企业和用户是时候面对数据隐私的现实-网络安全专区

企业和用户是时候面对数据隐私的现实

作者：邹铮/译编辑：董建伟 2014-11-05 00:00 IT168网站原创

　　《卫报》最近报道了关于匿名消息应用程序Whisper相当令人震惊的消息。Whisper主编Neetzan Zimmerman表示：“《卫报》犯了一个错误，他们会后悔的。”等一下，主编?为什么消息应用程序需要新闻职位?

　　该新闻媒体声称Whisper追踪用户，特别是有新闻价值的人，通常会获取和记录用户位置，而这些用户并没有选择该程序的位置功能以及与第三方共享数据，包括美国政府和军方。Whisper否认了所有指控，但后来从根本上更改了其隐私政策，并威胁《卫报》。

　　《卫报》的攻击和Whisper的防守主要归结为：汇总数据或者没有关联具体名字或电话号码的数据是否属于个人数据，因此没有发生隐私侵犯。很多人直观认为，个人数据收集公司是邪恶的。

　　对于提供某种产品和服务的公司及其客户之间最大的冲突是关于隐私。

　　但是，这种观点显然是错误的。科技公司不会要求入职的员工通过反社会的测试。道义上，他们是普通的人，而事实是显而易见的，不言自明。

　　换句话说，隐私的根本问题是，对侵犯或不侵犯我们隐私权做出选择的公司与其客户的信念有着直接矛盾。

　　对于下面这些问题，业界以及用户有着完全不同的答案：

　　1.用户数据属于谁？2.这些数据是否可以放心交给数据收集公司？3.用户协议和隐私政策是否体现对用户数据的有目的、实际或潜在用途？4.没有个人身份信息(例如名字、电话号码或电子邮箱地址)的个人数据是否属于个人数据？

　　如果你在数据收集企业中，这些问题的答案是1)归持有数据的公司所有;如果你是典型的最终用户，答案是1)产生这些数据的人。这些分歧是需要解决的根本问题。下面让我们分别看看这三个分歧点：

　　1. 用户数据属于谁?

　　当用户考虑应用程序收集的数据时(例如用户的家庭住址、当前位置、年龄等)，他们自然地觉得这些数据收集属于他们。但当一个公司建立一个网站和工具来收集这些信息时，他们自然地认为数据属于他们。这也是为什么公众对这些公司对数据的实际操作感到震惊的原因，以及为什么这些公司自己会对公众的愤怒而震惊的原因。对于这种差异，人们通常会归咎于用户。

　　2.这些数据是否可以放心交给数据收集公司?

　　每个人都相信自己，当涉及个人数据时，并不是这样。例如，用户不应该相信他们可以创造或记住密码。他们不应该认为其系统是牢不可破的，因为并不是这样。并且，他们不应该相信其他人的数据，例如通过电子邮件发送的数据。同样地，公司不应该认为自己可以正确处理用户数据，并认为只要其意图是好的，做什么都可以。公司不能假定其数据永远不会被泄漏、盗窃或滥用等。

　　3.用户协议和隐私政策是否体现对用户数据的有目的、实际或潜在用途?

　　技术领域最大的谎言就是最终用户许可协议以及隐私政策。可以说，只有不到1%的用户会真正阅读这些内容，而每个人都会点击称他们已经阅读和理解这些内容。让我们明确这一点：这只是公司为了避免未来刑事指控或民事诉讼的方法。因为没人阅读这些内容，公司可以对用户数据做任何事情，并且不受法律牵制。

　　企业认为通过这些文件他们不需要让用户知道他们在如何使用其数据。

　　4. 没有个人身份信息(例如名字、电话号码或电子邮箱地址)的个人数据是否属于个人数据?

　　Whisper很好地说明了公司可以做的事情和用户认为公司所做的事情之间的差距。大多数Whisper用户认为他们自己是完全匿名的，他们的帖子的短暂的，很快会消失。Whisper的匿名服务是基于这个事实，即他们不会保存你的姓名或电话号码。但他们收集的关于你的其他信息都会保存在数据库中，并已经存在两年。他们能够通过用户的位置和行为来识别用户。

　　在以前，如果一家公司知道你的年龄、性别和邮政编码，他们认为他们了解了足够的信息来想你推销东西。现在，地理位置等数据，以及你发布的内容以及联系的人都可以结合起来形成你的个人信息。通常情况下，公司通常会把这些信息视为非个人数据，而人们则视为个人数据。每个人都会同意，公司和用户对用户数据的意见达成一致很重要。

　　笔者提出的解决方案是，除了用户协议或隐私政策(从用户角度来看，这些只不过是将所有控制和权力从用户转移到公司)，这些公司应该提供关于下面四个方面的诚实内容。

　　例如，笔者希望看到公司要求用户在使用政策下方选点“我已经阅读并理解”按钮，使用政策的真实内容可能包括以下：

　　1. 通过这个应用程序收集的数据现在属于我们。我们将使用它用于实验、广告和其他目的，并且我们会与其他公司和政府共享数据。

　　2. 我们不能确保保护你的数据，在你与我们分享数据时请记住这一点。

　　3. 我们的用户协议不是为了与你沟通，而是在于保护我们自己。请注意，当你同意我们的协议时，你基本上为我们开了一张空白支票，让我们可以对你的信息做任何事。

　　4. 除非你是统计学家或者其他专家，否则你不可能了解通过各种看似无意义的数据碎片而获取的关于你的个人信息数量。可以说，这个数量很惊人。

　　事情应该这样，当然，永远不会这样。

　　个人数据收集公司并不邪恶，他们只是试图建立自己的业务，他们不可能不犯错，但也不是不道德的，但他们有时候也不道德。

　　隐私的问题并不是在于这些公司的好坏，而是这些公司对你的个人数据与你有着截然不同的观点。

　　隐私问题的解决办法是数据收集公司提供真实的完整的信息，用户基于这些信息决定使用哪些应用程序或服务以及公开哪些信息。