谁控制了我们的数据?GDPR 生效后,隐私保护动了 TA 们的奶酪

  • 2
  • 59 views
  • A+
所属分类:时事焦点

数据是重要资产。

本文来自“全媒派”,本博客经授权转载。

我们在手机上的每一次的点击、滑动、下拉,都可能是我们最私密的行为。

手机已经不仅仅是帮助我们管理一天的工具,它同样是复杂的的监视设备,我们每天自愿地和它交互,而我们默认这一切是私密的。前谷歌员工 Seth Stephens-Daviaowitz 在新书 EverybodyLies:Big Data, New Data, and What theInternet Can Tell Us About Who We Really Are 中写道:“我们问谷歌的问题,可能比我们问爱人的更加诚实。”

把这些数据收集起来,再加上其他设备的数据,比如数字电视、运动检测设备、浏览器历史——这些设备都监测着我们行为习惯,它们一天产生的数据可以多达 2.5 百万亿字节。谁控制了我们的数据?GDPR 生效后,隐私保护动了 TA 们的奶酪

而有时候,不同的网站、研究者和广告商会将彼此的数据汇总、分散或者统一整理。比如,Acxion 就声称自己的数据库里有 5 亿人的数据,每个人有 1500 个数据点,涵盖了大多数的美国成年人。就在刚过去的几个月里,脸书被报道曾经问医院索取数据,包括斯坦福医学院,想要共享和汇总患者的医疗数据。在今年 4 月,同性约会 APP Grindr 被曝出曾将用户的艾滋病状况分享给两个 APP 优化公司。再说,谁又能想得到仅仅完成一个性格测试,就能助力川普总统竞选的广告呢?

简短来说,我们和电子设备的亲密关系可不是类似一夫一妻制的。对于一个在乎隐私的公民来说,在互联网连接的 21 世纪,我们想要或者还能够做什么呢?今天,就为你解读“后 GDPR 时代”,数据隐私保护新趋势。

 

数据隐私就是个缺乏公正裁决的童话

GDPR (通用数据保护条例)被认为是最负责任的隐私保护法,在今年的 5 月 25 日在欧洲正式生效。我们觉得,这是个好时候谈谈 GDPR 带来的改变,或者……它没有带来的。

GDPR 规定的用户主要权利包括:获取个人数据、涉及居民日常生活的算法解释、数据的移动和删除。在生效的这半年里,GDPR 可以说影响了每一个在欧洲运营的企业,不少领头的企业甚至花费数百万美元变更自己的隐私保护标准,甚至在欧洲之外的地区也实现了标准化。

谁控制了我们的数据?GDPR 生效后,隐私保护动了 TA 们的奶酪

9 个世界各地的 Engadget 记者向超过 30 家科技企业提出了索取数据的请求,从社交媒体网站到约会 APP,还有网络音乐播放服务。我们在 5 月 25 日,GDPR 实施前和之后,都提出了数据索取的请求,想看看 GDPR 到底带来了哪些变化。

其实,欧洲从 1995 年开始就有关于数据保护的官方指示,但是研究显示,这些权利并没有得到保障。GDPR 则是在 2016 年就出台了,但从今年的 5 月才开始正式生效,从名不见经传的小公司到占据全球收入 4%的公司,都受到了影响。

实话说,数据隐私就是个缺乏公正裁决的童话。

比如说,导致大量用户信息泄漏的个人信用评估机构 Equifax,被黑客攻击后还在运营中,用户甚至不能将自己的数据进行转移。在英国,脸书因为 Cambridge Analytical 丑闻被罚了 50 万镑,这是当时法律规定的最高的罚款额,但这仅仅只是相当脸书每 5 分 30 秒赚到的钱而已。

谁控制了我们的数据?GDPR 生效后,隐私保护动了 TA 们的奶酪

如果相同的事情今天又发生了,脸书可能面临上十亿美元的罚金。大约 1000 家美国的新闻网站不能在欧洲访问,包括《洛杉矶时报》和《芝加哥论坛报》,而根据最近德勤发布的报告称,大约只有 1/3 的机构符合欧洲隐私保护条例。

“从数据索取的结果,可以窥见一个组织的灵魂。”Hadi Asghari 说道,他是荷兰代尔夫特理工大学的助理教授。他的研究显示,只有极少数欧洲的数据获取条例被遵守了。我们的发现也有同样的结果,不过我们也发现,一些公司确实遵守了 GDPR。个人的信息相当于这些大公司运转的能源,所以,对于信息的控制权必有一战。

 

心理上重视,战术上忽略:数据保护的悖论

对于平常的用户来说,隐私保护协议很难懂,也很无聊。

但是,隐私保护条例是理解数据相关权利的支柱,但这些条例充满着专业法律用语,用超级长的句子描绘着数据保护,其实这些公司本身可能都不一定了解。卡内基梅隆大学有一项进行了 10 年的研究表示,如果要读完每一个遇到的隐私条例,要花费 76 个工作日。所以不读其实是肯定的,完全理解肯定是不可能的。

谁控制了我们的数据?GDPR 生效后,隐私保护动了 TA 们的奶酪

这就涉及到了学术界讨论的数据保护悖论。当做问卷调查的时候,人们都说自己非常关心隐私保护,但是现实中,他们还是会选择放弃自己的数据,或者是给出朋友的电子邮件去换取一些小恩小惠,比如披萨。

在索取数据的过程中,我们收到了各种各样的数据格式,比如邮件、excel 表格,需要下载数据读取工具的格式。除了数据本身再进一步地问,我们拿到的数据是可以理解的吗?甚至,对于我们来说,那些数据是有意义的吗?

Netflix 把词汇表整理成了一个 PDF 文件。Spotify 则是通过一个在线下载的方式提供了数据。一个英国的记者收到了 101 份 JSON 文件,另一个收到了 90 份。而 JSON 格式是用电脑读取的,而且文件名字也无法读懂。客服也没有对这些文件的名字给出解释,他们说,如果我们想知道,可以问具体文件的意思,但是他们没有词汇表。另一个美国记者对 Spotify 提出了一模一样的请求,只收到了 7 份文件,包括支付方式、播放列表和关注者名单。他们表示全球的系统没有区别,如果用户想要索取另外的文件,可以联系客服。但这个问题的难点是,如果你不知道一个文件是不是存在,你该怎么要呢?

谁控制了我们的数据?GDPR 生效后,隐私保护动了 TA 们的奶酪

但至少,他们都提供了一些数据。约会 APP Bumble 仅仅给了一个英国记者基本信息、他自己上传照片的 IP 地址和登陆次数。美国记者的请求,直到 12 周之后才得到回复。

另一个通常的做法是,公司会提供他们的隐私条例,但不会提供我们索取的数据。比如 Snapchat,列出了他们的隐私保护条例,说“可能”从子公司或者第三方手中获取数据,并提供了一个第三方的名单。Tinder 说他们“可能”收到来自合作伙伴的信息,但没说具体是谁。

The Article 29 Working Party 是一群由欧洲代表和数据专家组成的团队,他们提出“类似‘可能’、‘也许’、‘一些’等这样的语言应该避免”。从法律上来讲,GDPR 要求沟通要以“简洁、透明、易理解的方式,使用清楚和直白的语言”,这明显与我们收到的回复不一致。

研究也显示出了相同的结果,欧洲消费者协会和佛罗伦萨欧洲大学学院的研究表示,1/3 的条例存在问题,或者提供的信息不完整。

 

“你手上有钱,但你不知道自己支付的价格”

理解数据被使用的关键在于看它们如何被分析,但不出意外的是,大部分公司对此闭口不谈。在索取数据的过程中,Netflix 没说为什么我们会被推荐某些电影。Instagram 也没说,我们看到的内容是根据时间、用户和其他内容的互动,还有用户对某些内容的喜好程度排序的。Tinder 则声称,不能透露任何和喜好排序相关的内容,因为可能会涉及到知识产权的问题。

Frederike Kaltheuner 是一个在伦敦的数据隐私保护专家,他说有三种类型的数据:第一种是我们提供的,第二种是被监测记录的,第三种是被模型化的或者用其他数据预测得到的,比如说一个人的吸引力和可信度。

Kaltheuner 说:“很多机构觉得被模型处理过的数据不算是个人数据,其中最大的误解是,我们只能想到那些我们提供的数据,公司也往往仅谈论这些。”

谁控制了我们的数据?GDPR 生效后,隐私保护动了 TA 们的奶酪

这就是为什么 Cambridge Analytica 的丑闻让人们愤怒。我们知道那些公司在收集数据,但我们不知道的是,数据是如何被处理的,然后又对我们的生活产生了什么样的影响。

当我们索取数据的时候,得到的仅仅是那些我们给出去的数据,比如个人信息。我们可能觉得自己在用数据交换服务,比如说输入地址到谷歌地图,然后得到路线图,但具体数据会如何被处理是更复杂的,比如记录我们的位置,然后计算出剧院是否忙碌或者某条路不应该走。脸书还研究如何影响人们的情绪,以及如何判断人们是不是处在心理脆弱的时候。简单来说,数据是货币,但我们不知道自己付出的价格。

关于索取数据时的身份审核,也没有统一的程序。

Bumble 索取驾照、护照、出生证或者银行账单确认身份;Spotify 要求提供注册信用卡的后 4 位,并强调了不要说出全部的信用卡号码。推特、谷歌和领英则没有要额外的信息,因为我们已经登陆进了我们的账号。这就又出现一个问题,我们的账号有多容易被攻击?如果有人登录进了账号,公司就会把所有的数据给他么?

 

最小化数据收集是根本的做法

Jeewon Kim Serrato 是法律公司 Norton Rose Fulbright 美国地区的数据保护、隐私和网络安全高管,他说:“最重要的是,不要收集那些不必要的数据。比如,如果不从事驾照或者护照照片的业务,就不要收集这些信息。最小化数据收集是根本。”

这样的想法完全颠覆了数据收集的思维。一直以来的声音都是尽可能多地收集数据,即使不知道未来会如何使用这些数据。Serrato 同样提出“数据存储是越来越便宜了,但数据删除却比永久保存的花费更多。”GDPR 的出现可能改变这样的现状,因为如果你不知道你要拿这些数据做什么,那处理数据的花费会非常大。

法律公司 Hogan Lovells 的 Cohen 说:“确实有很多公司还在等,但我觉得主要是因为符合标准的花费太大了。那些认为自己是 GDPR 首要规范目标的公司正在尽全力去遵守。”

谁控制了我们的数据?GDPR 生效后,隐私保护动了 TA 们的奶酪

专家认为法律制定者首先瞄准的是那些科技巨头,特别是面向消费者的,比如社交网络、移动 APP、健康医疗、广告业务、自动驾驶,还有把孩子作为主要消费者的公司。

英国、冰岛和法国的数据规范者都说,GDPR 生效之后,抱怨数据侵权的人更多了。加州最近通过了一个数字隐私法案,将在 2020 年 1 月实施,这被看作是美国在数据保护上的重要一步,毕竟在此之前都没有相对完善的法律。

同时,对于违法者,严惩也在进行。

Giovanni Buttarelli 是欧盟数据保护的监护人,他说:“惩罚是普遍的,我们希望未来没有违法者。公众会在年底看到第一批的惩罚结果。”

所有的眼睛都在盯着那些违反 GDPR 的科技巨头们,残酷一点说,也在看着他们会受到的惩罚。这对于 GDPR 而言也是一场检验,看它是否能真的在数据争夺战中立足。

本文经授权发布,不代表本博客立场。如若转载请联系原作者。

 

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:2   其中:访客  1   博主  1

    • avatar 趣知识 2

      看看今日简史,就知道了

        • avatar 唯心寒辞  博主

          好像是第四章的:平等,谁该拥有数据