摘要: 失控!大数据时代,我们的隐私如此廉价?
我们正肆意挥霍着自己的隐私。
手机应用、网站悄然埋下了获取隐私的陷阱,我们却主动将隐私数据送上门;我们享受着各色App便捷的“一键式服务”,却忽视了天下本就没有免费的午餐,所有便利都是以数据隐私为交换。大数据时代,我们的隐私正变得越来越廉价。
失控!现实与网络交迭后,隐私变得廉价
如果将时间翻回到年前,我们或许并不曾想过互联网会承载如此多生活功能,衣食住行越来越多的功能被移植到互联网当中,现实与网络间的隔阂正在逐渐缩小并趋于统一。
但是,我们始终不曾拥有属于自己的线上身份,即便是那些存储在App、网站中的个人隐私信息,他们往往都属于企业,表面上我们拥有这些数据的所有权,但实际上我们却丝毫无法利用这些数据。互联网与现实的重叠给予我们生活中的便利,却也增加了无数个隐私暴露的风险,甚至在不经意间我们自己便“出售”了隐私。
谈及隐私问题,我们首先需要明确什么是隐私?从法理角度来讲,隐私是已经发生了的符合道德规范和正当的而又不能或不愿示人事或物、情感活动等;而在科学研究上普遍接受的定义是“单个用户的某一些属性”,只要符合这一定义都可以被看做是隐私。
如果我们把上述提到的关键内容结合在一起,便不难发现私人账号和密码,浏览记录、聊天记录甚至购物记录都是隐私范畴之内;但是也要注意“隐私”更加强调的是“单个用户”,一群用户的某一些属性,可以认为不是隐私。比如,北京地区-岁青年购买电子产品频率最高,这一数据便不应属于隐私范畴;只有精确到这类数据中“某个人”时候,才能够算作隐私数据。
隐私数据之所以重要,不光因为其对数据属主有特殊价值,反映了属主独有的身份或其他敏感信息,更是因为这些数据能够被区块链信任交换网络、人工智能深度分析理解。如果能够合法合规发掘数据中的价值,规避其中的风险,就有可能引发信息化产业新一轮爆发式增长,甚至推动人类社会提前进入后信息时代。
不过我们也需要注意,伴随着个人隐私意识的觉醒,隐私数据的获取难度正在不断增加,如果使用某一产品会面临超出预期的隐私风险,理性的用户很可能会选择利用假数据或者选择可替换的同类产品,这也就意味着想要利用好隐私数据,必须权衡个人、企业之间的利益诉求。因此,发展隐私保护技术正是平衡价值收益与隐私风险的关键。
控制!技术和监管双管齐下,重拾隐私价值
隐私保护技术并不仅仅涉及数据使用一项,而是涉及用户数据整个生命周期,包括数据收集、存储、披露、使用等等,因此隐私保护解决方案也必须能够满足业务多样化的需求,尽量覆盖足够多的应用场景。
如果我们以结果为导向,隐私保护技术大致需要具备以下几方面的功能。
一是可以增强信息透明度,保证数据所有者能更容易了解哪些数据会被收集,以及会被如何使用等,更好地评估自身风险;值得注意的是,企业不是保护数据隐私的良好主体,因此,需要规避掉企业可以瞒报数据使用的风险,要让使用隐私数据的企业“说真话”。目前由区块链构建的多方信任网络是个不错的选择,凭借着区块链网络不可篡改、可溯源的特性,数据滥用情况将得到遏制,这无疑能够为增强数据透明度提供极大的助力。
二是增加信息隐匿性,对关键隐私数据进行加密处理。这一手段的最大意义是,保证用户即便分享了敏感信息,也无法归因到个人,以此来提升用户分享真实数据的意愿,减少因信息过于敏感导致用户给出假数据而造成的潜在损失。目前,在传统的数据脱敏、匿名算法、差分隐私三项手段外,又基于密码学涌现出同台验证、安全多方计算、零知识证明等多种新型方案,以适应大数据时代的隐私计算需求。
三是增强数据可控性,确保隐私数据只能以“已授权”的方式使用,其他情况下,数据一概无法使用。区块链和智能合约功能是个不错的解决方案,依托智能合约技术完成数据供需双方间的交易,最大程度减少了人为干预的可能性,任何未经授权的数据使用行为都无法得到验证,无疑能够优化数据交易环节。
如果我们以方法为导向,企业作为数据的收集者、控制者,显然难以完全解决数据隐私问题,数据隐私保护还需要法律监管、用户认知双个方面来加以完善。
首先,要从法律监管层面保障数据隐私。
在国外,以欧盟《通用数据保护方案》(简称GDPR)为代表,世界各国政府对于隐私的立法保护不断细化,惩罚力度大大加强,这也就是Facebook用户信息泄露引发参众两院频繁召开听证会的原因之一;在国内,以《中华人民共和国网络安全法》、《信息安全技术 个人信息安全规范》、《个人金融信息保护技术规范》为代表的现有法律框架内,对于侵犯隐私的不法行为管理也越发严格。
尤其在月日,年新版国家标准《信息安全技术个人信息安全规范》正式发布,对个人信息收集、储存、使用做出了明确规定,并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力,同时解决了反映强烈的APP“强制索权、捆绑授权、过度索权、超范围收集”的问题。
目前,隐私数据保护方面的法律法规往往都是从数据全生命周期入手,覆盖数据采集、存储、流通、应用等环节,思考如何有效地防泄露、防窃取、防篡改、防滥用,不过随着大数据产业不断发展,数据种类也将不断细分,届时还需要更细粒度的监管保护,甚至将精神伤害、名誉损失、商业歧视等也加入到隐私立法保护的范畴中。
其次,则是要消除用户对隐私保护的误解。
一是确保用户对数据的知情权。随着公众隐私保护隐私觉醒,很容易陷入到对隐私数据“过于保护”的心态里,这时候就需要企业从用户角度重新培养用户感知,让客户了解当前业务会收集哪些隐私数据、为什么需要这些数据、将会如何使用这些数据、将以什么方式保存这些数据、保存期多久等隐私数据流通生命周期的细节,建立起隐私所有者和使用者之间相互信任的基础。
二是确保用户对数据的控制权。允许客户选择哪些隐私数据会被业务系统所收集,并在初始选择之后,允许对未来的数据收集选择进行调整。对于客户不愿意分享的隐私数据,在数据收集控制机制的作用下,无法以未授权的方式进入业务系统,以此营造客户的心理安全感。
不可否认,我们正处在数据隐私由失控转向控制的时间节点中,隐私保护技术也正趋于完善,并尝试迈向新的高度,这期间有着太多变数和不确定因素,唯独不变的是,我们的隐私数据正在重新找回他的价值。