警惕中國的“棱鏡門”
隨著思科的卷入,“棱鏡門”事件再次升級。斯諾登揭露美國國家安全局通過思科路由器監控中國網絡和電腦,而除了以思科為代表的基礎設施外,微軟、Google和蘋果則掌握了中國的操作系統份額,這讓中國的互聯網顯得脆弱甚至不堪一擊。
更值得警惕的是,中國網民處于內憂外患的隱私環境之中。筆者日前已撰文《中國的“棱鏡計劃”會叫啥》分析國內潛在的監控問題。但也是點到為止,無法深入。中國的斯諾登還未出現,估計也永遠不會出現。
在斯諾登的爆料里,谷歌、雅虎、微軟、蘋果、Facebook、美國在線、PalTalk、Skype、YouTube等九大公司遭到參與間諜行為的指控,這些公司涉嫌向美國國家安全局開放其服務器,使政府能輕而易舉地監控全球上百萬網民的郵件、即時通話及存取的數據。
從涉事互聯網公司的情況來看,國內也有大量公司因為掌握著中國網民的核心數據,值得警醒。將九互聯網公司與棱鏡門相關的產品分門別類,可以分為IM聊天工具(PalTalk、Skype、Gtalk、MSN、iMessage,Yahoo!Messager)、郵箱(雅虎、美國在線、GMAIL、HOTMAIL、AOL)、社交網絡(Facebook)、存儲分享服務(Youtube、iCloud等)。他們都具備以下特征:
1、掌握海量用戶。除了PalTalk外,其他公司都具有億級別的用戶。Paltalk因為國際化和跨平臺的特征,雖然只有300萬用戶,也被卷入其中;
2、掌握個人數據。IM、郵箱、社交網絡、存儲分享服務等都涉及到大量的與人和賬戶關聯的私密信息。相關部門對隱私數據的覬覦正是互聯網公司卷入棱鏡門的根源;
3、全球化的市場。由于棱鏡門的監視的主要目標是境外用戶。因此九大互聯網公司無一不是國際化頗為成功的公司。
看回國內的互聯網公司,具有海量用戶的互聯網巨頭屈指可數。
老三大門戶新浪、網易和搜狐;新三大被稱為BAT即百度、阿里巴巴和騰訊;360依靠安全業務強勢崛起成為與QQ對立的另一個桌面帝國。不過社交網絡Facebook在中國的對應產品也依然是QQ,存儲分享服務在中國也是對應這幾個巨頭。
優酷土豆與Youtube不同,優酷土豆更多是一個視頻媒體,而不是分享社區。因此優酷土豆不太需要考慮。
還有一個產品無法缺席:YY語音。在多次社會熱點事件中起到聚集的作用而嶄露頭角。例如淘寶賣家集會聲討等。YY語音擁有4億注冊用戶,是一個不小的體量。
再看第二點隱私的個人數據。
新浪的微博一直是重點監控對象;
網易有占有率極高的郵箱和新聞評論系統;
搜狐旗下的搜狗則具備輸入法、瀏覽器等最靠近用戶的客戶端,搜狐自身也有郵箱、微博(基本可忽略)。
百度因為賬號體系建設不夠完善進而缺少個人私密數據,但仍然有大量的用戶行為數據,你搜索過什么,點擊過什么,搜索一下,百度知道。另外百度云的發力則讓其擁有更多的云存儲數據,包括文件、照片。
阿里巴巴則擁有涉及到國計民生的電商購物數據和信用數據,你買過什么,阿里知道。但從美國九大涉事公司不包括Amazon以及eBay,也可以看出電子商務數據的監控價值沒有其他幾類數據大。但一個人的購買情況、支付寶賬號、關聯銀行卡和收貨地址,也是可以追溯到人的極度私密數據。
而騰訊則是極為恐怖的掌握用戶極度核心私密數據的公司。你什么時候上過網、與誰溝通過視頻過、溝通的內容是啥、你的好友關系、你感興趣的群、甚至你有幾個QQ馬甲,QQ比你記得還清楚。除了QQ這一基礎IM外,與新浪微博已成抗衡之勢的騰訊微博、中國最大的社交網絡QQ空間、足有對傳統通信業務取而代之的微信、與QQ號天然綁定的QQ郵箱、與拍拍易迅等關聯的電商數據,都足以定位一個人并清查其歷史,分析其特征、了解其喜好。遠不止已于,QQ的賬號開放策略已讓其成為最大的第三方賬號體系。你在騰訊的生活被記錄,你在騰訊之外的生活,至少你何時通過QQ賬號登錄了什么網站,QQ也知道。QQ強大的賬號體系,讓其為用戶提供一站式生活的同時,也掌握了最多最私密的用戶數據。
360與QQ處于同等水平。如果說騰訊只是掌握了用戶的上網情況,360則掌握了用戶的一切數字生活。從你開機便殷勤地提醒你開機情況,上網有瀏覽器和360安全套裝為你保駕護航,360也有推出搜索引擎并正在大力建設自己的賬號體系鼓勵用戶登錄。當然,360的數字野心遠不止于此。最新消息則是360將發布其第一款硬件,有人說是360路由器,也有人說是360無線網卡。不論如何,360的數據野心已經從桌面延伸到設備了。一方面,360從設備層面保障用戶的安全,一方面,360也從設備層面獲得用戶的數據。最要命的是,360也曾多次被爆出收集并上傳用戶數據、泄露用戶隱私的行為。多家媒體曾曝光了360涉嫌泄露隱私的行為。筆者對此事持保留意見,但值得警醒的是:360具備這個能力。需要明確的是其有無動機和約束。
YY語音則有著大量的語音通信數據,與Skype相仿。而其聊天室功能帶來的集會功能則會加大其被監控的幾率。
層層剝開,可以看到國內在類似棱鏡門事件中,對幾大互聯網公司進行一個排名的話,騰訊和360極有可能成為重點對象。其次便是新浪和網易。接下來可能是YY語音。而搜狐、百度、阿里數據的監控價值則會小一些。
當然,筆者自始自終都沒說這些公司參與了類似棱鏡門的計劃。但互聯網公司應該警醒的是:一邊是強權,一邊是用戶;一邊是集體利益(如國家安全、社會治安、維穩任務),一邊是個人利益,企業的底線在哪里,又該如何守住底線?
國外互聯網公司雖然難脫干系,但部分做法仍然值得借鑒。
1、是時候修改用戶協議了。數據的所有權和使用權的問題仍然很模糊。但至少用戶應該具備數據使用的知情權:我的哪些信息被收集了、都被用在何處、我對數據有哪些控制權限、我的數據被可能被哪些人看到、我的數據究竟有多安全。但騰訊的注冊協議僅僅包括“未經您的同意,騰訊不會向騰訊以外的任何公司、組織和個人披露您的個人信息,但法律法規另有規定的除外?!卑俣鹊裙镜淖詤f議也是類似的簡單說明。除了過于簡單外,騰訊等公司自身如何使用和利用我們的數據,不得而知。而Google則在用戶注冊協議之外指定了專門的近五千字的《隱私權政策》。對于用戶數據和隱私相關的政策進行了周到詳盡的說明。
這背后體現的是Google等公司對用戶隱私的敬畏之心。有人說這是矯揉造作,不值得。但這如同消防問題,當你被要求參加消防演練時,可能覺得小題大做極不情愿,但不出事則已,一出事則后果不堪設想。
2、你們真的需要那么多數據嗎?有專家說用戶向互聯網公司貢獻更多的數據將獲得更好的服務。不無道理。可悲的是,用戶很多時候根本不知道自己的哪些數據被互聯網公司以何種方式收集了。例如Cookie、軟件使用數據、瀏覽器歷史記錄、LBS獲得的位置數據、手機通訊錄等。往往都是悄無聲息地被收集。連一個簡單的電子書App也要貪婪地獲得手機的所有權限并收集數據。你們真的需要那么多數據嗎?就算需要,何不公布你們都收集了用戶的哪些數據?
3、公布數據的分享和使用情況。我們的數據都給了誰?什么情況會給?這應該是所有用戶關心的問題。Google會記錄棱鏡及其他政府組織的每一次請求,以及Google是否授予信息、授予的信息內容、影響到的賬號數量。谷歌在每年出版兩期的《透明度報告》中發布按照相關法規被要求提供的用戶數據的相關情況。這一報告中,谷歌會列出它收到了多少要求其提交用戶數據的請求。這些請求來自世界各國政府。棱鏡門時間后,Google、Facebook和微軟等公司還在推動政府允許他們空開更多信息。在國內,似乎并無相關的涉及到透明度的報告。若要摒棄猜疑獲得信任,有且只有一種途徑:透明。同樣,也只有透明才可以起到監督的作用。
4、政府部門的雙重身份。有趣的是,政府部門在這個過程中扮演的角色往往是亦正亦邪。棱鏡門讓奧巴馬政府深陷輿論漩渦。但對企業的監管往往也需要政府相關部門出手。
期望以逐利為目標的企業的自我監管是天方夜譚。企業之間的互相監管、行業協會的第三方監管、社會媒體的輿論監管都不可或缺。例如360與金山便多次互相指責對方泄露或侵犯隱私,但除了引發口水戰甚至官司,或者成為競爭手段外,似乎并未推動整個隱私保護體系的建立。政府的參與,通過頂層設計,通過不斷完善法律法規,才可以從根本上起到監管的作用,避免企業對數據的收集、使用和分享太過膨脹。
例如美國加州早于2004年便已《網絡隱私保護法》。去年美國加州總檢察長卡馬拉·哈里斯(Kamala Harris)還與亞馬遜、蘋果、谷歌、微軟、RIM和惠普等6家大公司達成協議,以便更好地向消費者披露移動App相關的隱私保護措施。我們可以看到政府往往也起到了監督和推動隱私保護的作用。
凡事都有兩面性,隱私保護也不例外。公權力會敦促隱私保護,也會將觸角伸到用戶的隱私空間;企業可以利用數據來改進服務,也可能會將數據泄露甚至售賣。唯有透明化和配套的管理、監督制度,才可形成一個自我完善的平衡系統。這,也是這個社會運作良好的基礎。
作者為愛科技網創始人
評論
?? ?? ? ?? ?? ??