無處安放的隱私離信息「裸奔」有多遠

在互聯網時代，雁過無痕只能是神話。只要你“飛過”，即使是天空一片云彩，網絡也能留下你漂浮的影蹤，清晰地展現你從哪里來到哪里去的疊疊軌跡。

“uid=31893899;ll=784388;age=28;gender=f;movie=037，10548;tl=732024;lw=38589;swb=1;”這一串代碼就是讓王曉慧變成透明人的秘密。它一五一十地勾勒出王曉慧的生活輪廓：此刻，28歲的她正在北京市海淀區某個電影院附近發微博，之前她剛剛瀏覽了一家影評網站，她最喜歡的電影類型是愛情片，喜歡美劇《生活大爆炸》，之后她又在一家團購網站上訂餐，她喜歡吃韓式燒烤和麻辣系川菜。

一串代碼標志的不僅僅是王曉慧的行為方式和偏好特征，她的隱私世界暴露無遺。

這都是網絡追蹤惹的禍。互聯網公司喜歡偷偷跟蹤用戶上網活動，并以此判定用戶的愛好從而進行廣告精準投放，這是互聯網廣告的最大特色。網絡追蹤技術正在讓個人隱私無所遁形，而出售客戶信息則成為新的生財之道。

網絡追蹤其實不是新鮮事。近年來谷歌和Facebook等大型互聯網公司在隱私保護方面備受批評。它們秘密追蹤用戶在網上的活動，并使用這些數據來獲得廣告收入。谷歌因繞開蘋果Safari瀏覽器隱私設置投放廣告的行為涉嫌侵犯用戶的隱私權而接連遭遇起訴。

不過他們的這一嗜好最近要收斂不少。不久前美國白宮提出一項“權利法案”，用戶的互聯網隱私能夠得到更好的保護，而美國政府對谷歌和Facebook等公司將有更大的監管權力。目前谷歌、雅虎和微軟的廣告網絡服務已同意不在網絡瀏覽器中使用追蹤技術，使消費者更方便地控制隱私設置。

事實上，我們在現實世界的個人隱私已經無處可藏。如果你擁有手機、銀行賬號、醫療記錄，這些信息可能已經被轉賣數次；如果你在某商場辦過會員卡，你可能被垃圾短信在凌晨叫醒數次；如果還經常上網，并熱衷網絡購物，你很可能已經在信息公路上“裸奔”了太遠。

個人隱私何處安放

網絡追蹤無處可逃

追蹤技術正變得越來越巧妙，越來越具有侵略性。過去對消費者的監測行為一般是通過Cookie標識用戶的身份，通過網站訪問日志來分析用戶上網行為，但據《華爾街日報》報道，新的監測工具會實時掃描人們的在線操作，然后立即對其所在地、收入、購物興趣，甚至健康狀況等信息進行評估。

“追蹤技術其實已經有好多年。谷歌有一個產品叫GoogleAnalytics，很多做網站的人都會用它。在自己的網頁上放置一行代碼，就可以知道每天有多少人訪問本站，訪問了哪些頻道，用戶從哪些網站來，又到哪些網站去，在本站停留多長時間等等。這就像你擁有了原子能技術，用來造核電站還是原子彈，作不作惡不是完全靠它自己，防范還要靠立法。”360首席隱私官譚曉生分析。

事實如此。人們在享受移動互聯網提供高效、便捷服務的同時，也時刻承擔著個人信息隱私被泄漏的風險，個人隱私保護已經成為人們上網時最大的擔憂。剛剛播出的央視“3·15”晚會，就爆出羅維鄧白氏公司非法買賣公民個人信息。因涉嫌單位犯罪，羅維鄧白氏公司總經理已被刑事拘留。

更早之前的2011年末，中國CSDN網站、天涯社區等大量知名網站的用戶數據庫被黑客拖庫，據不完全統計，大概有5000萬用戶信息遭到曝光。一時間，各家網站如臨大敵，緊急通知各自用戶盡快更改密碼以防不測。由此，掀起了中國互聯網用戶更改密碼的大潮。

中國的個人隱私保護現狀令人擔憂。工信部電子科學技術情報研究所副所長劉九如在2011年個人安全信息大會上介紹，他們經過個人信息保護調研后得到的數據顯示，“調查對象中有60%對當前個人信息保護現狀不滿，60%遇到個人信息被盜用，60%收到過垃圾短信，遭到個人信息被冒用。有30%的被調查對象認為通過網站泄漏，另外有30%認為可能是通訊公司泄露。”

生存在互聯網時代的人們幾乎防不勝防。誠如360總裁齊向東所言，不管你是交友、看新聞、玩游戲，娛樂生活幾乎都在互聯網，不知不覺個人隱私已經遍布網絡。“94%的網民用QQ聊天，聊天過程中難免會傳輸電話、郵箱等私密信息，這些都已經傳到了服務器上；78%的網民在使用框計算，在框里面輸入的內容也傳到了服務器；70%的用戶使用輸入法，敲的任何東西也都存在服務器里面；50%的網民在淘寶上進行交易，不僅僅是電話，支付信息也要上傳；40%的網民有微博，既有私信又有電話，這些大量的個人隱私都在服務提供者的服務器上。”

傳統互聯網中用戶隱私安全的困擾，在移動互聯網同樣不能幸免。如蘋果iPhone被爆出可追蹤用戶信息；Carrier IQ的軟件導致用戶隱私可能遭遇竊聽。由于智能手機的隨身性與功能應用的豐富性，使其逐漸成為涉足和存儲用戶私密信息最多的觸網終端。

“在手機上打主意的壞人越來越多，通過入侵手機獲取個人信息的情況未來一兩年會越來越多。手機本身其實就是一個小電腦，其防護遠沒有PC上那么完備，相對比較薄弱，未來肯定會有比較大的事件發生。”譚曉生預測。

首席隱私官成“亞歷山大”

安全衛士就是當好“守門員”

譚曉生走馬上任360首席隱私官成為一則新聞，這個職位的設置盡管在很多美國大公司里非常普遍，但在國內互聯網公司里尚是頭一遭。

360作為一家安全公司重視用戶的個人隱私乃題中應有之義，譚曉生卻因此變成了名副其實的“亞歷山大”。他是互聯網老兵，他在微博上這樣介紹自己，“2003年進入互聯網，先后在3721、雅虎中國、MySpace、奇虎360轉戰的互聯網戰士。”作為首席隱私官，譚的日常職責是處理360軟件產品可能涉及到用戶數據的各項事務，包括規劃和制定公司的隱私政策、審核各產品的用戶使用協議、監督各產品的工作原理和信息處理機制等，保證公司各軟件產品的行為符合國家相關的法律法規。

老革命遇到新職責，這讓譚曉生的神經7x24小時繃緊。今年3月15日晚上21：34，他發現微博上有同行轉發的一個安全漏洞和補丁，馬上打電話給同事，要求查明情況分析該漏洞的真實影響。一小時后，同事的評估郵件回復顯示，“這個漏洞的危害不是很大，并不能觸發遠程執行這種高危漏洞，明早進一步處理來得及。”譚曉生這才松了一口氣，類似的日子不勝枚舉。

“這個職位就像守門員一樣，別人不進球表明你的工作狀態正常，一旦進球就是輸。”原本天性樂觀的譚曉生感到自己被工作改造成了“偏執狂”，“做安全軟件的不是偏執狂肯定做不好。”

現在360每一個產品的研發團隊里都設置了一名兼職的隱私專員，這個人就是譚曉生的“線人”。“公司每天都發布產品，每天都在改進，審核的壓力很大。我只能把戰線前移到設計階段，在產品開發階段就在團隊里派駐隱私專員。”譚曉生的做法通常就是在研發團隊中征集一名隱私專員，這個人既懂產品又關注隱私，要對兩邊都負責。“出了問題，他的績效也會受影響，他最后被迫就要在兩邊平衡。”譚曉生對這種內控很滿意。

除此之外，首席隱私官還下設一個獨立的監督部門，不隸屬于任何產品部門。其職責就是時刻抽查產品，方式是通過技術手段，而不是通過代碼審查的方式。“在某個產品使用過程中，監督人員在電腦外面開始抓包檢查，抓包后分析功能數據有沒有超出《隱私白皮書》的范圍，如果超出了，他就要通知首席隱私官，首席隱私官就要找到隱私專員，層層落實責任。”齊向東將首席隱私官比喻為“政法委”，隱私專員相當于“警察”，獨立監督部門則相當于“檢察院”，“這三層職責防護就構筑了真正的隱私保護體系。”

他感慨，作為一家安全公司，360時刻都被別人的眼睛盯著，隱私保護進程對自身來說是一個更嚴苛的要求。“不該看的不看，不該存的不存，不該用的不用，不該傳的不傳”，這是360剛發布的《用戶隱私保護白皮書V2.0版》中的原則。“幾句話說起來簡單，身處其中就知道有多難，很多東西都是血淚教訓，因為你看了，你傳了，你存了，這個東西在你手里就是負擔，就得保證它的安全，一點馬虎不得。”譚曉生很認真地說。

此后公司對產品的內部審查更為嚴格，譚曉生稱之為“過堂”。2011年年初和2012年年初分別有一次奇虎CEO周鴻祎和總裁齊向東召開的全公司所有產品的“過堂會”，每次會議持續將近兩天時間，會上對每個產品都依次進行審查。“每個產品都要講清楚查看了用戶什么信息，上傳了什么東西，為什么要傳，如果不傳你的功能還能不能運行，就是用這種方法一個個地審，每次都是‘過堂’。今年年初審的這次，把我們部門的技術手段都動用上了，在公司會上‘過完堂’，還要在我這里再過一遍篩子，用這種方法來確保各個產品的安全性。”譚曉生笑言。

作為隱私保護專業人士國際聯合會（IAPP）的成員企業，360一年前已經將旗下所有產品的源代碼托管給中國信息安全測評中心，任何個人和機構都可以查看360產品的源代碼，在查看中發現360產品中有侵犯用戶隱私的可疑之處，都可以向相關部門舉報。

“隱私保鏢”先行

“三位一體”聯合給力

互聯網上絕大部分隱私信息的泄露，都與木馬病毒等惡意程序相關。360一方面要向網民提供有效的工具，另外一方面也要與木馬、黑客斗智斗勇。

360最近發布了幾個保鏢系列，有隱私、購物、下載、U盤等保鏢。這些“保鏢”能干什么？它是網民應用程序，在為用戶服務時構建一個安全場景。“用戶要在網站購物，一旦進入網銀頁面，我們就構建這樣的場景，執行嚴格的清場政策。就像中央領導來視察，先把無關人等清出去。我們認為在進行網銀操作時，無關的程序都要停止。在可能導致你隱私泄露的各個環節，我們也設置了各種場景，能夠最大限度地保證你的隱私不會泄露。”齊向東解釋。

360還會為用戶提供隱私體檢，會提示其隱私在哪些地方或步驟可能被泄露。王曉慧喜歡看大片，她的電腦里就常常存有大量的緩存文件或者叫臨時文件。“這樣的文件里含有很多個人隱私信息。你訪問過哪個網站，點了哪些按鈕，干了什么，這些痕跡都存在你的電腦里。如果有人控制你的電腦并還原，很多隱私都能看到。”齊向東指出，如果用戶在隱私保鏢里通過隱私體檢，這些痕跡都能檢查出來。“如果你想更安全，經過提示就可以考慮是否要清理掉。”

靠技術手段是否能實現我們百分之百的隱私安全？

譚曉生果斷地搖頭，“互聯網的本質在于開放，如果一些不法分子有心通過社會工程學的手段去獲取用戶的個人信息是防不勝防。互聯網時代的個人用戶隱私信息保護，不可能由一家包辦，必須政府、網站、安全公司共同努力，做到‘三位一體’。”

齊向東指出，互聯網網站服務商必須要采取安全措施，提升管理水平，承擔起妥善保管用戶個人數據的責任。此外，政府機關作為相應的立法和監管者，一方面懲治病毒、木馬制作者的犯罪行為，一方面能夠懲罰互聯網服務商中的玩忽職守者，同樣將是隱私保護的一道重要防線。

在全球范圍內，如何保障互聯網用戶隱私已是互聯網行業發展必須面對的重大問題，需要政府、互聯網企業、安全廠商、網民等共同參與并一起改善。其中建立系統完善的個人信息保護法律制度是重中之重。

事實上，用戶隱私泄露后能得到的法律保護相當薄弱。劉九如的調查顯示，個人信息被濫用以后，因取證難導致維權措施往往落空，只有不到10%的調查對象進行了投訴。另據了解，自2011年CSDN大規模泄密事件后，網站只發了封道歉書。而用戶的關聯網上銀行、支付寶如果被黑，還得“舉證”是因為CSDN泄密引起的，否則難以獲得賠償。

“今天之所以要加快個人信息保護的立法進程，是因為這個問題已經到了觸目驚心的地步。我們現在正在進入云計算時代，也是一個所謂大數據的時代，這和個人信息保護息息相關。美國剛剛公布了消費者隱私權的方案，最近歐盟馬上就要發布對指令的修改，國際上已經進入到信息保護的2.0時代，我們現在還在為1.0時代呼吁。”中國社會科學院法學院研究員周漢華急切呼吁相關立法的出現。