从刷支付宝乘地铁谈起,浅议大数据时代的隐私安全

据悉,在2018年,每个月都会有新的城市在公交地铁领域开通移动支付。

近期支付宝、微信、银联等移动支付企业纷纷抢滩城市公共服务。针对地铁公交这一场景,目前已经有超过30个城市在支付宝内上线了电子公交卡功能,这意味着——用户可以丢开匿名的交通卡,使用支付宝及相关应用进行刷码通行。

和此前共享单车市场相比,轨道交通等公共出行在每个人的生活中都占据了更重要的地位。用“现代支付系统”取代“传统地铁充值卡”所能提供的便利,让很多用户感到迫不及待。

而在现代支付系统的接入之后,出行的数据也可能继续用在城市交通管理之中,改善更多其他服务,如改进城市的交通服务、整治拥堵等等。而这些便利存在的前提在于——当今的大数据时代大背景。

高速发展、高吞吐量的大数据时代,绝大多数人都的所有行为逐渐都能在信息世界之中留下数据足迹,无论是用户主动留下的数字脚印,还是由他人建立的关于用户的数据。

在此,**笔者仍然希望“老生常谈地”与大家探讨大数据时代的个人隐私问题。**

个人与服务商之间的信息不对称

信息时代下,只要我们使用在线工具和平台,或者接入平台的服务,就会产生相应的数据。在一些观点看来,人人是数据的生产者,可以让信息变得更透明。但是作为线上服务的使用者,即便有用户隐私条款的存在,多数的用户仍然并不了解自己被采集了什么样的信息,被追踪了哪些数据。

条款中冗长的文字、专业的术语,都会给普通用户的精准理解带来一点困难。除此之外,用户条款中夹杂的“可能”、“潜在”等词汇的存在,继续模糊了好不容易建立起来的一点概念。这些数据的使用状况,数据分析和挖掘的目标和最终的数据消费者,更是不得而知。

即便一些用户是较为谨慎的——他们在选择应用服务的时候会考虑“数据泄漏”带来的影响,但他们能够避开的更多只是一些声誉差的,已经发生过数据泄漏的企业。通常情况下,规模较大的企业能够享有更好的声誉和用户口碑,获得多数人的信任和青睐。

如果这家服务商的大名家喻户晓,人人都在使用它的APP,更多的用户就能放心大胆的进行注册,然后开始使用这款服务。但显然,这仍然只是“一厢情愿”的信任,大的企业也可能存在安全漏洞和疏忽。仅在过去的一年中,就继续曝出了大大小小的数据泄漏事件,其中也有不少知名大企业的身影。

互联网巨头 Yahoo 数据泄漏:10亿账号的用户姓名、生日、邮箱地址、密码、电话、安全问题和答案全被泄露

美国三大信贷之一 Equifax 数据泄漏:超过 1.43 亿的美国用户数据泄漏,包括姓名,社保号码,出生日期,地址,及驾驶证信息;20.9 万用户的信用卡号,以及部分英国和加拿大用户信息。

移动出行 Uber 数据泄漏:5700 万乘客用户信息泄漏,5万名司机信息泄露。

深度分析和机器学习在混淆隐私边界吗

积累足够全面的数据才能让有规律的随机事件,在大量重复出现的条件下,呈现出几乎必然的统计特性。

随着政府的政策支持和公共部门积极进行数据整合,冗余数据中蕴含的战略和资产方面的价值逐渐浮出水面,企业纷纷着力于进行大数据技术研发与产品化。企业在应用数据进行决策和谋利的同时,仍然会不言而喻地使用用户的个人数据,使之在整合、关联和深度分析时受到隐私侵犯。 在当前数据科学和信息技术发展的过程中,隐私信息的界定正在变得不严格。

巨大的数据集之下,即便个人提供部分数据字段,也可能被得出一些隐秘的推测,并给用户带来风险。

2016年,上海交通大学的一篇机器学习论文《基于面部图像的自动犯罪概率推断》曾引起过争议。相同遭遇的还有2017年斯坦福大学公布的论文《Deep neural networks are more accurate than humans at detecting sexual orientation from facial images》,其中的 AI 算法已经能够通过个人的肖像照片识别同性恋,且准确率高达81%。

公开在社交网站及其他角落的相片信息中的肖像不存在隐私问题,但对于人脸图像数据的分析、存储和使用,隐私权问题依旧面临挑战。如果个人用户并不在意自己在各个角落的信息披露,认为网络空间仅仅是和普通公共场所一样,那么当处在隐私边界时,他们就容易遭到认知偏差的影响,比如过度低估个人信息的利用程度和数据价值。只需要一些公开的信息,运用技术就可以对个人的情况进行推断、分类甚至“定价”和“特殊对待”。

 

如今企业在技术层面的数据挖掘技术的演进、机器学习和深度学习算法的发展,都让数据利用效率和程度得到显著提升。特定的分析流程和算法有时很难进行描述和解释,服务运营商甚至在进行分析之前也不了解他们能够得到的结果。更多隐私问题甚至是在二次开发利用原始数据时才引发的,因此在法律监管上也存在难度。

隐私专家 John Diebold 曾前写过这样一句话,而这在不久之后的将来,这可能会成为现实。

信息时代你留下的每一个字节,都会是构成隐私的血肉。

隐私意识在觉醒,但是…

2018年伊始时,大家的朋友圈都曾一度遭遇被“支付宝年度账单”和“网易云音乐”统治的时刻,随后当天就有用户揭露被安插在年度账单首页之中、必须签署的《用户隐私协议》。

细心用户发现了这行隐蔽的小字,并点开看了《用户协议》,但也许是因为个人意志还无法抗衡从众心理,又或许还是败给了自己的好奇心,最终绝大多数用户还是同意将自己的数据授权给了芝麻服务,开开心心地在朋友圈晒了支付宝年度截图。

可以发现人们的隐私意识虽然存在,但依然愿意用牺牲个人数据换取更好的网络生活,或者将安全和隐私的责任完全寄托在政府和网络服务商身上。2014年时,EMC在15个国家和地区进行了15000 用户的隐私保护调查,而调查结果依旧让人担忧。

50%的用户遭遇过或大或小的数据泄漏

62%的用户并不会定期修改密码

33%的人不会修改社交网络上的隐私设置

39%的人不会对自己的移动设备设置密码

而 2018 年 刚刚召开的Usenix Enigma 安全峰会上,谷歌工程师也在演讲时道出了谷歌用户的安全意识现状,可以看到情况并不乐观——尽管早在 7 年前谷歌就开始引入了两步验证(2FA)功能,但目前有效的谷歌账户中,少于 10% 的用户开启了两步验证功能对账户进行保护;而使用密码管理器的用户在整体仅占12%的比例。

安全、便利和隐私之争始终无法停歇

大数据时代的便利已经渗透进了我们生活的每个角落,更低的商品价格、更符合实时需求的产品和社会沟通度,要使用这些服务就会创建个人数据,而通过数据信息就总有办法辨析出个人的身份。

如果用户确实关心自己的隐私状况,不希望泄漏信息还是有一些简单的措施可以采纳:

1. 避免连接公共WiFi,及时在所有设备上进行安全更新

2. 开启账户两步验证功能,安装密码管理器

3. 注意所有应用程序的权限设置

4. 斟酌填写真实信息,适当选择备用方式

5. 开启浏览器拒绝跟踪功能,及时清理 cookie

6. 适当使用匿名互联网服务


FreeBuf 隐私安全文章推荐阅读

科技之殇:端到端加密究竟保护了谁?

研究人员称HTML5可以被用来追踪网民

得到相机授权的iPhone APP可在你不知情的情况下偷偷拍照窃取隐私

Firefox再次从Tor浏览器中借鉴了一个隐私保护功能

Signal 新探索:运用英特尔 SGX 加强联系人搜索功能的隐私安全

Google无视用户隐私设置,暗中收集Android位置数据

iTerm2 中可能通过 DNS 请求泄漏隐私信息

*本文作者Elaine,转载请注明FreeBuf.COM

如有事情需要联系我们,请发送邮件到:lianxi@wmqn.net