数据泄密频发,个人数据隐私与开放的界限在哪
神州明达专注信息安全领域13年,上万家政府单位 军工单位 企业 家庭的的共同选择,为国内及全球客户提供反窃听反偷拍服务和产品,如果您担心您的信息已经被窃听,并想解决安全隐患,请联系我们,寻求帮助。我们专业的反窃听团队将为您提供一系列个性化定制服务,随时回复您的任何要求。
“当我们沉浸于技术带来的空前便利与无所不能之时,也将自己暴露得无处遁形,总要有人为品尝的甘果买单。”
健康轻食正在成为都市白领追逐的新时尚,遍刷Top榜挖掘潮流轻食餐厅,疯狂打call网红无添加单品……繁忙工作之余还要为高逼格自我标榜煞费精力。倘若此时,有人专门根据你的DNA为你推荐最适合的食物并将食材打包处理送货上门,你会作何反应?
食材电商Habit便是这样一家公司,通过采集用户的血液分析DNA和各种食物标记物,用专门算法分析出用户最适合吃的食物是什么,制定相应的食谱。最后,Habit会把所需的食材处理好和食谱一起打包送上门。整个流程简单,操作方便。
面对这份从膳食角度推荐的智能定制化套餐,你是否会因为新鲜感而按下体验键?不过一旦你选择按下接受按钮,迎接你的除了精准化食谱推荐,还有幕后的资料攫取和信息“绑架”,你的餐饮习惯、个人隐私、甚至DNA数据都已被Habit收入囊中。
当你了解到自己DNA数据的重要性以及泄露可能带来的未知的危险性,你是否还会为盲目接受网络服务而不自觉泄露个人信息,你是否为其中的信息风险做好了准备?
用户信息高度暴露,安全筹码被握在平台手中
阿里系旗下支付宝在“年度账单”活动中弱化提示套取用户数据;中国最大的内容平台今日头条被指责利用手机麦克风获取用户数据隐私;百度旗下“手机百度”“百度浏览器”在未取得用户同意的情况下获取诸如“监听电话、定位、读取短彩信”等各种权限;腾讯方面,吉利控股董事长李书福公开质疑微信偷看用户聊天记录……巨头公司尚且如此,更何况是名目繁多的初创公司?
说来也极具讽刺,无论DNA还是指纹、Face ID,我们将更多隐私信息交出去的初衷是为了更安全,而这种基于网络安全的诉求,最终反而让我们以身犯险,被置于更庞大的不安之中。
煞费精力套取用户隐私的不仅仅是各种企业,不少城市也正在自觉或不自觉地扮演着隐私抢夺者的角色。
在多伦多靠近安大略湖区域有这样一方“码头区”,这里安置了大量传感器和摄影头,全程跟踪每一位在这里生活、工作抑或仅仅是路过的人,然后通过强大的数据收集及分析能力开发系列智能服务产品,打造一座“未来之城”。
看似安全度保障性高、服务体验感强的这一“码头区”计划,却正因其令人拍案叫绝的高科技优势令多伦多居民担忧,目前决定入驻的企业只有Google加拿大分公司一家。在“码头区”,寒冬时节,自动加热的马路能融化积雪确保骑行安全;居民社区采用智能微电网解决方案,不再依赖化石燃料供电;这里的快递将由机器人投送,垃圾也由机器人负责处理……但是,享受这些“便利”服务的代价是将自己置身于其星罗棋布的监控之中,交出你的“隐私数据”。
其实,享受移动互联果实不可避免地要让渡部分个人信息,以暴露隐私换取便利的行为已经无处不在:购物网站上每一次点击和消费、搜索引擎的每一次输入……你的信息一旦产生,就再也不会从网络上消失,你越依赖智能手机,它们知道的就越多;用户信息维度进一步提升,用户画像也更加精细。
对此,国内最大安全漏洞平台乌云一位ID为“瘦蛟舞”的安全分析师说:“手机上的任何操作或数据都会转化为二进制,保存在存储或者闪存里。数据的收集过程从你开始使用一台新的智能设备的时候就已经开始了,应用的开发者、发行渠道和手机系统本身,都在忠实地记录每一笔使用和存储的数据,读取短信记录、通话记录、地理位置信息、通讯录、手机是否连上Wi-Fi等都是明着写出来的权限。”
大数据面前无隐私。“如果你有什么事情,不想让任何人知道,也许一开始你就不应该去做这件事。”Google前首席执行官Eric Schmidt说。很可能在未来,从你注册第一个互联网账号开始,你一生的发展轨迹、最有可能的成长归宿,都已经在大数据的计算服务器中有了雏形。
个人数据隐私与开放的界限在哪里?
隐私暴露日趋常态化,然而用户的数据安全意识却异常淡薄。根据CosumerReports调查,将近40%的受访者的智能手机连最基本的防范设施都不曾设置,更别提隐私安全。处于如此被动位置的用户隐私如何保障?数据采集的合法性怎样解决?用户数据所有权如何界定?用户数据交易应本着哪些原则?
2015年百度被诉侵犯个人隐私:原告在百度搜索了整容相关信息后被定向推送整容广告,她认为百度侵犯了其个人隐私。然而,南京终审判决百度不构成侵犯用户隐私权,因为百度利用Cookie技术收集、利用数据信息,虽然具有隐私属性,但其终端只是特定IP地址的浏览器,不与特定用户产生必然关联。
虽然此案以百度不构成侵犯用户隐私权判决告终,但是,对Cookie收集手机用户隐私这一行为用户是否知情、采集信息是否经由用户许可以及用户数据交易等仍存在诸多疑点。
首先是数据采集合法性如何鉴定?实际上,用户有权决定数据是否被采集。蚂蚁金服首席隐私官聂正军表示,“最重要的是把决定权放在用户手上,在透明的、用户知情的情况下让用户自己选择。企业要摆正姿态,让用户知道会采集他的哪些信息、怎样使用这些信息、将用于哪些合理的目的,要让用户更强地感知自己拥有的权利。”
不仅是阿里,2017年9月19日,苹果在safari浏览器的新版本中推出了默认启用的“智能跟踪预防”功能,限制第三方访问储存在用户设备上的Cookie文件。同年12月,百度也把“取消cookie监测”的选择权交给用户,让用户可以便捷取消使用cookie功能。
在敏感数据采集操作上,需要根据实际情况进行模糊化处理。苹果CEO库克iphoneX发布之后,承诺面部数据只会存储在手机本地上,此外,在iphoneX上苹果使用了差别隐私技术来保护面部数据,对数据增加大量“噪声”使关于特定个人的数据模糊化,就像有成百上千个吉他演奏者同时乱弹,你很难找出那个真正跑调的人。
在金融行业里数据采集还有一种处理方式——模型加工。“芝麻信用会用到一种叫“多方安全计算”的技术,把收集到的用户信息经过模型加工处理,得出芝麻信用分。”聂正军说。
此外,对于与服务无关的信息采集应坚决杜绝。譬如:有些只是用来推送壁纸的应用,要求获取地理位置和联系人列表;一个永远打不到高分的游戏,也安装插件监测用户平时和谁打电话;生活服务类应用,甚至偷窥用户还装了什么别的应用……
其次,用户数据归用户所有,用户有权公开并获得收益。2017年,美国联邦法院判处一则关于UGC数据隐私和所有权案:美国猎头公司hiQ Labs编写脚本抓取LinkedIn数据,遭LinkedIn状告,然而结果以LinkedIn败诉告终,联邦法院裁定,抓取不侵权,LinkedIn设置的反爬取条例无效。LinkedIn上公开的用户数据属于用户所有,用户愿意在此平台公开个人信息说明不介意被转发,而hiQ Labs作为猎头服务商,其行为不能证明对用户隐私造成了侵害。
企业应对平台上的用户数据负责。2017年3月,Facebook更新了用户隐私政策,禁止平台上的开发者将数据分享给试图监控用户的任何第三方公司或机构。企业要坚持底线,有所为有所不为,杜绝打着大数据旗号而实际进行伪大数据行为,即企业的目的不是给用户提供服务,而是想做数据买卖。
乔治城隐私与科技中心执行主管阿尔瓦罗·贝多亚曾提出:“假设有人从街上走过,那么毫无关联的公司难道不应该先征求他们的意见,随后才能去进行身份识别?”
应不应该在不征求用户意见的前提下使用面部数据?至今还没有明确共识,欧洲监管机构在即将出台的数据保护法规中嵌入了一套原则,规定包括“脸纹”在内的生物信息属于其所有者,使用这些信息需要征得本人同意。
我国数据交易还处于起步发展阶段,目前在评定哪些数据为不可交易数据、可模糊交易数据和可交易数据方面,还面临法律法规不健全,数据安全、数据所有权、数据开放等诸多问题,有必要健全数据管理体系,明确法律边界。