信息泄漏 隐私公约已成摆设

美国技术人员对于互联网的理念中充斥着言论自由。而从创业者成长为信息时代的超级大亨,很多人所作的就是建立网络上的沟通平台,然后靠出卖用户信息给广告商来致富。如果你深入研究,你会发现究其根源,他们的理念都是言论自由。不论他们发现了什么,都可以拿出来自由共享。对于这些人来说,隐私已经成了信息时代一个过时的名词,一个不真实的幻想。Facebook 创始人Mark Zuckerberg 用不同的方法证明着这个事实,Google 更是从根本上体现了互联网的这种特性。

  互联网企业的这种言论自由的理念与政府提倡的隐私保护理念是完全对立的。但是政府特工人员在面对隐私这个问题时却总是表现出与Zuckerberg的隐私概念类似的观点,只不过这些特工人员的作为更加阴险和令人不安。Google通过越来越广泛的业务,不断扩张自己在互联网上的地盘,尽可能获取服务覆盖范围下的所有用户的信息,而政府的一些活动却完全游离在合法与非法的边界上,比如当年布什政府曾爆出的国土安全局窃听丑闻。

  虽然都是以收集信息为目的,但是互联网公司和政府的行为依据却截然不同。Google, Facebook以及类似的互联网服务企业,会采用隐私条款的方式,在用户注册网站或使用服务前必须签署该条款,从而让企业能够名正言顺的收集和使用用户提交的全部个人信息。在面对社会上有关隐私问题的质疑时,这些企业都会拿出这个用户签署过的隐私条款,为企业的信息买卖活动进行辩护。相反,对于政府来说,由于没有类似的经营目的,因此也不必提供什么隐私条款。而由于政府特工活动的紧迫性和重要性,使得他们必须忽视任何可能影响行动的关于公民隐私的限制。一般来说,这样的政府行为发生在诸如反恐战争,毒品战争,或其它所谓的某某战争条件下,根据政府的相关政策需要”牺牲”普通市民的某些权利。

  不论是企业还是政府,收集和利用用户隐私信息的行为都可能激怒用户,而他们能够收集和利用这些信息,是与用户或公众签订了某种协议为前提的。

  在企业收集隐私信息方面,企业是采用含蓄和公开兼容的方式,即用户隐私条款。这个条款其实是用户通过放弃隐私获取企业提供相应服务的条款。实际上,通过这样或那样的方式利用隐私信息,是信息时代企业的一种商业模式,也是企业提供服务给公众的必要回报。

  而政府对于公众隐私信息的收集,从来都是含蓄的。而这种活动绝大部分时候都不是公众自愿或能察觉到的,但又属于一种长期存在的社会公约。这种公约是不可废止的,并且是从公民出生即假定其同意该公约的。打个比喻,政府是父母,公民是子女,父母总是会用某些方法偷偷查看子女的隐私,就好像每个家庭中常见的现象一样。而这种公约中,也存在着一种交换,但是这种公民付出的(或者更准确的说是被政府获取的)与政府给予公民的(安全,自由,社会福利等)并不是很对等,甚至值得怀疑。这种包含被迫的信息投资与并不确定的投资回报的社会公约,在政府的威严性以及公众对其必要性的认可下,被大众消除了。

  但不论是企业还是政府,协议都是关键性的。没有这种假设的协议,就不会有人对这种不断发展的隐私收集和利用情况坐视不理。

  而事实上我们处在了一个没有选择的世界。我们从一出生开始就假定同意了已经存在于这个社会上的种种条约和协议,而要想彻底摆脱这些协议,就必须明确的脱离社会。但就算脱离了出去,信息的泄漏也已经是成为既定事实了。因此我们面对的问题是,面对现状该怎么去做。

  上世纪九十年代,解密高手给出了一个办法。当时急速扩散的隐私技术使得人们毫无隐私可言,除非脱离社会,实施自我禁闭或自我放逐。而九十年代出现了一个巨大的进步,关键事件就是Philip Zimmerman发明了一种叫做Pretty Good Privacy(缩写为PGP)的加密工具,同时它也分散了法律风险。所谓法律风险是说,当时美国政府出于出口的目的,将强壮的密码技术进行了等级分类,作为一种技术武器。

  从此以后,加密技术变得无所不在,并且非常必要。银行,IRC聊天服务器,电子邮件服务器甚至Wikipedia这个”互联网上任何人可编辑的免费百科全书”,都为用户身份的验证和用户间的沟通提供了加密连接模式。有很多因素导致了这样的结果,最直接的因素是网民对于日常连接提出了越来越高的安全需求。当然,我们还没有实现上世纪九十年解密高手预测的,全面加密化的网络。HTTPS是我们当前最主流的Web加密协议,而其所依赖的证书授权机构正在遭受越来越多的黑客的攻击,这个本应安全的方式现在也变得不那么安全了。另外,大部分都没有使用OpenPGP 和 S/MIME协议保持他们的数字化通信安全。而目前一些流行的安全软件所提供的隐私加密技术,在解密高手和安全专家眼中都是脆弱可笑的。

  建立和维护真正的隐私是需要采用用户可控制的隐私技术的。这需要对大众进行信息安全方面的教育,让大众真正在意自己的个人信息。另外还需要开发出与之配合的技术,不是那种”可以工作”的技术,而是”人们愿意采用”的技术。最重要的是,既得利益机构必须防止散播隐私的技术继续发展,比如政府必须撤回反隐私法,因为这个法案会让所有提高公民隐私保护水平的努力都无法实施。此外,政府在判定犯罪嫌疑人是否有罪时采用的是”无法证明无罪即有罪”的原则,这使得那些希望保护自己隐私的犯罪嫌疑人不得不将自己的隐私公开,以证明自己无罪。这种法律上与保护隐私相抵触的情况,是整个社会需要去克服的难题。

  在信息时代的隐私保护条款,即我们必须放弃隐私才能获得自己需要的产品或服务,而所放弃的隐私的价值可能远高于获得的产品或服务,这实际上使得隐私保护条款变成了毫无隐私保护作用的虚幻条款。目前的事实是,收集信息的人更有可能证明他的行为是合法的,不论他采用的是什么方法,而作为普通大众的我们,甚至不知道谁在收集和利用我们的个人信息。而我们重新获得自己隐私的控制权,只能依赖更合理的法律和用户能够自我控制的隐私保护技术。换句话说,开放源代码的加密软件很可能会成为提高公民隐私保护能力工作中的重要环节。

  另外,要改变政府的政策,使我们的隐私得到保护,最重要的不是让政府限制搜查和拘禁,比如限制窃听活动,而是要迫使政府撤回有关隐私技术的限制法规。如果你是一个提倡保护公民隐私的活动家,你所要做的大部分工作毫无疑问应该是鼓励那些基于开放许可证的隐私保护技术的开发,以及消除政府限制公民隐私保护技术开发和散播方面的法律法规。

  如果真能做到这些,我们就能开始考虑”让每个人真正获得有保障的隐私权”的具体步骤了。到了这一步,我们就有能力与那些曾经的个人隐私搜集大户们重新敲定新的隐私协议,而这一次我们手中的工具已经能迫使新协议满足人们保护隐私的需要,防止隐私搜集者们肆意搜集和利用我们的隐私信息。