從 GDPR 說起，大數據時代下的個人隱私該何去何從

本文為動點科技/TechCrunch 中國獨家稿件。未經允許，禁止轉載。

在經歷了兩年的發布緩衝期後，2018 年 5 月 25 日起，用來取回公民以及住民對個人資料的控制，以及簡化歐盟國際商務統一規範的隱私保護法規?GDPR（《General Data Protection Regulation》一般數據保護條例）將會在歐盟成員國及歐洲經濟區內正式啟用執行。但這裡先不對它的具體內容進行過多贅述，簡單概括的話，它將會為適用成員帶來以下幾個重要改變：

收集主體（企業、組織或者個人開發者）必須明確詢問用戶是否允許可以被收集數據，不得以任何方式默認用戶授予數據使用許可，且必須經過用戶同意後才可以使用用戶數據（具體案例可參見“支付寶年度账單事件”）；

用戶有權查看被收集和使用的數據及其用途，並且可以選擇刪除這些數據。即使此前同意對收集主體進行許可授權，用戶依然有權進行許可撤回，且收集主體不得繼續進行收集行為（具體案例可參見“Facebook 劍橋分析醜聞”）；

如果用戶不同意數據的授權使用，收集主體必須將用戶的數據進行“匿名化”處理，即無法通過處理後的數據追蹤或者判定到明確的資訊主體。

作為史上最嚴，覆蓋規模最大的隱私保護法規，GDPR 不僅對歐盟組織地區的成員起到影響，就算收集主體不在上述地區之內，所有涉及對歐盟組織地區住民的數據處理行為也都必須被納入該法規的監管。換句話說，假如某軟體開發商是火星人，但他開發的軟體面向歐盟組織地區的用戶使用並會涉及到用戶的資訊數據收集，那麽這位火星的開發者依然要受到 GDPR 的管控。所以我們可以看到最近全球範圍內互聯網公司的一系列調整舉措。然而，儘管 GDPR 並不是對全球互聯網用戶適用且後續成效還有待商榷（目前我們還無法預知它會被怎樣鑽空子），它卻也在另一個角度為我們這些互聯網用戶敲響了一道警鍾：?真的是時候去重視你的個人隱私了?。

你的隱私非常值錢

首先我們要先明確這樣一個概念。雖然個人隱私和用戶數據的承載主體分別為用戶個體和收集主體，但這二者所指向的完全是同一件事物——你在網上所體現出的個人資訊，這會包括你的瀏覽習慣，你的登錄地點，你使用的瀏覽設備乃至瀏覽器和網絡類型等等，所有這些由你本人所發起的網絡使用行為，都可以看做是你的個人資訊。或許對你來說上網只是一種消遣個人時間的手段，這些有意無意透漏出的資訊對你來說並沒有什麽用途，你並不在乎別人會怎麽攝取或者使用這些數據，也不會考慮這些被使用的數據將會為你帶來怎樣的影響——這些資訊對你本人而言並沒有任何價值。但你要知道，此時你所置身的是資訊時代，是具有海量測量收集角度的大數據紀元，數據就是這裡的另一種流通等價物，就是這種社會中的財富象徵。看一看“全球市值百強”名單，你會發現排名前十的企業中有 6 家都為互聯網公司。它們既是這個時代的產物，也是由無數互聯網用戶所一手造就。甚至可以說，沒有互聯網用戶的青睞，就不會有這些年輕的巨頭。沒有互聯網用戶的支撐，就不會有這種澎湃的力量。而這些或許尚未察覺的互聯網用戶所付出的，僅僅只是把“網絡中的自己”托付給了它們，僅此而已。

所以這時，你知道它有多麽重要了麽，哪怕是在別人眼中？

而事情離結束還為時尚早。為了讓個人資訊“體現出更大的價值”，這些被“托付”的數據往往會被多方轉手，甚至是交叉組合使用。如不久前被曝光的 LocationSmart，這家依靠用戶定位數據為生的企業把它的經營方式運用到了極致。LocationSmart 不僅自己在使用用戶的數據營生，同時也在把數據賣給第三方組織（甚至還會“預防”用戶采取防護措施）。

上圖魔獸世界中的一件裝備，但互聯網用戶的資訊又何嘗不是這種“歸屬不明”寫照呢？

在現今的大數據時代，這種案例數不勝數，筆者相信不用再多列舉，大部分讀者都會擁有相應的體驗。明明是在 A 網站瀏覽了某些內容，但是卻會在 B 網站收到了相關的廣告推送。互聯網在打通了人與人之間的時空阻隔的同時，也為其中個體在節點與節點間的流動提供了可能。但是，是誰為這種流動提供了推力？又是誰允許了這種推力的存在？作為被流動的主體，用戶本身是否知道自己所遭受到的一切？他們又可以做出何種選擇？這些會有人去在意麽？假如這些問題不能帶來任何直接收益，至少在筆者看來，無論 GDPR 是否存在，總會有人對這些做法視而不見。

技術無罪

原諒筆者在這裡引用，甚至是冒用一位前輩的觀點。技術本身不具有任何偏見和價值。但不知怎的，“年度账單”也好、“學術分析”也罷，甚至是某些“無法拒絕的用戶使用協定”，到了最後卻會變成“雙手沾滿鮮血的劊子手”。隻不過它們屠戮的不是誰的肉體，而是對於它們自身的信賴。當然，這只是一種理想化的文字描述，在這個句號後面的答案早已寫好。廣大用戶面前出現的通常並不是多選題，在喪失對它們的信任後，大多數人還是會乖乖回到原來的懷抱。

為什麽會出現這種現象？

至少在它們出現在我們面前和再次出現在我們面前時是無害的形象，而且也沒有太多人會去設想它們會帶來多麽糟糕（存在於媒體用語或者新聞標題意義上的糟糕）的後果。所以這就是網絡世界中所謂的互相信任麽？

網絡社會也是商業社會的一種形態，這一點毋庸置疑。所以除公益組織外，沒有任何個體或者組織有義務或是責任來為另一方提供服務。然而如上文所述，這其中的流通等價物——個人數據往往卻會被人視若無物。這種做法不僅僅來自於資訊承載者，也會來自於資訊收集者。這不是一種麻木的行為，卻正朝著麻木的定義方向發展。“如果重新重視這些個人數據，這種做法對我有什麽好處？我又要怎也去做？是不是一直都要這麽去看待這個問題？”這些疑問可能僅僅只是為了提高我們對個人隱私意識所要面對的問題中的冰山一角並且足夠讓人頭疼，但在網絡出現之前，在短短的半個世紀之前，這些問題似乎根本不存在，所以我們要怎樣才能摸索出一條通透的路線？

尤其是在這種規則尚不明確的環境下，我們往往會面對更多的不確定。假如有人能夠這麽告訴我們“同意我們的用戶條款會為我們帶來 20 塊錢的潛在收益，會為你帶來 5 塊錢的統一補償。”或者“我們對你的侵犯行為對你造成了價值 2 毛錢的損害，這是我們的補償請收下。”以及“你收集了我 20KB 的數據，打個八折，收你 40 塊”等等···把所有的行為都用某種可量化的等價物進行體現，雙方都可以擁有一個直觀的衡量標準，這會是一種好的解決方法麽？

當然這只是筆者一個不負責任的臆想，而這種物化的做法在極端的同時也會體現出某種惡劣的價值觀。但我們終究需要另一個替代品來替代我們現有的互相信任，因為這種主觀的價值評判已經不再會輕易被人們所接受——你還會認為有些人的道歉真的是在道歉麽？

生存還是毀滅

按照 GDPR 的描述，這雙看不見的手會通過律法手段讓它的覆蓋太空更加有序。可是它畢竟只是一種法律上的量裁等價物，假如 GDPR 消失，假如這裡是 GDPR 所覆蓋不到的地區，一切又要靠什麽應對？我們是否能去做些什麽？我們又會期待那些收集主體做出什麽樣的舉措？

從自身的角度來看，我們交給對方的個人資訊是為了讓對方為我們提供更加周到的服務，因為這是對我們而言的唯一直接收益與追求。而互聯網對我們日常生活起到的改變已經不言而喻，假如它會對我們帶來良好的體驗提升，我們沒理由要去拒絕加入其中。但在資訊收集主體這邊，怎樣獲得最大收益才是它們的主要和最終目的，為用戶帶來體驗提升只是達成這一目的的方式之一。在這種方式之外，還有更多不用承擔責任的操作太空為它們帶來額外的收益，比如用戶數據轉賣，比如數據的不透明開發。所以雙方在選擇太空上就已經是不對等的存在。如果突然間不讓你使用手機上打開頻率最高的那三款軟體或者服務，很少會有人能在短時間內找到替代品來彌補這種的依賴落差。那些動輒幾十億月活用戶，以及數十分鐘日常使用時長的軟體巨頭們顯然在某種程度上和我們捆綁在了一起，並且成為了不被我們所主導的器官。

拒絕使用或者尋找替代品始終只是緩兵之計，而無論出現什麽樣的後果，最終的承受者也只會是用戶本身。所以這裡的問題就會變得非常明顯，我們要做些什麽才能在最大限度上的保護我們自己，保護自己會在這種被動的局面中受到盡可能少的損失？

此前我曾在另一篇文章中提到過這樣的觀點：假如 Facebook、WhatsApp、微信、QQ 是你無法抗拒的選項，或許你可以把它們看做亞馬遜、美團、淘寶以及滴滴出行。當然這種取代並不是功能上的替代，而是在我們自身觀念上的一種改觀。你的個人隱私在數據庫中只是一行行的字元，在數據交易商的記錄中只是一條條可以促成成交的記載，儘管你從來不知道是哪些行為哪些資訊變成了他們眼中的金礦，至少你還可以從這裡認識到自己的價值所在——這個互聯網以前所未有的方式和手段把你同諸多未知連接到了一起，它們可能別有用心，也有可能是一種潛在激勵，或許這些目的終究無法被我們知悉，但這些與我們交織的依賴方們也是由一個個的個體所構成。它們的做法是把整個網絡劃分成了我們和它們，而不是我我我我我和它它它它它。所以，反過來，我們也可以讓他們變成接近於零的存在。至少，已經存在了這種可能。

從 GDPR 說起，大數據時代下的個人隱私該何去何從最先出現在動點科技。