谁在偷窥我们的隐私?
source link: http://www.ciotimes.com/InfoSecurity/160163.html?amp%3Butm_medium=referral
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
我们在手机上的每一次的点击、滑动、下拉,都可能是我们最私密的行为。
手机已经不仅仅是帮助我们管理一天的工具,它同样是复杂的的监视设备,我们每天自愿地和它交互,而我们默认这一切是私密的。前谷歌员工Seth Stephens-Daviaowitz在新书EverybodyLies:Big Data, New Data, and What theInternet Can Tell Us About Who We Really Are中写道:“ 我们问谷歌的问题,可能比我们问爱人的更加诚实 。”
把这些数据收集起来,再加上其他设备的数据,比如数字电视、运动检测设备、浏览器历史——这些设备都监测着我们行为习惯, 它们一天产生的数据可以多达2.5百万亿字节。
而有时候,不同的网站、研究者和广告商会将彼此的数据汇总、分散或者统一整理。比如,Acxion就声称自己的数据库里有5亿人的数据,每个人有1500个数据点,涵盖了大多数的美国成年人。就在刚过去的几个月里,脸书被报道曾经问医院索取数据,包括斯坦福医学院,想要共享和汇总患者的医疗数据。在今年4月,同性约会APP Grindr被曝出曾将用户的艾滋病状况分享给两个APP优化公司。再说,谁又能想得到仅仅完成一个性格测试,就能助力川普总统竞选的广告呢?
简短来说, 我们和电子设备的亲密关系可不是类似一夫一妻制的。 对于一个在乎隐私的公民来说,在互联网连接的21世纪,我们想要或者还能够做什么呢?
数据隐私就是个缺乏公正裁决的童话
GDPR (通用数据保护条例)被认为是最负责任的隐私保护法,在今年的5月25日在欧洲正式生效。我们觉得,这是个好时候谈谈GDPR带来的改变,或者……它没有带来的。
GDPR规定的用户主要权利包括:获取个人数据、涉及居民日常生活的算法解释、数据的移动和删除。在生效的这半年里, GDPR可以说影响了每一个在欧洲运营的企业,不少领头的企业甚至花费数百万美元变更自己的隐私保护标准,甚至在欧洲之外的地区也实现了标准化。
9个世界各地的Engadget记者向超过30家科技企业提出了索取数据的请求,从社交媒体网站到约会APP,还有网络音乐播放服务。我们在5月25日,GDPR实施前和之后,都提出了数据索取的请求,想看看GDPR到底带来了哪些变化。
其实,欧洲从1995年开始就有关于数据保护的官方指示,但是研究显示,这些权利并没有得到保障。GDPR则是在2016年就出台了,但从今年的5月才开始正式生效,从名不见经传的小公司到占据全球收入4%的公司,都受到了影响。
实话说,数据隐私就是个缺乏公正裁决的童话。
比如说,导致大量用户信息泄漏的个人信用评估机构Equifax,被黑客攻击后还在运营中,用户甚至不能将自己的数据进行转移。在英国,脸书因为Cambridge Analytical丑闻被罚了50万镑,这是当时法律规定的最高的罚款额,但这仅仅只是相当脸书每5分30秒赚到的钱而已。
如果相同的事情今天又发生了,脸书可能面临上十亿美元的罚金。大约1000家美国的新闻网站不能在欧洲访问,包括《洛杉矶时报》和《芝加哥论坛报》, 而根据最近德勤发布的报告称,大约只有1/3的机构符合欧洲隐私保护条例。
“ 从数据索取的结果,可以窥见一个组织的灵魂。 ”Hadi Asghari说道,他是荷兰代尔夫特理工大学的助理教授。他的研究显示,只有极少数欧洲的数据获取条例被遵守了。我们的发现也有同样的结果,不过我们也发现,一些公司确实遵守了GDPR。 个人的信息相当于这些大公司运转的能源,所以,对于信息的控制权必有一战。
心理上重视,战术上忽略:
数据保护的悖论
对于平常的用户来说,隐私保护协议很难懂,也很无聊。
但是,隐私保护条例是理解数据相关权利的支柱,但这些条例充满着专业法律用语,用超级长的句子描绘着数据保护,其实这些公司本身可能都不一定了解。卡内基梅隆大学有一项进行了10年的研究表示, 如果要读完每一个遇到的隐私条例,要花费76个工作日。 所以不读其实是肯定的,完全理解肯定是不可能的。
这就涉及到了学术界讨论的数据保护悖论。当做问卷调查的时候,人们都说自己非常关心隐私保护,但是现实中,他们还是会选择放弃自己的数据,或者是给出朋友的电子邮件去换取一些小恩小惠,比如披萨。
在索取数据的过程中,我们收到了各种各样的数据格式,比如邮件、excel表格,需要下载数据读取工具的格式。除了数据本身再进一步地问,我们拿到的数据是可以理解的吗?甚至,对于我们来说,那些数据是有意义的吗?
Netflix把词汇表整理成了一个PDF文件。Spotify则是通过一个在线下载的方式提供了数据。一个英国的记者收到了101 份JSON文件,另一个收到了90份。而JSON格式是用电脑读取的,而且文件名字也无法读懂。客服也没有对这些文件的名字给出解释,他们说,如果我们想知道,可以问具体文件的意思,但是他们没有词汇表。另一个美国记者对Spotify提出了一模一样的请求,只收到了7份文件,包括支付方式、播放列表和关注者名单。他们表示全球的系统没有区别,如果用户想要索取另外的文件,可以联系客服。但这个问题的难点是,如果你不知道一个文件是不是存在,你该怎么要呢?
但至少,他们都提供了一些数据。约会APP Bumble仅仅给了一个英国记者基本信息、他自己上传照片的IP地址和登陆次数。美国记者的请求,直到12周之后才得到回复。
另一个通常的做法是,公司会提供他们的隐私条例,但不会提供我们索取的数据。比如Snapchat,列出了他们的隐私保护条例,说“可能”从子公司或者第三方手中获取数据,并提供了一个第三方的名单。Tinder说他们“可能”收到来自合作伙伴的信息,但没说具体是谁。
The Article 29 Working Party是一群由欧洲代表和数据专家组成的团队,他们提出“类似‘可能’、‘也许’、‘一些’等这样的语言应该避免”。从法律上来讲,GDPR要求沟通要以“简洁、透明、易理解的方式,使用清楚和直白的语言”,这明显与我们收到的回复不一致。
研究也显示出了相同的结果,欧洲消费者协会和佛罗伦萨欧洲大学学院的研究表示,1/3的条例存在问题,或者提供的信息不完整。
“你手上有钱,但你不知道自己支付的价格”
理解数据被使用的关键在于看它们如何被分析,但不出意外的是,大部分公司对此闭口不谈。在索取数据的过程中,Netflix没说为什么我们会被推荐某些电影。Instagram也没说,我们看到的内容是根据时间、用户和其他内容的互动,还有用户对某些内容的喜好程度排序的。Tinder则声称,不能透露任何和喜好排序相关的内容,因为可能会涉及到知识产权的问题。
Frederike Kaltheuner是一个在伦敦的数据隐私保护专家, 他说有三种类型的数据:第一种是我们提供的,第二种是被监测记录的,第三种是被模型化的或者用其他数据预测得到的,比如说一个人的吸引力和可信度。
Kaltheuner说: “很多机构觉得被模型处理过的数据不算是个人数据,其中最大的误解是,我们只能想到那些我们提供的数据,公司也往往仅谈论这些。”
这就是为什么Cambridge Analytica的丑闻让人们愤怒。 我们知道那些公司在收集数据,但我们不知道的是,数据是如何被处理的,然后又对我们的生活产生了什么样的影响。
当我们索取数据的时候,得到的仅仅是那些我们给出去的数据,比如个人信息。我们可能觉得自己在用数据交换服务,比如说输入地址到谷歌地图,然后得到路线图,但具体数据会如何被处理是更复杂的,比如记录我们的位置,然后计算出剧院是否忙碌或者某条路不应该走。脸书还研究如何影响人们的情绪,以及如何判断人们是不是处在心理脆弱的时候。 简单来说,数据是货币,但我们不知道自己付出的价格。
关于索取数据时的身份审核,也没有统一的程序。
Bumble索取驾照、护照、出生证或者银行账单确认身份;Spotify要求提供注册信用卡的后4位,并强调了不要说出全部的信用卡号码。推特、谷歌和领英则没有要额外的信息,因为我们已经登陆进了我们的账号。这就又出现一个问题,我们的账号有多容易被攻击?如果有人登录进了账号,公司就会把所有的数据给他么?
最小化数据收集是根本的做法
Jeewon Kim Serrato是法律公司Norton Rose Fulbright美国地区的数据保护、隐私和网络安全高管,他说:“ 最重要的是,不要收集那些不必要的数据。比如,如果不从事驾照或者护照照片的业务,就不要收集这些信息。最小化数据收集是根本。”
这样的想法完全颠覆了数据收集的思维。一直以来的声音都是尽可能多地收集数据,即使不知道未来会如何使用这些数据。Serrato同样提出“数据存储是越来越便宜了,但数据删除却比永久保存的花费更多。”GDPR的出现可能改变这样的现状,因为如果你不知道你要拿这些数据做什么,那处理数据的花费会非常大。
法律公司Hogan Lovells的Cohen说:“确实有很多公司还在等,但我觉得主要是因为符合标准的花费太大了。那些认为自己是GDPR首要规范目标的公司正在尽全力去遵守。”
专家认为法律制定者首先瞄准的是那些科技巨头,特别是面向消费者的,比如社交网络、移动APP、健康医疗、广告业务、自动驾驶,还有把孩子作为主要消费者的公司。
英国、冰岛和法国的数据规范者都说,GDPR生效之后,抱怨数据侵权的人更多了。加州最近通过了一个数字隐私法案,将在2020年1月实施,这被看作是美国在数据保护上的重要一步,毕竟在此之前都没有相对完善的法律。
同时,对于违法者,严惩也在进行。
Giovanni Buttarelli是欧盟数据保护的监护人,他说:“ 惩罚是普遍的,我们希望未来没有违法者。公众会在年底看到第一批的惩罚结果。 ”
所有的眼睛都在盯着那些违反GDPR的科技巨头们,残酷一点说,也在看着他们会受到的惩罚。这对于GDPR而言也是一场检验,看它是否能真的在数据争夺战中立足。
责编:kongwen
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK