为个人隐私数据加上“二级密码”
记得刚参加工作接触到 游戏 后台时,看到后台中可以显示众多不同ID的玩家在游戏中的各种行为,瞬间有了一种佛祖对孙悟空般的掌控感,直到今天都依然记忆犹新。
从某种意义而言,如今现实中的生活与游戏是越来越接近了,这并不是说玩游戏越来越普遍,而是现在的每个人,只要不是生活在深山老林里的方外人士,或是拥有超级网络匿踪技能的技术极客,就总是避免不了将自己的个人数据外泄,甚至是在网络上完全裸奔。正如游戏后台中的玩家一样,被游戏运营方看了个彻彻底底。
但是在现实中成为透明人,可就不像游戏中那么好玩了。
数据:我真的没隐私
即便央视315晚会上曝光的涉嫌违规收集个人信息“社保掌上通”APP引起的热议已经消散了不少,但是WiFi探针盒子和真假难辨的外卖窃听门还在上演着之后的续集。这几件事合起来就是一出戏,戏的名字叫“懂你,知道你”。
这出以个人隐私数据泄露为主要题材的大戏已经上演了很久,“演员”数量庞大,还有无数的新生代“演员”随时补充阵容,加上技术的飞速进步,这出大戏可谓生生不息永不落幕。
但戏里的“演员”们多数对演戏毫不知情,也没有从这出“戏”中得到任何好处,反而是掉入了一个个大坑中再也没能爬出来。社保掌上通对外宣称的用户已经高达2000万,这意味着仅社保信息泄露的受害者至少也是2000万起,身边的朋友有不少也入了坑。
此事之后,除了提醒自己小心外,我发现什么也做不了,而对隐私信息的保护现状,更是早已经感到麻木和习以为常。
这种心态的形成,要真心“感谢”一个个推销房屋、发放贷款的 营销 电话,以及冷不丁冒出来的诈骗电话,或者是一封封不知道何时订阅却无法退订的垃圾邮件的“洗礼”。从最开始的不耐烦、到后来的愤怒,直到现在的麻木,甚至会和电话那边的人或者AI开玩笑,我相信很多人都经历了类似的情绪变化。
根据中消协2018年9月发布的《App个人信息泄露情况》统计数据,超过85%的消费者遇到过个人信息泄露的情况。
今年两会期间,已经有多位代表提议针对个人信息隐私进行立法规划,事实上关于《个人信息保护法》的出台也早已被提出,但即便堵上了法律的空白,对于已经泄露在外的个人数据信息的保护,我早已放弃了任何一丝幻想。
暂且不说各种数据非法贩卖的勾当加速了“存量”数据泄露的扩散速度,即便是个人开始重视隐私数据保护,各种小心仍然无法根除个人隐私数据泄露。
对陌生人保持足够警惕?在上网时使用无痕模式删除cookies?专门注册了一个邮箱来应对各种注册时提交个人资料?仅仅做到这些只能算自保,在线上线下提交注册资料时都有泄露数据的隐患,时不时曝出的酒店信息泄露和 科技 盗取个人隐私数据的案例都在提醒用户,就算机关算尽,你依然是个透明人。
个人面对数据隐私安全时产生无力感,原因不是法律和监管的缺位,而是因为数据是一项产业,是大生意,现在形成了自己的生态产业链,没有人能斩断这条链。
链的一端,是阳光普照的大数据产业。
互联网 的无孔不入,尤其是人工智能和算法的盛行,令数据成为了众多科技巨头急需的养料,由此催生出数据采集、数据筛选标记、数据清洗等一系列业务,大数据成了一项大生意。
“天无三日晴”的贵州省,长久以来因为气候和地形崎岖极大影响了 经济 发展,几十年来只诞生了茅台、老干妈等寥寥几张经济名片,但是最近几年来却因为大数据产业的急剧兴起,令当地的经济发展形势焕然一新。
根据年初各地统计局公布的GDP以及居民人均可支配收入数据显示,2018年贵州GDP增速为9.1%,居民人均收入增长10.3%,双双位居全国前列。而2017年中国国家信息中心发布的《中国大数据发展报告》显示,贵州的大数据发展政策环境指数居全国第一。
2018年初, 苹果 icloud服务器迁移到贵州,由云上贵州负责运营,由此贵州集齐了腾讯、华为、苹果等几大科技巨头的数据服务器。在百鸟河数字小镇的诸多数据工厂中,不少高校学生都将数据标记作为了实习期间的主要任务,他们成为了未来精准算法发挥效用的奠基人。
万物有阴阳,科技分两刃。链的另一端,是令人火大却无奈的隐私数据泄露以及非法数据交易。
对普罗大众毫无知觉下的非法数据采集、针对明星屡禁不止的个人信息贩卖,互联网企业突然爆出的数据泄露,敏感部门要时时防着黑客或者病毒入侵……
可还记得德云社的名单泄露?或是某平台曝出的数据杀熟和图片艳照?Facebook因为剑桥分析公司的丑闻上遭遇到了自己的滑铁卢,最近还遇到了国外网络安全博客的“超神补刀”。该博客曝出近6亿 Facebook 用户的帐户密码以未加密的纯文本形式存储,并可由 Facebook 员工搜索的猛料。
而在AI领域大放异彩的谷歌,旗下的应用和硬件收集用户行为信息的详细程度,完全可以媲美游戏后台对玩家游戏数据的记录。尽管一定程度而言,这些数据是可查询的,但仍然细思极恐。
思索再三,还是省省吧,从现在到未来是逐渐属于大数据的时代,阴阳相生之下,没人能脱离这个产业链的笼罩,只要是享受到了大数据产业带来的种种便利,就不要妄想避免隐私数据信息的泄露。
法律:我真的很无奈
大数据时代,法律不是保护个人数据安全最有效的武器,从来都不是。
2018年5月25日,欧盟《通用数据保护条例》(GDPR)正式生效。
这部用来取代1995年发布的、已经过时的《数据保护指令》的规定,被视为有史以来最严的个人数据保护法令。其扩大了对于用户个人数据的定义,将个人的IP地址、cookie数据、遗传基因、指纹虹膜等信息置于和姓名、身份证号等机密数据相同的保护等级,对个人信息的保护及其监管达到了前所未有的高度。
此外,GDPR引入了具体的角色术语,规定数据相关企业内部相关人员的权责和奖惩。包括数据控制员、数据处理员以及数据保护员,这些人将合作处理有关内部人员和外包商在数据业务方面的事项,并监管数据安全策略和GDPR合规性。
如此严格的GDPR,终究又带来了什么呢?
需要管理的数据类型更多了,相应的人力成本也提升了。根据普华永道的调查数据显示,68%的美国公司预计将花费100万到1000万美元的投入来满足GDPR的合规性要求,另有9%的企业预计将花费超过1000万美元。
罚款是GDPR的另一项附加产物。GDPR规定,对违规企业的最高罚款额为其全球收入的4%或2000万欧元,以较高者为准。在2019年新年伊始,法国相关监管机构依据GDPR向谷歌开出了5000万欧元(约合3.8亿元人民币)罚单,理由是谷歌在向用户定向发送广告时缺乏透明度且未获得用户有效许可。
罚款可以充实国库,这是为高昂福利支出头疼的欧洲国家政府乐于见到的结果,但这种行为却无异于杀鸡取卵。欧洲向来以对科技企业的保守政策著称,GDPR的出台会令大型科技企业在欧洲的日子更加难过。
根据Ovum公司提供的调查报告显示,52%的受访IT决策者预计GDPR将会“导致他们公司受到罚款”,三分之二的受访者认为这将“迫使他们改变欧洲业务战略”。
暂且不论企业将为GDPR的规定投入多少人力和时间上的成本,单就是这种大概率发生的罚款,估计就将逼走一大批有志于投身科技的潜在企业和 创业 者,最终结果就是影响到欧洲相关企业的生存发展,税款和就业什么的就不要想了。
赵本山在小品《红高粱模特队》里说过一句“吃穿都没了,你还臭美啥?”,就这意思。
在产业驱动下的经济利益面前,即使堵住了法律空白带来的监管缺失,也要面临着执行层面的困境。
但所谓吃一堑长一智,在国内外频发的隐私数据泄露事件的“教育”下,各方也总算摸到了大数据与隐私数据之间的最佳平衡点,那就是“懂你,不知道你”。
这句话至少可以有两个含义。一,我在外面吃了多少钱的外卖、打了几次车、收了多少快递……这些琐事中的行为数据请随便用,但是请掌握这些数据的组织不要告诉其他组织“我”是谁。二、如果要将“我”是谁告诉需要这些数据的组织,要得到”我“的许可。
为了订到外卖和收到快递,用户总要将自己的姓名、地址和联系方式告诉平台方,这是用户认可并完全知情的隐私数据获取,尽管这些数据也确实带来了一些问题,但没人对此种数据授权方式产生异议。
事实上,众多具有相当影响力的互联网企业、尤其是与人工智能相关的巨头已经开始将规范数据使用逐渐落到实处。据一位在某互联网企业数据部门任职的朋友小力介绍,在进行用户行为分析研究时,主要针对的也是各种行为数据,当涉及到某些具体的用户特征时,也是通过聚类用户获得其画像特征,如年龄、收入水平等等,不会涉及到具体隐私数据。
令用户们普遍感到不爽的是,现在大量的平台和企业用暗箱操作的手段,在自身不知情的情况下获取到自己的各种数据,然后利用这些数据实现自己的目的或非法贩卖,用户只有在某一个环节的数据被泄露后才成为最后的知情者。
这些被泄露的数据不仅有详细的行为数据,还有个人隐私数据,这就是大问题了。酒店泄露了开房信息,没有电话号码和姓名还好说,一旦加上这些数据,多少家庭将会分崩离析?
将上面的意思总结起来就是一句话,个人隐私数据的安全存储和明确授权,是解决“懂你,不知道你”这对矛盾最高效的方案。
我们不否认法律在制度层面的规范作用和强制力,但说到底,解决隐私数据问题还是个技术活。
隐私:我真想加密码
作为一个由代码规则和各类数据组成的虚拟数字世界,游戏除了娱乐功能外,在解决数据相关的问题时,同样也能带给现实启示,并承担起试验田的职责。
我有段时间一直沉迷《王者荣耀》,结识了一名叫阿旭的老哥。最近老哥对我抱怨,因为取消了二级密码,无意中将一个高级铭文分解了,想弃坑静静。
我开玩笑说,你要真想静静,就给我号,我帮你分解掉所有铭文。
阿旭甩出一个“滚”字算是对我的回应,最终也没有让我帮这个忙,反倒是多次提起后悔取消二级密码的事。
二级密码现在已经是游戏中的常见功能,主要用于保护账号角色内的装备、宝石、人民币道具等贵重的虚拟资产。尤其是当玩家进行出售、分解、赠送等操作时,如果设定了二级密码,就需要输入以确保是本人操作,玩家也会因此多一次确认的机会,众多大厂旗下的主流游戏均提供了该项功能。
当然,很多玩家因为其操作的繁琐选择不设置二级密码,那么阿旭所经历的事情就有几率在这些玩家身上反复上演。
包括我自己在内,其实也并不喜欢二级密码所带来的繁琐操作,游戏中的二级密码相比账号所用的一级密码,安全性也并不算高。一级密码经常需要借助于 手机 或者专用的终端来进行验证,而二级密码往往得不到这样的待遇,游戏中还经常提供了各种解除和取消二级密码的方式,比有了二胎后的老大还惨。
可别看二级密码在游戏中的待遇不高,却实实在在是解决现实中个人数据隐私安全问题的高招。
将二级密码引入现实中,并且配给任何一个16岁以上的国民,每当发生需要授权获取个人隐私数据的情况时,需要本人输入这个二级密码加以确认,这个二级密码可以是个人设定的数字密钥、也可以是指纹和容貌、虹膜的组合。在保证了个人隐私数据的安全,也对隐私数据授权的无序进行了规范。
这招的高明之处在于,利用二级密码将个人的隐私数据与行为数据分开,实现单独对隐私数据信息的保护。同时,由于每次对隐私数据的输入都要本人输入二级密码加以确认,也从根本上规范了数据流向,并最终实现个人隐私数据授权的可控和回溯机制。
当然,以现有的技术应用来看,实行二级密码还存在一个巨大的漏洞,就是现有的隐私数据并没有被安全存储。的确,当前由于社会仍处在向数据化升级的过渡期,个人隐私数据与行为数据往往分别被众多的科技企业所同时掌握,加上现在需要进行个人隐私数据授权的场景十分复杂,线下复印个身份证、填个表格、线上注册个APP,纸质版信息、电子版数据,个人隐私的泄露途径实在是太多了些。
要解决数据安全存储问题,就好办多了,把个人隐私数据存到中央数据库就好了。只要发生了请求调取个人隐私数据的情况,必须经过最权威的中央数据库的,并由个人输入二级密码进行最终确认,一切就都齐活了。
游戏行业中曾经发生类似的事情。2010年时文化部曾出台《网络游戏管理暂行办法》,推出了网游实名制政策,规定了使用身份证的实名制注册和控制游戏时长的办法。但在此后的几年中,该政策的实际效果却差强人意,未成年可以轻易的用类似身份证号随机生成的工具以及类似游客模式的存在绕开限制。
直到8年后,《王者荣耀》的健康系统启动了最严的实名制策略,将玩家数据接入公安部权威数据平台进行校验,这才令实名制的威力显现了出来。
老哥阿旭是个宠女狂魔,经常与十几岁的女儿一起开黑打王者,父女俩通过游戏的交流一直显得其乐融融。在实名制推出之后,女儿的游戏时间不可避免的减少了,为了陪女儿,阿旭同样主动缩减了自己的游戏时间。
“挺好,现在能多陪她出去,不是总放在游戏上。”老哥很无所谓。
隐私数据可以集中存放中央数据库,但阻挠二级密码的推出,还有数字化这只拦路虎。
虽然手机集成了公交卡、银行卡等,平时出门之用带手机和充电宝就行,但在很多特殊场景中,同样需要身份证、社保卡等实体证件,还有很多登记更是使用纸笔记录。这些存在说明,我们的数字化程度还是需要提升,直到数字化终端可以解决身份识别和隐私数据授权的时候,个人隐私数据的保护体系才算是完善了。
但是别着急,2018年 微信 已经推出了数字身份证,支付宝也有了相应的功能。更高程度的数据化生活正在奔过来,未来的好坏暂且不去评价,但个人隐私数据的保护却是不折不扣的好消息。
如果这都无法满足你的期待,那么你可以去了解爱沙尼亚的E-resident计划,申请成为E-Residency数字公民,加入一个面向未来的数字国家庞大国家项目,亲身感受一下完全数据化的环境中如何真正做到“懂你,不知道你”的。