从北京一卡通的隐私事件说起

从北京一卡通的隐私事件说起

网络杂谈之一

© 2011 HL

和3Q大战中360的宣传策略一样,北京公交一卡通最近也被冠以“暴露隐私”“精确追踪用户”这样的标题,引起人们的恐慌。其被指控的方式是:一卡通用户在线输入卡号,就可以查询自己的公共交通出行记录,例如公交、地铁。对此,一卡通公司发布公告回应说:“一卡通卡是非实名制的卡片,无个人信息,所以不存在个人隐私泄露问题,网站也只有卡用户的以往出行记录,请持卡用户妥善保管自己的卡片”。 人们可能担心的问题是,自己的卡号被人抄下,暴露行踪。有这样担心的人估计多属不忠的丈夫,解决方法也很简单:直接打车付现金就完了。

读到这条消息的时候,我第一个想到的类似例子是gmail。Google会记录所有人的搜索浏览记录。有些是匿名搜索,就像公交卡一样,只能根据IP地址定位查询者,如果清除了cookie,才不会继续追踪;更多的则是拥有google账户的粘性用户搜索,这时google就会提供“浏览历史和记录”的服务。这个服务是可以选择的,如果用户开启它,就能查询自开启日以来的全部google搜索记录,并且可以决定删除。至于是否真的从google的服务器上删除则是一个谜。google是不会轻易放弃这样宝贵的用户信息的(君不见其隐私政策是,即便停止使用google服务,搜索信息都要匿名保存2年),因为通过挖掘用户搜索信息才可以精确地投放广告,这一点拿到其移动广告业务上就更是如此(目前是google最大的收入来源)。Google不仅可以通过智能手机用户的搜索投放广告,还可以通过location-based sevice更加精确地为用户找到周围的各种有用信息,比如商场和餐馆。同样道理,如果用户决定不开启这项服务,并不等于google就不储存搜索信息,实际上它可以做到即时动态数据分析:在你搜索的时候,目标广告已经自动投放到gmail邮箱和搜索结果的右侧。

另一个可资对比的是香港的八达通卡。它不仅可以用来乘车,还可以广泛地用于消费支付,例如连锁餐厅、超市和便利店。最早的时候八达通公司是要用户实名登记购买的,广泛收集市民的身份证、住址、电话号码等和其业务无关的基本个人信息(实际上它将这些信息倒卖给6家合作商,曝光之后遭到政府处罚)。后来尽管游客可以不必登记即可购买匿名的八达通,但他们偶尔的旅游信息无足轻重,重要的仍然是本地常住居民,因此八达通公司和多家单位合作,争取将八达通同信用卡、学生证、购物会员卡等常用信息卡绑定。因为后者往往是需要实名登记的,前者就可以通过合作分享这些真实信息。更重要的是,八达通同样会记录用户的消费情况。07年一部香港电影《跟踪》里面就讲了警察通过一个罪犯的八达通在便利店的消费记录(号码打印在收条上,被随手扔掉)确定了他经常出没的地点,从而抓住了他。这一点也许可以反驳北京一卡通公司的“妥善保管卡片”论,因为除了卡片,有太多的机会可以泄露卡号。

那么问题来了:泄露卡号究竟能带给用户何种风险?风险发生的概率有多大?这种风险发生的损失和提供该项服务所带来的收益相比,孰轻孰重?如果我们决定仍然需要此类服务,那么由谁承担预防的成本和责任?如何设计机制让消费者和商家共同合作利用此类信息,为消费者提供更好的服务?

这类信息是否属于“隐私”?这类本质主义的探究没有多大意思。我们的法律并没有明确列举隐私信息的范围,但是不同领域的信息保护模糊地规定在各种法规之中,因为缺乏配套机制,并不起多大效果。人们通常也不会计较自己的信息被悄悄利用,因为他们想像不到这些个人信息能够带来多大利益。物理世界的隐私观念通常和不受打扰与独处相联系,这更多地靠物理设施保护;这类观念还包括未经允许即披露私人信息,比如一些娱乐媒体常以刺探隐私为业。但隐私并非固定不变的客观存在,而是具有相当主观性的东西。例如人们能够接受小圈子里的八卦和流言,会通过交流私人信息而扩大社会交往,还愿意披露个人信息给商家以换取更好的服务。对于某些信息,一些人并不觉得其具有私密性,而另一些人则相反。问题的关键是该种涉及到个人的信息是否和披露者达成共识,允许该种信息以何种方式可预期地流通或使用。如果缺乏这种共识,或信息的使用超出了可接受的范围,不受控制,那我们就可以说这类使用侵犯了“隐私”。

在北京一卡通事件的争论中,因为卡片可以匿名地获得,查询的记录也没有个人姓名、身份证号等信息,有意见认为这无法和某个具体使用者的身份联系起来,也就不构成泄露隐私。这种意见面临三个反驳:首先,一个有很多存款的银行帐户也无法和拥有者的实际身份相联系,但仍然属于私密信息,因为它们主要代表了个人的财产安全(当然也可能有藏富的隐密心理)。其次,匿名性仍然存在着针对特定人的风险。某个人具体的身份和隐私并不是对所有人都有意义,我们担心的泄露隐私正是担心这些信息被有目的地歪曲和非法使用。即使在一般人看来,拾到某张一卡通不会无聊到去查询该信息,但这类查询的便利仍有可能给特定人带来麻烦(比如香港八达通的例子)。即使是匿名,仍然存在着该记录被分析认出属于某人行踪的可能。网络空间中类似的例子是美国AOL公司向研究者匿名披露了很多用户的浏览信息,因为数据挖掘技术的发达,还是有用户被网民精确定位,发现其真实身份,弄得好不尴尬。第三,出行信息可能不属于私人身份的一部分,却能构成私人“档案”或“轮廓”的一部分。你的日常生活中的一切活动都可能被添加到这个“档案”中,尽管可能对你的身份没有影响。随着这类信息的累积,“个人”或“我”的观念会逐渐发生变化:“我”不仅仅是不同身份构成的统一体,而且也是无数信息碎片累积起来的虚拟主体。特别是当这类信息可能被商业或政治力量分析并施加到个人头上的时候,身份就变得不甚重要,而“档案”信息反而会成为约束人、教人小心提防的力量。这个问题在我看来对我们的未来而言极端重要。要解释这一点,先来看下为什么公交记录不会被严格保护。

如果一卡通的消费记录也可以随意查询,那么可能激起的恐慌就更多。因为消费记录可能被认为比出行记录更为重要和私密。这就涉及到不同种类信息的披露方式。对重要的金融信息、通讯信息、医疗信息,信息服务提供者会创设个人帐户和密码,承担更多的保密责任。而这类似乎无足轻重的出行信息,公司就不愿意承担那样大的责任。就像一卡通公司的回应所说:“本公司要权衡设置密码的可行性和可能产生的负面作用后,做出全面的评估再做决定”。毫无疑问,增设密码会加大公司的运营成本,但带来的潜在受益却几乎没有,给消费者带来的风险也并不巨大。维持目前的状况是一个理性的决定。实际上,像上海和香港等使用公交一卡通的城市也都在地铁站里提供免费查询出行信息。它们都设置了专门的终端供消费者查询最近十次的消费记录。这样的好处是:第一,只有亲自刷卡查询,减少了网络传播的风险;第二,只能查询最近十次的记录,不会显示以往全部记录,就减少了形成“档案”的风险;第三,如需查询更多的记录,需要额外申请(上海要支付1元钱费用)。北京一卡通公司可以考虑使用这样的查询方式,或者在网络查询时只提供最近十次的记录,足以帮助消费者掌握自己的出行状况。

换句话说,作为营利性机构的一卡通公司会采取成本最低的方式向用户提供查询服务,除非该种信息本身能够提供更多的经济上的激励,使其有动力加大保护力度。按照它自己的说法,这一功能“已有近10年的历史”,是“一项重要的服务功能”。这个逻辑并非商业逻辑,而是公共服务的逻辑,那么两者之间有什么不同吗?请对比3Q大战发生的导火索:腾讯开发QQ医生和QQ管家。尽管其背后反映的是腾讯帝国式扩张的意图,但直接原因却是全国范围内猖獗的盗号行为和既有网络安全软件查杀新兴木马程序的无力。腾讯将用户信息视为宝贵的资源,才会加大投入研发自己的防护软件。类似地,只有当用户出行信息给一卡通公司带来受益的时候,它才可能加大投入。信息隐私保护背后在当下社会反映的是不同信息的不同价值,财产性利益是决定保护程度的关键因素,这个商业逻辑已经远远超过了公共服务和保护人格价值的逻辑。

问题就赤裸裸地变成:出行信息如何被有效率地利用?前面google的问题是:无论服务商是否提供搜索历史查询,它都会保留记录。这既是现代信息技术的特点(保存成本很低),服务商也有动力这样做(可以充分利用用户信息营利,例如广告和增值收入)。尽管法律明确规定信息服务商的用户信息要保留六个月,以供公共安全查询,否则会面临处罚,但人们执行这条规定并不是畏惧处罚,而是经济动力使然:有哪家网站会把宝贵的用户信息白白清除掉呢?在新经济的商业模式之下,原来无足轻重的个人信息现在有了价值。iPhone内置程序足以跟踪用户行迹,google甚至鼓励用户自己提供所到之处的信息,这就是移动互联网市场尚待开垦的location-based sevice。当你所到一处,通过“切客”服务登记自己的所在,就会获得周围的一切出行娱乐和交友信息,并得到优惠,那将多么惬意。物理世界中的出行和网络空间中的浏览痕迹在新经济的大旗下已经没什么分别了,都可以被系统地收集分析,并通过智能终端发送广告推荐,提供个人化服务。因此,希望得到一卡通公司加倍保护隐私的网友只有希望该公司转变经营观念和商业模式,充分利用个人出行信息这块尚未带来利润的“负资产”。不难想像,一卡通公司在未来和某个切客网站合作,将用户的公交出行信息和自我出行登记信息结合起来,提供各种服务,获得来自更多商家的广告收入。这样每个用户就可以得到一个加密认证的个人帐户和密码,无需担心隐私泄漏,更加安全,而你我更多的隐私也就具有了更高的商业价值。

但是,这是我们希望拥有的“隐私”吗?在现代法治社会,“隐私”作为一种意识形态被不断重复强化,我们都期待政府加强隐私保护,完善法律。另一方面,“隐私”本身却在新经济中源源不断地生产出来,个人信息的使用方式正在被天才地、创造性地、全面地开拓,我们只能被动地卷入信息技术和认知资本主义带来的历史巨轮中。我们的数字“档案”正被不断充实,以便向商业力量提供更好的资源,这反过来可以对我们自己的偏好与特征进行分析。其根本要害在于:新经济本身就是需要个人信息作为养料和滋补品才得以存在的,当人们习惯于新经济带来的好处的时候,就只能要求不断完善隐私保护,而却忘记了问题的本源:新经济如何发生?换句话说,整个新世界中的隐私架构脱离了人们的控制,而成为资本控制下独立运作发展的东西。在这个架构下面,人们被现代隐私法提供的美好前景鼓舞,天真地以为个人信息真的能够被我们自主地掌控,从而在泄漏隐私事件发生时无比愤怒和恐慌。个人信息的使用可以被妥当地设计和认同,但法律无法阻止这一使用和生产本身,正如法律无法阻止互联网架构的整合一样。

在这个意义上,我们应该怀念北京一卡通提供简单出行查询的时刻,而当它几年后提供个人帐户和密码保护的时候,我们不是得到了更多的隐私保护,而是失去了更多的独立与自主。

网络杂谈

Leave a Reply