前段時間我用另外一個號寫瞭一篇關於小米手機的MIUI 12的隱私保護功能的文章,說瞭下MIUI 12的照明彈和空白通行證功能,用戶能夠發現自己手機裡面哪些app在偷偷摸摸的竊取用戶信息,如果不希望這些信息被泄露可以設置一下讓這些app獲取空白的用戶信息
MIUI 12是4月底發佈的,發佈之後的一周內這些功能還是受到瞭些關註,但是後來就沉寂下去瞭,這幾天又回到的媒體的中心——央視在《朝聞天下》曝光瞭一個叫做“優學院”的手機app,整個app在十幾分鐘內訪問手機照片和文件達到25000多次;辦公軟件釘釘一個小時嘗試自啟動7000多次,還一直在讀取通訊錄
央視在播出瞭這條新聞之後立刻被很多其他的官方媒體的轉載,幾乎各大媒體的首頁上面都有一條相關的app瘋狂搜集用戶信息的新聞,一時間讓每個手機用戶都感覺到自己在“裸奔”
今天就聊聊互聯網時代的隱私
1 什麼是隱私
所謂的隱私就是任何一個人把自己或者自己的信息隔離於其他的人的權利,比如我的生日是我的個人信息,我有權利不告訴任何其他人我的生日,如果有人在不經過我同意的情況下把我的生日告訴瞭別人,那麼我的隱私就被泄露瞭
個人的隱私有很多種,比如與生俱來的特性,性別、生日、年齡、父母信息等等;還有個人的經歷,類似於曾經生過什麼病,有什麼犯罪經歷等等;還有一些其他的相關信息不願意透露給其他人的,比如個人的收入、傢挺住址或者電話號碼等等
這些信息都我們希望控制在自己手裡面的,隻有本人才有資格選擇把這些信息告訴其他人,這就是把自己信息隔離於其他人的權利,任何第三方在未經允許的情況下告訴其他人就是侵犯瞭個人權益
2 隱私很重要
關於隱私的討論不管在國外還是在國內討論都非常多,每一個人都希望自己的隱私能夠得到保護,一方面是為瞭人身安全考慮,另一方面隱私受到保護也是一個人受到尊重的表現
有的隱私可能不會危機到自己的人身安全,但是自己並不希望別人知道,比如小時候遭受過霸凌的經歷,公開可能會對自己的自尊心受到極大的打擊,泄露這樣的隱私是極其不道德的行為
在電影《斯隆女士》中,政治說客斯隆為瞭推動禁槍法案,未經同事Esme同意就把她隱藏瞭十幾年的校園槍擊經歷透露給瞭外界以博取民眾支持,Esme感覺受到瞭極大的欺騙和侮辱,兩人關系也不復從前
到瞭現代社會,隱私因為有瞭互聯網這個虛擬世界的存在有瞭另外的意義
虛擬世界和現實世界是兩個分開的世界,在現實世界裡面的一個人在虛擬世界裡面可能有很多的身份,既可以是遊戲裡面的王者,也可以是網絡論壇的噴子,同時是電商網站的一個主播,在虛擬世界裡面的其他人看來這可能就是三個不同的人
在不同的平臺裡面同一個人表現出不同的人格,其他人也不會發現,這是網絡世界的自由,你可以成為你想成為的人、現實世界中成為不瞭的人,在網絡世界一呼百應,在工作中卻是個loser
個人隱私就相當於是一個分界線,把現實和網絡分開,把不同平臺上的不同人格分開,互不幹擾。一個人表現出不同的人格,是不是有點像人格分裂?但是這在心理學上是正常的
在心理學中,並不存在單一的個人人格,一個人不可能始終保持同一個品質,一個經常在學校撒謊的學生在傢可能從來不撒謊,一個在工作中非常勇猛的人在做傢庭決定的時候可能畏首畏尾,在實際生活中中個人的行為並不會表現出哲學傢眼中的“跨環境穩定”(cross-situational stability)
個人的隱私的泄露會打破不同品質在同一個人身上的分界線,讓外界瞭解到同一個人的不同面,打破瞭大傢對他的原本期待,產生各方面的負面影響
就比如前段時間的羅志祥事件,周揚青和羅志祥的關系其實並不為人所知,大傢也並不瞭解羅志祥這樣一個時間管理大師、打樁機的隱藏身份,在周揚青把這件事情暴露出來之後,原本一個基本沒有負面新聞的藝人擁有瞭劈腿大師的人格,人設崩塌,形象盡毀
在互聯網世界裡面,人可以有比現實生活中更多的品質,通常稱之為標簽,個人的隱私可以保證這些標簽隻分別存在於各個不同的平臺上面,各個平臺也隻根據自己平臺上對用戶打的標簽為用戶提供服務
但是資本是貪婪的,平臺想提供更加精準的服務以賺取更多的錢,用戶主動提供的信息不夠用,就想盡辦法通過其他手段獲取更多的用戶信息來為用戶打標簽,這就解釋瞭為什麼很多手機軟件如狼似虎的渴望你手機內的信息,更有甚者會從第三方渠道購買用戶信息,用戶的手機信息定義瞭用戶
舉個簡單的例子,有的app可能會要求獲取用戶的應用列表,通過安裝的應用來給用戶打標簽
比如我安裝瞭快手、拼多多,平臺就知道瞭我可能是三四線城市的用戶;如果我還安裝瞭寶寶樹,那麼我就應該有孩子並且孩子歲數不大;如果我安裝瞭汽車之傢,說明我是個男性;如果我安裝瞭中國銀行,我很可能就是中國銀行的客戶
從這些信息就大致能判斷我是一個在三四線城市生活的男性、孩子0-6歲、中國銀行客戶,平臺知道這些信息之後就能給我推送相關的廣告,廣告的點擊率高瞭,平臺就能賺更多的錢
谷歌在一年前開放瞭用戶畫像平臺,讓用戶能夠看到自己在Google廣告系統內的標簽,打開https://adssettings.google.com/authenticated可以看到Google給我打的標簽
標簽顯示我是25-34歲的男性,喜歡冒險和動作類遊戲,對冒險和動作類電影也感興趣,研究過廣告和營銷。整個表單有超過50多項,絕大部分都是準確的,由此可見我已經被Google摸透瞭
這隻是我在Google這個平臺上面的標簽,我在另外一個平臺裡面可能有不同的標簽,比如在百度這個平臺裡面我的標簽可能就變成瞭學渣、機車黨,兩個平臺並沒有我個人的全部標簽,我在這兩個平臺相當於不同的人
如果我的個人標簽被百度泄露或者賣給瞭Google,那麼我在兩個平臺的品質合二為一,Google對我更加瞭解,在推送廣告的時候也會給我推送學渣或者機車黨喜歡的東西
好在從上個世紀80年代開始,世界上各個國傢都開始立法保護用戶數據,目前最為嚴厲的一項法案是歐盟在2018年5月25號開始執行的《通用數據保護條例》(著名的GDPR),機構如果違規搜集使用用戶信息最高罰款2000萬歐元(差不多1.5億人民幣)或者全年營收的4%,中小型公司一次罰款公司就沒瞭
於是所有在歐盟運作的公司紛紛把隱私保護作為公司內部的一項重要工作,微軟專門花瞭4個月讓300個工程師的人力去做合規檢查,中大型公司都設立瞭自己的隱私保護部門(Data Protection Office)檢查內部業務合規
以前跟一個安永的咨詢師聊過GDPR,他調侃說GDPR養活瞭一大幫咨詢公司,專門針對想要在歐洲運作自己互聯網業務的公司進行信息安全合規檢查
目前歐盟開出的最大一筆罰單是五千萬歐元,給瞭互聯網巨頭谷歌,因為谷歌的數據許可條例不透明,用戶在註冊激活谷歌的GMS服務的時候,是默認勾選開啟個性化廣告並且這個選項是折疊起來的不是直接可見的
3 隱私協議
手機app在首次使用的時候必須要告知用戶在使用app過程中需要收集哪些信息以及如何使用這些信息,比如在第一次啟動微信的時候就會有兩個協議需要你先同意才能用,其中一個就是微信隱私保護指引,裡面介紹瞭個人信息如何被微信使用
比如使用通訊錄功能的時候,會對通訊錄進行不可逆加密,就算微信內部人也無法查看你的通訊錄裡面的好友的信息
比如使用語音的時候微信會收集你的語音信息,進行實時處理後返回處理結果,微信並不會保存語音信息。如果你把以前發的語音刪除瞭,微信官方也無法幫你恢復,因為微信也沒有存
隱私保護指引就是現在國外通常說的Privacy Policy(隱私政策),也就是一個申明或者法律文件,告訴你平臺是如何收集、使用、公佈和管理你的信息
隱私政策最早起源於1968年歐洲委員會關於科技對人權影響的研究,認為計算機技術會對人權保護產生以往從來沒有過的威脅,在1969年歐洲委員會就推動各個成員國制定保護用戶數據的政策
瑞典在1973年實行瞭瑞典數據法案(Swedish Data Act),也是最早的隱私法律之一。這個法案要求所有瑞典的信息系統在處理用戶數據之前必須取得瑞典數據保護機構的執照,數據保護機構會為每一個申請者量身定制一份許可
比如我想做一個類似微信的app,我得先去找瑞典的數據保護機構申請,告訴他我要做一個聊天軟件,機構收到我的申請之後給我發放許可,規定我可以收集保存用戶的姓名、昵稱信息,但是不能保存用戶的好友列表以及聊天記錄,並且我還需要告知用戶我對他們的數據的使用情況
這種方法看起來保護用戶隱私特別管用,但是在一定程度上限制瞭企業的發展,如果開發一個新的功能,需要額外的隱私數據,那就還得再去申請一次
瑞典政府以及後來的歐盟都意識到瞭這種做法會帶來很多麻煩,於是改為瞭聲明的制度,也就是企業根據當地的隱私保護政策制定一份隱私政策,並且在用戶使用企業的服務之前告知用戶,隻有當用戶同意瞭企業的隱私政策之後才能繼續使用,如果發現企業實際操作和自己制定的隱私政策不符,政府就可以對企業進行懲罰
今年1月份,意大利的數據保護機構就給意大利的電信運營商Tim開瞭份價值兩千七百萬歐元的罰單,因為Tim違反瞭5條GDPR規定,包括用戶反對權、數據合法處理權、數據處理安全性等等
其中反對權是GDPR第21條,裡面提到瞭用戶有權利拒絕營銷活動。Tim的隱私政策裡面聲明瞭用戶可以拒絕營銷電話,同時用戶也在設置裡面設置瞭不接受營銷,但是還是收到瞭營銷電話,用戶的反對權收到瞭侵犯。調查顯示Tim給幾百萬的用戶撥打瞭騷擾性的營銷電話,影響惡劣
想想如果在營銷電話滿天飛的中國執行GDPR這種嚴格的信息保護條例,政府可能要開罰單開到手軟
4 最後
雖然中國在17年就實施《網絡安全法》意在保護用戶的隱私安全,但是實際上相對於GDPR還是比較寬松
比如GDPR規定瞭用戶擁有更正和擦除權(被遺忘權),也就是用戶可以選擇註銷自己的賬戶,也就是平臺徹底擦除這個用戶曾經存在的痕跡,所有關於這個用戶的數據都刪掉,如果用戶重新註冊,那就應該是一個全新的用戶
但是在《網絡安全法》中對應的隻有刪除權,隻能要求平臺刪除個人信息,但是沒有具體到如何刪除,他原來的用戶畫像和ID有可能還保存在系統裡面,隻是對外不可見
目前國人對隱私的重視程度也還不夠也是立法緩慢的一個重要原因,百度老板李彥宏也曾經說過大傢願意用隱私換方便,如果大傢都不在意,又要誰來推動隱私立法呢
《網絡安全法》算是漫漫隱私保護之路的一個裡程碑,還需要大傢隱私保護意識的提高,共同推進中國隱私保護進程