從刷支付寶乘地鐵談起淺議大數(shù)據(jù)時代的隱私安全

Elaine

近期支付寶、微信、銀聯(lián)等移動支付企業(yè)紛紛搶灘城市公共服務。針對地鐵公交這一場景，目前已經(jīng)有超過30個城市在支付寶內(nèi)上線了電子公交卡功能，這意味著———用戶可以丟開匿名的交通卡，使用支付寶及相關應用進行刷碼通行。

高速發(fā)展、高吞吐量的大數(shù)據(jù)時代，絕大多數(shù)人都的所有行為逐漸都能在信息世界之中留下數(shù)據(jù)足跡，無論是用戶主動留下的數(shù)字腳印，還是由他人建立的關于用戶的數(shù)據(jù)。

個人與服務商之間的信息不對稱

信息時代下，只要我們使用在線工具和平臺，或者接入平臺的服務，就會產(chǎn)生相應的數(shù)據(jù)。在一些觀點看來，人人是數(shù)據(jù)的生產(chǎn)者，可以讓信息變得更透明。但是作為線上服務的使用者，即便有用戶隱私條款的存在，多數(shù)的用戶仍然并不了解自己被采集了什么樣的信息，被追蹤了哪些數(shù)據(jù)。

條款中冗長的文字、專業(yè)的術語，都會給普通用戶的精準理解帶來一點困難。除此之外，用戶條款中夾雜的“可能”、“潛在”等詞匯的存在，繼續(xù)模糊了好不容易建立起來的一點概念。這些數(shù)據(jù)的使用狀況，數(shù)據(jù)分析和挖掘的目標和最終的數(shù)據(jù)消費者，更是不得而知。

即便一些用戶是較為謹慎的———他們在選擇應用服務的時候會考慮“數(shù)據(jù)泄漏”帶來的影響，但他們能夠避開的更多只是一些聲譽差的，已經(jīng)發(fā)生過數(shù)據(jù)泄漏的企業(yè)。通常情況下，規(guī)模較大的企業(yè)能夠享有更好的聲譽和用戶口碑，獲得多數(shù)人的信任和青睞。

如果這家服務商的大名家喻戶曉，人人都在使用它的APP，更多的用戶就能放心大膽的進行注冊，然后開始使用這款服務。但顯然，這仍然只是“一廂情愿”的信任，大的企業(yè)也可能存在安全漏洞和疏忽。僅在過去的一年中，就繼續(xù)曝出了大大小小的數(shù)據(jù)泄漏事件，其中也有不少知名大企業(yè)的身影?；ヂ?lián)網(wǎng)巨頭Yahoo數(shù)據(jù)泄漏：10億賬號的用戶姓名、生日、郵箱地址、密碼、電話、安全問題和答案全被泄露。

美國三大信貸之一Equifax數(shù)據(jù)泄漏：超過1.43億的美國用戶數(shù)據(jù)泄漏，包括姓名、社保號碼、出生日期、地址及駕駛證信息；20.9萬用戶的信用卡號，以及部分英國和加拿大用戶信息。

移動出行Uber數(shù)據(jù)泄漏：5 700萬乘客用戶信息泄漏，5萬名司機信息泄露。

深度分析和機器學習在混淆隱私邊界嗎

積累足夠全面的數(shù)據(jù)才能讓有規(guī)律的隨機事件，在大量重復出現(xiàn)的條件下，呈現(xiàn)出幾乎必然的統(tǒng)計特性。

隨著政府的政策支持和公共部門積極進行數(shù)據(jù)整合，冗余數(shù)據(jù)中蘊含的戰(zhàn)略和資產(chǎn)方面的價值逐漸浮出水面，企業(yè)紛紛著力于進行大數(shù)據(jù)技術研發(fā)與產(chǎn)品化。企業(yè)在應用數(shù)據(jù)進行決策和謀利的同時，仍然會不言而喻地使用用戶的個人數(shù)據(jù)，使之在整合、關聯(lián)和深度分析時受到隱私侵犯。在當前數(shù)據(jù)科學和信息技術發(fā)展的過程中，隱私信息的界定正在變得不嚴格。

巨大的數(shù)據(jù)集之下，即便個人提供部分數(shù)據(jù)字段，也可能被得出一些隱秘的推測，并給用戶帶來風險。

2016年，上海交通大學的一篇機器學習論文《基于面部圖像的自動犯罪概率推斷》曾引起過爭議。相同遭遇的還有2017年斯坦福大學公布的論文《Deep neural networks are more accurate than humans at detecting sexual orientation from facial images》，其中的AI算法已經(jīng)能夠通過個人的肖像照片識別同性戀，且準確率高達81%。

公開在社交網(wǎng)站及其他角落的相片信息中的肖像不存在隱私問題，但對于人臉圖像數(shù)據(jù)的分析、存儲和使用，隱私權問題依舊面臨挑戰(zhàn)。如果個人用戶并不在意自己在各個角落的信息披露，認為網(wǎng)絡空間僅僅是和普通公共場所一樣，那么當處在隱私邊界時，他們就容易遭到認知偏差的影響，比如過度低估個人信息的利用程度和數(shù)據(jù)價值。只需要一些公開的信息，運用技術就可以對個人的情況進行推斷、分類甚至“定價”和“特殊對待”。

如今企業(yè)在技術層面的數(shù)據(jù)挖掘技術的演進、機器學習和深度學習算法的發(fā)展，都讓數(shù)據(jù)利用效率和程度得到顯著提升。特定的分析流程和算法有時很難進行描述和解釋，服務運營商甚至在進行分析之前也不了解他們能夠得到的結果。更多隱私問題甚至是在二次開發(fā)利用原始數(shù)據(jù)時才引發(fā)的，因此在法律監(jiān)管上也存在難度。

隱私專家John Diebold曾前寫過這樣一句話，而這在不久之后的將來，這可能會成為現(xiàn)實。

信息時代你留下的每一個字節(jié)，都會是構成隱私的血肉。

隱私意識在覺醒，但是……

2018年伊始時，大家的朋友圈都曾一度遭遇被“支付寶年度賬單”和“網(wǎng)易云音樂”統(tǒng)治的時刻，隨后當天就有用戶揭露被安插在年度賬單首頁之中、必須簽署的《用戶隱私協(xié)議》。

細心用戶發(fā)現(xiàn)了這行隱蔽的小字，并點開看了《用戶協(xié)議》，但也許是因為個人意志還無法抗衡從眾心理，又或許還是敗給了自己的好奇心，最終絕大多數(shù)用戶還是同意將自己的數(shù)據(jù)授權給了芝麻服務，開開心心地在朋友圈曬了支付寶年度截圖。

可以發(fā)現(xiàn)人們的隱私意識雖然存在，但依然愿意用犧牲個人數(shù)據(jù)換取更好的網(wǎng)絡生活，或者將安全和隱私的責任完全寄托在政府和網(wǎng)絡服務商身上。2014年時，EMC在15個國家和地區(qū)進行了15 000用戶的隱私保護調(diào)查，而調(diào)查結果依舊讓人擔憂。

50%的用戶遭遇過或大或小的數(shù)據(jù)泄漏；

62%的用戶并不會定期修改密碼；

33%的人不會修改社交網(wǎng)絡上的隱私設置；

39%的人不會對自己的移動設備設置密碼。

而2018年剛剛召開的Usenix Enigma安全峰會上，谷歌工程師也在演講時道出了谷歌用戶的安全意識現(xiàn)狀，可以看到情況并不樂觀———盡管早在7年前谷歌就開始引入了兩步驗證（2FA）功能，但目前有效的谷歌賬戶中，少于10%的用戶開啟了兩步驗證功能對賬戶進行保護；而使用密碼管理器的用戶在整體僅占12%的比例。

安全、便利和隱私之爭始終無法停歇？大數(shù)據(jù)時代的便利已經(jīng)滲透進了我們生活的每個角落，更低的商品價格、更符合實時需求的產(chǎn)品和社會溝通度，要使用這些服務就會創(chuàng)建個人數(shù)據(jù)，而通過數(shù)據(jù)信息就總有辦法辨析出個人的身份。

如果用戶確實關心自己的隱私狀況，不希望泄漏信息還是有一些簡單的措施可以采納：

1.避免連接公共WiFi，及時在所有設備上進行安全更新

2.開啟賬戶兩步驗證功能，安裝密碼管理器

3.注意所有應用程序的權限設置

4.斟酌填寫真實信息，適當選擇備用方式

5.開啟瀏覽器拒絕跟蹤功能，及時清理cookie

6.適當使用匿名互聯(lián)網(wǎng)服務

科技之殤：端到端加密究竟保護了誰？

研究人員稱HTML5可以被用來追蹤網(wǎng)民；

得到相機授權的iPhone APP可在你不知情的情況下偷偷拍照竊取隱私；

Firefox再次從Tor瀏覽器中借鑒了一個隱私保護功能；

Signal新探索：運用英特爾SGX加強聯(lián)系人搜索功能的隱私安全；

Google無視用戶隱私設置，暗中收集Android位置數(shù)據(jù)；

iTerm2中可能通過DNS請求泄漏隱私信息。