一, 數據被濫用背後的隱私問題
三月份,社交網站Facebook捲入一宗醜聞,數據分析公司Cambridge Analytica獲得Facebook五千萬用戶數據並進行了濫用。消息一出,各方劍指Facebook違背用戶協議,對用戶隱私造成了侵犯。
隱私,是這個一切都依靠網路時代的敏感話題,一家公司涉嫌隱私保護不力,公信力是嚴重損失,會招致官司甚至管理部門的處罰,Facebook股價一度下跌近兩成。
如何看待社交平台隱私保護?僅僅是一個討喜的口號嗎?侵犯隱私到底會有什麼危害?
隱私問題對於用戶的傷害主要有三個方面:獨立自由的需要,人身安全的需要,崇尚個性的需要。從中國文化的角度來看,人們最關注的,恐怕是人身安全方面的危害,因此當我們探討隱私帶來的侵害時,不妨首先從人身安全,然後再結合獨立自由與崇尚個性做一個評估。
二, 對於隱私保護的幾個誤區
重大隱私問題暴露時,政治正確常常取代實際的有效操作,許多看上去正確實際上沒什麼效果的方法往往優先被使用,常見的情況有如下:
1. 被冤枉的一鍵授權
社交平台給予第三方網站開放的授權登陸能力,為了用戶使用方便,很多時候採用一鍵授權方式,一旦網站遭遇隱私危機,平台的第一反應是停用一鍵登錄,在授權登陸時增加重複性的用戶信息填寫和確認,彷彿增加使用障礙就提升了隱私保護。
這種直接模仿物理世界的方法除了增加用戶麻煩,並沒有實際的效果,現實物理世界的房門鑰匙被盜,在門后加塊板會增加用戶侵入房間的難度,網路授權卻不同,被盜用的是用戶信息,如果沒有減少用戶信息盜用機會,不相干的障礙只能帶來心理上的安慰。
2. 取消授權能否挽回損失?
取消或暫停第三方授權,比起增加授權登陸的障礙,能更多阻止隱私泄露,取消或暫停授權對於用戶動態信息保護是有用的,比如實時的位置信息,當切斷第三方授權時,就無法再繼續獲得實時位置,隱私數據得到了保護。
不過,取消授權的保護效果沒有想象的好。
在目前,第三方授權使用的信息常常是用戶的登陸資料,這些信息很長時間內都是固定的,用戶只需授權一次,第三方就已經讀取了對應的信息,撤銷第三方授權並不意味著第三方就已經刪除了用戶的個人信息,更不代表已授權信息不會再被濫用。
3. 隱私提醒保平安?
當第三方獲得授權時,通過隱私提醒用戶再次確認是否能有效保護隱私信息?隱私聲明是重要的,讓用戶使用第三方服務前,自行評估一下個人信息被第三方獲取后可能存在的傷害,增加了用戶的知情權,對那些馬虎的用戶,授權提醒或者每次使用時都提醒,能夠增強用戶的隱私信息保護意識。
但是,很多用戶缺乏安全學的專業知識,對第三方使用個人信息難以準確評估使用風險,對於用戶來說,實際做的只有「用」或者「不用」,通過隱私提醒再次確認減少的風險,是以用戶減少使用次數為代價的,並不能量化管理隱私風險,對提升保護水平也有限,不出門當然可以減少汽車碰撞,但這不是人類發明汽車的初衷。
當然,授權提醒是撇開平台法律責任的好方法。
三, 隱私是如何泄露的?
我們談論隱私保護時,我們的隱私是如何泄露出去的呢?
1. 平台方泄露
經常會聽到這樣的報道:某某網站用戶資料庫被破解,數百萬用戶數據被黑客竊取。由於技術漏洞或者業務邏輯設計不夠嚴謹,黑客攻入了網路系統,導致用戶信息泄露。
平台的數據泄露,在早期會更容易出現,一個平台長時間運營之後,也隨著整個互聯網技術安全水平提高,這類問題出現幾率已經很低。
平台方泄露的另一個來源是工作人員,工作人員尤其是客服人員,為了提供更友好的客戶服務體驗,通常有權查看用戶的資料,如果知情員工將這些信息應用到客戶服務之外,技術和管理上都難以有效防範,上個月新聞爆出蘋果員工利用掌握的信息威脅用戶就是一例。
2. 第三方不當使用
第三方不當使用,是人們關注比較多的一種隱私泄露方式。第三方將從授權平台獲得的用戶隱私信息,使用到了規定的範圍之外,這些侵犯行為發生在平台之外,很難被及時發現。
3. 用戶使用不當
用戶不恰當的信息公開方式,是常見又常被忽略的隱私泄露方式,用戶在社交平台上輸入真實的電話號碼、電子郵箱、家庭地址、生日等信息,設置了完全公開或者對好友公開,這些信息是在平台內部使用,用戶缺乏安全意識時,信息不知不覺地被其他用戶獲取了。
四, 數據時代平台的隱私應對
社交平台對用戶隱私保護的責任重大,也常常被一些看上去顯而易見的傳統或常識認知誤導。
1. 不要迷信規則
在崇尚自由的西方,或者受西方自由思想影響的人,相信規則能帶來足夠的保護,就像資本主義相信自由市場能夠實現自我保持平衡一樣。事實上,這種想當然的認知是錯誤的。
規則具有約束性不假,但是,那些違反規則的人,他們不按常理出牌,想著各種方法突破規則的漏洞而不是遵守它,規則防範的效果常常被高估,惡意用戶會讓原本好端端的系統運行變得漏洞百出。
2. 技術不能包攬隱私
進一步的討論可能會得出一個讓我們有些失望的結論:隱私並不是僅靠技術就能確認的,因為隱私文化和個人偏好有密切的關係。
對於文化保守的地區,露出胳臂、被人知道年齡是非常嚴重的隱私問題,而文化開放的地區,人們穿著比基尼也不會有問題。
個人風險喜好也是隱私的重要考量,一個對安全特別慎重的人甚至不願意向別人公開在哪個城市,而許多年輕人卻大大方方把宿舍門牌號貼在最顯眼的位置。
隱私具有文化屬性和個人屬性,這些會隨著時間發生變化,技術能夠協助保護隱私信息,但沒法代替用戶做隱私判斷。
3. 摒棄平台中立
在社交網路發展的早期,人們對於平台中立有一種特別的偏好:網路應該給人儘可能多的自由,這是隱私保護本身的意義所在,而且,平台是給人用的,每個使用者應該替自己的行為負責。常見的比喻是:工廠生產了一把菜刀,至於你是否拿它砍人,責任在於拿刀的你而不是刀或者生產它的工廠。
不過,隨著社交網路規模日漸擴大,用戶規模達到十億、數十億時,一些不當應用會產生非常惡劣的社會後果,就像最近Facebook遭遇的那樣,按道理,Facebook也可以將平台中立作為理由來推脫自己的責任,就像他們之前追求的那樣,但對於造成的後果而言,這種解釋沒有人願意採信。
按照過去對中立的理解,「沒有誰應該負責任」不表示真的沒問題。巨大的隕石降落地球,將導致全球生靈塗炭,人類有責任嗎?沒有,但人不能不管不顧。我們需要修改責任的定義方式,讓人類擔負起地球的未來命運。
平台拋棄中立的思想,不意味著將惡意用戶的責任轉移到平台,或者發生的任何問題都由平台單獨負責,平台責任是一種補位責任,用戶的責任依然是第一位的,平台責任的核心是督促用戶對自己的行為負責,只有各方都將責任扛起,才能推動面向未來的健康社交平台。
當社交平台成為跨越全球的社區,已經超越了許多國家的規模,平台將以可能的後果為導向來督促各方責任的落實,而不是依據過時的法律和常識。
4. 專業化內容監管
不管平台是純粹的技術平台,比如郵件系統,還是新聞平台,不可避免地,包括社交平台在內的各類平台將要涉足於內容本身,數據的時代,用戶行為才是平台關注的重點,技術只是內容產生的手段,一個健康的平台運營,不應該只關注技術、也不只是擴展到內容,而是應該把用戶行為後果都包含到系統中來。
建立內容監管團隊已經成為社交網路必須考慮的問題,以保證當用戶受到危害時,能夠及時地保護用戶和社會的安全。
對於龐大、複雜的社交平台,比如Facebook、微信,內容體系非常龐大而且涉及到專業性,依靠社交平台自己的監管隊伍並不足夠有效監控隱私安全。此時,開放平台與內容方深入合作,讓專業的內容運營方介入,實現有效內容安全運營。
5. 人工智慧代替人的內容審核?
隨著人工智慧的發展,許多複雜需要智力判斷的工作可以交給智能機器處理,那麼當前,人工智慧能夠代替人,完成隱私保護的任務嗎?從目前人工智慧的水平來看,還不足以做到人的智力水平,未來,對於隱私這麼實際的話題來說,還是留給未來去討論吧。
五, 平台提升隱私的實用方法
平台有哪些可以提升隱私保護的方法呢?下面給出一些建議:
1. 接入資格審核,進行等級管理
平台授權第三方使用用戶的信息,要做接入資格審查,大型的平台,為了平衡效率與安全兩個方面,可以對接入方進行等級認證管理,不同等級的接入方,按照他們實際的承擔能力,確定他們獲取用戶隱私信息的許可權。
2. 區分登陸與資料引用
用戶信息的使用,區分登陸許可權與資料引用的不同,非常多的應用,只是為了簡化用戶登陸手續,個人資料引用與登陸許可權區分,能夠增強用戶隱私的保護,尤其是用戶隱私數據有多種分類時,比如地址、身高、年齡三類,只有用戶需要快遞時,才提供地址信息給第三方,而身高、年齡信息則是被保護的。
3. 更直接的授權撤銷
與用戶使用時的一鍵授權登錄對應,提供用戶在第三方使用結束時的一鍵撤銷授權,建立用戶使用階段才授權的認知與習慣,減少第三方授權濫用的機會。
4. 限制失信用戶的許可權
用戶間的信息保護,當用戶在社交平台上有不良使用劣跡時,社交網站應該及時限制用戶的使用許可權,以免作惡持續進行。
5. 追責機制建立
平台賦予用戶追責的能力,促使用戶加入信息保護的大軍中來,而不只是被動地等待信息保護,追責機制的建立,能讓用戶變得強大,從而對惡意用戶增強防範力,這樣,社交平台不再是單獨承擔起全平台的安全防護工作,用戶隱私維護有龐大的用戶大軍一起參與。
6. 第三方約束
許多不當使用不是一次性突發的,而是漸進性的,對於第三方超越使用範圍而沒有造成後果的應用,讓用戶追責對第三方產生約束,及時啟動處罰機制。
7. 舉報機制
告密,由於中國一段不堪回首的歷史,人們對於告密深惡痛絕。舉報機制容易被誤解為告密。告密與舉報是不同的,告密是基於動機的或者道德的,以判定一個人的立場作為出發點,而舉報則是行為後果的群體監督,對達到觸犯法律的行為後果進行舉報,避免作惡者逍遙法外。
8. 敬畏原則
隱私信息的不當使用給用戶帶來的後果可能是災難性的,平台用戶規模越龐大,潛在的災難規模也會越大,在制定規則或者使用隱私信息的時候,要遵循最小使用原則,即:能不使用盡量不使用,能少使用盡量不多使用。
六, 隱私的進一步探討
面向未來,還有哪些問題需要注意的問題?
1. 監管部門的溝通
法律常常落後於社交網路的實踐,與監管部門主動溝通,推動法律層面的用戶監管可以降低平台運營壓力,社交網路平台用戶規模巨大,在法律的支持下,將用戶轉換成平台的監護者,能將用戶隱私安全的保護力量提升到用戶發布信息力量的同等水平。
2. 隱私與匿名
沒有隱私保護能力的網站不能實施實名制,當這些網站需要使用實名的一些功能時,實名認證部分交給有能力的平台來做。
實名保護不力會給用戶帶來隱私安全,採用與實名相反的匿名,卻不一定能夠提高用戶隱私安全,網路服務中如果需要與用戶交互,信息是用戶使用時必須提供的,比如購買商品時提供電話與地址,那些匿名的用戶一樣會暴露在網路中。
3. 用戶行為方式
在隱私信息保護中,用戶行為方式是比後台技術更大的瓶頸,如果不通過用戶行為方式的規範,新技術不必然提高隱私保護。
就像美國911事件發生時,人們質疑航空公司安檢,認為安檢人員沒有履行檢查責任。實際上,例行檢查對普通旅客是有效的,但很難杜絕有專業訓練的恐怖分子攜帶暴力武器,用戶採用新的行為方式配合安檢非常重要。
4. 區塊鏈與分散式
區塊鏈火爆,許多人想象利用區塊鏈技術或者思路來提高隱私保護能力。密碼技術能夠防止信息被技術手段竊取,但許多隱私泄露是用戶不當使用發生的,密封的桶能夠保證水不受外部污染,但沒法讓髒的水變乾淨。
信息分散到不同的地方存儲有用嗎?一個典型的類比解釋是:雞蛋不要放在一個籃子里。不過,隱私不是財產損益,隱私是一損俱損的問題,一部分隱私信息失去保護,用戶就會陷入巨大的風險之中,換句話說:一刀就可以殺死人時,從砍十刀減少到一刀,後果是一樣的。
缺乏集中管理、分散的隱私信息,用戶容易忽略部分信息的主動保護,所以,採用集中管理、分佈存儲方式的實際效果可能會高於區塊鏈等新的業務模式。
5. 人工智慧的隱憂
人類為什麼會遵守法律和規則,一個原因是肉體害怕受到懲戒。一台人工智慧機器,會懼怕對機器自身的懲罰嗎?智能程序是否只設計了如何行動而沒有對後果的懼怕?
人工智慧獲得了超越人類的能力卻缺少了人類的自我約束,這或許是送跑車去火星的馬斯克的憂慮,不知道是不是這種憂慮促使他遷怨於社交平台,對扎克伯格心生厭惡,從而刪除了Facebook的賬號。