Google一天追踪你340次,零隐私时代需要怎样的区块链数字身份?

Google一天追踪你340次,零隐私时代需要怎样的区块链数字身份?

近日,GDPR正式向全球科技巨头开出了第一枪。根据法国监管机构国家数据保护委员会(CNIL)提供的证据显示,Google因违反《一般数据保护条例》(General Data Protection Regulation, 简称GDPR),将对Google母公司Alphabet处以5000万欧元(约合5680万美元)的罚款,多家海外科技媒体在报道时,都用了“record high”(破纪录地高)描述处罚力度之狠。

图1_副本

根据最新的GDPR,Google违反的具体条例很多。比如数据收集信息不透明、用户不了解数据收集情况、数据处理和存储时间等完整信息并未全部出现在同一位置、Google搜索引擎未获得用户同意收集有针对性的广告数据等。

 

 

一天340次追踪 全方位被动收集让用户成为“透明人”

 

知名独立网络安全专家Lukasz Olejnik表示,这是目前全球针对数据保护最高金额罚款,是隐私保护执法的里程碑。他认为,首个处罚决定至关重要,将决定人们如何理解法令条款及实际执行。“毫无疑问,将来会有更多罚单,它们将影响今后系统与软件的设计。”

一篇美国范德堡大学出版的题为《Google数据收集(Google Data Collection)》的报告,揭露了互联网公司毫无节制的数据收集行为。一个典型的场景是这样的:一个拥有Google账户和Android手机的用户,Google会在众多活动接触点收集数据,例如位置、路线拍摄、购买的物品和听过的音乐。令人惊讶的是,Google通过被动方式收集或推断超过三分之二的数据信息。在这一天结束时,Google就能准确把握住用户的兴趣。

 

图2_副本

经过研究发现,Google服务器每天通过Android手机传输11.6MB数据,不断上传备份到后台。Android手机的个人用户信息包括姓名、手机号码、生日、邮政编码、信用卡号码、手机上的活动(使用的应用和网站,包括如何使用)。Android手机用户被Google收集信息的频率高达90次/小时,正在使用的手机比没有打开的手机,其被收集的数据量高出1.4倍。一台休眠的Android手机,只要Chrome浏览器后台处于活动状态,会在24小时内向Google传送位置信息340次,位置信息占发送给Google的所有数据样本的35%。

图3_副本

Google通过专门在系统中标记“匿名用户”,把收集好的数据拿来使用,赤裸裸地演绎了“此地无银三百两”,但这是为什么呢?因为Google会收集自家相关应用和第三方网页访问的活动数据,然后再与用户的Google身份相关联。主要通过Android收集,将“设备标识”传递给Google服务器来实现的。同时,“广告标识符”也在这个时候派上了用场,形成了完整的闭环。换言之,Google通过被动方式收集到的“匿名数据”,与用户的个人信息相关联,最后用看似“合法手段”利用这些数据信息。

报告对于Google这一行为进行了概括:“Google通过各种产品矩阵,大范围收集有关人们在线和现实世界行为的相关信息,然后用来支撑广告业务。比如,随着定位技术和数据的完善,Google的收入会显著增加。”

 

人人都活在“楚门的世界” 我们需要怎样的区块链数字身份?

 

就像电影《楚门的世界》中的主人公,生活在信息高度发达的资本主义时代,每个人都在不自知的情况下被观看、消费与监控。在隐私侵犯的面前,每个个体都十分被动。在互联网时代拔得头筹的科技巨头,无一不是利用了用户数据的确权漏洞,趁着法律模糊和监管缺位,想方设法将数据大举变现,从而造成今天强者恒强的局面。

图4_副本

互联网从诞生伊始,便以机器为中心,而不是人类。换句话说,互联网虽然提供了信息互联互通的手段,但并没有提供中立、开放、统一的身份层。于是,用户在互联网里,无法了解对面的一方究竟是谁,更不知道它究竟连接了谁。当然,这在互联网早期是一件好事,它们并不能从我们身上窃取太多数据。

W3C以及一些标准化组织,提供了一些互联网身份的标准。这些标准的初衷是为了更好地服务互联网应用,但是这些标准被实施的过程中,仍然突显出很多问题,比如身份数据的安全性问题,面临泄露和被篡改的风险;不同机构之间的身份数据的兼容成本很高,带来身份数据碎片化且不一致的问题;用户这个身份的核心节点缺失,无法控制自己的数据;重复创建和管理不同应用下的身份;虚假身份欺诈等等。

在集中系统中,单个提供者(通常是政府机构)将身份数据集成到所有用例中,并承担相应成本,例如爱沙尼亚的e-Residency和印度Aadhaar国家数字身份计划。其好在于,提供了便捷的服务交付过程和高效的数据聚合功能,然而这样的系统却集中了风险和责任,给单个提供者带来了巨大的信任负担。

在联邦系统中,在公共标准下的多个独立系统之间共享数据所有权,例如由金融机构牵头的加拿大SecureKey Concierge,以及由公共部门推出的GOV.UK Verify数字身份。联邦结构分散了成本,降低了数据滥用的可能性,但也需要协调决策,其带来的复杂性可能会抑制机构作为身份提供者的参与度。

图5_副本

对于这些问题,W3C、Sorvin、OpenID正在寻求一些去中心化的数字身份方案,微软也在关注如何利用区块链构建去中心化的区块链身份,这也是区块链数字身份研究的前沿。

那么我们需要怎样的区块链数字身份?一个区块链数字身份必须涵盖身份的两大核心功能:验证和授权。区块链依靠天生的特性就可以进行身份授权,基于密码学的账户体系可以很好地自主控制数据,也会强制性地让运营商把身份控制权还给用户,并且一切关键数据都可以被登记下来。另外,区块链数字身份还有一个优势,就是可以与区块链数字资产进行无缝链接,把以往割裂的信息化身份和金融身份打通,这些都是以往互联网身份没有做到的内容。

图6_副本

但我们必须要承认,区块链的匿名性也给监管带来了困扰,完全匿名的数字身份并不是未来的发展方向。金融监管机构、税务机构、执法机构有权对金融生态系统进行审计,他们有理由在怀疑的情况下调查不当行为。在这种情况下,我们需要为监管机构提供必要的能力,以便在适当的司法监督下调查资产状况。

另外,如果没有适当的设计原则和控制,数字身份系统的控制权可能会交到管理员手中,导致新的不公平现象产生,并且由于缺乏处理问题或申诉的中心机构造成另一种形式的低效。因此,区块链数字身份在发展过程中需要配套政策作为辅助,将权力关进制度的笼子,同时也要平衡好去中心化与中心化的效率和界限。

个人的隐私保护绝不是等待那些信息收集者自动地良心发现,而是需要主动打破信息的黑箱,通过不断迭代的技术知识,从“观望”、“个体自保”转变为“实践”与“组织行动”,只有这样才能够真正夺回自己的“数据主权”。

评论
登录 账号发表你的看法,还没有账号?立即免费 注册