我的隐私，你的数据？

爱因思念l5j0t8 2018-09-22

展开全文

小线菌

问：谁能救救孩子……的隐私？用户、企业，还是法律？

答题的过程，才刚刚开始。

谁动了我的数据

半年前，4月10日。Facebook创始人扎克伯格现身美国国会参议院听证会，就八千万用户数据泄露给“剑桥分析”事件道歉并接受质疑。

半年后，9月26日。同样的地点，不同的当事人。谷歌、苹果、亚马逊等互联网公司将出席参议院听证会，解答其用户数据隐私措施，以及如何应对欧盟的GDPR数据保护法案。

这当然不是数据隐私问题第一次受到公开关注，也不会是最后一次——

中国互联网协会发布的报告显示，2016年我国平均每人每周接受垃圾短信20.6条、骚扰电话21.3个，而这个数字还在不断增加。

这些联系方式是从哪来的？

渠道太多了。售价2个比特币的顺丰3亿物流数据，售价8个比特币的华住5亿条身份信息和开房记录，遭黑客攻击流出的1.5亿 Under Armour用户饮食数据，当然还有Facebook的用户数据。据Identity Theft Resource Center报告显示，截止2017年11月，数据泄露事件数量增加到1202起，这比2016年全年的1093起多出了10%。以及，我们无法确定，公之于众的数据泄露事件是否还只是行业里的冰山一角。

持续的隐私泄露带来的骚扰、身份认证、财产安全等问题，正在消磨掉用户的耐心，不断触动用户特别是国内用户本来不那么敏感的神经[1]。

流水的公司，铁打的隐私。我们在享受互联网服务的同时，服务的提供者也在享受我们的数据，并将其用在你可能无法接受的地方。

我们正成为数据隐私的潜在“受害人”。

拿什么保护我的隐私

收集用户数据--分析用户行为--更新产品内容--精准提供服务，这是互联网公司收集用户数据后的主要用途，也是正当的用途——前提是，在用户审阅并同意该公司的隐私条款后。

这里问题出在，同意隐私条款的用户中，绝大部分都不会审阅这些条款。

“快节奏的生活嘛，连读产品说明书的时间都欠奉，何况是枯燥无聊的条款呢？”

“公司的事，我们用户操什么心？”

“而且，我如果不同意条款，是不是就没法使用这款产品了？”

种种原因的驱使下，用户最终把自己的信息使用权，交到了公司的手上。经过公司的收集和整理，一条条的用户数据保存在了公司的数据库中。等待它们的，是被分析，或者被交易、被泄露的命运。

差分隐私 & more

那从公司的角度来讲，有没有什么方法是能够获取可供分析的数据，而又不至于泄露个人隐私的呢？

方法自然是有的。除了增强数据保护意识、数据处理流程合规化这些公司层面上的举措外，从技术的角度看，数据加密 [Encryption] 和差分隐私 [Differential Privacy] 都是行之有效的方法。

以苹果公司2016年的提出差分隐私为例：在查询整体数据的时候，给查询结果里增加一定的随机性，使得查询结果不是每次都相同。这样数据足够大的情况下，单个个体对总体的查询数据几乎不会产生影响。

举个例子，我们查到一万位同学的平均分数是100分，这时候新加入一位同学，又查到新的平均分变为了100.01分，那么很容易得知新加入同学的分数约为200分。但应用差分隐私后，每次查询的平均分都会有一定的随机性，例如加入前的分数大概率在100.1-99.9间徘徊，加入后查到分数的概率分布也几乎没有改变，这样就很难得知新加入同学的分数了。

——然而差分隐私听起来挺美妙，但现实应用起来还是存在许多困难。最直接的困难就是，在查询结果中加入的随机性越多，查询的误差就越大，信息的有效性就越小。这也是截至目前，差分隐私的应用仅局限在苹果等少数公司中的原因。

毕竟，对大部分公司来说，“Who cares? 我能直接获得你的数据，何必花心思给自己找麻烦？”

谁在意？

如果用户不在意，公司不在意，那还有谁在意？

法律需要在意。

2018年5月，欧盟的《通用数据保护条例》（GDPR）正式生效。这款号称史上最严的个人数据保护条例，对欧盟国家用户的查询权、被遗忘权、数据移植权等方面都做出了严格的规定：任何企业未经信息主体许可的收集、处理信息行为，都可能被处罚最高2000万欧元或营收4%的罚款；按Facebook去年400亿美元的营收计算，这就是16亿美金。