誰在偷窺我們的隱私

陸英

我們在手機(jī)上的每一次的點(diǎn)擊、滑動與下拉，都可能是最私密的行為。

手機(jī)已經(jīng)不僅僅是幫助我們管理一天的工具，它同樣是復(fù)雜的的監(jiān)視設(shè)備，我們每天自愿地和它交互，而我們默認(rèn)這一切是私密的。前谷歌員工Seth Stephens-Daviaowitz在新書《Everybody Lies：Big Data， New Data， and What the Internet Can Tell Us About Who We Really Are》中寫道：“我們問谷歌的問題，可能比我們問愛人的更加誠實?！?/p>

把這些數(shù)據(jù)收集起來，再加上其他設(shè)備的數(shù)據(jù)，如數(shù)字電視、運(yùn)動檢測設(shè)備以及瀏覽器歷史等這些設(shè)備都監(jiān)測著我們的行為習(xí)慣，它們一天產(chǎn)生的數(shù)據(jù)可以多達(dá)2.5百萬億字節(jié)。

而有時候，不同的網(wǎng)站、研究者和廣告商會將彼此的數(shù)據(jù)匯總、分散或者統(tǒng)一整理。比如，Acxion就聲稱自己的數(shù)據(jù)庫里有5億人的數(shù)據(jù)，每個人有1 500個數(shù)據(jù)點(diǎn)，涵蓋了大多數(shù)的美國成年人。就在剛過去的幾個月里，臉書被報道曾經(jīng)向醫(yī)院索取數(shù)據(jù)，包括斯坦福醫(yī)學(xué)院，想要共享和匯總患者的醫(yī)療數(shù)據(jù)。在2018年4月，同性約會APP Grindr被曝出曾將用戶的艾滋病狀況分享給兩個APP優(yōu)化公司。甚至，誰又能想到僅僅完成一個性格測試，就能助力川普總統(tǒng)競選的廣告呢？

簡短來說，我們和電子設(shè)備的親密關(guān)系非常不一般，對于一個在乎隱私的公民來說，在互聯(lián)網(wǎng)連接的21世紀(jì)，我們想要或者還能夠做什么呢？

數(shù)據(jù)隱私就是個缺乏公正裁決的童話

《通用數(shù)據(jù)保護(hù)條例（GDPR）》被認(rèn)為是最負(fù)責(zé)任的隱私保護(hù)法，2018年5月25日在歐洲正式生效，我們覺得是時候談?wù)凣DPR帶來的改變，或者……它沒有帶來的是什么了。

GDPR規(guī)定用戶主要權(quán)利包括：獲取個人數(shù)據(jù)、涉及居民日常生活的算法解釋、數(shù)據(jù)的移動和刪除。在生效的這半年里，GDPR可以說影響了每一個在歐洲運(yùn)營的企業(yè)，不少領(lǐng)頭的企業(yè)甚至花費(fèi)數(shù)百萬美元變更自己的隱私保護(hù)標(biāo)準(zhǔn)，包括在歐洲之外的一些地區(qū)也實現(xiàn)了標(biāo)準(zhǔn)化。

9個世界各地的Engadget記者向超過30家科技企業(yè)提出了索取數(shù)據(jù)的請求，從社交媒體網(wǎng)站到約會APP，還有網(wǎng)絡(luò)音樂播放服務(wù)。在5月25日GDPR實施前和之后，分別提出了數(shù)據(jù)索取的請求，想看看GDPR到底帶來了哪些變化。

其實，歐洲從1995年開始就有關(guān)于數(shù)據(jù)保護(hù)的官方指示，但是研究顯示，這些權(quán)利并沒有得到保障。GDPR則是在 2016年就出臺了，但從2018年的5月才開始正式生效，從名不見經(jīng)傳的小公司到占據(jù)全球收入4 %的公司，都受到了它的影響。

實話說，數(shù)據(jù)隱私就是個缺乏公正裁決的童話。比如說，導(dǎo)致大量用戶信息泄漏的個人信用評估機(jī)構(gòu)Equifax，被黑客攻擊后還在運(yùn)營，用戶甚至不能將自己的數(shù)據(jù)進(jìn)行轉(zhuǎn)移。在英國，臉書因為Cambridge Analytical丑聞被罰了50萬鎊，這是當(dāng)時法律規(guī)定的最高的罰款額，但這僅僅只是相當(dāng)于臉書每5分30秒賺到的錢而已。

如果相同的事情今天又發(fā)生了，臉書可能面臨高達(dá)十億美元的罰金。大約1 000家美國的新聞網(wǎng)站不能在歐洲訪問，包括《洛杉磯時報》和《芝加哥論壇報》，而根據(jù)最近德勤發(fā)布的報告稱，大約只有1/3的機(jī)構(gòu)符合歐洲隱私保護(hù)條例。

“從數(shù)據(jù)索取的結(jié)果，可以窺見一個組織的靈魂?！盚adi Asghari說道，他是荷蘭代爾夫特理工大學(xué)的助理教授，他的研究顯示，只有極少數(shù)歐洲的數(shù)據(jù)獲取條例被遵守了。不過一些公司確實遵守了GDPR，個人的信息相當(dāng)于這些大公司運(yùn)轉(zhuǎn)的能源，所以，對于信息的控制權(quán)必有一戰(zhàn)。

心理上重視，戰(zhàn)術(shù)上忽略：數(shù)據(jù)保護(hù)的悖論

對于平常的用戶來說，隱私保護(hù)協(xié)議很難懂，也很無聊。但是，隱私保護(hù)條例是理解數(shù)據(jù)相關(guān)權(quán)利的支柱，不過這些條例充滿著專業(yè)法律用語，用超級長的句子描繪著數(shù)據(jù)保護(hù)，其實這些公司本身可能都不一定了解?？▋?nèi)基梅隆大學(xué)有一項進(jìn)行了10年的研究表示，如果要讀完每一個遇到的隱私條例，要花費(fèi)76個工作日。所以不讀其實是肯定的，完全理解肯定是不可能的。

這就涉及到了學(xué)術(shù)界討論的數(shù)據(jù)保護(hù)悖論。當(dāng)做問卷調(diào)查的時候，人們都說自己非常關(guān)心隱私保護(hù)，但是現(xiàn)實中他們還是會選擇放棄自己的數(shù)據(jù)，或者是給出朋友的電子郵件去換取一些小恩小惠，比如披薩。

在索取數(shù)據(jù)的過程中，我們收到了各種各樣的數(shù)據(jù)格式，比如郵件、Excel表格。除了數(shù)據(jù)本身再進(jìn)一步地問，我們拿到的數(shù)據(jù)是可以理解的嗎？甚至，對于我們來說，那些數(shù)據(jù)是有意義的嗎？

Netflix把詞匯表整理成了一個PDF文件。Spotify則是通過一個在線下載的方式提供了數(shù)據(jù)。一個英國的記者收到了101份JSON文件，另一個收到了90份。而JSON格式是用電腦讀取的，而且文件名字也無法讀懂?？头矝]有對這些文件的名字給出解釋，他們說如果想知道，可以問具體文件的意思，但是他們沒有詞匯表。另一個美國記者對Spotify提出了一模一樣的請求，只收到了7份文件，包括支付方式、播放列表和關(guān)注者名單。他們表示全球的系統(tǒng)沒有區(qū)別，如果用戶想要索取另外的文件，可以聯(lián)系客服，但這個問題的難點(diǎn)是，如果不知道一個文件是不是存在，該怎么要呢？

但至少他們都提供了一些數(shù)據(jù)，約會APP Bumble僅僅給了一個英國記者基本信息、他自己上傳照片的IP地址和登陸次數(shù)，美國記者的請求，直到12周之后才得到回復(fù)。

另一個通常的做法是，公司會提供他們的隱私條例，但不會提供索取的數(shù)據(jù)。比如Snapchat，列出了他們的隱私保護(hù)條例，說“可能”從子公司或者第三方手中獲取數(shù)據(jù)，并提供了一個第三方的名單。Tinder說他們“可能”收到來自合作伙伴的信息，但沒說具體是誰。

The Article 29 Working Party是一群由歐洲代表和數(shù)據(jù)專家組成的團(tuán)隊，他們提出“類似‘可能‘也許‘一些等這樣的語言應(yīng)該避免”。從法律上來講，GDPR要求溝通要以“簡潔、透明、易理解的方式，使用清楚和直白的語言”，這明顯與收到的回復(fù)不一致。

研究也顯示出了相同的結(jié)果，歐洲消費(fèi)者協(xié)會和佛羅倫薩歐洲大學(xué)學(xué)院的研究表示，1/3的條例存在問題或者提供的信息不完整。

手上有錢，但不知道自己支付的價格

理解數(shù)據(jù)被使用的關(guān)鍵在于看它們?nèi)绾伪环治?，但大部分公司對此閉口不談。在索取數(shù)據(jù)的過程中，Netflix沒說為什么我們會被推薦某些電影；Instagram也沒說，我們看到的內(nèi)容是根據(jù)時間、用戶和其他內(nèi)容的互動，還有用戶對某些內(nèi)容的喜好程度排序的；Tinder則聲稱，不能透露任何和喜好排序相關(guān)的內(nèi)容，因為可能會涉及到知識產(chǎn)權(quán)的問題。

Frederike Kaltheuner是一個在倫敦的數(shù)據(jù)隱私保護(hù)專家，他說有三種類型的數(shù)據(jù)：第一種是我們提供的，第二種是被監(jiān)測記錄的，第三種是被模型化的或者用其他數(shù)據(jù)預(yù)測得到的，比如說一個人的吸引力和可信度。

Kaltheuner說：“很多機(jī)構(gòu)覺得被模型處理過的數(shù)據(jù)不算是個人數(shù)據(jù)，其中最大的誤解是，我們只能想到那些我們提供的數(shù)據(jù)，公司也往往僅談?wù)撨@些?！?/p>

這就是為什么Cambridge Analytica的丑聞讓人們憤怒。我們知道那些公司在收集數(shù)據(jù)，但我們不知道的是，數(shù)據(jù)是如何被處理的，然后又會對我們的生活產(chǎn)生了什么樣的影響。

當(dāng)索取數(shù)據(jù)的時候，得到的僅僅是那些我們給出去的數(shù)據(jù)，比如個人信息。我們可能覺得自己在用數(shù)據(jù)交換服務(wù)，比如說輸入地址到谷歌地圖，然后得到路線圖，但具體數(shù)據(jù)會如何被處理是很復(fù)雜的，比如記錄我們的位置，然后計算出劇院是否忙碌或者某條路不應(yīng)該走。臉書還研究如何影響人們的情緒，以及如何判斷人們是不是處在心理脆弱的時候。簡單來說，數(shù)據(jù)是貨幣，但我們不知道自己付出的價格。

關(guān)于索取數(shù)據(jù)時的身份審核，也沒有統(tǒng)一的程序。

Bumble索取駕照、護(hù)照、出生證或者銀行賬單確認(rèn)身份；Spotify要求提供注冊信用卡的后4位，并強(qiáng)調(diào)了不要說出全部的信用卡號碼。推特、谷歌和領(lǐng)英則沒有要額外的信息，因為已經(jīng)登陸進(jìn)了賬號。這就又出現(xiàn)一個問題，我們的賬號有多容易被攻擊？如果有人登錄進(jìn)了賬號，公司就會把所有的數(shù)據(jù)給他么？

最小化數(shù)據(jù)收集是根本的做法

Jeewon Kim Serrato是法律公司Norton Rose Fulbright美國地區(qū)的數(shù)據(jù)保護(hù)、隱私和網(wǎng)絡(luò)安全高管，他說：“重要的是，不要收集那些不必要的數(shù)據(jù)。比如，如果不從事駕照或者護(hù)照照片的業(yè)務(wù)，就不要收集這些信息，最小化數(shù)據(jù)收集是根本。”

這樣的想法完全顛覆了數(shù)據(jù)收集的思維。一直以來的聲音都是盡可能多地收集數(shù)據(jù)，即使不知道未來會如何使用這些數(shù)據(jù)。Serrato同樣提出“數(shù)據(jù)存儲是越來越便宜了，但數(shù)據(jù)刪除卻比永久保存的花費(fèi)更多?！盙DPR的出現(xiàn)可能改變這樣的現(xiàn)狀，因為如果不知道要拿這些數(shù)據(jù)做什么，那處理數(shù)據(jù)的花費(fèi)會非常大。

法律公司Hogan Lovells的Cohen說：“確實有很多公司還在等，但我覺得主要是因為符合標(biāo)準(zhǔn)的花費(fèi)太大了，那些認(rèn)為自己是GDPR首要規(guī)范目標(biāo)的公司正在盡全力去遵守。”

專家認(rèn)為法律制定者首先瞄準(zhǔn)的是那些科技巨頭，特別是面向消費(fèi)者的，比如社交網(wǎng)絡(luò)、移動APP、健康醫(yī)療、廣告業(yè)務(wù)和自動駕駛，還有把孩子作為主要消費(fèi)者的公司。

英國、冰島和法國的數(shù)據(jù)規(guī)范者都說，GDPR生效之后，抱怨數(shù)據(jù)侵權(quán)的人更多了。加州最近通過了一個數(shù)字隱私法案，將在2020年1月實施，這被看作是美國在數(shù)據(jù)保護(hù)上的重要一步，畢竟在此之前都沒有相對完善的法律。

同時，對于違法者，嚴(yán)懲也在進(jìn)行

Giovanni Buttarelli是歐盟數(shù)據(jù)保護(hù)的監(jiān)護(hù)人，他說：“懲罰是普遍的，公眾會在年底看到第一批的懲罰結(jié)果，我們希望未來沒有違法者。”

所有眼睛都在盯著那些違反GDPR的科技巨頭們，殘酷一點(diǎn)說，也在看著他們會受到怎樣的懲罰，這對于GDPR而言也是一場檢驗，看它是否能真的在數(shù)據(jù)爭奪戰(zhàn)的環(huán)境中立足。