开发者需要用户的授权同意才能使用这一标识符。iOS15更是增加了App追踪透明度和App Store上的隐私权标签等功能,进一步强化了对用户的隐私保护,例如,增加隐藏电子邮件、APP隐私权报告,以及在iCloud+中加入隐私服务、HomeKit安全录影等功能。 (三)欧盟试图对追踪行为下重手 继2018年《通用数据保护条例》实施之后,欧盟开始制定《数字服务法案》,而且欧盟立法机构已在2022年4月底就此法案达成一致意见,限制大型网络公司利用数据优势未经允许向用户定向发送广告。欧盟立法机构也在2022年3月底就《数字市场法案》达成一致,针对互联网守门人提出更严格、更具体的条件,迫使它们与竞争对手和监管机构共享数据,并公平地推广其服务和产品。欧盟立法机构同时还着手制定《数据治理法》《关于欧洲人工智能方法的条例》等,以加强人工智能应用的数据安全管理。 欧洲数据保护委员会(EDPB)仍向欧盟立法者提出,上述数字法规有可能损害人们的基本权利,监督的分散和法律不一致可能同现有的欧盟数据保护法相冲突。EDPB甚至直接呼吁欧盟立法者对定向广告实施更严格的规定,以支持不需要跟踪和剖析互联网用户的替代方案,并继续呼吁立法者考虑逐步禁止基于广泛跟踪的定向广告。 四、法律法规的有关要求 (一)“互联网追踪”尚不是一个独立的法律命题 近几年来,国内外都进入了个人信息保护的密集立法期。虽然这是一个长期过程,但个人信息保护的基本原则已经确立,个人信息处理规则、个人信息保护义务等都已很清晰,各国对此有高度共识。总体而言,如果法律法规中规定的要求都能得到严格遵循,无论是追踪技术,还是其他的技术或应用,本身都应当已经纳入合规发展的轨道。 但问题的复杂性在于,不同的场景下,人们对于个人信息处理规则的理解往往存在不一致,“打擦边球”的情况普遍存在。例如,收集、使用个人信息应当符合“合法、正当、必要”原则,但什么是“必要”便没有统一的标准,很容易引发争议。这导致对于互联网追踪等特定技术,以及一些特殊的数据处理场景,立法者往往需要制定专门条款,或出台专门指南。 互联网追踪技术涉及个人信息处理的多个环节,包括收集、共享、用户画像、定向推送等。鉴于收集和共享环节的歧义较少,目前各国的立法主要侧重于对用户画像和定向推送进行规范。 (二)欧盟和我国的立法均对追踪后的定向推送作出宽松规定 欧盟《通用数据保护条例》在“自动化决策”的条目下处理此问题。其明确,个人有权随时拒绝对其个人信息的处理,包括画像,除非法律法规另有规定或执行合同的约定。GDPR还规定,如果仅基于对个人信息的自动化处理而作出决策,包括画像,对个人产生法律效力或类似重要影响,则个人有权拒绝接受此决策的约束。不仅如此,GDPR还要求,企业应当实施适当的措施保护个人权利、自由及合法权益,确保个人有权对自动化决策过程进行人为干预,以表达自身观点和对自动化决策提出异议。 我国《个人信息保护法》第24条规定:“个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正”“通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项,或者向个人提供便捷的拒绝方式。通过自动化决策方式作出对个人权益有重大影响的决定,个人有权要求个人信息处理者予以说明,并有权拒绝个人信息处理者仅通过自动化决策的方式作出决定。”上述要求与GDPR基本一致。 但无论是GDPR,还是我国的《个人信息保护法》,都回避了一个问题:互联网企业利用用户追踪结果,向用户进行定向推送时,究竟采用opt-in模式还是opt-out模式? 这一点极为重要,因为前者是“默认不进入,未同意不得推送”,而后者是“默认进入,经拒绝才停止推送”。 显然,用户多喜欢前者,但企业多喜欢后者。后者一旦严格施行,很可能严重打击互联网广告业。因此,各国立法者都十分谨慎,目前尚未明确限定只能采取opt-in模式。 (三)我国正在开展新一轮立法尝试 2021年11月,国家互联网信息办公室发布《网络数据安全管理条例(征求意见稿)》,其第49条规定,收集个人信息用于个性化推荐时,应当取得个人单独同意。这事实上会带来opt-in的效果,也因此引发广泛热议。但本条并不是为了限制互联网广告,而是针对定向推送应用的“无所不追踪、无时不追踪”特性而作出的规定。 所谓无所不追踪,是指定向推送所依赖的个人信息是没有边界的,喜好、位置、性别、年龄等任何个人信息都可能被追踪,并用来进行定向推送。所谓无时不追踪,是指个人信息任何时候都可能被收集,而不是限定在某个时刻。 “征得个人同意”是个人信息保护的基点,而在定向推送场景中,收集个人信息的范围和时刻并不明确,故“同意”无从落地。也正因为如此,《网络数据安全管理条例(征求意见稿)》要求将“同意”放在定向推送环节,这比GDPR和我国《个人信息保护法》的规定更为严格,但能在多大程度上规范互联网追踪行为,尚待观察。 五、对保密工作的挑战 (一)传统的保密观念面临冲击 我国已经建立成熟的保密管理制度,除保护国家秘密外,还对国家秘密载体、涉密信息系统、保密要害部门和部位、涉密人员等实施专门管理。但互联网追踪技术的应用,很可能使碎片化的信息被别有用心的人追踪收集后挖掘出涉密事项,而很多这样的信息本来并没有纳入保密管理范围。例如,国外已经发生过由于一组人的运动频率一致,因此被识别出是在操演,从而使军营暴露的事件。 由此看来,移动互联网时代追踪技术的应用,极大地拓展了保密事项和保密管理对象的范围。但问题是,简单地采用加法或简单地禁止未必可行,因为没有人可以不在网上留下碎片化信息。例如,任何人在网上的活动都有偏好,再怎么努力避免,一个政府机关工作人员每天浏览的新闻类型、搜索的关键词都会同一名中学生有明显区别。这就需要再次更新保密观念,重新认识保密工作的范畴和内涵,筑牢新时期保密防线。 (二)在线办公的安全风险增大 新冠疫情使在线办公的需求急剧上升,虽然保密行政管理部门对“涉密信息不上网”三令五申,但利用即时通信工具传输工作文件、讨论工作事项的情况仍比较普遍。 一些人认为,这些文件不属于国家秘密,不存在泄密风险。殊不知,这些工作层面文件的发送者很可能已经被人通过互联网跟踪技术盯上,这同高级持续威胁(APT)的原理如出一辙。不但在线办公的文件可能被悉数获取,还可能被攻击者作为跳板来入侵内网。 更何况,对习惯于在线办公的人而言,输入法录制的个人输入习惯,早已明白无误地跟踪到一个人的工作内容、岗位类型,这在以前是不可想象的,我们的安全防范对策还没有对此做好准备。 (三)窃密和反窃密斗争面临新的形势 近年来,通过互联网策反我内部人员,里应外合窃取国家秘密,成为境外情报机构的惯用手法。互联网追踪技术则为上述活动提供了极为便利的条件,境外情报机构定位目标人员、目标情报的难度大幅降低。即使是使用主流智能手机操作系统最新的隐私保护技术,也无益于问题的解决,因为在所谓的主题群组中,增加一个“政府机关工作人员”的标签易如反掌。 目前,尚未见到有将互联网追踪技术用于窃密和反窃密斗争的公开案例,但暗流涌动之下,这项技术绝不可能只被用于商业领域的定向推送和政治领域的舆情引导。 六、对策建议 (一)出台关于加强移动互联网保密管理的政策 互联网追踪技术是移动互联网时代保密管理遇到的典型问题,但不是全部,故应当针对移动互联网的特性,研究提出一揽子新的保密管理制度,并对追踪技术予以重点规范。需要指出,虽然我国的数据安全法律法规已经和正在作出相关规定,但主要是面向个人权益保护,难以满足保密工作需求,需专门研究解决。 (二)加快研发面向保密管理需求的反跟踪技术 当前的反跟踪技术虽然取得一些进展,但即使距离落实个人信息保护的法律法规要求尚有距离,遑论安全保密。需研究建立移动互联网保密技术体系,但技术思路不是为发现移动互联网上泄露的国家秘密,也不是为了在移动互联网上处理国家秘密,而是重点防范追踪技术对保密工作带来的风险。 (三)加强宣传教育 建立移动互联网条件下的保密工作方法和理论体系,与时俱进更新保密宣传材料,扩充保密学院教学大纲和知识体系,为新形势下保密工作提供强有力的人才队伍保障。 (四)建立移动互联网安全保密标准,推广符合标准的国产智能终端 针对手机厂商、操作系统厂商、App提供商等制定安全保密反跟踪技术标准,支持企业开发符合标准的国产手机等智能终端,并对App应用开展安全保密反跟踪检测认证,逐步在党政部门工作人员中推广合规的手机和App。 作者:左晓栋 《互联网法律评论》特约专家 中国科技大学公共事务学院、网络空间安全学院教授
来源:Internet Law Review
编辑:马源
| 
楼主: admin
发表于 2020-11-18 19:46:19
