对互联网隐私的一些想法
人们都对个人隐私比较在乎,但是对个人互联网隐私比较忽视。
前些年还流行一句话:在互联网上,没人知道你是一条狗,还有那幅经典的狗在屏幕前的画。
这句话旨在强调 “用户能够在互联网上以一种不透漏个人信息的方式发送和接收信息”。但是很多人却理解为:在互联网上很难留下踪迹,没人知道狗是我,或者我是狗。
只要在网络上行动,就一定会留下痕迹。只是痕迹留下的多少,以及持有痕迹的一方愿不愿意向外透露而已。
说网络是虚拟的,是从产品形态上来描述的。但网络本身并不是虚拟的,每一个网页、消息、短视频,都是要通过数据包进行电信号传输的,是真实存在的实体。
因为数据包是实体的,所以在互联网行走,一定会有痕迹。
这些痕迹算不算隐私,标准就是:用户愿不愿意把自己使用的痕迹向外公开,比如直播或者开源的形式,展示自己的互联网动线。
如果不愿意,那么这些痕迹,就算用户个人隐私。至于个人隐私范围,就不太固定。从内部来说可能对亲人公开对朋友不公开,从外部来说国家层面可能强制获取这份隐私。
1 | 《中华人民共和国刑法》的相关规定: 第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 |
从国家层面《网络安全法》来认定,互联网用户数据,属于个人隐私 / 私人资料,并且这份数据对于公安和安全部门是无条件公开。
人们之所以对网络隐私忽视,主要原因是:因为看不见网络,所以不知道网络里有什么,或者网络里有自己的哪些隐私。
国人大多都没有信仰,而我是一名基督徒。所以我能够理解那种情绪,即没见过 God,说圣经是 God 的教义,那 God 在哪?网络隐私也是这样。
如果在公共场所有一张纸,写了张三几时几分访问了什么网站。为了证明张三就是张三,还贴了张三的银行卡号和身份证号。
那我们就知道,这样做是不对的。因为此时的张三,可能有一天会变成自己。
但是在互联网,一小时前访问了什么网站,浏览了多少在线店铺,连自己都忘了。也没见着那张记录这些信息的纸,所以就不在乎了。没见过上帝,还需要祷告吗?
真实情况是,互联网上的隐私,比生活中隐私多得多。最直观的,昨天访问了什么网站,我们自己都忘记了这份隐私,但是这份数据在各个互联网上下游的磁盘中存储着。
除了网站,还有账号及密码、家庭住址、个人身份信息、个人体征信息、出行信息等等。这些平时不在乎的隐私,其实在各个互联网上下游中都有备份。
比如数据采集工作。对于公司来说就是希望尽可能的采集足够的软件使用数据。如果是单纯的软件使用数据,那么这份数据的归属我认为还是属于公司。
但是如果软件使用数据和用户有 1-1 绑定,那么这份数据还应该属于公司吗?国内每个软件的使用条款里面,都有对此的说明,大概意思就是说,解释权还是归公司所有的。
苹果公司对于系统数据日志的采集,使用了一种 “差分隐私” 的技术方案,即收集到的特征数据不能反向推出个体,用这种技术方案还是挺文明的。
但是对于大量的公司,还是强调用户和日志 1-1 绑定的,甚至国家层面也会推出 caid 这种跨应用设备绑定方案,用于用户广告服务和换端等场景。
公司对外肯定不能有主动的日志泄漏,但是对内的权限控制还是有限的。因为数据就在那,很多业务或者问题也都需要这些数据,对内权限肯定有一些约束,但无法避免。
当前的互联网,隐私外泄非常严重。
大约一年前,telegram 上还有一个社工库,可以通过身份证 / 手机号等信息,查到各大平台的账号密码。
我试了一下,100% 还原。我查到了自己的,也查到了别人的。
这些从各种途径被泄漏的数据,包括账号及密码、酒店入住、身份证号手机号、购物记录、点餐记录等。
泄漏途径有大有小,国内外都有。比如 CSDN 600W 账号和明文密码泄漏、万豪酒店 N 亿条入住信息泄漏、上海公安 N 亿居民资料泄漏 (未证实)。
曾经我捡到一个身份证,我还希望找到这个人的手机号,好打电话返还给人家。查到少量信息,但没找到手机号,嫌麻烦,给送到了警察局。
幸好没有查到,后知后觉惊了一身汗。
互联网隐私,很多人不在乎,当作免费使用一些服务的资源互换。
其实应该在乎,因为免费使用一些服务,这是服务自身的规则。隐私和服务本身,在不同的维度,需要分开来对待。
比如一种场景:用户需要身份认证才能继续进行服务。那么,用户身份认证完毕后,就可以标记当前用户已完成认证,还有必要对用户的认证信息进行存储吗?没必要。即使为了后期回溯,那么也可以对认证过程进行脱敏存储。
互联网隐私和线下的生活隐私有一点不同。线下用户可以关了门再脱裤子,线上用户就不能管控自己的隐私,文明还需要提供服务的一方来坚守。
这里最大的检察方,应该是国家。一来国家不能自己做的不对,二来国家还需要对大小企业进行法律约束。
隐私,就应该是隐私。隐私,不应该被存储。因为不存在不透风的互联网黑盒。有人的地方,就有泄漏。
其实,写下此文的心情是沉重的。
仅以此文,致敬【编程随想】。