马岚熙

《魔鬼藏在同意书》

导演  |  库伦·霍柏克

语言  |  英语

单集片长  |  79分钟

在今天这个信息化时代，人们越来越了解到个人数据隐私保护的重要性。然而令人担忧的是，有时候出卖隐私的，可能恰恰就是消费者自己。纪录片《魔鬼藏在同意书》描述的是一个几乎每天都在发生的现象：当你安装App或者注册账号时，经常都会弹出一个安装使用同意书，里面有无数复杂的条款。导演问了无数消费者，答案是很多人看也不看，就选了“同意”。魔鬼，就藏在这些同意书里。

恶作剧App，一天收获7000个灵魂

2009年，一家名为游戏站的公司偷偷在安装使用条款里加了这样一条：“当你从该网站下订购单，就是同意给予公司不可让渡的权利，可永远拥有你的灵魂。”虽然合约只上线一天就下架，但这家公司短短一天就“取得”了7000个灵魂。当然这家公司只是开了个玩笑，却令人细思极恐。

镜头给到苹果的工作人员，问苹果公司是否知道有多少人真正读过App的隐私条款。工作人员的回答是，无论他们读不读，使用者必须同意。言外之意是，如果不同意，那你就无法享受相关服务。当然，同意书的条款又多又密，让人读起来费力，也是让人无法读下去的原因。影片引用一份统计表明，如果用户阅读同意书上的一切条款，可能要花180个小时。

那么，不读条款有什么问题呢？《华尔街日报》报道，因为使用条款中小字隐藏的部分，消费者每年损失2500亿美元。影片拿领英网举例，条款里有这样一条：“同意给领英网非独家、不可改变、全球性、永久性无限制、可分配、完全已付费、免权利金、来复制进行衍生著作、改进、分配、出版、移除、保留……”类似的语言，在谷歌、“脸书”、Ins等任何免费服务网站都不少见。Ins的条款甚至称，他们无须补偿就有权贩卖你贴出去的照片做广告用途。

那么，我只是浏览，而不在社交媒体上传，会不会被侵犯数据隐私呢？影片展示了很常见却令人担忧的一幕：在某一条款下，个人信息及行为数据在服务提供者眼中近乎透明。姓名、位置，甚至包括你的個人喜好，总会帮助某些商家善解人意地推荐你想购买的东西。影片采访了某互联网商家的工作人员，其表示广告可以基于数据定点投放。是不是有人一直在监视我们的商业行为？实际上，是你在网站上的cookies（缓存在用户本地终端上的数据）被商家获得，上网搜什么买什么，它便会记住你;不仅会为你推送相关的产品，还会直接制造你可能想要买的东西的广告，精准地推送给你。

企业在使用你的数据时，还会进行“智能分析”。影片假设，“如果你昨天做了搜索，通过Gmail发了邮件，看了‘油管视频，最坏的情况是，你还在家里上网，而家里只有一台电脑，那么分析师可以通过分析，将前述所有信息结合起来”。这样，就可以得到完整的用户画像，进行精准营销。2012年1月，谷歌更改了隐私政策，将旗下所有应用收集的关于某个人的信息进行合并，建立独立档案。于是，前面说到的“最坏的情况”每天都在发生。

更多的数据，不论看上去有没有用、是否隐私，都在被我们的一键“同意”之后成了商家的财富。影片中提到了安客诚这家公司。这家公司分析，每个人共有1500个“数据点”，比如习惯用手、心理特征、是否独居、是否养宠物、宠物的种类等等。这些都会成为商家做出商业决定的因素。假设消费者买了很多酒，那么他的医保可能就要加费了。因为保险公司会认为，他会有酒精致病的风险。有些公司甚至会利用这些数据，在实际雇佣前进行意向员工的背景调查。雇主通过分析员工浏览内容的明细历史，来避免雇佣那些“性格不好”的员工。

有的时候，“合理知情”和“侵犯隐私”之间只有一墙之隔。纪录片展示了许多例子。在明尼阿波利斯，一个父亲跑到连锁商超，对雇员发脾气。他说自己未成年的女儿收到孕期产品的优惠券，这是商超有意鼓励他的女儿未婚先孕。但事实上，他女儿的购物习惯让商超比父亲更早知道女儿已经怀孕的事实。那个父亲随后向商超道歉。当我们驾驶车辆并使用GPS时，GPS会告知车主车速，并帮助我们躲避拥堵。有个叫“汤姆想知道”的公司，在收集了有关车速的数据后，转手卖给了地方政府。地方政府则用这些数据来开出超速罚单——导演借片中人物的话表示，这样的数据使用就很难说是合理正当的。

保护隐私的立法战场：和看不见的敌人战斗

互联网行业有一句话：真正匿名的数据是无利可图的。当然，有些公司会承诺，在采集数据时都会“匿名化”。确实，用户的具体姓名在大数据系统中不会呈现。但影片也揭示，那些看上去被匿名处理后、体现为一串编码的用户ID，可以被轻易地还原为用户姓名，并且与这位用户的其他信息建立关联，形成一张对商家来说颇具价值的画像——还是那句话，消费者对这一切并不知情，却早已签了“同意”二字。

影片展示了谷歌的隐私政策。一方面，该公司通过cookies分析用户使用搜索引擎的习惯和模式;另一方面，谷歌也承诺，不会将数据向第三方公开。但是后面加了例外情况：“除非在正当的司法程序下，例如搜查令、传票、法律法规或法庭命令。”影片接着将镜头投向“脸书”，发现2009年，“脸书”在没有提前告知任何人的情况下，私自改变隐私权政策。这就是导演所抨击的“最终解释权”——互联网平台成了实际上的立法者，他们制定平台上使用的规则;在不需要和任何人商量的情况下，又可以任意修改和解释。

“那么，我们没有基础的隐私法吗？不是的。那些创造大量金钱的大企业一直在游说公关，不希望政府做任何事情干扰到他们的商业行为。”影片不满足于现象，开始挖掘立法无能为力的深层原因。“脸书”曾因用户年龄问题受到挑战。其协议条款下，用户必须年满13岁。但根据近期一份消费者调查报告，约750万用户不满13岁。对此，“脸书”派出了豪华的律师阵容参加参议院的调查询问。当参议院试图通过第242号法案，以保护使用社交网络的用户免受信息盗取和推销骚扰、保障个人信息不被公开时，各大公司都极力阻击。影片描述：“在法案听证的时候，那些说客就在会场内旁听，但他们没有上前发言，整个过程，好像是和看不见的敌人在战斗。”影片隐晦地表示，这一年，“脸书”花了之前年均公关费用的4倍。谷歌的这个数字，则是往年的5倍。

在美国，人们警惕个人数据被滥用，还与其对正当审判程序的坚持有关。一个人即使被拘捕，也要经过陪审团依据正当程序、使用合法证据，作出审判才能定罪。然而在某些平台上，先定后审、不审而定，情况并不少见。影片发现，在某搜索引擎上，用户17556639被标识标红，通过解析得知其名为杰罗姆。他曾对“如何杀妻”“车祸现场”“砍头照片”以及“谋杀”这些关键词进行过多次搜索。后来才发现，他是剧集《铁证悬案》的粉丝，并不是一名凶犯。该剧的编剧听说后，也表示心有余悸。他也曾搜索过“如何杀掉出轨的老婆”，那么搜索引擎会如何标识他呢？后果不敢想象。

这部纪录片问世后两年，大洋另一端的欧洲制定出台了《通用数据保护条例》（General Data Protection Regulation）。这部条例于2016年4月推出，欧盟给了各大企业两年的缓冲时间，正式生效日期为2018年5月25日。根据其规定，企业在收集、存储、使用个人信息时要取得用户的同意，用户对自己的个人数据有以下权利：

一是知情权。用户可以向企业查询自己的个人数据是否在被处理和使用，以及使用的目的，收集的数据的类型等。二是被遗忘权。用户有权要求企业把自己的个人数据删除，如果资料已经被第三方获取，用户可以进一步要求删除。三是限制处理权。如果用户认为企业收集的个人数据不准确，或者使用了非法的处理手段，但又不想删除数据的话，可以要求限制对个人数据的使用。四是数据移植权。用户从某个平台转用另一个平台时，可以要求把个人数据带过去。前一个平台不得保留。违反条例的，欧盟将给予重罚。

两年来，这一数据隐私保护的欧洲标准被许多国家仿效。我国正在制定的《个人信息保护法》和《网络信息安全管理办法》也是其中的一部分。不过，当初拍摄这部影片的美国，却仍在相似的立法领域止步不前。如果我们去问导演其中的原因，也许他还会总结为那句话：我们仍然在和看不见的敌人战斗。

编辑：薛华  icexue0321@163.com