趋势网(微博)讯:昨天虎嗅的一篇文章《贱人就是矫情——当打假成为一门生意》引发了激烈的讨论。晚上又有一篇文章《为什么Cookie泄露对“贱人”来说是要命的?》。这两篇文章走向两个极端。
一、关注隐私是个人的事情,与贱人矫情无关
《贱人就是侨情》设定立场,说CCTV的若干问题,再说网站获取Cookie没问题,最后谈到了互联网广告的天经地义。我也对此文的关注点充满疑惑:最关键的一点Cookie被泄露给第三方,漏了。
网站获取我们的Cookie数据,本是服务协议中的内容(互联网最大的谎言“我已阅读并同意上述协议条款”),且用户有权在浏览器中关闭Cookie的记录和获取功能。这本来就不存在任何争议。Cookie被跟踪是一个愿打一个愿挨,且Cookie能跟踪到的信息有限。问题在于:这些数据被提供给了第三方。笔者在这里的观点是:这件事情,在意与否,与贱人和矫情没关系。
隐私拆开看,一个是隐,这里理解为不公开。我有一个秘密,我们俩关系好,我让你知道了。你再去告诉别人,不在意的人会觉得你是八卦;在意的人会觉得这是一种侵犯。隐私首先是不能被公开的。Cookie被公开给第三方,已触犯第一条。
第二个是私,这里理解为私人的。隐私具备强烈的个体属性:是否觉得是隐私,是当事人决定的。有的美女可以穿齐B 短裙,有的美女则不愿穿吊带上街。尊重隐私也就是尊重不同个体自己的底线,以及对自己底线的自由控制权。所以,如果贸然给关注这事儿的“贱人”戴上“矫情”的帽子,是一种舆论暴力。
二、Cookie泄露要不了命,要命的在后头
《Cookie泄露要命》理论上正确,最大的硬伤是“网易泄露与用户自动登录有关的Cookie”。碰巧正在业余时间做一个网站。今晚碰巧做好了自动登录。正是利用的sessionid存到Cookie的方式。
只要一个网站采用这种方式实现自动登录,并且将选择自动登录用户的账号和sessionId卖给第三方,理论上说第三方是可以通过伪造进行仿冒登录这些用户账号的(SessionID成为一种半动态的密码)。但是这与网站将用户的账号和密码直接卖给第三方是一个性质。对网易来说,可能性极小。愿意泄露用户账号登录信息的一些网站,更可能的方式是直接将用户名和密码拿去售卖。
Cookie不会要命,网易的Cookie更不会要命。Cookie能跟踪的内容极少。尤其是对广大岛国爱好者,隐私级别低于网络历史记录。而网易的Cookie问题确实是不痛不痒。至少在Cookie这事情上,比网易更可怕的公司比比皆是。
一方面社会化登录服务(用微博或QQ等OpenID一键登录到其他网站)的兴起,方便了人们的同时,让人们将账号集中到少数几家公司。大公司固然比小公司更加安全(至少不会卖你的Cookie和账号密码),但是一旦出问题,影响范围也会更广。虽然,这可能性极小。这是客观上的可怕。
另一方面各家封闭浏览器实际上比网易们拥有更多的控制权。如果他们愿意,可以拿到、伪造各家网站的Cookie。浏览器们可以拿到的数据除了Cookie还有收藏夹,历史记录,点击记录,表单数据,拦截记录等。他们根本不屑于向网站们买Cookie,仍然可以收集数据,精准营销,或者数据支持和挖掘服务。至于这个有没有做,目前不得而知。这是主观上的可怕。
笔者并不敢说哪家浏览器侵犯我们的隐私。在这个人人正在愈加充分暴露的时代,如果你不在意,今天你不矫情,明天你可能真的成为“贱人”。因为,要命的在后头。
三、科技愈发达,人类愈暴露
当原始人第一次拿起一片树叶遮住自己的时候,人类的隐私萌芽。这是生理上的隐私。伴随着人类文明的进步,在穿衣着装上人类经历了一个波状曲线,从树叶到毛皮到长袍到现在的齐B 短裙。在信息方面,也在更加充分地暴露我们自己。在互联网上更加明显。你对2年的邻居一无所知,对微博微信好友们的活动状态喜怒哀乐了如指掌。当你在庆幸互联网的便利的时候,黑暗中有越来越多的眼睛在一直盯着你,观察你,分析你,如果他们还有道德,到此为止;如果没有,他们会将他们获得的关于你的一切进行分析,利用,公开,交易。有哪些眼睛呢?
1、无处不在的第三只眼
你处于一张强大的监控网络下,你的一举一动,时间维度的空间维度的,都已存档备案。就差一个地方:厕所,没有第三只眼。你可以不做“贱人”,不在意这个。不过看来贱人不在少数,所以稍微有点节操的商家和政府都会在摄像头区域注明“您已进入公共视频安全监控区域”,没有选择权,但有知情权。
2、移动互联网爆发带来的更多眼睛
移动互联网时代,安卓的安全性问题导致各大应用纷纷各显神通获取用户数据——这个CCTV没报错。手机上随便一款APP都想读我的通讯录和短信和位置。
随着手机这类随身设备的发达,你被LBS定位,你被周围的传感器感应,连无线WIFI热点都想着在你接入热点后定为你来做精确营销。比如Joome——一家免费提供WIFI服务但是需要获取用户身份进行CRM和精准营销的公司。Google街景车到处跑一度还很遥远,明天你就可能已经遇到街景车了——腾讯做街景了。
当然,说任何事情都离不开微信。微信正在改变我们的通信方式。也在改变我们通信数据的存储方式。
我们用手机打电话或者发短信的时候,电话语音数据是不会保存的,短信也只是作数个月的保存(根据主管部门规定)。颇有“说后即焚”的感觉。唯一的隐私是通讯记录。而伴随移动通信10多年的发展,相应的监管体系已经逐步完善。连这个通讯记录都已经得到了严格的保护,除了一些公共权力机构调查需要,几乎没有被泄露的可能。而早些年因为这个数据监管不严导致的泄露出现的严重后果为数不少。婚外情曝光只能算小事。
微信呢?不只是你的通讯录和通讯记录,连任何通讯内容都已无限期地保存在“云端”,这部分内容配套的监管体系有没有到电信级别?运营商发展历史告诉我们,通信数据对外泄露是个人行为。但腾讯将来如果也要利用这部分数据,这种公司层面的行为现在也面临着监管的缺位。微信膨胀如此之快,是否能承载隐私之重,值得担忧。不要说我杞人忧天,这才是更加接地气的隐私问题。
3、个人云应用带来的更多眼睛
说回浏览器,浏览器在不主动上传用户数据的情况下,已经拥有了吸引用户自动上传自己的信息的能力了:多款设备的浏览器数据的刚性同步需求。如Chrome浏览器,收藏夹、历史记录、账号密码、Cookie等数据都可以帮你上传到云端,在不同的设备之间进行同步。
与这类似的云应用还有印象笔记、搜狐随身看等ReadItLater应用。各家大公司小公司巨头创业公司都在做云同步的产品。这些数据,保存的风险,泄露的风险如何?这些公司究竟有无节操,究竟有多少双眼睛在观察,以后会不会将这些数据售卖或者分享?
在这方面,我更趋向于选择大公司的产品。一方面数据保存时限。GoogleReader下线前还可以给你几个月缓冲。第二就是信任——迫于无奈的信任。这是自宫还是自杀的选择困境。
浏览器Chrome还有一个优势是开源—浏览器本身是开源的。至于后端干了啥,我们还是看不到。浏览器开源意味着浏览器干啥坏事儿,能干啥坏事儿,有啥漏洞可以被人利用干坏事儿,都有数万双眼睛盯着。与寄希望于个人或者企业的自身约束,我更认同这种“开放透明的约束体系”。
4、社交网络带来的更多眼睛
社交网络除了主动通过照片状态位置等信息暴露自己之外,另外一个可怕的暴露机会是社交搜索。自从FaceBook推出GraphSearch(基于社交关系,社交互动内容的搜索)以来,各家具备社交属性的公司蠢蠢欲动。寄希望能从用户的社交行为数据中挖掘出价值,一方面提高搜索体验,一方面进行营销。如果仅仅是分析用户公开的内容还可接受(如微博、话题),如果他们认为这个数据不够,将触角延伸到“私信、好友关系”这类更加私密的数据呢?这些数据往往产生在强关系间,更加具有挖掘价值。
回到网易被曝光的第二个古老的问题:邮件内容的挖掘和精准营销。2004年Gmail推出,提供1G的免费容量外,Google便立意用功能免费,数据赚钱的思路做精准广告营销。这也引发了无数轮的讨论。最后偏向的结论是:Google做数据分析是人写好算法,机器干的,人不会看邮件内容;第二个是Google分析的是整个邮件的信息,并没有将每个邮箱和每封邮件区别对待。也就是说,隐私是属于个体的。当所有隐私被放到一起利用,就不算隐私了。
社交网络的数据挖掘性质类似。但是,社交网络的数据,谁可以挖掘,以什么形式挖掘,以及GMAIL理论是否成立,仍然值得讨论。
另外社交网络带来的人肉搜索则直接挑战人类隐私的底线。这让你防不胜防。当网民有需要的时候,可以发起一场基于社交网络的人肉搜索(微博,BBS,Q群)等,而根据“六度空间理论”,你和一个陌生人之间的间隔不超过六个人。人肉搜索成为网络上“彰显正义”过程中的重要一环。当你以 偷 窥的眼睛围观被人肉者时,下一个被大家围观的可能是你。5、电子商务带来的更多眼睛消费过程产生的信息私密性极强。虽然在实体店消费也有暴露隐私的可能,如在酒店的个人身份登记。电商时代,让你的基本资料、购买偏好,购买历史都被记录在案。商家有存档,电商平台有存档。有无良卖家靠炒作“零元购”“一元购”等方式,收集大量买家信息,然后再说无货退款。背后将买家信息拿去售卖。这些贪便宜的买家,不“矫情”,在收到骚扰时还不知道自己何时被卖的。电商离现金流更近,觊觎这些数据的眼睛更多。除了让自己暴露外,电子商务的物流属性,让你的家庭也被暴露在外。你买了杜蕾斯他们可以确定你不是单身;你买了贝因美他们知道你有小孩。更可怕的是,你的收货地址、姓名和电话几乎已经让你没有藏身之处。电商平台有,商家有,连物流公司也知道一个享受过他们服务的人住在什么位置。他们手中的掌握的这些数据,如果也被公开给第三方,被交易,被泄露,想想是多么可怕的事情。
四、如何应对暴露的未来
既想获得免费服务,又要最大可能保护自己,降低被侵犯的风险,在面临这个囚徒困境之时,我们普通用户该何去何从?笔者认为,首先要选择。选择信任的,愿意被其观察的眼睛。比如Google,我对其毫无防备和忌惮。其次要平衡。不将鸡蛋放到一个笼子里,多用些产品,风险自然会小些。最后要争取。互联网观察者、前辈洪波说,我们的隐私应该让渡,以获得更好的服务。诚然,欲先取之必先给之,只有给他们足够了解我们才会给我们更好的产品和服务。但是,我认为这两者,我们的隐私和他们的服务之间是可以找到一种平衡的。如同Chrome的开放体系。而这个平衡的形成,正是我们可以争取的。说白点至少第三方的监管体系应该尽快上来——不是CCTV的3.15这类。
在这一个人人充分暴露的时代,“人人自危”的时代,315晚会与315等同的时代,消费者话语权集体失声的时代,连关注自己隐私都被戴上“贱人矫情”帽子的时代。其实,我们更需要矫情。今天不矫情,明天成贱人。
类似的秘密我也有一个,而且不会对熟人亲人说起,会一直烂在肚子里。