編注:我們會不定期挑選 Matrix 的優質文章,展示來自用戶的最真實的體驗和觀點。 文章代表作者個人觀點,少數派僅對標題和排版略作修改。
在資訊時代,談論「隱私」,常常讓人陷入一種無力感:
隱私保護年年說,但是我們的資訊全世界早就知道了,電話推銷的都能準確說出個人資訊。 大數據時代 / 網路時代沒有隱私。 你做什麼人家都知道,沒必要再費這些勁兒,沒必要。
類似的說法屢見不鮮,它們正在逐漸影響我們的態度——我們不再主動防護隱私,而是開始形成一種「隱私已死」的悲觀認知,接受一種「反正都這樣」的麻木。的確,資訊時代的隱私風險就好比工業時代的污染風險,無法徹底消除。但是正如環保不是要求我們回到前工業社會一樣,隱私也不應該是一個非 0 即 1 的開關,我們應該認識到我們可以選擇擁有多大程度的隱私。而我們可以擁有多大程度的隱私,取決於我們如何理解並行動。
在開始之前,有必要先澄清幾個常被混淆的基本概念:
隱私:是指不願為他人知曉的私密空間、私密活動、私密資訊。隱私得到保護意味著,只有經過你允許的主體才能查看你願意共享的那部分個人資訊。
安全:在這裡我們特指資訊安全。是指通過採取必要措施,確保數據處於有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。
匿名:是指個人資訊經過處理無法識別特定自然人且不能復原的過程。
這三者雖然相關,也涉及到一些重疊的領域,但並不等同。我也曾覺得這些名詞定義晦澀難懂,但後來我發現,通過類比成線下生活中的一些案例來理解會好很多,我把它稱為現實類比法。在本系列文章里,我會多次運用這個好用的方法。接下來,我將以四個常見認知誤區來展開。
誤區一:看到個性化內容說明自己被監控了
一個傳播很廣的話題就是「手機偷聽」,相關方面其實有很多人從技術和成本層面解釋了通過麥克風竊聽並收集用戶偏好既不可行也沒必要。監管機構對此進行的調查也證實,對於大多數的主流 App,都不存在麥克風權限濫用的情況。總之,有必要再次闡明的是,在隱私保護法規日益完善的當下環境,看到精準的個性化內容,不等同於相關主體直接接觸到了個人資訊。
Photo by Laura Chouette on Unsplash
讓我們先一步步剖本溯源,App 為什麼要推送個性化內容呢?App 是要盈利的,那如何盈利呢?傳統且常見的網際網路公司的打法是「免費 廣告」,用免費使用的模式吸引用戶,有了用戶流量後,從在 App 上投放廣告的企業那兒收取廣告費用。
比起向所有人統一投放廣告,向感興趣的人定向展示相應的廣告,效果會好得多;廣告效果越好,廣告主就更願意出錢投放,App 從中獲得的收入也就越多。而個性化程度做得越好,廣告效果就越好。
為了提高個性化程度,最直接的辦法就是讓用戶直接說明:我是男性還是女性、年齡大致在哪個區間、平時更喜歡哪些內容(例如數碼、母嬰、遊戲、財經)、有沒有孩子、用的是高端手機還是入門機、喜歡網購什麼品類、是否常看短影片或聽播客、有沒有健身、旅遊、養寵物等行為偏好……
不過,這樣子看起來像在讓用戶做調查表,用戶大概率沒有耐心勾選一份有著幾千個標籤選項的表。那就利用算法來自動打上標籤好了,比如用戶給 App 填寫的數據就可以先扔給算法,打上一些標籤進行初步的分類;用戶按贊了某篇文章,App 把這篇文章的標籤也給這名用戶加上;用戶付款了,App 會看看這個商品在我們的分類表中是屬於哪一類的,把這個類別標籤給用戶加上……隨著用戶使用的不斷深入,個性化推薦的內容也會越來越精準。
等等,那個人資訊呢?嗯,好問題,我們的用戶太多了,我好像不記得這位叫李大明還是李明的用戶,到底是住在 X 市的 A 小區還是 B 小區了,也不記得買的到底是 C 品牌的登山鞋還是 D 品牌的登山鞋了……不過,管他呢,我們去弄清楚用戶住 A 小區還是 B 小區、買 C 品牌登山鞋還是 D 的有什麼意義呀?我們已經知道用戶可能對登山鞋感興趣,那我們就優先將登山鞋的廣告推給他,嗯再看看有沒有發往 X 市包郵的,優先推送。
我們可以看到,平台對個人資訊的貪婪並不是個人資訊本身能讓平台盈利,而是通過個人資訊構建更精細的用戶畫像,利用畫像來優化廣告投放成效,從投放廣告的企業那兒賺錢。
而出售個人資訊是無可爭議的侵犯公民隱私的違法犯罪行為,絕大多數合法經營的企業不會這樣做,也沒有必要。比起幾毛一條的個人數據,為什麼不多吸引一些企業來投廣告呢?
換言之,獲取用戶畫像就足夠了,理論上沒必要獲取個人資訊。但是從用戶體驗的角度出發,沒有用戶願意一點開應用的第一件事就是做一份冗長的調查表,將幾千個標籤逐個檢查、勾選。因此通過行為算法來判斷不僅更高效,對於用戶的體驗也更好。
當然,並不是說隱私風險就和網際網路平台方無關了。儘管平台方也好,廣告投放者罷,對於用戶個人資訊本身都沒有興趣;但是由於平台要考慮用戶體驗,且用戶喜歡便利,確確實實提供了個人資訊,上傳到了平台方伺服器上。
如果平台方採取了安全可靠的數據保護措施,根據前文我們的定義:「實現隱私是指確保你的資訊只能被你允許查看的人查看」,此時此刻我們的隱私並沒有受到侵犯,因為只有我們允許的平台使用了我們允許用的資訊。
但如果平台方的數據保護做得不夠好,數據被竊取,那麼此時此刻,這些個人資訊便被沒有授權的人看到或使用,此時此刻用戶隱私便受到了侵犯。
也就是說平台對用戶數據的保護十分重要,個人對此能做的事不多。但是我們可以減少給平台提供資訊,減少資訊授權,減少授予的手機權限、減少攻擊面、選擇可靠的大平台等等。但很可惜的是,很多人抱著「躺平」「嫌麻煩」的心態不願意關注這些操作,相當於是把本就不多的能控制的東西棄之不顧。
小結:個性化推薦靠的是「畫像」,而不是「偷聽」。
誤區二:在別處看到搜索過的東西說明被監控了
但你可能還會有疑問:「為什麼我在一個平台上搜了個商品,另一個平台馬上就給我推相關廣告?這難道不是在監視我嘛?」說實話,對於大多數用戶來說,其實不反感這種個性化的內容,只是反感由此產生的「被監視」的感覺。但如果我們類比一個線下的例子,或許會心安很多。
比如我習慣去同一家理髮店約同一名理髮師,由於之前我們進行過交流,理髮師已經了解了我偏好的髮型,在之後理髮前就不需要過多贅述,理髮師會默認按我的喜好去修剪。這就是一種個性化,但理髮師其實並不知道我的姓名(填的化名),不知道我的住址,不知道我的身份號碼等等。
在一些業內文章里,有人梳理過個性化讓用戶產生「被監控」感覺的原因:
即時性太強。比如用戶剛剛在小紅書搜索了火鍋,在大眾點評上立刻就能刷到火鍋店推薦。
資訊利用的顆粒度過細。比如在霧霾天看到電商 App 上關於空氣淨化器的推薦內容。
上下文定向廣告禁止限制不足可能超出某些用戶的預期。
我認為這裡面的第一點其實和第三點反映的核心問題是一樣的。對於第一點,我覺得關注的重點錯了,關鍵並不是「時間」,而是「位置」,即第三點所述「上下文定向廣告禁止限制不足可能超出某些用戶的預期」。再次運用現實類比法,想像一下,你到一家某手機店購買了某品牌手機,店員順便向你推薦了對應型號的手機殼膜。
這種情況對於大多數人而言可能不會感到太冒犯,不想加購直接拒絕就好。但是如果我們將買到的新手機揣進兜里,走出店門,沒走幾步就遇到了一名陌生人向你兜售同型號的手機殼膜,那你會不會覺得毛骨悚然、不寒而慄呢?天啊,太可怕了,這個人是不是一直在跟蹤我的行程?
配圖來源:ChatGPT
注意到了嗎,這裡的關鍵在於「跨主體」。在沒走出店門前,店員如果向我推銷對應型號的手機殼,我們不會覺得被跟蹤。因為這發生在同一家店,我們在這名店員眼皮子底下買了這款手機,所以店員知道我買了新手機以及新手機的型號是再正常不過的事情。大多數人確實習慣買了手機之後再購買對應的手機殼膜,那店員看見你買了這款新手機,順帶推銷一下對應的殼膜,也是再正常不過的事情。
而一個街上突然冒出來的陌生人,他怎麼能知道我買了手機?他怎麼能知道我買了這個品牌、這個型號的手機?顯然,陌生人和店員是兩個不同的主體,要麼前者一直在偷偷跟蹤我,要麼是後者把我的資訊共享給了前者,總之個人資訊或根據個人資訊構建的個人畫像發生了跨主體共享。通過延遲推送相關內容並不能根本上解決這種被跟蹤感,這相當於第二天你剛走出家門就看見推銷手機殼膜的陌生人一樣,只不過是延遲恐懼罷了。
對於第二點,資訊利用顆粒度過細而言,我覺得這更多的是很多人對於隱私風險的認知與掌控不足。平台知道用戶所處地區的天氣狀況,是因為通過GPS定位和IP位址了解了用戶的位置。這種權限很可能就是用戶在不知不覺中授權的,而且平台往往有十分正當而又貼心的理由,像是「授予定位權限,可以在下單時更快捷地輸入收貨地址哦」。
但在其隱私政策的某個位置里,平台會明確地寫出會「利用……GPS(如有)資訊,提供個性化的廣告體驗」。有點兒類似於打了個資訊差,很多人只想到了給定位權限方便自己填寫收貨地址,並且也以為平台只是將其用來快捷地得到收貨地址,沒有意識到位置資訊對於個性化廣告的價值,也沒有聯想到會被用於日後的某一個霧霾天,恰到好處地給你推送空氣淨化器。
除此之外,還有很多零零碎碎的資訊,比如 Wi-Fi 的 MAC 地址、藍牙標識符、手機型號、運營商、陀螺儀、高度計等等,單獨拿出來似乎想不出有什麼用的資訊,結合起來卻可以把用戶的畫像描繪得越來越栩栩如生。當然,並不是說這是用戶的錯,軟體方往往也不會將這些細緻的權限每一個都單獨提供「選擇退出」的選項,也需要承擔一定的責任。
小結:「跨主體」共享與拼接畫像,才是被跟蹤感的真正來源。
誤區三:實名制就別想有什麼隱私
說到「身份識別」,很多人會聯想到「實名制」——但實名就意味著隱私消失了嗎?沒有。這種是典型的把「隱私」與「匿名」概念混淆的情況。「匿名」是指沒有長期穩定的可用於識別的唯一身份。以線下場景的刷臉支付售貨機為例,假設售貨機只需要識別出「某張臉」即可,不進一步核實是否真人,對應的身份證資訊等個人資訊。這種情況下,我就算錄入一個帶著白色假面的面容,也可以完成刷臉支付。售貨機完全不考慮是不是假面,也不考慮面具下的真實面容和真實身份是什麼,僅僅是識別到了曾經錄入過的「白色假面」的圖像資訊,就自動使用該「白色假面人」的賬戶付款。
下一次我可以不再使用白色假面,換一個新賬戶,錄入藍色的假面,再次付款。此時售貨機不知道我使用了兩次,只知道之前的「白色假面人」很久沒來過消費了,倒是來了一名戴藍色假面的「新用戶」。此時就實現了「匿名」。
配圖來源:ChatGPT
但在現實中,別人可能會仿造白色假面盜刷我的賬戶,出於安全考慮,此類涉及錢財交易的場景會要求進行實名(當然還有金融合規等其他原因,這裡不加以展開),通過獨特性很強的瞳孔特徵,以及真人活體檢測等手段來防止別人盜用面容。
此時就沒有實現「匿名」。但同前面說的類似,售貨機關注的是可以和其他人區分開的獨特瞳孔特徵,並無意使用面容照片本身。這種情況下,售貨機知道這是一名獨一無二的顧客,可以根據消費次數、購買歷史記錄來給我加標籤,以及提供個性化服務。但只要售貨機沒有把我的獨特面部資訊或者面部照片共享出去,也沒有被他人侵入系統盜取面容資訊,那麼還是滿足隱私的定義的。
小結:實名並不等於隱私不存在了,關鍵要看個人資訊是否只被獲得授權的主體所使用,且被妥善保護。
誤區四:隱私只有 0 和 1
很多人在見到資訊泄露的事件後,會產生極端化的想法:要麼完全透明、徹底躺平;要麼徹底斷網、與數字世界隔絕。這種思維背後,其實是把隱私看作「全無或全有」的開關。
你可能注意到,前文反覆出現了類似的表述。我們為了讓某網路平台提供相應服務,在該平台上登記了個人資訊,但並不等同於整個網際網路就都能看到、能使用你的個人資訊。你的資訊首先是進入對應平台的伺服器中,但由於平台的數據安全保護措施的漏洞,平台以外的第三方非法獲取到了平台伺服器里保存的個人資訊,也就是發生了數據泄露。當然,很多時候我們也稱為「泄漏隱私」了,這種表述進一步混淆了隱私的概念。
實現隱私是指確保你的資訊只能被你允許使用的人使用,好比是你可以自由選擇朋友圈的資訊「公開可見」還是「僅好友可見」,或是更精確地控制「誰可以看」「可以看的範圍」等等。
不存在 0% 的隱私,因為我們不會不穿衣服,我們不會口無遮攔,我們不會把銀行賬密公開發到網上。我們不能因為別人開著燃油車而不是電動車就評價別人沒有環保意識,我們也不能因為見到個人資訊泄漏事件而徹底躺平,不再採取保護隱私的措施。「大數據時代沒有隱私」的論調是站不住腳的。我們不能因為過去做得不夠好而放棄繼續努力。
Photo by Dmitrii Vaccinium on Unsplash
小結:隱私不是全無或全有的開關,而是可以主動選擇的一個舒適區。
結語
到這裡,是時候再次對開頭的問題作出回應了。環保意識之所以普及,不是因為某個個人的行動就能逆轉氣候變化,而是因為我們逐漸意識到自己的行為有意義,並且有責任這麼做。隱私亦如此,我們無法確保 100% 的隱私,也不可能躲進沒有網路的山洞裡與現代生活脫節,但我們可以更了解隱私的運作邏輯,可以選擇讓渡多大程度的便利,換取多大程度的隱私,以達到讓我們兼顧便利與隱私的舒適區。
通過增加對於隱私的理解與認知,我們更好的保護隱私。儘管作為個人,能做的似乎不多,但做了總比沒有強。我們不是只能悲觀躺平的透明人,而是可以主動調節自己隱私舒適區的行動者。悲觀者所提的「隱私已死」,如今或許可以換一種說法——隱私,從認知開始重建。
在下一篇文章里,我會嘗試搭建一個「隱私威脅模型」,針對常見的一些隱私威脅,提出一些可操作的增強隱私的方案。
https://sspai.com/post/102268?utm_source=wechat&utm_medium=social
