除了自己,没有人能保护你的隐私

除了自己,没有人能保护你的隐私

17 March 2019

让我们再一次翻出“隐私”这个亘古不变的话题。

不久前,国内某大厂的 App 在微博上被曝光偷偷后台读取隐私信息,也有可能在不为人知的情况下将其上传。因此,我写了一条长微博,主要内容是宣传「在互联网时代,只有自己在意隐私,自己保护隐私,隐私才能得到保护」,指出了某 App 的问题非常可能仅仅是冰山一角。微博一出,我收到了大量完全是出于误读的回复,包括但不限于诸如 「Android 真惨,我用 iOS 就不怕了」 / 「普通用户没有能力保护自己的隐私,只有政府监管才行」 等等。更有甚者认为我是在为监管的缺失开脱,甚至以为我是在给出事的某大厂 App “洗地”,以反讽的态度在评论我的微博。我实在缺乏更多与这些根本没有读懂我在说什么的人争论的动力,因此部分这样的微博用户被我暂时屏蔽 —— 没有别的意思,仅仅是感到疲倦而已,如果被我屏蔽的用户正在看这篇文章的话,我在此道歉,但是我已经停用微博,所以屏蔽与否已经没有意义;但是我仍然感觉到有必要单独写一篇更详细的文章和大家聊一聊这个话题。微博这类社交平台不是一个适合放大于 140 字的文章的地方,因此我决定写这篇博客。

首先,我还是想谈谈某些人与我争论不休的监管和个人自身的隐私意识的问题。必须明确的一点是,我对在保护隐私权方面的监管永远是欢迎的 —— 否则我也不会对 GDPR 的出现表示支持。来自强制力量的对隐私权保护的监管对企业永远是有约束作用的,永远是聊胜于无的,并且“他们”也 有责任 去保护一般人的隐私权。只是,这完全不是我所发布的内容的关注点 —— 我所关注的是,从个人的角度来看,除了自己,你没有任何其他人去信任、去依赖,期望他们能够为你的隐私权而战。换句话说,监管确实是必须的,但是一般用户没有理由信任任何政府、任何“平台”性质的企业的监管措施,所有站在个人的角度对监管的盲目信任和期待都是妄想。

因为「不保护隐私」相对于「保护隐私」实在有太多的利益隐藏在后面。不管是从企业的角度还是从监管者的角度,对隐私权保护的松懈往往可以带来丰厚的利润 —— 隐私可以用于“用户画像”,可以用于更加精准的广告投放,可以用于“人工智能”的训练,可以用于所谓“大数据”,甚至可以用于某些见不得人的交易。在今天的环境下,用户的隐私就可谓是数不尽的金钱 —— 而隐私又不像是社会治安,也不像是财产权,对很多人来说又不痛又不痒。仔细考虑这些,怎么会有人觉得一纸规定就足够保护自己了呢?假使用户自己不去关心、不去争取,还凭什么去信任别的人会愿意放弃自己更多的利益去保护与他们完全不相关的利益?从某种程度上,正是某些用户的这种信任,使得有的人肆无忌惮地获取并利用他人的隐私作为自身获利的来源 —— 因为只要大部分人不关心,作恶就没有一个能够抵消那些利益的后果。比起监管的缺失,一般人的隐私意识的缺失只会更加可怕。

从另一个角度来说,有效的监管永远只会出现在隐私意识普及之后。在隐私意识得不到普及的情况下,即使存在 GDPR 这样的法律,作用也会非常有限 —— 它总是需要有人去发现违反规定的人,需要大家知道什么时候自己合法的权利受到了侵犯,需要人们知道去利用已有的规定为自己争取权利。没有人能像父母一样随时监护着每一个人。还是像刚刚我所说的那样,只要大部分人都不关心,那么即使是违法也很可能不会出现非常严重的后果 —— 毕竟,只要没人关心,什么“交易”都是有可能存在的,监管也就成了一纸空文。在这种情况下,铤而走险反而变成了一个在追逐最大利益的情况下权衡风险以后合理的选择。而反过来,在隐私意识普及的时候,即使完善的监管体系暂时不存在,即使“他们”仍然想要利用隐私获利,“他们”也只能处处小心。如果只要露出一点点马脚就能引发大部分人的担心和唾弃,在最坏的情况下,他们的作恶行为也必须要付出比以前更高的成本,也必须承担大得多的风险 —— 因为现在,关心隐私的人变成了他们的主流用户群体。在这点上,看看那些注重隐私的服务的用户群体分布就非常明显了 —— 那些为我们所称赞的服务,往往从最初(在没有以“注重隐私”受到称赞的时候)开始面向的主流用户就是更倾向于注重隐私的群体,比如自由软件用户和开发者。他们具有足够的隐私意识,也有能力去反过来限制服务提供者的行为。

有人尝试用警察的责任的类比来反驳「一般人需要知道保护自己的隐私」,但我认为这个类比恰恰可以成为对以上内容的支撑。试想,假如大部分人不关心自己的人身安全,认为自己被杀被剐都不是一件大事,看见自己身边的人被害也想不到为他们伸冤,那么故意杀人还会成为一个(可能的)死罪吗?假如没有人会因为公共安全事件而不安,还会有真正干活的警察存在吗?我不知道他们怎么看,我只能说我认为不会。这当然 绝对不是他们不作为的理由,只是在没人意识到的情况下,他们不管怎么做都不会触发一丝疑问,那么我们就只能用最坏的可能来预测他们的行为。而这正是隐私意识的现状 —— 人们不知道也不关心什么时候自己的隐私受到了侵犯,就像不知道对人身安全感到不安一样。如若不是这样,怎么会出现诸如「不添加某支付厂商的私有系统级黑箱组件的系统就受到唾骂」的现象?因此,对于这个类比,我认为结论只能是,对于“他们”什么能做、什么不能做的共识是产生合理的监管和对监管的执行的监督的前提。

然而即使有了对于隐私权保护的共识,我们还不能忘记的一点是,每个人对于隐私的定义很可能是不同的。这一点可能永远无法改变 —— 你可能认为你的位置信息是隐私,而有的人可能认为只有敏感的私人照片才算作隐私。这是极端的例子,毕竟有隐私意识的人一般不会把隐私的范围定义弱化到这种地步,但是不同必然是存在的;科技发展也可能带来新的、潜在的、但目前还有争议的隐私数据,比如 DNA 数据。即使监管已经存在,它往往只能用于提供对共识中的隐私范围的保护,非常有限而且滞后;只要一个人的隐私有超出“默认范围”的,他就只能依靠自己,或者等待共识的范围随着隐私意识的增长渐渐扩大。后者对于一个人来说显然是不现实的:他不可能依靠任何人预先定义的一个集合来保护自己的隐私;他必须能够根据自己独立的思考做出自己的选择。这也是隐私与其他权利的一个不同:它不一定有统一的、泾渭分明的界定。

从以上内容中我想已经不难看出,那些鼓吹依靠 「XX公司」「XXOS」 甚至 「XX国」 就能解决隐私问题的想法是有多么可笑。如果自己不重视,就不可能会有人有动力为你重视。但是还有一类人,认为「普通用户想靠自己保护自己是不可能的,只有XX被改变/消灭才可能有效」,甚至以此对以上观点加以嘲讽,私以为这和前面那种事实上是同一种类型的 b*llsh*t。当然,我完全理解这类人可能遭受过无数不公正的待遇,可能感到非常无力和无助;但是这并不能成为认为普通人什么也改变不了的理由。有的人在逃避保护他人隐私权的责任,你就连自己的都不尝试保护一下,甚至对其他在尝试保护自己的人加以嘲讽?还是期望着等你换成了 XX 就再也不会遇到隐私问题?如果是这样的话,那也和前一种人没有什么区别了。我只知道,当我不敢去做某一件我认为正确的事情的时候,我不会去嘲讽任何有勇气去做的人 —— 我会暗自佩服他们。不知从什么时候开始,不管是什么东西都变成了“普通人什么也做不了”,只能躺下打滚撒娇,大喊“谁来管管”?普通人还能做什么?等着别人来喂饭吗?这就是大家追求隐私想要的结果吗?不,这正是那些敢于明目张胆侵犯隐私的人想要的 —— 当人们从不关心变成了即使了解也懒得关心,一切都结束了。况且,在彻底变成这种样子之前,保护隐私权和某些其他的“维权”也不是一回事 —— 就算你没有地方可以“哭诉”,没有人给你“主持公道”,只要稍微愿意钻研的人,还是有方法至少 尝试 保护好自己的 —— 至少目前在世界的大多数地方仍然是可能的。至于未来,我想或许连现在仅剩的保护自己的机会都会被某些人白白送给 「XX公司」「XXOS」 甚至某些更可怕的实体吧。到那时候,才是真的只能默默悲哀了。

我不认为「提高保护自己的意识」这个要求对普通人而言是过高的。我不奢望所有人都有非常高的技术能力,但是作为一个生活在互联网时代的人,有些东西是需要学习的,是需要用来武装自己的,而不是赤裸裸地、一无所知地面对所有现代技术。诚然,让每个人突然都去学习这些东西是不可能的,可是我们完全可以一步一步地来。这其中最简单的是,我们可以尝试不再对那些试图保护我们的人和事物嗤之以鼻。比如某大厂的某知名 App 以 “安全” 为理由要求 Android 系统中插入其闭源的具有系统权限的守护进程才能使用,而一开始并不是所有手机厂商都默默接受了这一要求 —— 正是用户们不分青红皂白地向这些厂商们施压甚至骂战,才是这个守护进程如今几乎存在于所有国产和国行手机的真正推手。诚然,大部分用户没有足够的知识理解这些,但是我们至少可以做到 “兼听则明”,至少可以在听取多方观点以后思考其利害关系,至少可以做到不在一些人科普其背后原因的时候还恶语相向 —— 相信我,只要做到这一点,现在的隐私环境会好得多。其次,我们可以尝试走出以 “能用” “方便” 为第一的这种思维定式,需要关心到在 “能用” 以外的更多理由,而不是像某李姓人士说的那样 「中国人愿意用隐私换取方便」。我并没有要求任何人一下子学会所有技术知识,但是不懂得技术知识并不是大多数人忽略事物的隐藏的方面的理由 —— 我认为真正的理由正是上面提及过的 “懒”,而能够 “懒” 则是因为并不了解其后果 —— 而这完全可以通过教育和科普来改变。

隐私作为一个个人权利,其保护的过程必然不可能是自顶向下的。只有当人们有了上述这些意识以后,才会出现隐私保护的共识,在这以后,“他们” 才能有足够的动力制定并且 落实 保护隐私的法规和政策,才能够反过来通过共识限制企业和政府的行为。在这个隐私的领地渐渐被缩小的时候,企业、政府必然要承担他们的责任,但是杀死隐私的真正刽子手正是每个人自己,与你我一样的人们才是导致这样的结果的最大原因。拒绝学习、自欺欺人、掩耳盗铃,这些词语放在当今的普通互联网用户上并不为过。曾经,我们都有机会阻止这一切的发生,可是放在今天,很多事情已经晚了;要夺回属于我们的领地,需要付出的努力将不只是一倍两倍之多。

希望从今以后,隐私不会再只是茶余饭后一笑而过的谈资。