近日,GDPR正式向全球科技巨頭開出了第一槍。根據法國監管機構國家數據保護委員會(CNIL)提供的證據顯示,Google因違反《一般數據保護條例》(General Data ProtectionRegulation, 簡稱GDPR),將對Google母公司Alphabet處以5000萬歐元(約合5680萬美元)的罰款,多家海外科技媒體在報導時,都用了「record high」(破紀錄地高)描述處罰力度之狠。
根據最新的GDPR,Google違反的具體條例很多。比如數據收集信息不透明、用戶不了解數據收集情況、數據處理和存儲時間等完整信息並未全部出現在同一位置、Google搜尋引擎未獲得用戶同意收集有針對性的廣告數據等。
一天340次追蹤 全方位被動收集讓用戶成為「透明人」
知名獨立網絡安全專家Lukasz Olejnik表示,這是目前全球針對數據保護最高金額罰款,是隱私保護執法的裡程碑。他認為,首個處罰決定至關重要,將決定人們如何理解法令條款及實際執行。「毫無疑問,將來會有更多罰單,它們將影響今後系統與軟體的設計。」
一篇美國範德堡大學出版的題為《Google數據收集(Google Data Collection)》的報告,揭露了網際網路公司毫無節制的數據收集行為。一個典型的場景是這樣的:一個擁有Google帳戶和Android手機的用戶,Google會在眾多活動接觸點收集數據,例如位置、路線拍攝、購買的物品和聽過的音樂。令人驚訝的是,Google通過被動方式收集或推斷超過三分之二的數據信息。在這一天結束時,Google就能準確把握住用戶的興趣。
經過研究發現,Google伺服器每天通過Android手機傳輸11.6MB數據,不斷上傳備份到後臺。Android手機的個人用戶信息包括姓名、手機號碼、生日、郵政編碼、信用卡號碼、手機上的活動(使用的應用和網站,包括如何使用)。Android手機用戶被Google收集信息的頻率高達90次/小時,正在使用的手機比沒有打開的手機,其被收集的數據量高出1.4倍。一臺休眠的Android手機,只要Chrome瀏覽器後臺處於活動狀態,會在24小時內向Google傳送位置信息340次,位置信息佔發送給Google的所有數據樣本的35%。
Google通過專門在系統中標記「匿名用戶」,把收集好的數據拿來使用,赤裸裸地演繹了「此地無銀三百兩」,但這是為什麼呢?因為Google會收集自家相關應用和第三方網頁訪問的活動數據,然後再與用戶的Google身份相關聯。主要通過Android收集,將「設備標識」傳遞給Google伺服器來實現的。同時,「廣告標識符」也在這個時候派上了用場,形成了完整的閉環。換言之,Google通過被動方式收集到的「匿名數據」,與用戶的個人信息相關聯,最後用看似「合法手段」利用這些數據信息。
報告對於Google這一行為進行了概括:「Google通過各種產品矩陣,大範圍收集有關人們在線和現實世界行為的相關信息,然後用來支撐廣告業務。比如,隨著定位技術和數據的完善,Google的收入會顯著增加。」
人人活在「楚門的世界」 我們需要怎樣的區塊鏈數字身份?
就像電影《楚門的世界》中的主人公,生活在信息高度發達的資本主義時代,每個人都在不自知的情況下被觀看、消費與監控。在隱私侵犯的面前,每個個體都十分被動。在網際網路時代拔得頭籌的科技巨頭,無一不是利用了用戶數據的確權漏洞,趁著法律模糊和監管缺位,想方設法將數據大舉變現,從而造成今天強者恆強的局面。
網際網路從誕生伊始,便以機器為中心,而不是人類。換句話說,網際網路雖然提供了信息互聯互通的手段,但並沒有提供中立、開放、統一的身份層。於是,用戶在網際網路裡,無法了解對面的一方究竟是誰,更不知道它究竟連接了誰。當然,這在網際網路早期是一件好事,它們並不能從我們身上竊取太多數據。
W3C以及一些標準化組織,提供了一些網際網路身份的標準。這些標準的初衷是為了更好地服務網際網路應用,但是這些標準被實施的過程中,仍然突顯出很多問題,比如身份數據的安全性問題,面臨洩露和被篡改的風險;不同機構之間的身份數據的兼容成本很高,帶來身份數據碎片化且不一致的問題;用戶這個身份的核心節點缺失,無法控制自己的數據;重複創建和管理不同應用下的身份;虛假身份欺詐等等。
在集中系統中,單個提供者(通常是政府機構)將身份數據集成到所有用例中,並承擔相應成本,例如愛沙尼亞的e-Residency和印度Aadhaar國家數字身份計劃。其好在於,提供了便捷的服務交付過程和高效的數據聚合功能,然而這樣的系統卻集中了風險和責任,給單個提供者帶來了巨大的信任負擔。
在聯邦系統中,在公共標準下的多個獨立系統之間共享數據所有權,例如由金融機構牽頭的加拿大SecureKey Concierge,以及由公共部門推出的GOV.UK Verify數字身份。聯邦結構分散了成本,降低了數據濫用的可能性,但也需要協調決策,其帶來的複雜性可能會抑制機構作為身份提供者的參與度。
對於這些問題,W3C、Sorvin、OpenID正在尋求一些去中心化的數字身份方案,微軟也在關注如何利用區塊鏈構建去中心化的區塊鏈身份,這也是區塊鏈數字身份研究的前沿。
那麼我們需要怎樣的區塊鏈數字身份?一個區塊鏈數字身份必須涵蓋身份的兩大核心功能:驗證和授權。區塊鏈依靠天生的特性就可以進行身份授權,基於密碼學的帳戶體系可以很好地自主控制數據,也會強制性地讓運營商把身份控制權還給用戶,並且一切關鍵數據都可以被登記下來。
另外,區塊鏈數字身份還有一個優勢,就是可以與區塊鏈數字資產進行無縫連結,把以往割裂的信息化身份和金融身份打通,這些都是以往網際網路身份沒有做到的內容。
但我們必須要承認,區塊鏈的匿名性也給監管帶來了困擾,完全匿名的數字身份並不是未來的發展方向。金融監管機構、稅務機構、執法機構有權對金融生態系統進行審計,他們有理由在懷疑的情況下調查不當行為。在這種情況下,我們需要為監管機構提供必要的能力,以便在適當的司法監督下調查資產狀況。
另外,如果沒有適當的設計原則和控制,數字身份系統的控制權可能會交到管理員手中,導致新的不公平現象產生,並且由於缺乏處理問題或申訴的中心機構造成另一種形式的低效。因此,區塊鏈數字身份在發展過程中需要配套政策作為輔助,將權力關進位度的籠子,同時也要平衡好去中心化與中心化的效率和界限。
個人的隱私保護絕不是等待那些信息收集者自動地良心發現,而是需要主動打破信息的黑箱,通過不斷迭代的技術知識,從「觀望」、「個體自保」轉變為「實踐」與「組織行動」,只有這樣才能夠真正奪回自己的「數據主權」。
[ About IDHub ]
IDHub是建立在開放原則之上,基於區塊鏈技術的去中心化數字身份應用平臺,具備良好的技術兼容性與功能拓展性。作為進入數字社會的入口,IDHub通過區塊鏈技術,對個人身份的有效性、真實性、唯一性進行合理驗證,並力求將身份控制權由第三方信息服務機構重新收回到個人手中,為用戶塑造完整、可信的「自主身份」,並構建以用戶為主導的數字身份管理和應用平臺以及安全、自主、可信的身份管理機制,最終實現以「數字身份連結一切」的願景。
關注IDHub,驅動你的數字未來!
http://www.idhub.network/
http://www.facebook.com/IdhubOfficial
http://twitter.com/IDHUBOFFICIAL
http://github.com/idhubnetwork
https://medium.com/@IDHUBOFFICIAL
https://www.lbank.io/
[ IDHub公眾號 ]
[ IDHub官方客服 ]