個人隱私數據洩露成災,為何不能給隱私加上二級密碼?
記得剛參加工作接觸到遊戲後臺時,看到後臺中可以顯示眾多不同ID的玩家在遊戲中的各種行為,瞬間有了一種佛祖對孫悟空般的掌控感,直到今天都依然記憶猶新。
從某種意義而言,如今現實中的生活與遊戲是越來越接近了,這並不是說玩遊戲越來越普遍,而是現在的每個人,只要不是生活在深山老林裡的方外人士,或是擁有超級網絡匿蹤技能的技術極客,就總是避免不了將自己的個人數據外洩,甚至是在網絡上完全裸奔。正如遊戲後臺中的玩家一樣,被遊戲運營方看了個徹徹底底。
但是在現實中成為透明人,可就不像遊戲中那麼好玩了。
數據:我真的沒隱私
即便央視315晚會上曝光的涉嫌違規收集個人信息“社保掌上通”APP引起的熱議已經消散了不少,但是WiFi探針盒子和真假難辨的外賣竊聽門還在上演著之後的續集。這幾件事合起來就是一齣戲,戲的名字叫“懂你,知道你”。
這出以個人隱私數據洩露為主要題材的大戲已經上演了很久,“演員”數量龐大,還有無數的新生代“演員”隨時補充陣容,加上技術的飛速進步,這出大戲可謂生生不息永不落幕。
但戲裡的“演員”們多數對演戲毫不知情,也沒有從這出“戲”中得到任何好處,反而是掉入了一個個大坑中再也沒能爬出來。社保掌上通對外宣稱的用戶已經高達2000萬,這意味著僅社保信息洩露的受害者至少也是2000萬起,身邊的朋友有不少也入了坑。
此事之後,除了提醒自己小心外,我發現什麼也做不了,而對隱私信息的保護現狀,更是早已經感到麻木和習以為常。
這種心態的形成,要真心“感謝”一個個推銷房屋、發放貸款的營銷電話,以及冷不丁冒出來的詐騙電話,或者是一封封不知道何時訂閱卻無法退訂的垃圾郵件的“洗禮”。從最開始的不耐煩、到後來的憤怒,直到現在的麻木,甚至會和電話那邊的人或者AI開玩笑,我相信很多人都經歷了類似的情緒變化。
根據中消協2018年9月發佈的《App個人信息洩露情況》統計數據,超過85%的消費者遇到過個人信息洩露的情況。
今年兩會期間,已經有多位代表提議針對個人信息隱私進行立法規劃,事實上關於《個人信息保護法》的出臺也早已被提出,但即便堵上了法律的空白,對於已經洩露在外的個人數據信息的保護,我早已放棄了任何一絲幻想。
暫且不說各種數據非法販賣的勾當加速了“存量”數據洩露的擴散速度,即便是個人開始重視隱私數據保護,各種小心仍然無法根除個人隱私數據洩露。
對陌生人保持足夠警惕?在上網時使用無痕模式刪除cookies?專門註冊了一個郵箱來應對各種註冊時提交個人資料?僅僅做到這些只能算自保,在線上線下提交註冊資料時都有洩露數據的隱患,時不時曝出的酒店信息洩露和科技盜取個人隱私數據的案例都在提醒用戶,就算機關算盡,你依然是個透明人。
個人面對數據隱私安全時產生無力感,原因不是法律和監管的缺位,而是因為數據是一項產業,是大生意,現在形成了自己的生態產業鏈,沒有人能斬斷這條鏈。
鏈的一端,是陽光普照的大數據產業。
互聯網的無孔不入,尤其是人工智能和算法的盛行,令數據成為了眾多科技巨頭急需的養料,由此催生出數據採集、數據篩選標記、數據清洗等一系列業務,大數據成了一項大生意。
“天無三日晴”的貴州省,長久以來因為氣候和地形崎嶇極大影響了經濟發展,幾十年來只誕生了茅臺、老乾媽等寥寥幾張經濟名片,但是最近幾年來卻因為大數據產業的急劇興起,令當地的經濟發展形勢煥然一新。
根據年初各地統計局公佈的GDP以及居民人均可支配收入數據顯示,2018年貴州GDP增速為9.1%,居民人均收入增長10.3%,雙雙位居全國前列。而2017年中國國家信息中心發佈的《中國大數據發展報告》顯示,貴州的大數據發展政策環境指數居全國第一。
2018年初,蘋果icloud服務器遷移到貴州,由雲上貴州負責運營,由此貴州集齊了騰訊、華為、蘋果等幾大科技巨頭的數據服務器。在百鳥河數字小鎮的諸多數據工廠中,不少高校學生都將數據標記作為了實習期間的主要任務,他們成為了未來精準算法發揮效用的奠基人。
萬物有陰陽,科技分兩刃。鏈的另一端,是令人火大卻無奈的隱私數據洩露以及非法數據交易。
對普羅大眾毫無知覺下的非法數據採集、針對明星屢禁不止的個人信息販賣,互聯網企業突然爆出的數據洩露,敏感部門要時時防著黑客或者病毒入侵……
可還記得德雲社的名單洩露?或是某平臺曝出的數據殺熟和圖片豔照?Facebook因為劍橋分析公司的醜聞上遭遇到了自己的滑鐵盧,最近還遇到了國外網絡安全博客的“超神補刀”。該博客曝出近6億 Facebook 用戶的帳戶密碼以未加密的純文本形式存儲,並可由 Facebook 員工搜索的猛料。而在AI領域大放異彩的谷歌,旗下的應用和硬件收集用戶行為信息的詳細程度,完全可以媲美遊戲後臺對玩家遊戲數據的記錄。儘管一定程度而言,這些數據是可查詢的,但仍然細思極恐。
思索再三,還是省省吧,從現在到未來是逐漸屬於大數據的時代,陰陽相生之下,沒人能脫離這個產業鏈的籠罩,只要是享受到了大數據產業帶來的種種便利,就不要妄想避免隱私數據信息的洩露。
法律:我真的很無奈
大數據時代,法律不是保護個人數據安全最有效的武器,從來都不是。
2018年5月25日,歐盟《通用數據保護條例》(GDPR)正式生效。
這部用來取代1995年發佈的、已經過時的《數據保護指令》的規定,被視為有史以來最嚴的個人數據保護法令。其擴大了對於用戶個人數據的定義,將個人的IP地址、cookie數據、遺傳基因、指紋虹膜等信息置於和姓名、身份證號等機密數據相同的保護等級,對個人信息的保護及其監管達到了前所未有的高度。
此外,GDPR引入了具體的角色術語,規定數據相關企業內部相關人員的權責和獎懲。包括數據控制員、數據處理員以及數據保護員,這些人將合作處理有關內部人員和外包商在數據業務方面的事項,並監管數據安全策略和GDPR合規性。
如此嚴格的GDPR,終究又帶來了什麼呢?
需要管理的數據類型更多了,相應的人力成本也提升了。根據普華永道的調查數據顯示,68%的美國公司預計將花費100萬到1000萬美元的投入來滿足GDPR的合規性要求,另有9%的企業預計將花費超過1000萬美元。
罰款是GDPR的另一項附加產物。GDPR規定,對違規企業的最高罰款額為其全球收入的4%或2000萬歐元,以較高者為準。在2019年新年伊始,法國相關監管機構依據GDPR向谷歌開出了5000萬歐元(約合3.8億元人民幣)罰單,理由是谷歌在向用戶定向發送廣告時缺乏透明度且未獲得用戶有效許可。
罰款可以充實國庫,這是為高昂福利支出頭疼的歐洲國家政府樂於見到的結果,但這種行為卻無異於殺雞取卵。歐洲向來以對科技企業的保守政策著稱,GDPR的出臺會令大型科技企業在歐洲的日子更加難過。根據Ovum公司提供的調查報告顯示,52%的受訪IT決策者預計GDPR將會“導致他們公司受到罰款”,三分之二的受訪者認為這將“迫使他們改變歐洲業務戰略”。
暫且不論企業將為GDPR的規定投入多少人力和時間上的成本,單就是這種大概率發生的罰款,估計就將逼走一大批有志於投身科技的潛在企業和創業者,最終結果就是影響到歐洲相關企業的生存發展,稅款和就業什麼的就不要想了。
趙本山在小品《紅高粱模特隊》裡說過一句“吃穿都沒了,你還臭美啥?”,就這意思。
在產業驅動下的經濟利益面前,即使堵住了法律空白帶來的監管缺失,也要面臨著執行層面的困境。
但所謂吃一塹長一智,在國內外頻發的隱私數據洩露事件的“教育”下,各方也總算摸到了大數據與隱私數據之間的最佳平衡點,那就是“懂你,不知道你”。
這句話至少可以有兩個含義。一,我在外面吃了多少錢的外賣、打了幾次車、收了多少快遞……這些瑣事中的行為數據請隨便用,但是請掌握這些數據的組織不要告訴其他組織“我”是誰。二、如果要將“我”是誰告訴需要這些數據的組織,要得到”我“的許可。
為了訂到外賣和收到快遞,用戶總要將自己的姓名、地址和聯繫方式告訴平臺方,這是用戶認可並完全知情的隱私數據獲取,儘管這些數據也確實帶來了一些問題,但沒人對此種數據授權方式產生異議。
事實上,眾多具有相當影響力的互聯網企業、尤其是與人工智能相關的巨頭已經開始將規範數據使用逐漸落到實處。據一位在某互聯網企業數據部門任職的朋友小力介紹,在進行用戶行為分析研究時,主要針對的也是各種行為數據,當涉及到某些具體的用戶特徵時,也是通過聚類用戶獲得其畫像特徵,如年齡、收入水平等等,不會涉及到具體隱私數據。
令用戶們普遍感到不爽的是,現在大量的平臺和企業用暗箱操作的手段,在自身不知情的情況下獲取到自己的各種數據,然後利用這些數據實現自己的目的或非法販賣,用戶只有在某一個環節的數據被洩露後才成為最後的知情者。
這些被洩露的數據不僅有詳細的行為數據,還有個人隱私數據,這就是大問題了。酒店洩露了開房信息,沒有電話號碼和姓名還好說,一旦加上這些數據,多少家庭將會分崩離析?
將上面的意思總結起來就是一句話,個人隱私數據的安全存儲和明確授權,是解決“懂你,不知道你”這對矛盾最高效的方案。
我們不否認法律在制度層面的規範作用和強制力,但說到底,解決隱私數據問題還是個技術活。
隱私:我真想加密碼
作為一個由代碼規則和各類數據組成的虛擬數字世界,遊戲除了娛樂功能外,在解決數據相關的問題時,同樣也能帶給現實啟示,並承擔起試驗田的職責。
我有段時間一直沉迷《王者榮耀》,結識了一名叫阿旭的老哥。最近老哥對我抱怨,因為取消了二級密碼,無意中將一個高級銘文分解了,想棄坑靜靜。
我開玩笑說,你要真想靜靜,就給我號,我幫你分解掉所有銘文。
阿旭甩出一個“滾”字算是對我的迴應,最終也沒有讓我幫這個忙,反倒是多次提起後悔取消二級密碼的事。
二級密碼現在已經是遊戲中的常見功能,主要用於保護賬號角色內的裝備、寶石、人民幣道具等貴重的虛擬資產。尤其是當玩家進行出售、分解、贈送等操作時,如果設定了二級密碼,就需要輸入以確保是本人操作,玩家也會因此多一次確認的機會,眾多大廠旗下的主流遊戲均提供了該項功能。
當然,很多玩家因為其操作的繁瑣選擇不設置二級密碼,那麼阿旭所經歷的事情就有機率在這些玩家身上反覆上演。
包括我自己在內,其實也並不喜歡二級密碼所帶來的繁瑣操作,遊戲中的二級密碼相比賬號所用的一級密碼,安全性也並不算高。一級密碼經常需要藉助於手機或者專用的終端來進行驗證,而二級密碼往往得不到這樣的待遇,遊戲中還經常提供了各種解除和取消二級密碼的方式,比有了二胎後的老大還慘。
可別看二級密碼在遊戲中的待遇不高,卻實實在在是解決現實中個人數據隱私安全問題的高招。
將二級密碼引入現實中,並且配給任何一個16歲以上的國民,每當發生需要授權獲取個人隱私數據的情況時,需要本人輸入這個二級密碼加以確認,這個二級密碼可以是個人設定的數字密鑰、也可以是指紋和容貌、虹膜的組合。在保證了個人隱私數據的安全,也對隱私數據授權的無序進行了規範。
這招的高明之處在於,利用二級密碼將個人的隱私數據與行為數據分開,實現單獨對隱私數據信息的保護。同時,由於每次對隱私數據的輸入都要本人輸入二級密碼加以確認,也從根本上規範了數據流向,並最終實現個人隱私數據授權的可控和回溯機制。
當然,以現有的技術應用來看,實行二級密碼還存在一個巨大的漏洞,就是現有的隱私數據並沒有被安全存儲。的確,當前由於社會仍處在向數據化升級的過渡期,個人隱私數據與行為數據往往分別被眾多的科技企業所同時掌握,加上現在需要進行個人隱私數據授權的場景十分複雜,線下複印個身份證、填個表格、線上註冊個APP,紙質版信息、電子版數據,個人隱私的洩露途徑實在是太多了些。
要解決數據安全存儲問題,就好辦多了,把個人隱私數據存到中央數據庫就好了。只要發生了請求調取個人隱私數據的情況,必須經過最權威的中央數據庫的,並由個人輸入二級密碼進行最終確認,一切就都齊活了。
遊戲行業中曾經發生類似的事情。2010年時文化部曾出臺《網絡遊戲管理暫行辦法》,推出了網遊實名制政策,規定了使用身份證的實名制註冊和控制遊戲時長的辦法。但在此後的幾年中,該政策的實際效果卻差強人意,未成年可以輕易的用類似身份證號隨機生成的工具以及類似遊客模式的存在繞開限制。直到8年後,《王者榮耀》的健康系統啟動了最嚴的實名制策略,將玩家數據接入公安部權威數據平臺進行校驗,這才令實名制的威力顯現了出來。
老哥阿旭是個寵女狂魔,經常與十幾歲的女兒一起開黑打王者,父女倆通過遊戲的交流一直顯得其樂融融。在實名制推出之後,女兒的遊戲時間不可避免的減少了,為了陪女兒,阿旭同樣主動縮減了自己的遊戲時間。
“挺好,現在能多陪她出去,不是總放在遊戲上。”老哥很無所謂。
隱私數據可以集中存放中央數據庫,但阻撓二級密碼的推出,還有數字化這隻攔路虎。
雖然手機集成了公交卡、銀行卡等,平時出門之用帶手機和充電寶就行,但在很多特殊場景中,同樣需要身份證、社保卡等實體證件,還有很多登記更是使用紙筆記錄。這些存在說明,我們的數字化程度還是需要提升,直到數字化終端可以解決身份識別和隱私數據授權的時候,個人隱私數據的保護體系才算是完善了。
但是彆著急,2018年微信已經推出了數字身份證,支付寶也有了相應的功能。更高程度的數據化生活正在奔過來,未來的好壞暫且不去評價,但個人隱私數據的保護卻是不折不扣的好消息。
如果這都無法滿足你的期待,那麼你可以去了解愛沙尼亞的E-resident計劃,申請成為E-Residency數字公民,加入一個面向未來的數字國家龐大國家項目,親身感受一下完全數據化的環境中如何真正做到“懂你,不知道你”的。