根植于物联网的智能可穿戴设备,正因其感知并记录用户身体和行为的“一切”,迅速捕获世人的心。但同其他互联网技术一样,可穿戴设备也是一把双刃剑,被感知的个人信息越丰富,隐私泄露的风险也就越大。用户数据安全和个人信息保护,成为了伴随这项技术的热议话题。
全面记录将变得普遍
我们正在接近一种生活:
每一天,你见过的人、你有过的谈话、你去过的地方、你参加的活动等工作、生活方方面面的信息都可以用数字的形式储存起来。
你的生命体征可以全天候监测,如体温、心率、血压以及生物药品是否留存。这些数据还可以充当一种预警系统,并作为诊断疾病和开具药物处方的个人数据库。
美国《连线》杂志创始主编、被称为硅谷“网络文化”观察者和发言人的凯文·凯利(以下简称KK)在畅销书《技术元素》中称其为一份“生命日志”。而如果你愿意,这种生命日志可以在某种程度上被共享,这不仅可以被用来帮助他人的工作,扩大社交圈,甚至可以推进新药的发现。
事实上,从上个世纪80年代起,就出现了一些生命日志的极端记录者。麻省理工学院的史蒂夫·曼为自己装了头戴摄像机,并用录像带来记录他的日常生活。但因为有一个摄像头遮住了他的脸,人们在他周围很难保持自然;微软研究院的戈登·贝尔从2000年起开始进行一个名叫“我的生活片段”的实验项目。他在脖子上戴了一个特殊的照相机,这个相机可以检测到人体发出的热量,一旦有人靠近,就把这个人拍摄下来。或者它检测到光线有变化,也会把新到的地方抓拍下来。贝尔会记录并保存他每次的电脑击键、每封电子邮件、每一次电话交谈笔录、每次面对面交谈。总之,他把他所能够记录的任何数据都一一记录下来。
如今看来,这一切只需要同时配备几个可穿戴设备就可以轻松完成。但是,一系列法律和文化的困境也随之浮现。“你生活的哪一部分是别人的隐私”“政府能够调取你的生命日志吗”“我可以收回和你的某段谈话吗”,KK提出的正是如今人们普遍担忧的问题。
他相信,可以通过设定一些社会规范来进行引导,什么时候记录是合适的,什么时候是不合适的。“但对大部分情况来说,全面的记录将会变得很普遍,就像现在的文本一样普遍。”
互联网时代如何界定隐私
在中科院院士、中科院软件所研究员林惠民看来,信息时代的伦理困境,尤其是隐私泄露的风险,并不是由可穿戴设备开始引起的。个人信息理论上只有自己才能看到,但是,当你把这些信息交由一项工具,而这项工具最重要的特性就是快速传播与分享时,不管你是否愿意,总有办法可以被攻破。
信息安全与便利性是一对永恒的矛盾,而更引人深思的是,信息技术时代不断创新的用来保护个人隐私的手段,也是以获取更为私密的个人信息为代价的。据中国科学院深圳先进技术研究院研究员、生物医学信息技术研究中心主任李烨介绍,苹果公司正在申请一项技术专利,超越指纹识别,而将个人的心电数据作为手机密码锁。也许手机信息安全等级将会得到提升,但不知不觉中,你的心电数据也主动透露了出去。
去年6月,来自多个国家的10名隐私保护官员曾联名致函谷歌CEO拉里·佩奇,要求谷歌对涉及谷歌眼镜的一系列隐私安全问题作出详细解释,以打消当前人们普遍对这款可穿戴计算设备的隐私担忧。由于谷歌眼镜上内置了相机设备,而这对于谷歌眼镜佩戴者的周围任何人来讲,隐私可能受到侵犯。关于佩戴谷歌眼镜相关隐私保护问题曾在全球引发广泛讨论。
对此,林惠民表示,事实上对于隐私权的界定在全球范围内来讲都是模糊的。
国内法律定义的隐私权指的是一种与公共利益、群体利益无关的, 当事人不愿他人知道或他人不便知道的个人信息, 当事人不愿他人干涉或他人不便干涉的个人私事和当事人不愿他人侵入或他人不便侵入的个人领域。
“如果说谷歌眼镜可以随时随地拍照,可能侵犯别人的隐私,那么现有手机、数码相机拍摄的照片同样会拍到使用者周围的人,只是谷歌眼镜更具有隐蔽性。”林惠民告诉《中国科学报》记者,一般来讲,个人隐私只有被泄露或者被侵害的时候,才会通过司法寻求保护。“换句话说,如果你被拍到了别人的相机里,但没有被对方恶意扩散和利用并造成不良影响,法律也很难追究他的责任。”
隐私保护重在正确、合法使用技术
去年“3·15”晚会,一个技术名词Cookie被推到了大众眼前,Cookie被等同于隐私窥探的高手。事实上,Cookie的主要作用就是类似于一种本地记忆,简化用户操作,正是有了Cookie,网站才可以为你量身定做你需要的内容。Cookie是组成互联网最基础的部分。
技术本身是无关罪与无罪的。受到质疑的第三方Cookie主要来自该网站中的广告,它与本地域名的Cookie是相互隔绝的,所谓用户隐私被非法利用,指的是本地公司与其他广告公司进行信息交易,或者广告公司通过非法技术入侵而获得本不属于自己的用户信息。
林惠民坦言,只要是信息技术时代,任何时候都有办法获取一个人的个人信息,只是难易程度的差异。“理论上,互联网越发达,就越没有隐私可言。隐私安全的维护关键在于正确、合法地使用一项技术。”
李烨介绍,中国科学院深圳先进技术研究院、生物医学信息技术研究中心研发的医疗可穿戴设备本身拥有用户体征数据的自动识别技术,一方面捕捉到的他人的数据无法录入数据库,同时,他们也无法用自己的数据登陆正式用户的界面。此外,从团队管理的角度,后台各级操作和管理人员以及合作方都有各自相对应的数据察看权限,以此约束他们的行为。
也有像开发了智能手环的Fitbit公司,承认有相关的应用程序编程接口开放给第三方和保险公司,但是,他们强调,这些都是要经过用户的授权才会进行的。
信息不对称带来的不安
对于可穿戴设备隐私安全的质疑,引来许多研发企业的澄清,他们表示,这种数据在用户不自己分享的情况下很难被别人拿到,并且承诺产生的数据能够被合法正确的利用。但这些并不会让用户真正感到安心,因为用户始终面临与开发商、运营商之间的信息不对等问题。
KK曾经直言:“我不在意我的动向被跟踪、我的习惯被保存在聚合数据库里。”但他同时表示,必须满足以下四个条件中至少三个:我知道什么信息、在哪里、为什么、被谁收集;不管他是明着还是暗着收集,我都同意,我也知晓;我有机会来纠正它,并使这些数据为自己所用;我这样做得到一些好处(建议、协同过滤、经济支付)。
这是因为,只有当信息传递从单向关系变为双向交流,人们才会感觉这是相互联系,而不是被单方面窥探。总的来说,技术只有透明才能获益。
林惠民和李烨在接受《中国科学报》记者采访时均表示,每一项技术应用的用户协议就显得格外重要。
但林惠民表示,除了专业人士,目前很少有人会仔细阅读复杂的协议条款,忽视了个人数据的使用去向,很多时候,在跳出选择框问是否选择授权给第三方应用时,大多数人也会习惯性地选择“是”。而有的软件开发商还可能使用霸王条款,对于软件应用后产生的一切后果表示概不负责。
对此,KK提出了三个方面的准则:首先用户对技术的了解应当和技术的创造者一样多;其次,技术信息应该随技术一起传播;此外,其他技术也应该了解它的一切。但显然,这三方面实现的难度巨大。
隐私权的维护需要群体力量
如今,对于可穿戴设备的隐私问题,用户寄希望于有行业规范,更重要的是法律法规的出台,拥有第三方监督。
以Cookie为例,欧盟的法律明确规定,如果用Cookie来追踪用户的使用习惯,网站必须取得使用者的“明确同意”。而在美国,2003年,白宫“管理和预算办公室”规定禁止联邦政府部门在网站访问者的电脑中留下永久性Cookie。
但李烨认为,可穿戴设备行业整体还处在起步阶段,技术标准尚未存在,制定隐私保护的实质性措施恐怕还是会滞后。
此外,林惠民还提到,国内用户自身对于隐私权的维权意识仍须提升。他告诉《中国科学报》记者,在国外,有不少隐私权人士专门监督各种软件应用中可能存在的泄露用户隐私的行为或漏洞。他认为,隐私权的维护更需要群体的力量。