陸英

我們?cè)谑謾C(jī)上的每一次的點(diǎn)擊、滑動(dòng)與下拉，都可能是最私密的行為。

手機(jī)已經(jīng)不僅僅是幫助我們管理一天的工具，它同樣是復(fù)雜的的監(jiān)視設(shè)備，我們每天自愿地和它交互，而我們默認(rèn)這一切是私密的。前谷歌員工Seth Stephens-Daviaowitz在新書(shū)《Everybody Lies：Big Data， New Data， and What the Internet Can Tell Us About Who We Really Are》中寫(xiě)道：“我們問(wèn)谷歌的問(wèn)題，可能比我們問(wèn)愛(ài)人的更加誠(chéng)實(shí)?！?/p>

把這些數(shù)據(jù)收集起來(lái)，再加上其他設(shè)備的數(shù)據(jù)，如數(shù)字電視、運(yùn)動(dòng)檢測(cè)設(shè)備以及瀏覽器歷史等這些設(shè)備都監(jiān)測(cè)著我們的行為習(xí)慣，它們一天產(chǎn)生的數(shù)據(jù)可以多達(dá)2.5百萬(wàn)億字節(jié)。

而有時(shí)候，不同的網(wǎng)站、研究者和廣告商會(huì)將彼此的數(shù)據(jù)匯總、分散或者統(tǒng)一整理。比如，Acxion就聲稱(chēng)自己的數(shù)據(jù)庫(kù)里有5億人的數(shù)據(jù)，每個(gè)人有1 500個(gè)數(shù)據(jù)點(diǎn)，涵蓋了大多數(shù)的美國(guó)成年人。就在剛過(guò)去的幾個(gè)月里，臉書(shū)被報(bào)道曾經(jīng)向醫(yī)院索取數(shù)據(jù)，包括斯坦福醫(yī)學(xué)院，想要共享和匯總患者的醫(yī)療數(shù)據(jù)。在2018年4月，同性約會(huì)APP Grindr被曝出曾將用戶(hù)的艾滋病狀況分享給兩個(gè)APP優(yōu)化公司。甚至，誰(shuí)又能想到僅僅完成一個(gè)性格測(cè)試，就能助力川普總統(tǒng)競(jìng)選的廣告呢？

簡(jiǎn)短來(lái)說(shuō)，我們和電子設(shè)備的親密關(guān)系非常不一般，對(duì)于一個(gè)在乎隱私的公民來(lái)說(shuō)，在互聯(lián)網(wǎng)連接的21世紀(jì)，我們想要或者還能夠做什么呢？

數(shù)據(jù)隱私就是個(gè)缺乏公正裁決的童話(huà)

《通用數(shù)據(jù)保護(hù)條例（GDPR）》被認(rèn)為是最負(fù)責(zé)任的隱私保護(hù)法，2018年5月25日在歐洲正式生效，我們覺(jué)得是時(shí)候談?wù)凣DPR帶來(lái)的改變，或者……它沒(méi)有帶來(lái)的是什么了。

GDPR規(guī)定用戶(hù)主要權(quán)利包括：獲取個(gè)人數(shù)據(jù)、涉及居民日常生活的算法解釋、數(shù)據(jù)的移動(dòng)和刪除。在生效的這半年里，GDPR可以說(shuō)影響了每一個(gè)在歐洲運(yùn)營(yíng)的企業(yè)，不少領(lǐng)頭的企業(yè)甚至花費(fèi)數(shù)百萬(wàn)美元變更自己的隱私保護(hù)標(biāo)準(zhǔn)，包括在歐洲之外的一些地區(qū)也實(shí)現(xiàn)了標(biāo)準(zhǔn)化。

9個(gè)世界各地的Engadget記者向超過(guò)30家科技企業(yè)提出了索取數(shù)據(jù)的請(qǐng)求，從社交媒體網(wǎng)站到約會(huì)APP，還有網(wǎng)絡(luò)音樂(lè)播放服務(wù)。在5月25日GDPR實(shí)施前和之后，分別提出了數(shù)據(jù)索取的請(qǐng)求，想看看GDPR到底帶來(lái)了哪些變化。

其實(shí)，歐洲從1995年開(kāi)始就有關(guān)于數(shù)據(jù)保護(hù)的官方指示，但是研究顯示，這些權(quán)利并沒(méi)有得到保障。GDPR則是在 2016年就出臺(tái)了，但從2018年的5月才開(kāi)始正式生效，從名不見(jiàn)經(jīng)傳的小公司到占據(jù)全球收入4 %的公司，都受到了它的影響。

實(shí)話(huà)說(shuō)，數(shù)據(jù)隱私就是個(gè)缺乏公正裁決的童話(huà)。比如說(shuō)，導(dǎo)致大量用戶(hù)信息泄漏的個(gè)人信用評(píng)估機(jī)構(gòu)Equifax，被黑客攻擊后還在運(yùn)營(yíng)，用戶(hù)甚至不能將自己的數(shù)據(jù)進(jìn)行轉(zhuǎn)移。在英國(guó)，臉書(shū)因?yàn)镃ambridge Analytical丑聞被罰了50萬(wàn)鎊，這是當(dāng)時(shí)法律規(guī)定的最高的罰款額，但這僅僅只是相當(dāng)于臉書(shū)每5分30秒賺到的錢(qián)而已。

如果相同的事情今天又發(fā)生了，臉書(shū)可能面臨高達(dá)十億美元的罰金。大約1 000家美國(guó)的新聞網(wǎng)站不能在歐洲訪問(wèn)，包括《洛杉磯時(shí)報(bào)》和《芝加哥論壇報(bào)》，而根據(jù)最近德勤發(fā)布的報(bào)告稱(chēng)，大約只有1/3的機(jī)構(gòu)符合歐洲隱私保護(hù)條例。

“從數(shù)據(jù)索取的結(jié)果，可以窺見(jiàn)一個(gè)組織的靈魂。”Hadi Asghari說(shuō)道，他是荷蘭代爾夫特理工大學(xué)的助理教授，他的研究顯示，只有極少數(shù)歐洲的數(shù)據(jù)獲取條例被遵守了。不過(guò)一些公司確實(shí)遵守了GDPR，個(gè)人的信息相當(dāng)于這些大公司運(yùn)轉(zhuǎn)的能源，所以，對(duì)于信息的控制權(quán)必有一戰(zhàn)。

心理上重視，戰(zhàn)術(shù)上忽略：數(shù)據(jù)保護(hù)的悖論

對(duì)于平常的用戶(hù)來(lái)說(shuō)，隱私保護(hù)協(xié)議很難懂，也很無(wú)聊。但是，隱私保護(hù)條例是理解數(shù)據(jù)相關(guān)權(quán)利的支柱，不過(guò)這些條例充滿(mǎn)著專(zhuān)業(yè)法律用語(yǔ)，用超級(jí)長(zhǎng)的句子描繪著數(shù)據(jù)保護(hù)，其實(shí)這些公司本身可能都不一定了解?？▋?nèi)基梅隆大學(xué)有一項(xiàng)進(jìn)行了10年的研究表示，如果要讀完每一個(gè)遇到的隱私條例，要花費(fèi)76個(gè)工作日。所以不讀其實(shí)是肯定的，完全理解肯定是不可能的。

這就涉及到了學(xué)術(shù)界討論的數(shù)據(jù)保護(hù)悖論。當(dāng)做問(wèn)卷調(diào)查的時(shí)候，人們都說(shuō)自己非常關(guān)心隱私保護(hù)，但是現(xiàn)實(shí)中他們還是會(huì)選擇放棄自己的數(shù)據(jù)，或者是給出朋友的電子郵件去換取一些小恩小惠，比如披薩。

在索取數(shù)據(jù)的過(guò)程中，我們收到了各種各樣的數(shù)據(jù)格式，比如郵件、Excel表格。除了數(shù)據(jù)本身再進(jìn)一步地問(wèn)，我們拿到的數(shù)據(jù)是可以理解的嗎？甚至，對(duì)于我們來(lái)說(shuō)，那些數(shù)據(jù)是有意義的嗎？

Netflix把詞匯表整理成了一個(gè)PDF文件。Spotify則是通過(guò)一個(gè)在線下載的方式提供了數(shù)據(jù)。一個(gè)英國(guó)的記者收到了101份JSON文件，另一個(gè)收到了90份。而JSON格式是用電腦讀取的，而且文件名字也無(wú)法讀懂?？头矝](méi)有對(duì)這些文件的名字給出解釋?zhuān)麄冋f(shuō)如果想知道，可以問(wèn)具體文件的意思，但是他們沒(méi)有詞匯表。另一個(gè)美國(guó)記者對(duì)Spotify提出了一模一樣的請(qǐng)求，只收到了7份文件，包括支付方式、播放列表和關(guān)注者名單。他們表示全球的系統(tǒng)沒(méi)有區(qū)別，如果用戶(hù)想要索取另外的文件，可以聯(lián)系客服，但這個(gè)問(wèn)題的難點(diǎn)是，如果不知道一個(gè)文件是不是存在，該怎么要呢？

但至少他們都提供了一些數(shù)據(jù)，約會(huì)APP Bumble僅僅給了一個(gè)英國(guó)記者基本信息、他自己上傳照片的IP地址和登陸次數(shù)，美國(guó)記者的請(qǐng)求，直到12周之后才得到回復(fù)。

另一個(gè)通常的做法是，公司會(huì)提供他們的隱私條例，但不會(huì)提供索取的數(shù)據(jù)。比如Snapchat，列出了他們的隱私保護(hù)條例，說(shuō)“可能”從子公司或者第三方手中獲取數(shù)據(jù)，并提供了一個(gè)第三方的名單。Tinder說(shuō)他們“可能”收到來(lái)自合作伙伴的信息，但沒(méi)說(shuō)具體是誰(shuí)。

The Article 29 Working Party是一群由歐洲代表和數(shù)據(jù)專(zhuān)家組成的團(tuán)隊(duì)，他們提出“類(lèi)似‘可能‘也許‘一些等這樣的語(yǔ)言應(yīng)該避免”。從法律上來(lái)講，GDPR要求溝通要以“簡(jiǎn)潔、透明、易理解的方式，使用清楚和直白的語(yǔ)言”，這明顯與收到的回復(fù)不一致。

研究也顯示出了相同的結(jié)果，歐洲消費(fèi)者協(xié)會(huì)和佛羅倫薩歐洲大學(xué)學(xué)院的研究表示，1/3的條例存在問(wèn)題或者提供的信息不完整。

手上有錢(qián)，但不知道自己支付的價(jià)格

理解數(shù)據(jù)被使用的關(guān)鍵在于看它們?nèi)绾伪环治?，但大部分公司?duì)此閉口不談。在索取數(shù)據(jù)的過(guò)程中，Netflix沒(méi)說(shuō)為什么我們會(huì)被推薦某些電影；Instagram也沒(méi)說(shuō)，我們看到的內(nèi)容是根據(jù)時(shí)間、用戶(hù)和其他內(nèi)容的互動(dòng)，還有用戶(hù)對(duì)某些內(nèi)容的喜好程度排序的；Tinder則聲稱(chēng)，不能透露任何和喜好排序相關(guān)的內(nèi)容，因?yàn)榭赡軙?huì)涉及到知識(shí)產(chǎn)權(quán)的問(wèn)題。

Frederike Kaltheuner是一個(gè)在倫敦的數(shù)據(jù)隱私保護(hù)專(zhuān)家，他說(shuō)有三種類(lèi)型的數(shù)據(jù)：第一種是我們提供的，第二種是被監(jiān)測(cè)記錄的，第三種是被模型化的或者用其他數(shù)據(jù)預(yù)測(cè)得到的，比如說(shuō)一個(gè)人的吸引力和可信度。

Kaltheuner說(shuō)：“很多機(jī)構(gòu)覺(jué)得被模型處理過(guò)的數(shù)據(jù)不算是個(gè)人數(shù)據(jù)，其中最大的誤解是，我們只能想到那些我們提供的數(shù)據(jù)，公司也往往僅談?wù)撨@些。”

這就是為什么Cambridge Analytica的丑聞讓人們憤怒。我們知道那些公司在收集數(shù)據(jù)，但我們不知道的是，數(shù)據(jù)是如何被處理的，然后又會(huì)對(duì)我們的生活產(chǎn)生了什么樣的影響。

當(dāng)索取數(shù)據(jù)的時(shí)候，得到的僅僅是那些我們給出去的數(shù)據(jù)，比如個(gè)人信息。我們可能覺(jué)得自己在用數(shù)據(jù)交換服務(wù)，比如說(shuō)輸入地址到谷歌地圖，然后得到路線圖，但具體數(shù)據(jù)會(huì)如何被處理是很復(fù)雜的，比如記錄我們的位置，然后計(jì)算出劇院是否忙碌或者某條路不應(yīng)該走。臉書(shū)還研究如何影響人們的情緒，以及如何判斷人們是不是處在心理脆弱的時(shí)候。簡(jiǎn)單來(lái)說(shuō)，數(shù)據(jù)是貨幣，但我們不知道自己付出的價(jià)格。

關(guān)于索取數(shù)據(jù)時(shí)的身份審核，也沒(méi)有統(tǒng)一的程序。

Bumble索取駕照、護(hù)照、出生證或者銀行賬單確認(rèn)身份；Spotify要求提供注冊(cè)信用卡的后4位，并強(qiáng)調(diào)了不要說(shuō)出全部的信用卡號(hào)碼。推特、谷歌和領(lǐng)英則沒(méi)有要額外的信息，因?yàn)橐呀?jīng)登陸進(jìn)了賬號(hào)。這就又出現(xiàn)一個(gè)問(wèn)題，我們的賬號(hào)有多容易被攻擊？如果有人登錄進(jìn)了賬號(hào)，公司就會(huì)把所有的數(shù)據(jù)給他么？

最小化數(shù)據(jù)收集是根本的做法

Jeewon Kim Serrato是法律公司Norton Rose Fulbright美國(guó)地區(qū)的數(shù)據(jù)保護(hù)、隱私和網(wǎng)絡(luò)安全高管，他說(shuō)：“重要的是，不要收集那些不必要的數(shù)據(jù)。比如，如果不從事駕照或者護(hù)照照片的業(yè)務(wù)，就不要收集這些信息，最小化數(shù)據(jù)收集是根本。”

這樣的想法完全顛覆了數(shù)據(jù)收集的思維。一直以來(lái)的聲音都是盡可能多地收集數(shù)據(jù)，即使不知道未來(lái)會(huì)如何使用這些數(shù)據(jù)。Serrato同樣提出“數(shù)據(jù)存儲(chǔ)是越來(lái)越便宜了，但數(shù)據(jù)刪除卻比永久保存的花費(fèi)更多?！盙DPR的出現(xiàn)可能改變這樣的現(xiàn)狀，因?yàn)槿绻恢酪眠@些數(shù)據(jù)做什么，那處理數(shù)據(jù)的花費(fèi)會(huì)非常大。

法律公司Hogan Lovells的Cohen說(shuō)：“確實(shí)有很多公司還在等，但我覺(jué)得主要是因?yàn)榉蠘?biāo)準(zhǔn)的花費(fèi)太大了，那些認(rèn)為自己是GDPR首要規(guī)范目標(biāo)的公司正在盡全力去遵守?！?/p>

專(zhuān)家認(rèn)為法律制定者首先瞄準(zhǔn)的是那些科技巨頭，特別是面向消費(fèi)者的，比如社交網(wǎng)絡(luò)、移動(dòng)APP、健康醫(yī)療、廣告業(yè)務(wù)和自動(dòng)駕駛，還有把孩子作為主要消費(fèi)者的公司。

英國(guó)、冰島和法國(guó)的數(shù)據(jù)規(guī)范者都說(shuō)，GDPR生效之后，抱怨數(shù)據(jù)侵權(quán)的人更多了。加州最近通過(guò)了一個(gè)數(shù)字隱私法案，將在2020年1月實(shí)施，這被看作是美國(guó)在數(shù)據(jù)保護(hù)上的重要一步，畢竟在此之前都沒(méi)有相對(duì)完善的法律。

同時(shí)，對(duì)于違法者，嚴(yán)懲也在進(jìn)行

Giovanni Buttarelli是歐盟數(shù)據(jù)保護(hù)的監(jiān)護(hù)人，他說(shuō)：“懲罰是普遍的，公眾會(huì)在年底看到第一批的懲罰結(jié)果，我們希望未來(lái)沒(méi)有違法者。”

所有眼睛都在盯著那些違反GDPR的科技巨頭們，殘酷一點(diǎn)說(shuō)，也在看著他們會(huì)受到怎樣的懲罰，這對(duì)于GDPR而言也是一場(chǎng)檢驗(yàn)，看它是否能真的在數(shù)據(jù)爭(zhēng)奪戰(zhàn)的環(huán)境中立足。