谁在偷窥我们的隐私
2018-09-10陆英
陆英
我们在手机上的每一次的点击、滑动与下拉,都可能是最私密的行为。
手机已经不仅仅是帮助我们管理一天的工具,它同样是复杂的的监视设备,我们每天自愿地和它交互,而我们默认这一切是私密的。前谷歌员工Seth Stephens-Daviaowitz在新书《Everybody Lies:Big Data, New Data, and What the Internet Can Tell Us About Who We Really Are》中写道:“我们问谷歌的问题,可能比我们问爱人的更加诚实。”
把这些数据收集起来,再加上其他设备的数据,如数字电视、运动检测设备以及浏览器历史等这些設备都监测着我们的行为习惯,它们一天产生的数据可以多达2.5百万亿字节。
而有时候,不同的网站、研究者和广告商会将彼此的数据汇总、分散或者统一整理。比如,Acxion就声称自己的数据库里有5亿人的数据,每个人有1 500个数据点,涵盖了大多数的美国成年人。就在刚过去的几个月里,脸书被报道曾经向医院索取数据,包括斯坦福医学院,想要共享和汇总患者的医疗数据。在2018年4月,同性约会APP Grindr被曝出曾将用户的艾滋病状况分享给两个APP优化公司。甚至,谁又能想到仅仅完成一个性格测试,就能助力川普总统竞选的广告呢?
简短来说,我们和电子设备的亲密关系非常不一般,对于一个在乎隐私的公民来说,在互联网连接的21世纪,我们想要或者还能够做什么呢?
数据隐私就是个缺乏公正裁决的童话
《通用数据保护条例(GDPR)》被认为是最负责任的隐私保护法,2018年5月25日在欧洲正式生效,我们觉得是时候谈谈GDPR带来的改变,或者……它没有带来的是什么了。
GDPR规定用户主要权利包括:获取个人数据、涉及居民日常生活的算法解释、数据的移动和删除。在生效的这半年里,GDPR可以说影响了每一个在欧洲运营的企业,不少领头的企业甚至花费数百万美元变更自己的隐私保护标准,包括在欧洲之外的一些地区也实现了标准化。
9个世界各地的Engadget记者向超过30家科技企业提出了索取数据的请求,从社交媒体网站到约会APP,还有网络音乐播放服务。在5月25日GDPR实施前和之后,分别提出了数据索取的请求,想看看GDPR到底带来了哪些变化。
其实,欧洲从1995年开始就有关于数据保护的官方指示,但是研究显示,这些权利并没有得到保障。GDPR则是在 2016年就出台了,但从2018年的5月才开始正式生效,从名不见经传的小公司到占据全球收入4 %的公司,都受到了它的影响。
实话说,数据隐私就是个缺乏公正裁决的童话。比如说,导致大量用户信息泄漏的个人信用评估机构Equifax,被黑客攻击后还在运营,用户甚至不能将自己的数据进行转移。在英国,脸书因为Cambridge Analytical丑闻被罚了50万镑,这是当时法律规定的最高的罚款额,但这仅仅只是相当于脸书每5分30秒赚到的钱而已。
如果相同的事情今天又发生了,脸书可能面临高达十亿美元的罚金。大约1 000家美国的新闻网站不能在欧洲访问,包括《洛杉矶时报》和《芝加哥论坛报》,而根据最近德勤发布的报告称,大约只有1/3的机构符合欧洲隐私保护条例。
“从数据索取的结果,可以窥见一个组织的灵魂。”Hadi Asghari说道,他是荷兰代尔夫特理工大学的助理教授,他的研究显示,只有极少数欧洲的数据获取条例被遵守了。不过一些公司确实遵守了GDPR,个人的信息相当于这些大公司运转的能源,所以,对于信息的控制权必有一战。
心理上重视,战术上忽略:数据保护的悖论
对于平常的用户来说,隐私保护协议很难懂,也很无聊。但是,隐私保护条例是理解数据相关权利的支柱,不过这些条例充满着专业法律用语,用超级长的句子描绘着数据保护,其实这些公司本身可能都不一定了解。卡内基梅隆大学有一项进行了10年的研究表示,如果要读完每一个遇到的隐私条例,要花费76个工作日。所以不读其实是肯定的,完全理解肯定是不可能的。
这就涉及到了学术界讨论的数据保护悖论。当做问卷调查的时候,人们都说自己非常关心隐私保护,但是现实中他们还是会选择放弃自己的数据,或者是给出朋友的电子邮件去换取一些小恩小惠,比如披萨。
在索取数据的过程中,我们收到了各种各样的数据格式,比如邮件、Excel表格。除了数据本身再进一步地问,我们拿到的数据是可以理解的吗?甚至,对于我们来说,那些数据是有意义的吗?
Netflix把词汇表整理成了一个PDF文件。Spotify则是通过一个在线下载的方式提供了数据。一个英国的记者收到了101份JSON文件,另一个收到了90份。而JSON格式是用电脑读取的,而且文件名字也无法读懂。客服也没有对这些文件的名字给出解释,他们说如果想知道,可以问具体文件的意思,但是他们没有词汇表。另一个美国记者对Spotify提出了一模一样的请求,只收到了7份文件,包括支付方式、播放列表和关注者名单。他们表示全球的系统没有区别,如果用户想要索取另外的文件,可以联系客服,但这个问题的难点是,如果不知道一个文件是不是存在,该怎么要呢?
但至少他们都提供了一些数据,约会APP Bumble仅仅给了一个英国记者基本信息、他自己上传照片的IP地址和登陆次数,美国记者的请求,直到12周之后才得到回复。
另一个通常的做法是,公司会提供他们的隐私条例,但不会提供索取的数据。比如Snapchat,列出了他们的隐私保护条例,说“可能”从子公司或者第三方手中获取数据,并提供了一个第三方的名单。Tinder说他们“可能”收到来自合作伙伴的信息,但没说具体是谁。
The Article 29 Working Party是一群由欧洲代表和数据专家组成的团队,他们提出“类似‘可能‘也许‘一些等这样的语言应该避免”。从法律上来讲,GDPR要求沟通要以“简洁、透明、易理解的方式,使用清楚和直白的语言”,这明显与收到的回复不一致。
研究也显示出了相同的结果,欧洲消费者协会和佛罗伦萨欧洲大学学院的研究表示,1/3的条例存在问题或者提供的信息不完整。
手上有钱,但不知道自己支付的价格
理解数据被使用的关键在于看它们如何被分析,但大部分公司对此闭口不谈。在索取数据的过程中,Netflix没说为什么我们会被推荐某些电影;Instagram也没说,我们看到的内容是根据时间、用户和其他内容的互动,还有用户对某些内容的喜好程度排序的;Tinder则声称,不能透露任何和喜好排序相关的内容,因为可能会涉及到知识产权的问题。
Frederike Kaltheuner是一个在伦敦的数据隐私保护专家,他说有三种类型的数据:第一种是我们提供的,第二种是被监测记录的,第三种是被模型化的或者用其他数据预测得到的,比如说一个人的吸引力和可信度。
Kaltheuner说:“很多机构觉得被模型处理过的数据不算是个人数据,其中最大的误解是,我们只能想到那些我们提供的数据,公司也往往仅谈论这些。”
这就是为什么Cambridge Analytica的丑闻让人们愤怒。我们知道那些公司在收集数据,但我们不知道的是,数据是如何被处理的,然后又会对我们的生活产生了什么样的影响。
当索取数据的时候,得到的仅仅是那些我们给出去的数据,比如个人信息。我们可能觉得自己在用数据交换服务,比如说输入地址到谷歌地图,然后得到路线图,但具体数据会如何被处理是很复杂的,比如记录我们的位置,然后计算出剧院是否忙碌或者某条路不应该走。脸书还研究如何影响人们的情绪,以及如何判断人们是不是处在心理脆弱的时候。简单来说,数据是货币,但我们不知道自己付出的价格。
关于索取数据时的身份审核,也没有统一的程序。
Bumble索取驾照、护照、出生证或者银行账单确认身份;Spotify要求提供注册信用卡的后4位,并强调了不要说出全部的信用卡号码。推特、谷歌和领英则没有要额外的信息,因为已经登陆进了账号。這就又出现一个问题,我们的账号有多容易被攻击?如果有人登录进了账号,公司就会把所有的数据给他么?
最小化数据收集是根本的做法
Jeewon Kim Serrato是法律公司Norton Rose Fulbright美国地区的数据保护、隐私和网络安全高管,他说:“重要的是,不要收集那些不必要的数据。比如,如果不从事驾照或者护照照片的业务,就不要收集这些信息,最小化数据收集是根本。”
这样的想法完全颠覆了数据收集的思维。一直以来的声音都是尽可能多地收集数据,即使不知道未来会如何使用这些数据。Serrato同样提出“数据存储是越来越便宜了,但数据删除却比永久保存的花费更多。”GDPR的出现可能改变这样的现状,因为如果不知道要拿这些数据做什么,那处理数据的花费会非常大。
法律公司Hogan Lovells的Cohen说:“确实有很多公司还在等,但我觉得主要是因为符合标准的花费太大了,那些认为自己是GDPR首要规范目标的公司正在尽全力去遵守。”
专家认为法律制定者首先瞄准的是那些科技巨头,特别是面向消费者的,比如社交网络、移动APP、健康医疗、广告业务和自动驾驶,还有把孩子作为主要消费者的公司。
英国、冰岛和法国的数据规范者都说,GDPR生效之后,抱怨数据侵权的人更多了。加州最近通过了一个数字隐私法案,将在2020年1月实施,这被看作是美国在数据保护上的重要一步,毕竟在此之前都没有相对完善的法律。
同时,对于违法者,严惩也在进行
Giovanni Buttarelli是欧盟数据保护的监护人,他说:“惩罚是普遍的,公众会在年底看到第一批的惩罚结果,我们希望未来没有违法者。”
所有眼睛都在盯着那些违反GDPR的科技巨头们,残酷一点说,也在看着他们会受到怎样的惩罚,这对于GDPR而言也是一场检验,看它是否能真的在数据争夺战的环境中立足。