文 邱科星
网络信息的财产属性在大数据、云时代毕露无遗,商业的逐利本能和数据挖掘技术的日益成熟联手铺就了一条以牺牲网民隐私为代价的掘金之路
央视3.15晚会曝光了网易邮箱偷窥用户邮件内容,就此引发了公众对个人网络信息安全隐患的担忧。一时间人人为自己的隐私惶惶不安,一个广告公司、一个手机软件即可对你的个人信息和行踪了如指掌,人们还有什幺隐私可言?近来,甚至出现了个人网络信息泄露引发的敲诈和骚扰事件,但这远非问题的全部,冰山一角之下,个人网络信息的安全隐患超乎想象。
云时代凸显了网络信息的财产属性,商业的逐利本能和数据挖掘技术的日益成熟,为网络信息的攫取、整合、交易提供了主观动机和客观条件。当网民还为躲在马甲、用户名背后的虚拟空间肆行无忌、暗自窃喜时,殊不知追踪及窥探的触角早已使你无所遁形。当RTB(Real Time Bidding)为网络整合个人信息作为商品进行常态化交换流通提供了成熟商业模式后,对于网民来说,网络的透明化可能并不遥远了。
cookie追踪为网络产业谋利铺路
目前引发关注的身份证号、住址、手机、银行卡号等网站注册信息的泄露和非法获取、贩卖问题,多属于个人身份信息和涉及财产的隐私信息,此类信息泄露由来已久,在通信、金融、销售等领域也十分普遍,并非网络所特有,可以说是网络个人信息泄露的低级形态和初级阶段。而实际上,网络对个人信息的取得和利用早已突破了任何领域广度、精度和深度,因此,网络个人信息的安全问题也远远超过了人们的普遍想象。
去年方舟子大战网络巨头,今年媒体揭密360“癌性基因”,一方指控:“卫士”非法窃取客户隐私,一方反驳:同行雇佣打手造谣抹黑,不论是打假斗士仗义执言,还是竞争对手掐架火拼,网络商人们大规模获取和利用网民信息却绝非空穴来风。
相信经常上网的朋友都曾有过这样的经历,在某网站上浏览搜索了某个商品,当你进入其他网站网页时立即出现同样商品的广告。我们不禁要问:它们怎幺知道我想要什幺?答案显而易见,我们被追踪了。然而它们是如何做到的呢?通俗的说,雁过留声,人过留痕,网民也会在网络上留下“足迹”——cookie。所谓cookie是网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据。通过cookie,可以获知网民的网络行为。当然,网络追踪的手段不限于此,但毫无疑问网络追踪必然会获得网民的个人网络信息,其中当然可能包括受到法律保护的个人隐私。
在这个信息时代,信息是毫无疑问的稀缺资源,它在网络经济中的价值不言而喻。而大数据、云时代突飞猛进的数据技术为网络信息的普遍商业化利用提供了客观条件。以目前互联网企业的支柱性盈利模式——广告营收为例,建立在网络追踪和数据挖掘基础上的个人网络信息利用,使网络广告终于前所未有地接近了定向精准智能化投放——广告行业与生俱来而难以企及的梦想。仅仅这一点,便意味着无穷的财富。根据艾瑞最新发布的统计数据,2012年中国网络广告市场规模达到753.1亿,年增长率为46.8%,其中,百度以广告营收超220亿元居首,淘宝超170亿元,谷歌中国、腾讯、搜狐、新浪、优酷土豆、搜房等广告营收均在20亿元以上。这个名单几乎囊括了中国网络公司的TOPS。
对于网络广告行业而言,过去的一年又被称为中国RTB元年。RTB(Real Time Bidding),中文解释为实时竞价,是一种利用第三方技术在数以百万计的网站上针对每一网民的广告投放展示机会进行评估及竞价的技术。这一受到淘宝、谷歌、腾讯、百度等网络巨头竞相追捧的竞价系统实质是对网民个人整合网络信息作商品化交易的模式。具体而言,这个系统的实现需要以下几步:一、联合大量的网站加入建立网盟;二、通过cookie等在联盟网站上追踪和采集每一访问者(以网络IP地址区分)网络行为和数据;三、对收集的大量信息进行分析整合后,对该访问者的属性、偏好、购买力等作出结论;四、当该访问者进入任何一个网盟网站时,访问者信息将与拟投放广告进行匹配,并在匹配的广告中选择出价最高的广告向访问者投放展示,50毫秒内完成竞价交易。
我们的网络信息经过技术加工,脱去了青涩的自然状态,以具备使用价值和价值的完全商品形态出现,广告商待价而沽,广告主价高者得。
企业自推“禁止追踪”只是君子协定
然而科技的进步和商业逐利的本能,都不会让网络个人信息的利用止步于此。一个金灿灿的成功范例,必然使得效仿者趋之若鹜。客观上,网民也可能便利高效低成本地获得了需要的服务,但这并不是服务提供商们的目的,因此,它向你投放的不一定是你最需要、最合适的,而肯定是商人们获利最高的广告信息,同时,游戏广告、垃圾邮件等骚扰也会不请自来,如果不幸这些信息被犯罪分子利用,后果更加不堪设想。
统计报告显示已有70.0%网民对网络安全表示担心。顺应消费心理,去年微软、google、360相继宣布推出支持DNT的浏览器,一时间网民反响热烈。DNT,“DO NOT TRACK”中文翻译为“禁止追踪”,微软声称IE10“默认开启‘禁止追踪’功能”,普通网民对这样冷艳高贵的字眼,更是立即产生了仰慕和信赖,不少媒体竟打出了“做足隐私保护”的判断,殊不知所谓默认开启的“禁止追踪”功能和会议室贴着的“禁止吸烟”距离并不遥远,至少目前如此。
笔者下载了IE10浏览器,立即安装使用,但上文的“如影随形”依然固我。国双科技CEO祁国晟的话揭开了谜底,浏览器只是发送了一个“禁止追踪”的请求,但是否真正停止跟踪,还要取决于厂商,即这只是一个“君子协定”。在这个商业节操普遍脆弱的环境下,要求网络企业个个君子实在是奢望。但这位资深的网络人也表示“今天DNT还是一个协议,未来有可能真的会变成一个技术,这个技术会让所有做第三方跟踪的人更难做……” 他坦言,在不能追踪用户行为的情况下,知道他们是谁,他们在做什幺,这是DNT为整个数据行业、广告联盟行业提出的更高要求。
显然,似乎没有人关心用户是否愿意让别人知道他们是谁和做了些什幺。当网络信息技术不断发展和网络信息商业化利用模式日渐发达,放任网民的个人网络信息被多角度全方位扫描透视,我们可怜的隐私必将无处藏身。
笔者始终认为不论是秘而不宣的的隐私信息,还是君子坦荡荡的一般信息都属于网民个人信息,是选择更便利的服务还是更安全的信息状态,是一览无余,还是定点曝光,都应该是我的信息我做主。
而据艾瑞与腾讯联合发布的《2012年个人网络安全年度报告》显示,2012年有84.8%的中国网民遭遇到个人资料泄露、网购支付等网络不安全事件,总人数达4.56亿,共造成直接经济损失194亿元,人均损失553.1元。这只是目前的数据,可以想见随着网络实名制正在日渐推开,实名制和网络追踪相结合,可能导致个人信息泄露的灾难性后果。网络个人信息保护已迫在眉睫。
网络个人信息保护须各方合力
2012年12月28日,在舆论的热烈呼声下,《全国人民代表大会常务委员会关于加强网络信息保护的决定》出台,这是网络个人信息保护立法明确的前奏。该决定以梗概的方式指明了未来我国网络信息保护的立法、执法方向。对保护范围、信息收集和使用原则、网民知情权、实名制、垃圾邮件、短信等问题均有体现。
但是科技的日新月异,总是让立法捉襟见肘。对大数据、云时代,海量网络信息高速流动,即时分析挖掘整合,动态共享的现实发展,立法应该具有足够的前瞻性。纵观《决定》的全部12条,内容均可适用于任何线下环境的信息保护,对信息保护的网络特点和科技现状考虑尚不充分。未来的具体立法应该在此方面有所建树。当然,立法的滞后总是必然的,因此在执法监管上应该着力弥补,尤其是在立法循序渐进的过程中,执法的重要性更不可替代。目前个人网络信息泄露问题,与立法空白有关,但执法监管的懈怠也难辞其咎。
网络隐私的保护立法、执法固然必不可少,但最根本和有效的是技术措施。倘若技术上没有有效措施,完善法律及监管也只不过是一定几率下的事后矫正救济措施。亡羊补牢固然重要,但是毕竟迷失的羔羊恐怕找不回来了。技术措施则从源头上根本遏制问题的发生,也极大地减轻了法律和执法的负担。首先,应该大力研究相关信息技术,以便对数据获取、取得范围、存储方式、整合交易过程等进行规范有效的控制和限制;在此基础上,对于网络信息产业的服务产品推行强制行业标准,以便其在隐私保护和个人网络信息安全方面有效达标。
当然,这必然要求从业者加强行业自律。否则,魔高一尺,道高一丈,对于技术亦或法律的规则,总有各种规避方法。早在决定出台几年前,已有网站在其首页底部用四个小5号字的“法律声明”表示了对用户隐私的“尊重保护”。原文冗长晦涩,中心思想只有一条,网民一旦浏览网站,就视为同意被跟踪、搜集、利用个人信息。大部分网站,都会在被遗忘的角落为尊重客户隐私留下一席之地,具体内容也大同小异。当笔者终于看到有网站规则出现“我司也可能将这些信息披露给我司的广告客户 ”的表述时,简直惊叹于它的耿直。
其中一段这幺说:“……在您使用平台服务,或访问平台网页时,我们自动接收并记录的您的浏览器和计算机上的信息,包括但不限于您的IP地址、浏览器的类型、使用的语言、访问日期和时间、软硬件特征信息及您需求的网页记录等数据;……我司不会向任何无关第三方提供、出售、出租、分享或交易您的个人信息,除非事先得到您的许可,或该第三方和我司(含我司关联公司)单独或共同为您提供服务,……为服务用户的目的,我司可能通过使用您的个人信息,向您提供您感兴趣的信息,包括但不限于向您发出产品和服务信息,或者与我司合作伙伴共享信息以便他们向您发送有关其产品和服务的信息(后者需要您的事先同意)。”
此政策的点睛之笔在于“如果您使用我司平台服务的,您的使用行为将被视为对本声明全部内容的认可”。当网民与其素未谋面之时,它的存在就自证其已获得了首肯。如此自攻自受霸气侧漏的条款,其正当有效性固然是一个需要讨论的问题。但从形式上看,的确是满足了《决定》“明示收集、使用信息的目的、方式和范围”和“公开其收集、使用规则”的要求。而且即使要求网站于网民每次访问前明示提醒,但现实是绝大部分人会一键认可,甚至少有人把规则看完。
网民加强信息安全的自我保护意识,显然十分重要。以cookie追踪为例,技术上是可以禁止的。但对于普通网民来说,专业信息的不对称,复杂的术语和操作往往使他们无从了解自己的权利和风险。对以此牟利的网络经营者来说,法律无疑应课以更重的责任。除了明示告知信息收集规则,更应强制要求其为用户提供拒绝追踪最便捷的技术服务,例如在浏览器或者网页的显着位置提供cookie一键禁用等安全服务,否则其将不得进行对相关信息任何形式的收集和利用。网民可以说不,这才是货真价实的“尊重保护”。当然,在没有一键开启的神器时,小白们不妨手动作业,百度百度,如何妥善保管个人信息,登陆安全网站、安全退出,删除“足迹”……毕竟,自我保护,尚需从自己做起。
