雷晓燕 国家计算机网络与信息安全管理中心四川分中心 成都市 610000
基于智能推荐技术的移动应用,通过收集分析用户偏好,帮助其获取真正所需信息,提高了用户体验,促进了移动互联网的发展,推动了APP使用时间的持续增长[1]。得益于大数据挖掘、机器学习等技术的迅速发展,智能推荐技术不断优化提升,越来越受到学术界和商业界的广泛关注。但是,因收集大量用户信息引发的数据安全风险也在不断增加,尤其是隐私泄露风险。国内报告[2]显示,APP隐私信息保护能力未得到网民普遍认同。
前期针对智能推荐系统的隐私保护方法研究主要集中在两个方面。一是侧重于数据处理,包括数据抖动、数据加密和匿名等方法[7];二是侧重于系统保护,包括漏洞扫描、数据库审计等。但基于智能推荐技术App整个数据生命周期中隐私安全保护的研究还处于起步阶段,有必要建设技术管控手段对基于智能推荐技术的移动应用隐私安全风险进行全面评估和风险分级,以此来平衡用户的智能推荐功能需求及隐私安全保障需求。
在风险评估领域,针对网络安全、信息安全单方面因素的风险评估研究已经有很多,主要采用定性分析的方法,关注传统网络安全方面的风险因素[4-6],而基于智能推荐技术的移动应用的隐私安全评估需要考虑数据生命周期不同层次的综合风险因素,包括客观因素和非客观因素,仍有较多的应用未被纳入评价范围,客观性和准确性受到限制。因此技术管控手段建设难以运用传统风险评估技术实现对大范围应用的评价。本文将重点探讨管控手段建设两个关键问题:
(1)围绕基于智能推荐技术的移动应用建立数据生命周期的隐私安全风险因素库;
(2)针对非线性、高维、多样本的基于智能推荐技术的移动应用隐私风险评估问题,提出一种风险等级分类模型。
2.1.1 基于智能推荐技术的移动应用特征分析
智能推荐技术已得到广泛应用。报告[3]显示,市场上已有449万个移动应用程序。笔者采用关键词分析法,共发现与智能推荐功能相关的移动应用49886个。根据统计结果分析,智能推荐类APP主要存在以下特征:
(1)APP推送的信息与用户特征紧密联系,主要用于满足个性化需求;
(2)增加智能推荐功能有助于吸引更多用户,如食物推荐App-Meituan,其下载量已经超过50亿;
(3)基于智能推荐技术的移动应用主要以生活服务类为主,占智能推荐类APP的47%。
2.1.2 基于特征的隐私安全风险因素库
通过对我国用户隐私保护的政策规范要求收集、近年来的隐私数据泄漏事件原因分析和智能推荐类APP风险因素检测,我们获得了一个基于智能推荐技术的移动应用隐私风险因素集。有三个不同层次的一组隐私安全风险因素集,包括数据采集层,业务处理层和管理保障层,共96个风险因素,有不同特征的主因子和子因子,可结合实际需要选择形成风险因素子集,以适应不同行业的需求。
在基于特征的隐私安全风险因素库基础上,我们建立了面向基于智能推荐技术的移动应用的隐私安全风险智能分级预警模型。针对第一部分描述的关键问题,我们基于优化SVM的定量与定性相结合的移动应用隐私安全风险智能分级模型,基于面向全数据生命周期的层级化的隐私安全风险因素库,综合分析潜在的隐私风险因素,结合专家的隐私安全风险评估等级建议,将风险因素转化为相关矩阵。为了表达隐私安全风险因素与风险等级之间的关联关系,首先通过重要性评分,选择最优的特征子集来进行有效描述,将层级化的隐私安全风险因素库中的风险因素转化为评价指标。然后采用特征选择方法提取特征矩阵,与风险等级评估结果具有较强的相关性,以减少冗余信息影响。该技术可以揭示风险因素与风险水平之间的变化关系。
隐私安全风险是移动应用通过人工智能推荐技术得到进一步发展中的重要问题,建设一个针对该类应用隐私安全风险的管控平台对风险提前预测和分级预警是有效的平衡用户对智能应用的需求以及对安全保障的需求,为企业提供隐私安全保护措施指导,为政府部门加强市场风险监管提供定量决策支持的有效途径。本文对建设隐私安全风险的管控平台中两个关键问题提出了技术解决方案,丰富了网络空间风险评估的定量方法,可以为隐私保护和实际的人工智能APP隐私安全状态分析提供定量的决策支持。除此之外,在后续工作中还可以进一步研究从其他维度丰富技术管控手段,提高风险预测准确度,为人工智能技术更好的服务社会生活提供有力的安全保障。