从刷支付宝乘地铁谈起，浅议大数据时代的隐私安全

据悉，在2018年，每个月都会有新的城市在公交地铁领域开通移动支付。

近期支付宝、微信、银联等移动支付企业纷纷抢滩城市公共服务。针对地铁公交这一场景，目前已经有超过30个城市在支付宝内上线了电子公交卡功能，这意味着——用户可以丢开匿名的交通卡，使用支付宝及相关应用进行刷码通行。

和此前共享单车市场相比，轨道交通等公共出行在每个人的生活中都占据了更重要的地位。用“现代支付系统”取代“传统地铁充值卡”所能提供的便利，让很多用户感到迫不及待。

而在现代支付系统的接入之后，出行的数据也可能继续用在城市交通管理之中，改善更多其他服务，如改进城市的交通服务、整治拥堵等等。而这些便利存在的前提在于——当今的大数据时代大背景。

高速发展、高吞吐量的大数据时代，绝大多数人都的所有行为逐渐都能在信息世界之中留下数据足迹，无论是用户主动留下的数字脚印，还是由他人建立的关于用户的数据。

在此，笔者仍然希望“老生常谈地”与大家探讨大数据时代的个人隐私问题。

个人与服务商之间的信息不对称

信息时代下，只要我们使用在线工具和平台，或者接入平台的服务，就会产生相应的数据。在一些观点看来，人人是数据的生产者，可以让信息变得更透明。但是作为线上服务的使用者，即便有用户隐私条款的存在，多数的用户仍然并不了解自己被采集了什么样的信息，被追踪了哪些数据。

条款中冗长的文字、专业的术语，都会给普通用户的精准理解带来一点困难。除此之外，用户条款中夹杂的“可能”、“潜在”等词汇的存在，继续模糊了好不容易建立起来的一点概念。这些数据的使用状况，数据分析和挖掘的目标和最终的数据消费者，更是不得而知。

即便一些用户是较为谨慎的——他们在选择应用服务的时候会考虑“数据泄漏”带来的影响，但他们能够避开的更多只是一些声誉差的，已经发生过数据泄漏的企业。通常情况下，规模较大的企业能够享有更好的声誉和用户口碑，获得多数人的信任和青睐。

如果这家服务商的大名家喻户晓，人人都在使用它的APP，更多的用户就能放心大胆的进行注册，然后开始使用这款服务。但显然，这仍然只是“一厢情愿”的信任，大的企业也可能存在安全漏洞和疏忽。仅在过去的一年中，就继续曝出了大大小小的数据泄漏事件，其中也有不少知名大企业的身影。

互联网巨头 Yahoo 数据泄漏：10亿账号的用户姓名、生日、邮箱地址、密码、电话、安全问题和答案全被泄露

美国三大信贷之一 Equifax 数据泄漏：超过 1.43 亿的美国用户数据泄漏，包括姓名，社保号码，出生日期，地址，及驾驶证信息；20.9 万用户的信用卡号，以及部分英国和加拿大用户信息。

移动出行 Uber 数据泄漏：5700 万乘客用户信息泄漏，5万名司机信息泄露。

深度分析和机器学习在混淆隐私边界吗

积累足够全面的数据才能让有规律的随机事件，在大量重复出现的条件下，呈现出几乎必然的统计特性。

随着政府的政策支持和公共部门积极进行数据整合，冗余数据中蕴含的战略和资产方面的价值逐渐浮出水面，企业纷纷着力于进行大数据技术研发与产品化。企业在应用数据进行决策和谋利的同时，仍然会不言而喻地使用用户的个人数据，使之在整合、关联和深度分析时受到隐私侵犯。 在当前数据科学和信息技术发展的过程中，隐私信息的界定正在变得不严格。

巨大的数据集之下，即便个人提供部分数据字段，也可能被得出一些隐秘的推测，并给用户带来风险。

2016年，上海交通大学的一篇机器学习论文《基于面部图像的自动犯罪概率推断》曾引起过争议。相同遭遇的还有2017年斯坦福大学公布的论文《Deep neural networks are more accurate than humans at detecting sexual orientation from facial images》，其中的 AI 算法已经能够通过个人的肖像照片识别同性恋，且准确率高达81%。

公开在社交网站及其他角落的相片信息中的肖像不存在隐私问题，但对于人脸图像数据的分析、存储和使用，隐私权问题依旧面临挑战。如果个人用户并不在意自己在各个角落的信息披露，认为网络空间仅仅是和普通公共场所一样，那么当处在隐私边界时，他们就容易遭到认知偏差的影响，比如过度低估个人信息的利用程度和数据价值。只需要一些公开的信息，运用技术就可以对个人的情况进行推断、分类甚至“定价”和“特殊对待”。

如今企业在技术层面的数据挖掘技术的演进、机器学习和深度学习算法的发展，都让数据利用效率和程度得到显著提升。特定的分析流程和算法有时很难进行描述和解释，服务运营商甚至在进行分析之前也不了解他们能够得到的结果。更多隐私问题甚至是在二次开发利用原始数据时才引发的，因此在法律监管上也存在难度。

隐私专家 John Diebold 曾前写过这样一句话，而这在不久之后的将来，这可能会成为现实。

信息时代你留下的每一个字节，都会是构成隐私的血肉。

隐私意识在觉醒，但是…

2018年伊始时，大家的朋友圈都曾一度遭遇被“支付宝年度账单”和“网易云音乐”统治的时刻，随后当天就有用户揭露被安插在年度账单首页之中、必须签署的《用户隐私协议》。

细心用户发现了这行隐蔽的小字，并点开看了《用户协议》，但也许是因为个人意志还无法抗衡从众心理，又或许还是败给了自己的好奇心，最终绝大多数用户还是同意将自己的数据授权给了芝麻服务，开开心心地在朋友圈晒了支付宝年度截图。

可以发现人们的隐私意识虽然存在，但依然愿意用牺牲个人数据换取更好的网络生活，或者将安全和隐私的责任完全寄托在政府和网络服务商身上。2014年时，EMC在15个国家和地区进行了15000 用户的隐私保护调查，而调查结果依旧让人担忧。

50%的用户遭遇过或大或小的数据泄漏

62%的用户并不会定期修改密码

33%的人不会修改社交网络上的隐私设置

39%的人不会对自己的移动设备设置密码

而 2018 年 刚刚召开的Usenix Enigma 安全峰会上，谷歌工程师也在演讲时道出了谷歌用户的安全意识现状，可以看到情况并不乐观——尽管早在 7 年前谷歌就开始引入了两步验证（2FA）功能，但目前有效的谷歌账户中，少于 10% 的用户开启了两步验证功能对账户进行保护；而使用密码管理器的用户在整体仅占12%的比例。

安全、便利和隐私之争始终无法停歇

大数据时代的便利已经渗透进了我们生活的每个角落，更低的商品价格、更符合实时需求的产品和社会沟通度，要使用这些服务就会创建个人数据，而通过数据信息就总有办法辨析出个人的身份。

如果用户确实关心自己的隐私状况，不希望泄漏信息还是有一些简单的措施可以采纳：

1. 避免连接公共WiFi，及时在所有设备上进行安全更新

2. 开启账户两步验证功能，安装密码管理器

3. 注意所有应用程序的权限设置

4. 斟酌填写真实信息，适当选择备用方式

5. 开启浏览器拒绝跟踪功能，及时清理 cookie

6. 适当使用匿名互联网服务

FreeBuf 隐私安全文章推荐阅读

科技之殇：端到端加密究竟保护了谁？

研究人员称HTML5可以被用来追踪网民

得到相机授权的iPhone APP可在你不知情的情况下偷偷拍照窃取隐私

Firefox再次从Tor浏览器中借鉴了一个隐私保护功能

Signal 新探索：运用英特尔 SGX 加强联系人搜索功能的隐私安全

Google无视用户隐私设置，暗中收集Android位置数据

iTerm2 中可能通过 DNS 请求泄漏隐私信息

*本文作者Elaine，转载请注明FreeBuf.COM