乐悠
美国中央情报局前局长彼得雷乌斯因为“邮件门”而被曝光婚外情丑闻,我们不妨直面这样的现实:不管是婚外情信息还是商业机密,无论你如何在电子邮件收件箱或文本信息文件夹中试图隐藏这些信息,它们总有被别人发现的可能。
如果是这样的情况,下面是一些如何使自己隐私信息不被他人发现的最佳方式:了解你的对手;隐藏IP地址;删除使用记录;信息加密;启用自毁服务;放弃草稿箱;仅使用指定设备,安全专家建议,对于隐私通信信息,用户应该使用独立、单独指定的设备,比如一些人为了特殊目的,而会购买第二部手机;找到自己没有从事过相应活动的借口……
但其实,要实施上述措施中的任何一项都不容易,而全部采取就更难。美国互联网安全专家丹·卡明斯基告诫:“因为所有东西都已被记录了下来。如果你不希望自己的信息被发现,最好的方式就是别写下来。”
处处有漏洞
2005年,美国信息服务机构Choice Point出卖了超过16万的消费者信息记录,800多人因此遭受直接损失。这一事件随后发展为美国历史上最大的身份盗用丑闻之一,直到2007年,Choice Point才与美国的43个州就此事达成和解,同时同意支付50万美元致力于教育公众防范个人身份被盗用。
美国联邦贸易委员会是在保护消费者信息方面打击企业不法行为的“总管”。美国电话公司或邮局可以把用户的电话号码和家庭地址等信息出售给专门的广告商盈利。不过如果用户申请美国联邦贸易委员会的“不许打电话”服务,便可以禁止这些公司再来骚扰。
在用户要求不许打电话骚扰后,如果哪家公司再打电话推销,每打一个电话罚款1.1万美元。近年来栽在联邦贸易委员会手下的案例不胜枚举,罚款最高额是650万美元。联邦贸易委员会2009年2月宣布,660家小电信商由于违反了保护消费者信息规定,被总共罚款1.33亿美元。
也有一些企业因为自身信息系统存在漏洞,而被黑客钻了空子。2007年1月,拥有多家零售连锁品牌的美国TJX集团信用卡支付系统被黑客突破。TJX在当年3月底提交给美国证券交易委员会的Form 10-K文件披露称,共有465万个信用卡号码被盗窃,从而使这起事件成为美国历史上最大的一起数据侵入事件。美国证交会也感叹,对于一家知名跨国公司来说,规模如此惊人的个人资料失窃事件可谓罕见。
由于公司电脑系统存在安全漏洞,其实从2005年开始,黑客就已经瞄准TJX公司的电脑数据库,并不断“登门造访”——一位熟悉调查情况但希望隐瞒身份的人士透露,很多TJX零售店内的电脑可以让人们在网上申请工作,同时,因为没有防火墙的保护,可以通过它们直接连上公司网络。这让消费者们既愤怒又担心,TJX公司不仅疏于防范,而且居然在这么长时间里都没有发现黑客入侵。
这起事件至少导致在13个国家发生了大量的信用卡和借记卡诈骗案件,造成的损失总额达到10亿美元以上,仅Visa卡用户的损失就超过6800万美元。有盗贼用被盗的TJX公司的客户信息伪造信用卡,然后在佛罗里达州50个县的沃尔玛超市诈骗了大约800万美元的购物卡。
TJX数据泄露对整个商业和IT社区造成了广泛深远的影响,令许多公司重新评价它们自己的安全策略,也促使立法者推动有关数据安全立法。
2007年8月1日,明尼苏达州《塑料卡安全法案》生效,该州率先将数据外泄的成本从金融机构转移到行为不当的零售商身上。该法律规定,如果明尼苏达州的商家在交易授权48小时后还储存客户密码、社会安全号或磁卡信息,则被视为违法。如果商家被发现私自保存金融数据并导致数据外泄,那么明尼苏达州的金融机构,例如银行和信用卡联盟,就可以起诉它们。
在20世纪多数时期里,美国个人信息保护主要涉及的是限制政府获取个人信息和保护其免受侵害。但是近些年来,美国个人信息保护立法越来越多地着手规制私人领域的信息收集与利用。
美国个人信息保护在公权与私权领域有着明显不同的保护理念与政策。基于美国自由市场经济的传统与价值,私权领域的个人信息保护倡导以行业自律为中心,尽量减少政府采用立法方式进行强制干预。
新挑战
还有更多的隐私保卫战则正在互联网上展开,搜索引擎Google和社交网站Facebook都因为隐私权益问题而被隐私监管部门“牵头皮”。
美国个人电子隐私安全中心的高级顾问克里斯·胡弗纳格曾说,由于大量的个人信息集中在一起,Google正在成为互联网上最大的个人隐私隐患。2010年,谷歌街景车事件闹得沸沸扬扬:在此前4年里,谷歌街景车在拍摄街景的同时,还“顺带”收集了周围用户的一些信息,其中包括电子邮件信息、在线聊天信息等,涉及全球30多个国家和地区的网络用户。随后,美国、德国、意大利、韩国等16个国家的警方介入了相关调查。在各国政府和民众的压力下,近期终于做出妥协,同意将街景车错误收集到的信息交给各国政府。
2011年,全球最大的社交网站Facebook也陷“泄露门”,被指向广告商等第三方机构开放了一个“后门”,允许它们访问用户资料、照片、聊天记录和其他隐私数据。Facebook实际是各種依赖私人信息的应用软件的集合,所以可想而知,隐私问题一直贯穿着 Facebook 的发展历程,其间有两次重大危机就是因为隐私的问题而引起的。在不断调整隐私政策的同时,极为推崇透明化的创办人马克·扎克伯格却多次强调“极端透明度”和“你只有一个身份”的概念,他认为Facebook 的使命就是让社会更加公开。
就在上个月,Facebook新推出的用户隐私政策又被指违反欧盟相关法例。有欧洲专家担心,未来Facebook将在未经用户许可的情况下将用户隐私资料与Facebook联营企业分享。与此同时,美国网络隐私保护领域的专家则指出,他们担心Facebook会把用户的信息直接泄露给广告商。
欧盟负责网络安全和数据保护的主管盖里·戴维斯已经要求Facebook就其新推出的用户隐私政策向欧盟做出明确的说明。而据《华盛顿时报》的报道,Facebook的发言人安德鲁·诺耶斯通过电子邮件答复戴维斯:“在企业成长发展的过程中,我们要求与Facebook合作的企业必须成为Facebook合法的组成部分之一。我在这里要声明的是我们肯定会同联营企业进行信息分享,通过这种方式Facebook和联营企业的自身实力也可以获得提高。”对此,戴维斯表示Facebook可以通过设置“获得用户许可”的环节来避免其在与联营企业分享用户隐私资料时可能产生的法律纠纷。
在互联网领域,还有一个流行趋势也被视为挑战隐私的一个可能,即云计算。今天,存储在远程服务器上的不只是医疗和财务档案——而是一切。大多数人使用网页邮件或互联网消息访问协议,这会在服务器留下一份副本,直到被明确删除。大多数人不知道服务器的位置——它只是在互联网“云”中的某个地方。
云计算让人们不必再操心存储数据和运行软件所需的物理设备。但计算机安全公司RSA最近的一项研究指出,这种方式可能是个会让人付出高昂代价的错误。研究者在实验中,设计了用来模拟亚马逊等云计算公司设备的硬件,并运行恶意软件,这样他们就可以从属于其他用户的软件中盗取用于保护电子邮件的密钥。这项实验表明,云计算供应商托管的软件有可能从在同一个云上托管的其他软件中偷窃秘密。