我们在手机上的每一次的点击、滑动、下拉,都可能是我们最私密的行为。
手机已经不仅仅是帮助我们管理一天的工具,它同样是复杂的的监视设备,我们每天自愿地和它交互,而我们默认这一切是私密的。前谷歌员工Seth Stephens-Daviaowitz在新书EverybodyLies:Big Data, New Data, and What theInternet Can Tell Us About Who We Really Are中写道:“我们问谷歌的问题,可能比我们问爱人的更加诚实。”
把这些数据收集起来,再加上其他设备的数据,比如数字电视、运动检测设备、浏览器历史——这些设备都监测着我们行为习惯,它们一天产生的数据可以多达2.5百万亿字节。
而有时候,不同的网站、研究者和广告商会将彼此的数据汇总、分散或者统一整理。比如,Acxion就声称自己的数据库里有5亿人的数据,每个人有1500个数据点,涵盖了大多数的美国成年人。就在刚过去的几个月里,脸书被报道曾经问医院索取数据,包括斯坦福医学院,想要共享和汇总患者的医疗数据。在今年4月,同性约会APP Grindr被曝出曾将用户的艾滋病状况分享给两个APP优化公司。再说,谁又能想得到仅仅完成一个性格测试,就能助力川普总统竞选的广告呢?
简短来说,我们和电子设备的亲密关系可不是类似一夫一妻制的。对于一个在乎隐私的公民来说,在互联网连接的21世纪,我们想要或者还能够做什么呢?本期全媒派编译Engadget网站的专栏文章,为你解读“后GDPR时代”,数据隐私保护新趋势。
数据隐私就是个缺乏公正裁决的童话
GDPR(通用数据保护条例)被认为是最负责任的隐私保护法,在今年的5月25日在欧洲正式生效。我们觉得,这是个好时候谈谈GDPR带来的改变,或者……它没有带来的。
GDPR规定的用户主要权利包括:获取个人数据、涉及居民日常生活的算法解释、数据的移动和删除。在生效的这半年里,GDPR可以说影响了每一个在欧洲运营的企业,不少领头的企业甚至花费数百万美元变更自己的隐私保护标准,甚至在欧洲之外的地区也实现了标准化。
9个世界各地的Engadget记者向超过30家科技企业提出了索取数据的请求,从社交媒体网站到约会APP,还有网络音乐播放服务。我们在5月25日,GDPR实施前和之后,都提出了数据索取的请求,想看看GDPR到底带来了哪些变化。
其实,欧洲从1995年开始就有关于数据保护的官方指示,但是研究显示,这些权利并没有得到保障。GDPR则是在2016年就出台了,但从今年的5月才开始正式生效,从名不见经传的小公司到占据全球收入4%的公司,都受到了影响。
实话说,数据隐私就是个缺乏公正裁决的童话。
比如说,导致大量用户信息泄漏的个人信用评估机构Equifax,被黑客攻击后还在运营中,用户甚至不能将自己的数据进行转移。在英国,脸书因为Cambridge Analytical丑闻被罚了50万镑,这是当时法律规定的最高的罚款额,但这仅仅只是相当脸书每5分30秒赚到的钱而已。
如果相同的事情今天又发生了,脸书可能面临上十亿美元的罚金。大约1000家美国的新闻网站不能在欧洲访问,包括《洛杉矶时报》和《芝加哥论坛报》,而根据最近德勤发布的报告称,大约只有1/3的机构符合欧洲隐私保护条例。
“从数据索取的结果,可以窥见一个组织的灵魂。”Hadi Asghari说道,他是荷兰代尔夫特理工大学的助理教授。他的研究显示,只有极少数欧洲的数据获取条例被遵守了。我们的发现也有同样的结果,不过我们也发现,一些公司确实遵守了GDPR。个人的信息相当于这些大公司运转的能源,所以,对于信息的控制权必有一战。
心理上重视,战术上忽略:数据保护的悖论
对于平常的用户来说,隐私保护协议很难懂,也很无聊。
但是,隐私保护条例是理解数据相关权利的支柱,但这些条例充满着专业法律用语,用超级长的句子描绘着数据保护,其实这些公司本身可能都不一定了解。卡内基梅隆大学有一项进行了10年的研究表示,如果要读完每一个遇到的隐私条例,要花费76个工作日。所以不读其实是肯定的,完全理解肯定是不可能的。
这就涉及到了学术界讨论的数据保护悖论。当做问卷调查的时候,人们都说自己非常关心隐私保护,但是现实中,他们还是会选择放弃自己的数据,或者是给出朋友的电子邮件去换取一些小恩小惠,比如披萨。
在索取数据的过程中,我们收到了各种各样的数据格式,比如邮件、excel表格,需要下载数据读取工具的格式。除了数据本身再进一步地问,我们拿到的数据是可以理解的吗?甚至,对于我们来说,那些数据是有意义的吗?
Netflix把词汇表整理成了一个PDF文件。Spotify则是通过一个在线下载的方式提供了数据。一个英国的记者收到了101 份JSON文件,另一个收到了90份。而JSON格式是用电脑读取的,而且文件名字也无法读懂。客服也没有对这些文件的名字给出解释,他们说,如果我们想知道,可以问具体文件的意思,但是他们没有词汇表。另一个美国记者对Spotify提出了一模一样的请求,只收到了7份文件,包括支付方式、播放列表和关注者名单。他们表示全球的系统没有区别,如果用户想要索取另外的文件,可以联系客服。但这个问题的难点是,如果你不知道一个文件是不是存在,你该怎么要呢?
但至少,他们都提供了一些数据。约会APP Bumble仅仅给了一个英国记者基本信息、他自己上传照片的IP地址和登陆次数。美国记者的请求,直到12周之后才得到回复。
另一个通常的做法是,公司会提供他们的隐私条例,但不会提供我们索取的数据。比如Snapchat,列出了他们的隐私保护条例,说“可能”从子公司或者第三方手中获取数据,并提供了一个第三方的名单。Tinder说他们“可能”收到来自合作伙伴的信息,但没说具体是谁。
The Article 29 Working Party是一群由欧洲代表和数据专家组成的团队,他们提出“类似‘可能’、‘也许’、‘一些’等这样的语言应该避免”。从法律上来讲,GDPR要求沟通要以“简洁、透明、易理解的方式,使用清楚和直白的语言”,这明显与我们收到的回复不一致。
研究也显示出了相同的结果,欧洲消费者协会和佛罗伦萨欧洲大学学院的研究表示,1/3的条例存在问题,或者提供的信息不完整。
“你手上有钱,但你不知道自己支付的价格”
理解数据被使用的关键在于看它们如何被分析,但不出意外的是,大部分公司对此闭口不谈。在索取数据的过程中,Netflix没说为什么我们会被推荐某些电影。Instagram也没说,我们看到的内容是根据时间、用户和其他内容的互动,还有用户对某些内容的喜好程度排序的。Tinder则声称,不能透露任何和喜好排序相关的内容,因为可能会涉及到知识产权的问题。
Frederike Kaltheuner是一个在伦敦的数据隐私保护专家,他说有三种类型的数据:第一种是我们提供的,第二种是被监测记录的,第三种是被模型化的或者用其他数据预测得到的,比如说一个人的吸引力和可信度。
Kaltheuner说:“很多机构觉得被模型处理过的数据不算是个人数据,其中最大的误解是,我们只能想到那些我们提供的数据,公司也往往仅谈论这些。”
这就是为什么Cambridge Analytica的丑闻让人们愤怒。我们知道那些公司在收集数据,但我们不知道的是,数据是如何被处理的,然后又对我们的生活产生了什么样的影响。
当我们索取数据的时候,得到的仅仅是那些我们给出去的数据,比如个人信息。我们可能觉得自己在用数据交换服务,比如说输入地址到谷歌地图,然后得到路线图,但具体数据会如何被处理是更复杂的,比如记录我们的位置,然后计算出剧院是否忙碌或者某条路不应该走。脸书还研究如何影响人们的情绪,以及如何判断人们是不是处在心理脆弱的时候。简单来说,数据是货币,但我们不知道自己付出的价格。
关于索取数据时的身份审核,也没有统一的程序。
Bumble索取驾照、护照、出生证或者银行账单确认身份;Spotify要求提供注册信用卡的后4位,并强调了不要说出全部的信用卡号码。推特、谷歌和领英则没有要额外的信息,因为我们已经登陆进了我们的账号。这就又出现一个问题,我们的账号有多容易被攻击?如果有人登录进了账号,公司就会把所有的数据给他么?
最小化数据收集是根本的做法
Jeewon Kim Serrato是法律公司Norton Rose Fulbright美国地区的数据保护、隐私和网络安全高管,他说:“最重要的是,不要收集那些不必要的数据。比如,如果不从事驾照或者护照照片的业务,就不要收集这些信息。最小化数据收集是根本。”
这样的想法完全颠覆了数据收集的思维。一直以来的声音都是尽可能多地收集数据,即使不知道未来会如何使用这些数据。Serrato同样提出“数据存储是越来越便宜了,但数据删除却比永久保存的花费更多。”GDPR的出现可能改变这样的现状,因为如果你不知道你要拿这些数据做什么,那处理数据的花费会非常大。
法律公司Hogan Lovells的Cohen说:“确实有很多公司还在等,但我觉得主要是因为符合标准的花费太大了。那些认为自己是GDPR首要规范目标的公司正在尽全力去遵守。”
专家认为法律制定者首先瞄准的是那些科技巨头,特别是面向消费者的,比如社交网络、移动APP、健康医疗、广告业务、自动驾驶,还有把孩子作为主要消费者的公司。
英国、冰岛和法国的数据规范者都说,GDPR生效之后,抱怨数据侵权的人更多了。加州最近通过了一个数字隐私法案,将在2020年1月实施,这被看作是美国在数据保护上的重要一步,毕竟在此之前都没有相对完善的法律。
同时,对于违法者,严惩也在进行。
Giovanni Buttarelli是欧盟数据保护的监护人,他说:“惩罚是普遍的,我们希望未来没有违法者。公众会在年底看到第一批的惩罚结果。”
所有的眼睛都在盯着那些违反GDPR的科技巨头们,残酷一点说,也在看着他们会受到的惩罚。这对于GDPR而言也是一场检验,看它是否能真的在数据争夺战中立足。
领取专属 10元无门槛券
私享最新 技术干货