在互联网时代,雁过无痕只能是神话。只要你“飞过”,即使是天空一片云彩,网络也能留下你漂浮的影踪,清晰地展现你从哪里来到哪里去的叠叠轨迹。 “uid=31893899;ll=784388;age=28;gender=f;movie=037,10548;tl=732&024;lw=38589;swb=1;”这一串代码就是让王晓慧变成透明人的秘密。它一五一十地勾勒出王晓慧的生活轮廓:此刻,28岁的她正在北京市海淀区某个电影院附近发微博,之前她刚刚浏览了一家影评网站,她最喜欢的电影类型是爱情片,喜欢美剧《生活大爆炸》,之后她又在一家团购网站上订餐,她喜欢吃韩式烧烤和麻辣系川菜。
一串代码标志的不仅仅是王晓慧的行为方式和偏好特征,她的隐私世界暴露无遗。
这都是网络追踪惹的祸。互联网公司喜欢偷偷跟踪用户上网活动,并以此判定用户的爱好从而进行广告精准投放,这是互联网广告的最大特色。网络追踪技术正在让个人隐私无所遁形,而出售客户信息则成为新的生财之道。
网络追踪其实不是新鲜事。近年来谷歌和Facebook等大型互联网公司在隐私保护方面备受批评。它们秘密追踪用户在网上的活动,并使用这些数据来获得广告收入。谷歌因绕开苹果Safari浏览器隐私设置投放广告的行为涉嫌侵犯用户的隐私权而接连遭遇起诉。
不过他们的这一嗜好最近要收敛不少。不久前美国白宫提出一项“权利法案”,用户的互联网隐私能够得到更好的保护,而美国政府对谷歌和Facebook等公司将有更大的监管权力。目前谷歌、雅虎和微软的广告网络服务已同意不在网络浏览器中使用追踪技术,使消费者更方便地控制隐私设置。
事实上,我们在现实世界的个人隐私已经无处可藏。如果你拥有手机、银行账号、医疗记录,这些信息可能已经被转卖数次;如果你在某商场办过会员卡,你可能被垃圾短信在凌晨叫醒数次;如果还经常上网,并热衷网络购物,你很可能已经在信息公路上“裸奔”了太远。
个人隐私何处安放
网络追踪无处可逃
追踪技术正变得越来越巧妙,越来越具有侵略性。过去对消费者的监测行为一般是通过Cookie标识用户的身份,通过网站访问日志来分析用户上网行为,但据《华尔街日报》报道,新的监测工具会实时扫描人们的在线操作,然后立即对其所在地、收入、购物兴趣,甚至健康状况等信息进行评估。
“追踪技术其实已经有好多年。谷歌有一个产品叫GoogleAnalytics,很多做网站的人都会用它。在自己的网页上放置一行代码,就可以知道每天有多少人访问本站,访问了哪些频道,用户从哪些网站来,又到哪些网站去,在本站停留多长时间等等。这就像你拥有了原子能技术,用来造核电站还是原子弹,作不作恶不是完全靠它自己,防范还要靠立法。”360首席隐私官谭晓生分析。
事实如此。人们在享受移动互联网提供高效、便捷服务的同时,也时刻承担着个人信息隐私被泄漏的风险,个人隐私保护已经成为人们上网时最大的担忧。刚刚播出的央视“3?15”晚会,就爆出罗维邓白氏公司非法买卖公民个人信息。因涉嫌单位犯罪,罗维邓白氏公司总经理已被刑事拘留。
更早之前的2011年末,中国CSDN网站、天涯社区等大量知名网站的用户数据库被黑客拖库,据不完全统计,大概有5000万用户信息遭到曝光。一时间,各家网站如临大敌,紧急通知各自用户尽快更改密码以防不测。由此,掀起了中国互联网用户更改密码的大潮。
中国的个人隐私保护现状令人担忧。工信部电子科学技术情报研究所副所长刘九如在2011年个人安全信息大会上介绍,他们经过个人信息保护调研后得到的数据显示,“调查对象中有60%对当前个人信息保护现状不满,60%遇到个人信息被盗用,60%收到过垃圾短信,遭到个人信息被冒用。有30%的被调查对象认为通过网站泄漏,另外有30%认为可能是通讯公司泄露。”
生存在互联网时代的人们几乎防不胜防。诚如360总裁齐向东所言,不管你是交友、看新闻、玩游戏,娱乐生活几乎都在互联网,不知不觉个人隐私已经遍布网络。“94%的网民用QQ聊天,聊天过程中难免会传输电话、邮箱等私密信息,这些都已经传到了服务器上;78%的网民在使用框计算,在框里面输入的内容也传到了服务器;70%的用户使用输入法,敲的任何东西也都存在服务器里面;50%的网民在淘宝上进行交易,不仅仅是电话,支付信息也要上传;40%的网民有微博,既有私信又有电话,这些大量的个人隐私都在服务提供者的服务器上。”
传统互联网中用户隐私安全的困扰,在移动互联网同样不能幸免。如苹果iPhone被爆出可追踪用户信息;Carrier IQ的软件导致用户隐私可能遭遇窃听。由于智能手机的随身性与功能应用的丰富性,使其逐渐成为涉足和存储用户私密信息最多的触网终端。
“在手机上打主意的坏人越来越多,通过入侵手机获取个人信息的情况未来一两年会越来越多。手机本身其实就是一个小电脑,其防护远没有PC上那么完备,相对比较薄弱,未来肯定会有比较大的事件发生。”谭晓生预测。
首席隐私官成“亚历山大”
安全卫士就是当好“守门员”
谭晓生走马上任360首席隐私官成为一则新闻,这个职位的设置尽管在很多美国大公司里非常普遍,但在国内互联网公司里尚是头一遭。
360作为一家安全公司重视用户的个人隐私乃题中应有之义,谭晓生却因此变成了名副其实的“亚历山大”。他是互联网老兵,他在微博上这样介绍自己,“2003年进入互联网,先后在3721、雅虎中国、MySpace、奇虎360转战的互联网战士。”作为首席隐私官,谭的日常职责是处理360软件产品可能涉及到用户数据的各项事务,包括规划和制定公司的隐私政策、审核各产品的用户使用协议、监督各产品的工作原理和信息处理机制等,保证公司各软件产品的行为符合国家相关的法律法规。
老革命遇到新职责,这让谭晓生的神经7x24小时绷紧。今年3月15日晚上21:34,他发现微博上有同行转发的一个安全漏洞和补丁,马上打电话给同事,要求查明情况分析该漏洞的真实影响。一小时后,同事的评估邮件回复显示,“这个漏洞的危害不是很大,并不能触发远程执行这种高危漏洞,明早进一步处理来得及。”谭晓生这才松了一口气,类似的日子不胜枚举。
“这个职位就像守门员一样,别人不进球表明你的工作状态正常,一旦进球就是输。”原本天性乐观的谭晓生感到自己被工作改造成了“偏执狂”,“做安全软件的不是偏执狂肯定做不好。”
现在360每一个产品的研发团队里都设置了一名兼职的隐私专员,这个人就是谭晓生的“线人”。“公司每天都发布产品,每天都在改进,审核的压力很大。我只能把战线前移到设计阶段,在产品开发阶段就在团队里派驻隐私专员。”谭晓生的做法通常就是在研发团队中征集一名隐私专员,这个人既懂产品又关注隐私,要对两边都负责。“出了问题,他的绩效也会受影响,他最后被迫就要在两边平衡。”谭晓生对这种内控很满意。
除此之外,首席隐私官还下设一个独立的监督部门,不隶属于任何产品部门。其职责就是时刻抽查产品,方式是通过技术手段,而不是通过代码审查的方式。“在某个产品使用过程中,监督人员在电脑外面开始抓包检查,抓包后分析功能数据有没有超出《隐私白皮书》的范围,如果超出了,他就要通知首席隐私官,首席隐私官就要找到隐私专员,层层落实责任。”齐向东将首席隐私官比喻为“政法委”,隐私专员相当于“警察”,独立监督部门则相当于“检察院”,“这三层职责防护就构筑了真正的隐私保护体系。”
他感慨,作为一家安全公司,360时刻都被别人的眼睛盯着,隐私保护进程对自身来说是一个更严苛的要求。“不该看的不看,不该存的不存,不该用的不用,不该传的不传”,这是360刚发布的《用户隐私保护白皮书V2.0版》中的原则。“几句话说起来简单,身处其中就知道有多难,很多东西都是血泪教训,因为你看了,你传了,你存了,这个东西在你手里就是负担,就得保证它的安全,一点马虎不得。”谭晓生很认真地说。
此后公司对产品的内部审查更为严格,谭晓生称之为“过堂”。2011年年初和2012年年初分别有一次奇虎CEO周鸿?和总裁齐向东召开的全公司所有产品的“过堂会”,每次会议持续将近两天时间,会上对每个产品都依次进行审查。“每个产品都要讲清楚查看了用户什么信息,上传了什么东西,为什么要传,如果不传你的功能还能不能运行,就是用这种方法一个个地审,每次都是‘过堂’。今年年初审的这次,把我们部门的技术手段都动用上了,在公司会上‘过完堂’,还要在我这里再过一遍筛子,用这种方法来确保各个产品的安全性。”谭晓生笑言。
作为隐私保护专业人士国际联合会(IAPP)的成员企业,360一年前已经将旗下所有产品的源代码托管给中国信息安全测评中心,任何个人和机构都可以查看360产品的源代码,在查看中发现360产品中有侵犯用户隐私的可疑之处,都可以向相关部门举报。
“隐私保镖”先行
“三位一体”联合给力
互联网上绝大部分隐私信息的泄露,都与木马病毒等恶意程序相关。360一方面要向网民提供有效的工具,另外一方面也要与木马、黑客斗智斗勇。
360最近发布了几个保镖系列,有隐私、购物、下载、U盘等保镖。这些“保镖”能干什么?它是网民应用程序,在为用户服务时构建一个安全场景。“用户要在网站购物,一旦进入网银页面,我们就构建这样的场景,执行严格的清场政策。就像中央领导来视察,先把无关人等清出去。我们认为在进行网银操作时,无关的程序都要停止。在可能导致你隐私泄露的各个环节,我们也设置了各种场景,能够最大限度地保证你的隐私不会泄露。”齐向东解释。
360还会为用户提供隐私体检,会提示其隐私在哪些地方或步骤可能被泄露。王晓慧喜欢看大片,她的电脑里就常常存有大量的缓存文件或者叫临时文件。“这样的文件里含有很多个人隐私信息。你访问过哪个网站,点了哪些按钮,干了什么,这些痕迹都存在你的电脑里。如果有人控制你的电脑并还原,很多隐私都能看到。”齐向东指出,如果用户在隐私保镖里通过隐私体检,这些痕迹都能检查出来。“如果你想更安全,经过提示就可以考虑是否要清理掉。”
靠技术手段是否能实现我们百分之百的隐私安全?
谭晓生果断地摇头,“互联网的本质在于开放,如果一些不法分子有心通过社会工程学的手段去获取用户的个人信息是防不胜防。互联网时代的个人用户隐私信息保护,不可能由一家包办,必须政府、网站、安全公司共同努力,做到‘三位一体’。”
齐向东指出,互联网网站服务商必须要采取安全措施,提升管理水平,承担起妥善保管用户个人数据的责任。此外,政府机关作为相应的立法和监管者,一方面惩治病毒、木马制作者的犯罪行为,一方面能够惩罚互联网服务商中的玩忽职守者,同样将是隐私保护的一道重要防线。
在全球范围内,如何保障互联网用户隐私已是互联网行业发展必须面对的重大问题,需要政府、互联网企业、安全厂商、网民等共同参与并一起改善。其中建立系统完善的个人信息保护法律制度是重中之重。
事实上,用户隐私泄露后能得到的法律保护相当薄弱。刘九如的调查显示,个人信息被滥用以后,因取证难导致维权措施往往落空,只有不到10%的调查对象进行了投诉。另据了解,自2011年CSDN大规模泄密事件后,网站只发了封道歉书。而用户的关联网上银行、支付宝如果被黑,还得“举证”是因为CSDN泄密引起的,否则难以获得赔偿。
“今天之所以要加快个人信息保护的立法进程,是因为这个问题已经到了触目惊心的地步。我们现在正在进入云计算时代,也是一个所谓大数据的时代,这和个人信息保护息息相关。美国刚刚公布了消费者隐私权的方案,最近欧盟马上就要发布对指令的修改,国际上已经进入到信息保护的2.0时代,我们现在还在为1.0时代呼吁。”中国社会科学院法学院研究员周汉华急切呼吁相关立法的出现。