廉價的透明,昂貴的隱私/Danny Lin

近年來,隱私權受到許多人重視;雖然這個權利未必會載入各國憲法獲得保障,但在許多先進國家,也逐漸發展成受到各種法律系統保障的基本權利。原因正是個人權利逐漸受到重視,更因為隱私權與個人人格發展的完整性與尊嚴,都有著很密切的關係。

聯合國在頒布的《世界人權宣言》中明確定義:

任何人的私生活、家庭、住宅和通信不得任意干涉;他的榮譽和名譽不得加以攻擊。人人有權享受法律保護,以免受這種干涉或攻擊。

在網路上,隱私權與個人安全一直是個熱門的話題。我們常討論的網路隱私權,其實可以有不同層次的探討;其中最基本的隱私權概念,可以限縮到「在網路上所留下的足跡是否被追蹤」這個環節。

如果個人在網路上的使用軌跡、或是搜尋拜訪記錄,都沒有受到基本的保障,那麼任何第三方可以從這些記錄關連到個人的資料,那麼隱私權就已經受到侵犯了。

GDPR出爐後,歐盟率先對於居民個人關於數據保護和隱私的規範,都有了比較完整的設計;從法務層面規範了「暫時受託管理」個人資料的企業,至少對於歐盟人士個人資料的收集、使用,以及個人權利等等,都做了比較完整的保護。

許多大企業(特別是全球性的企業),為了因應這個法案的推出,重新盤點了自己對於使用者資料的收集與處理方式,以確保在系統面、執行面都符合這個法案的規範。

這是一件好事,但許多沒有進入歐盟市場、或是覺得自己「應該不會有歐盟使用者」的公司,對此可能仍心存僥倖;即使目前的設計並不完全符合這個規範,但仍然持續營運。

隱私權的認知

網路上有很多人在討論這個話題,但絕大多數人都存在錯誤的認知與誤解。

比如「Google比較安全」、或是「Microsoft比較安全」。

實際上,這個認知的答案是「yes and no」。

Yes:

因為他們是大公司,所以有相對多的資源做好使用者隱私保護。

但這並不是絕對的。就跟寫程式一樣,絕對沒有一個工程師敢說自己寫的程式不會有臭蟲。幾年前,Apple的iCloud服務也出過問題、Facebook 去年四月才發生劍橋分析個資外洩事件。

從事件中我們可以發現,出問題的都是大公司;他們也都盡量做好了防範,但仍然有其他第三人覺得這些資料非常有價值,因此透過其他方式(例如「社交工程」就是常見的一種手法)侵害了使用者的隱私。

No:

在技術層面上,公司大小跟是否絕對安全,理論上並沒有必然的關係。系統的安全與否,跟公司採取了什麼樣的設計與防護、以及在遭受到攻擊時如何應對有關,但與公司規模大小不一定是正相關的。

此外,我們對於安全的認知也往往是錯誤的:系統上的安全,只有「完全不存在安全議題」時,才是真正的安全;把這個說法延伸一下,就是如果你不使用一個服務,當然就不會因為這個服務可能有漏洞,而造成損失。

當然,很多人寧可相信,大公司有相對多的資源可以做得更好。這個信仰會戰勝一切。

不過,即使相信「大公司絕對安全」的人,可能也忽略了一點:

我們在使用瀏覽器、任何軟體程式,甚至是作業系統時,實際上不也是把自己的個人資訊託管給這些公司嗎?

在這些公司的隱私權政策規範下,我們選擇相信他們會扮演好「善良管理人」的角色。

「善良管理人」是一個法律名詞。在民法上,「善良」二字並不是指出於善意或心地善良,而是表示「良好的、適格的」,也就是客觀能力上的良善;同時,這個良善指的是「相對於一般人的合理注意義務」。

也就是說,我們相信大企業在保護我們的隱私方面,「理應」已經做好了該有的防護;所以絕大部分的情況下,他們都不是故意讓我們的隱私受到傷害,所以這一切可以說都建立在「信任」上。

「信任」是心理層面選擇認同與寄託,而不是技術上真的可以做到滴水不漏、絕對不會出包。

因為,絕大部分人對於「萬一出包」的情況,心裡頭想到的都是相對應的保險措施,像是「大公司出包時,我們可以告他們求償,如此而已」,但那也只是事後的補償措施了。

Facebook的劍橋分析資料外洩事件

Facebook在2018年四月發生了劍橋分析個資外洩事件;由於這個事件的影響範圍甚廣,因此受到許多網路使用者的極大關注。

事實上,在這個事件發生之前,Facebook和其他大大小小網站發生類似的密碼、隱私外洩的事件不勝枚舉,只是時間一過,我們便淡忘了。

在Facebook發生這個外洩事件前,我們曾經懷疑過它嗎?或許有,但絕大多數人選擇每天繼續使用,這表示很多人選擇了信任Facebook。

發生了劍橋分析個資外洩事件後,很多人選擇轉移陣地,轉而使用Instagram;但諷刺的是,同時也有網站做了調查,結果發現絕大多數的美國人並不曉得這也是Facebook旗下的公司

現代大型企業的跨國、跨界投資非常多,如果不是「業內人士」,通常不會特別去關注這些消息;所以,一般用戶不曉得其實是很正常的。

對於我們的隱私資訊,我們可以相信Facebook是個「善良管理人」嗎?目前仍然有許多人持續使用Facebook,所以我們可以說,很多人選擇相信Facebook是一個善良管理人;至少,在劍橋分析個資外洩事件前,絕大多數的Facebook使用者是選擇信任的。

Facebook善盡了「善良管理人」的責任嗎?

只是在發生這個事件之後,使用者情緒上的反應、Facebook的應變處理方式、以及媒體的報導,讓這事件成了焦點,於ˋ是選擇懷疑的人也變多了。

然而,我們應該因此懷疑Facebook沒有善盡「善良管理人」的責任嗎?

就結果來看,Facebook的確有疏失,但同時他們也做了某些補救措施;就善良管理人的角色來看,他們其實已經在「應防範而未防範」層面盡量做到保護了;但是,總是會有漏網之魚(shit happens every day!)。

這個事件最大的影響,並不是Facebook短期股價的波動或受到質疑,而是隱私的問題躍上檯面,成為大家關注的焦點。

包括Google在內的幾家大企業,都選擇趁當時表明自己的態度、說服大眾自己會扮演好善良管理人角色。因為在這種事件發生時,Facebook成了人人喊打的小偷(雖然實際上不是Facebook幹的,但這個疏失的確影響廣大);所有在街上(網路上)的公司基本上也被認定為小偷。

我們可以這麼說:只要沒有站出來舉著牌子說「我不是小偷」的公司,非常可能就被一般使用者默認為小偷了。

於是,當這個事件逐漸沈澱之後,我們又回到了先前「選擇相信」的狀態。

大部分人不會留意的隱私層面問題

另一個層面的「隱私」,屬於技術層次的探討,這並不是我想在文章中深入探討的部分;不過有幾個顯而易見、但一般人可能不會留意的問題,值得我們特別注意。例如:

  • 每個網站如何記錄與使用Cookie

  • Cookie裡頭存了什麼樣的資料;

  • 網站是否把你的資訊交付給第三方應用。

這些資訊的記錄與處理,都應該規範在網站的隱私權政策中;因為所有的使用者都有權利知道,在使用網路服務時,有哪些隱私資訊是可以選擇信託給這些服務公司的。

網路服務上對於Cookie的應用,大致上分為兩種:

  • Session cookies:有人翻成「會期記錄」,但比較精確的其實是「使用階段記錄」,這種cookie只在用戶使用這些服務的階段存在。通常善良的網站會用它將使用體驗做得更好;例如在切換不同頁面時轉移資料,讓你不必在第一頁填了資料,到了下一頁還要重複填寫一遍。這種cookie通常在使用者關掉瀏覽器視窗後,就會立即刪除。

  • Persistent cookies:這是一種「持續性記錄」,通常會一直儲存在你的電腦裡頭,直到設定的期限到了才會被刪除。例如已經登入過的網站,下次再瀏覽時,還可以維持再登入的狀態;直到設定失效的期限到了才會被刪除,到時候用戶就會被要求重新登入一次。

其中,Persistent cookies通常潛藏最多問題。例如你可能有過這樣的ˊ經驗:在購物網站瀏覽過某個商品,接著你到了另一個網站,卻發現網頁上的廣告顯示了先前那個商品、或是相關商品的廣告。

編按:關於Cookie和Session的觀念,可以參考這篇非技術人員也能理解的〈白話Session與Cookie:從經營雜貨店開始〉介紹。

碰到這種狀況,很多人當下是很驚訝的問「我被追蹤了嗎?這個網站怎麼知道我先前看過什麼商品?」DoubleClick這家公司,以前就是以這種廣告追蹤與遞送方式著稱,但後來在2008年被Google收購了。

個人資料的追蹤

另外一個技術層面的問題,跟雲端技術、行動裝置、以及個人服務的興起,都有很大的關連。

很多公司所提供的產品,往往不僅限於在單一平台上存取;為了讓使用者在跨平台、跨服務、跨裝置時的使用體驗更好,必須要「記錄」[footnote]這個詞如果用英文來看就是「tracking」,也可以翻成「追蹤」;但對於中文使用者來說,「追蹤」在心理層面上的意義更強烈些了。[/footnote]一些資訊,以便使用者在不同平台上使用同一個服務、或是同一家公司旗下的不同服務之間,可以相互分享資訊。

我們可以這麼說:使用者選擇信託這些資訊給網路公司,相對換來的是更便利的體驗。

這些資訊會包括哪些呢?

以Google為例,大部分人在使用Google服務時,應該會選擇將這些資訊信託給 Google、並且儲存在Google的伺服器中(如果你有興趣,可以看看自己有哪些資訊被記錄了)。

這些記錄,包含了你在網路上使用Google服務時的許多資訊;當然,Google的隱私權政策也明白告知了你的權利:你可以選擇關閉記錄功能、或是刪除這些記錄。這些資訊包括:

  • 在網頁上使用各種Google網頁服務、在手機上使用各種app的記錄:例如哪一天搜尋了什麼網站、或是用了哪些關鍵字;

  • 所在位置資訊:例如打開Google Maps時,目前的所在地資訊;

  • 語音的習慣與音調記錄:為了改善語音輸入的辨識,個人的語音記錄會被記錄下來;被記錄得越多,理論上語音輸入的準確度會越高;

  • 裝置相關的資訊:例如,使用了什麼樣的手機、以及手機的型號等等:

  • YouTube的搜尋與瀏覽記錄。

當然,還有「為了網路安全起見」以及「為了帳號安全起見」記錄的 IP 位址、何時、從什麼地點登入、透過什麼方式登入等等的資訊。

所以,當你突然從台灣飛到美國,然後登入自己的帳號時,可能就會收到一封電子郵件,告知你帳號存取地點的變化;這是許多網路服務用來防範使用者帳號遭到入侵的一種設計。

這些都是建立在「善良管理人」原則,以及在明確的隱私權政策規範下,「理論上合理」的資料收集與使用。但這並不代表絕對不會產生問題,只因為我們選擇信任廠商會扮演好善良管理人的角色。

為什麼要相信Google(或其他廠商)?

在以下的這個例子裡頭,我剛好親身經歷了曾經被質疑、以及說服閱聽人的角色。

2007年,我把Google Apps(現在改名為「G Suite」)引進台灣跟香港市場;但在向企業推廣時,曾經被這樣質疑過:

「我們把所有資料都放你們伺服器上,安全嗎?」

「這裡頭有很多機密資料,萬一我們的競爭者也看得到怎麼辦?」

2007年時,雲端服務還不是廣為一般消費者所接受的型態;但早在那之前,我們其實已經在使用各種電子郵件服務了。這些電子郵件服務,很多原本就是把電子郵件存放在伺服器上,所以企業會有這樣的質疑非常合理。

我當時的說法是:

「我們為何選擇把錢放在銀行呢?因為我們相信銀行系統。這個系統從13世紀開始就有了雛形;透過無數次的交易與應用、還有不斷的完善,我們選擇相信了銀行系統,所以安心的把錢存在銀行了。」(註)

「Google是一家NASDAQ上市公司,我們會盡一切力量確保這種事情不會發生;因為一旦發生這樣的事,直接影響的是公司的信譽以及價值。公司股價波動所造成的損失、以及商譽上的影響,遠比故意洩漏這些資訊所造成的損失要大,所以這種事不太可能發生。」

這樣的說法,說服了企業。

其實我選擇的溝通策略,只是回到文章最開始提到的「信任」問題上。

註:實際上,銀行系統真的很安全嗎?在已開發國家或許是,因為已開發國家通常在法律層面有相對比較完整的保護,來彌補系統安全上的不足。但是在許多發展中國家(例如越南)的情況,跟我們想像的很不一樣:在這些國家,銀行的資訊安全做得不是很好,常有民眾的銀行帳戶因為銀行系統被入侵而遭到盜領。這個時候,盜領所造成的損失是民眾要自行負擔的。所以很多人寧可把錢放在家裡,也不在銀行開戶。

正確的認知

對於隱私權課題,每個人都應該有一個清楚認知的原則:

「大部分時候,我們相信我們選擇相信的

"We believe what we believe"

有一些網路的基本趨勢與方向,基本上不會改變,但會朝更好的方式演進;如果我們相信世界會越來越好,那麼這些演進應該是往好的方向變化。

Wired雜誌的創辦人與首任主編Kevin Kelly在Forbes的這篇文章裡提到,使用者在網路上被「追蹤」,基本上已經是很多網站或服務運作的常態了。他的網誌上有一篇名為〈As Much Privacy As You Can Afford〉(你能失去的隱私權就這麼多) 裡,提到了這個概念:

What we call privacy — the non-disclosure or transmission of information — is ultimately a matter of economics. To remain hidden in a connected world will cost money. You can always disconnect, but while connected you will be transparent. Under this regime transparency is cheap and ubiquitous, while opacity expensive.

(大意:隱私權其實是一種經濟考量。在數位世界中,保持隱密需要花錢;你也可以不上網,然而一旦上網你就是赤裸裸的透明。在這個世界裡,透明是廉價的常態,而隱私則必須付出昂貴代價。)

就跟你一旦出門,一定會留下腳印一樣,除非你選擇不出門;但他同時也表示,隱私當然重要,沒有人會覺得不重要。

但是在不同時期、不同情境下,「隱私」對於每個人的意義可能完全不同。他提到在社交媒體上,人們在「想分享」的情境下,選擇了接受另一個人選擇的自我隱私揭露。

最後他總結這種情景,其實可以用一句話來形容:

"Vanity trumps privacy."

(人的虛榮戰勝了隱私)

因為虛榮帶來的優越感,遠勝過對人揭露自己隱私所帶來的好處。

多年前,Kevin Kelly曾經來台灣演講,我記得當時他講的是:

  • 隱私權與個人化是一體的兩面;

  • 在網路世界想要保有絕對的隱私非常昂貴。(expensive,指的不是錢,而是「代價很高」);

  • 隱私權與個人化就像是一個可以拖曳的滑軌;想要更多隱私權,就相對比較不方便一點,想要更方便,就必須要多分享一點隱私。

說到底,隱私權的保護其實就是做到透明化而已。所有的選項都應該被清楚揭露,讓使用者明白,自己的隱私在網站或服務中有什麼樣的風險;對於一個服務或網站的隱私權政策,我們更應在意的是:

  • 網站蒐集了我哪些資訊?

  • 這些資訊做了什麼樣的應用?

  • 我有什麼權利?例如,我想刪除我在這個服務的資訊,我可以怎麼做?

  • 網站是否有什麼積極的安全保護措施,能避免我的隱私受到侵害?

  • 被記錄的資訊,我可以如何存取、甚至選擇如何搬移到其他服務?

隱私權很昂貴嗎?有很多東西,當我們很在意時是最昂貴的;當我們不那麼在意時,其他事情所帶來的好處遠超過我們原本認定的價值時,我們就會常常選擇忽略。

參考閱讀

https://tuna.press/?p=1644

https://tuna.press/?p=1048

https://fredja.me/says/5654