对互联网隐私的一些想法

Posted on 2023-04-25 In 观点

人们都对个人隐私比较在乎，但是对个人互联网隐私比较忽视。
前些年还流行一句话：在互联网上，没人知道你是一条狗，还有那幅经典的狗在屏幕前的画。
这句话旨在强调 “用户能够在互联网上以一种不透漏个人信息的方式发送和接收信息”。但是很多人却理解为：在互联网上很难留下踪迹，没人知道狗是我，或者我是狗。

只要在网络上行动，就一定会留下痕迹。只是痕迹留下的多少，以及持有痕迹的一方愿不愿意向外透露而已。
说网络是虚拟的，是从产品形态上来描述的。但网络本身并不是虚拟的，每一个网页、消息、短视频，都是要通过数据包进行电信号传输的，是真实存在的实体。
因为数据包是实体的，所以在互联网行走，一定会有痕迹。

这些痕迹算不算隐私，标准就是：用户愿不愿意把自己使用的痕迹向外公开，比如直播或者开源的形式，展示自己的互联网动线。
如果不愿意，那么这些痕迹，就算用户个人隐私。至于个人隐私范围，就不太固定。从内部来说可能对亲人公开对朋友不公开，从外部来说国家层面可能强制获取这份隐私。

《中华人民共和国刑法》的相关规定： 第二百五十三条之一【侵犯公民个人信息罪】违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金;情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

从国家层面《网络安全法》来认定，互联网用户数据，属于个人隐私 / 私人资料，并且这份数据对于公安和安全部门是无条件公开。

人们之所以对网络隐私忽视，主要原因是：因为看不见网络，所以不知道网络里有什么，或者网络里有自己的哪些隐私。
国人大多都没有信仰，而我是一名基督徒。所以我能够理解那种情绪，即没见过 God，说圣经是 God 的教义，那 God 在哪？网络隐私也是这样。
如果在公共场所有一张纸，写了张三几时几分访问了什么网站。为了证明张三就是张三，还贴了张三的银行卡号和身份证号。
那我们就知道，这样做是不对的。因为此时的张三，可能有一天会变成自己。
但是在互联网，一小时前访问了什么网站，浏览了多少在线店铺，连自己都忘了。也没见着那张记录这些信息的纸，所以就不在乎了。没见过上帝，还需要祷告吗？

真实情况是，互联网上的隐私，比生活中隐私多得多。最直观的，昨天访问了什么网站，我们自己都忘记了这份隐私，但是这份数据在各个互联网上下游的磁盘中存储着。
除了网站，还有账号及密码、家庭住址、个人身份信息、个人体征信息、出行信息等等。这些平时不在乎的隐私，其实在各个互联网上下游中都有备份。

比如数据采集工作。对于公司来说就是希望尽可能的采集足够的软件使用数据。如果是单纯的软件使用数据，那么这份数据的归属我认为还是属于公司。
但是如果软件使用数据和用户有 1-1 绑定，那么这份数据还应该属于公司吗？国内每个软件的使用条款里面，都有对此的说明，大概意思就是说，解释权还是归公司所有的。
苹果公司对于系统数据日志的采集，使用了一种 “差分隐私” 的技术方案，即收集到的特征数据不能反向推出个体，用这种技术方案还是挺文明的。
但是对于大量的公司，还是强调用户和日志 1-1 绑定的，甚至国家层面也会推出 caid 这种跨应用设备绑定方案，用于用户广告服务和换端等场景。
公司对外肯定不能有主动的日志泄漏，但是对内的权限控制还是有限的。因为数据就在那，很多业务或者问题也都需要这些数据，对内权限肯定有一些约束，但无法避免。

当前的互联网，隐私外泄非常严重。
大约一年前，telegram 上还有一个社工库，可以通过身份证 / 手机号等信息，查到各大平台的账号密码。
我试了一下，100% 还原。我查到了自己的，也查到了别人的。

这些从各种途径被泄漏的数据，包括账号及密码、酒店入住、身份证号手机号、购物记录、点餐记录等。
泄漏途径有大有小，国内外都有。比如 CSDN 600W 账号和明文密码泄漏、万豪酒店 N 亿条入住信息泄漏、上海公安 N 亿居民资料泄漏 (未证实)。

曾经我捡到一个身份证，我还希望找到这个人的手机号，好打电话返还给人家。查到少量信息，但没找到手机号，嫌麻烦，给送到了警察局。
幸好没有查到，后知后觉惊了一身汗。

互联网隐私，很多人不在乎，当作免费使用一些服务的资源互换。
其实应该在乎，因为免费使用一些服务，这是服务自身的规则。隐私和服务本身，在不同的维度，需要分开来对待。
比如一种场景：用户需要身份认证才能继续进行服务。那么，用户身份认证完毕后，就可以标记当前用户已完成认证，还有必要对用户的认证信息进行存储吗？没必要。即使为了后期回溯，那么也可以对认证过程进行脱敏存储。

互联网隐私和线下的生活隐私有一点不同。线下用户可以关了门再脱裤子，线上用户就不能管控自己的隐私，文明还需要提供服务的一方来坚守。
这里最大的检察方，应该是国家。一来国家不能自己做的不对，二来国家还需要对大小企业进行法律约束。

隐私，就应该是隐私。隐私，不应该被存储。因为不存在不透风的互联网黑盒。有人的地方，就有泄漏。
其实，写下此文的心情是沉重的。
仅以此文，致敬【编程随想】。