搜索

2009年8月23日星期日

论互联网上的隐私保护

在互联网,广义的隐私权保护是不可能实现的。

在互联网上,广义的隐私权是不存在的,因为无法举证。

举例说明,一个用户,在易趣和淘宝分别注册了2个账户,
其中都涉及“家庭地址”这个信息,我们假设他没有第三个账户。

现在,他在公共论坛发现了自己的名字和家庭地址,这个时候他希望援引“隐私权”来保护自己的利益,那么他有几个选择:

一、要求该公共论坛的管理者删除该信息——但是这个解决方案基本无效,因为无数人看过了,可能转发到无数个地方

二、向易趣或者淘宝索赔——但是他需要举证:1、该信息是由哪个网站泄漏的;2、该信息的泄漏导致了多大的可计算损失。基本上无法举证。

事实上,现代互联网用户可能注册了无数个互联网账户,相应的也提供了无数个私人信息给无数个服务商,在这种情况下,要举证的话几乎不可能。

所以广义的隐私权保护在互联网上是不存在的——无论那些隐私保护协议写得多么漂亮。

我们可以在广义隐私权保护方面做哪些事?

不可实现并不意味着束手无策,理论上,验证信息泄漏出自哪个网站有个简单的办法——虚假隐私刺探策略。

我先用一份虚假的独一无二的身份信息对目标服务商进行注册,同时进行该信息的虚假性、独一无二性以及确实提供且仅提供给该服务商的公证。然后等待一段时间,看是否该信息出现在第三方平台或者公共平台。如果有,那么证明该服务商的隐私保护策略不当,或者违约。

你能指望普通用户没事儿吃饱了撑的干这种事情吗?显然隐私保护的监管不能依靠市场自发机制解决。

解 决之道在于第三方认证。设立一个行业协会(因为隐私保护的伪诚信行为实际上是对整个互联网服务的信心的伤害,损害了所有服务商整体利益)或者公益性协会 (因为隐私保护是整个互联网用户的需求)来进行专业化、不定期测试,再给通过了的服务商提供认证或者担保,网民基于该认证商的公信力,而拒绝访问没有通过 认证的服务商。

这种认证如果需要快速推行的话,可以选择官方机构(但是经验证明,我们的官方机构以不专业、不作为著称);如果着力于长远利益考虑,可以让民间机构互相竞争(就看谁有公信力了)。

但是这个机制在目前看来遥遥无期,所以我还是说,就现实而言,互联网的隐私保护在广义层面上无法实现。

另外补充一下,通常而言,隐私保护在服务商正常经营的情况下还是能够遵守的,但是破产的话,就难说了,相关负责人离职的话,就难说了,因此广义隐私权保护有必要形成穿透法人而直接追溯责任人或法定代表人的能力。

本文要讨论的隐私保护

本文所要讨论的隐私保护问题采狭义层面,即如何保证我们或者如何保护我们的用户不受打扰的权利。

狭义的隐私信息按是否会打扰用户而分为三类:1、不需回应的私人信息;2、不需即时回应的私人信息;3、需即时回应的私人信息。

一、 不需回应的私人信息。例如姓名、性别、职业、银行账号、身份证号码……这类,即使泄漏不会导致对用户的骚扰。例如即便成千上万人知道我叫秦凯,那么又如 何?我不会有什么损失。当然如果我不愿意大家知道,而有人有泄露出去了,那么也是对我隐私权的侵害,我也会非常不爽,但是总体而言,单纯依靠此类信息不足 以构成对用户的骚扰(当然,因为知道了你的姓名,而在网上对你进行搜索,继而得到一系列关联信息这种间接连锁反应不在此讨论之列)。此类信息的保护,有赖 于前文所述的广义层面的措施实施,这里不做深入探讨。

二、不需即时回应的私人信息。例如电子邮箱地址、一起网消息/评论……这类信息会对用户构成骚扰,但是程度较低(因为用户可以自行选择合适的时候处理)。

三、需要即时回应的私人信息。例如电话号码、即时通讯软件账号、家庭地址……这类信息会对用户构成直接骚扰,如果泄露,用户将处于随时被骚扰的境地。

对 于以上三类信息应当采取不同的保护策略:第一类是否开放、开放哪些应当完全尊重用户的意愿;第二类应当开放(互联网的本质在于沟通,隐私保护不能扼杀掉沟 通这个属性),但是应当有过滤机制(例如你一上一起网发现有3000多个回应……);第三类原则上不应当开放,有需求的时候,用户可以打开。

其中对于第一类信息的开放或者权限组合的选择,也可以由网站打包成定制套装——例如一起网就是要开放实名,喜欢可以留下,不喜欢可以离开——这个其实也叫尊重用户选择——关键是网站要细分自己的用户群。

在开放与隐藏之间

制定隐私策略时,容易犯的一个错误是非此即彼。例如电子邮箱,“要保护吗?那么我把它设计成不能查阅;啊?有用户反映交流不方便?那设计成可以查阅好了”。

这是最愚蠢的,外行都可以做的策略设计——根本就不叫策略设计。它的唯一应用之处应该仅限于“不需要回应的私人信息”的处理。

而对于“需要 即时/非即时 回应的私人信息”应当在开放与隐藏之间做文章。

例如,我认为《一起网》的朋友邀请功能就是一个设计不当的例子。这是一个“需要非即时回应的事件”,因此比起简单的设计“接受或不接受”的选项,设计一个“问题/答案”的模式会更加科学。

一个影迷会在他的客厅设计:“你喜欢XX吗?”,答“是或否”决定了这个交友邀请是否会被发送。

一个知名作家会在他的客厅设计:“你知道我某作品第二章的题目吗?”来阻挡根本对其作品毫无理解的家伙。

对于需要即时处理的的信息,则需要暂离/隐身之类的设计才行。

隐私保护的内控

一个容易犯的错误是用户数据库让全体公司成员都具有访问权限。这会导致离职/不满的员工成为你泄密的源泉,而一旦大环境开始规范化“所谓广义隐私保护机制的形成”,你就会吃大亏。

只给确实需要的人必不可少的信息权限,同时在劳动合同里面注明相关保密条款会是一个不错的主意。

-------------------------------

本文主旨在于提出问题,而解决之道貌似还很粗浅,算是抛砖引玉了。

没有评论:

发表评论