人们一边叫着要保护个人隐私,一边在明码标价前又常常丢掉自己的谨慎。
你觉得你的个人信息值多少钱?前天,有人在北京做了一个实验,最高开价 319 元购买个人信息,出售者可换回一个玩偶熊,一时间参与者众。
都是「套路」
实验者在三元桥凤凰汇广场开了一家「信息杂货铺」,门口易拉宝广告给这个「杂货铺」的评价是「一个你真的不用花钱的商店」。
另一张海报则怂恿围观者,「用你的信息跟我们做笔交易」。电子邮箱地址可换价值 49 元的帆布包,手机号换 168 元的个性帽衫,露脸的自拍照换儿童电子手表、行车导航仪和充电宝等。
两小时内,300 名路人将铺子里的商品兑换殆尽。参与者丝毫不觉得这有何不妥,甚至有人抱怨不该每人限购一件。
当他们拿着商品经过礼品墙背面时,却发现自己的信息被利用了:付出邮箱的,显示屏显示他在哪些网络平台上注册过账号;给出手机号码的,收到了一条垃圾短信;对颜值自信献出照片的,则会看到一幅用自己的照片合成的防脱洗发水广告,不知不觉就被代言了。
活动组织者南都信息保护研究中心和北大互联网发展研究中心的本意,是要借信息换购商品的形式,提高公众对个人信息的保护意识。
但参与者们的反应,颇耐人寻味。很少有人对自己的信息被滥用表示惊讶,只有那位被合成防脱发洗发水广告的男士,为自己的照片被公之于众感到窘迫。
一位大爷在换购一件帽衫后急着离开,工作人员赶紧告诉他,他们给他发了一条垃圾短信。
大爷一边往外走,一边说:「发了就发了,反正平时也没少收。」
用信息换服务
这真是一个有趣的现象,人们一边叫着要保护个人隐私,一边在明码标价前常常会丢掉自己的谨慎。
几年前,一位咨询公司的总监给北京街头行人的信息估价。他说在街头的随机调查中,价值 15 元的礼品就足以吸引行人停下脚步,填完两张 A4 纸的选择题,附带获取他们的姓名、联系方式、职业和年收入区间。而当礼品价值提升至 50 元左右时,行人甚至愿意跟随调查者到一个固定地点,花更长的时间来泄露自己更多的信息。
该怎么去理解这种心理?
毫无疑问,我们对个人信息安全确实越来越关注,但又并非完全不愿「出卖」它们——只要买主靠谱,报价达到心理预期。这不是一个确定的价格,会随情境变化不断波动,有时你会觉得千元不卖,有时你又会认为十元足够。
现实生活里,个人用自己的信息换取真金白银的机会并不多,但在互联网世界里,这种例子却俯拾皆是。
周鸿祎说「互联网经济是免费的经济」,这不是真的。2012 年,世界经济论坛把个人信息定义为「资产类别」,多年来,我们一直都在用它换取各种互联网服务。
我们使用大众点评,交换出去地理位置信息;我们使用 QQ、微信,交换出去好友关系;我们使用电商网站,交换出去电话、地址。这些交换不用金钱标示,却都达到了「信息杂货铺」的效果:我们觉得物有所值,我们同意交换。
互联网发展到今天,我们对用个人信息交换服务已经越来越习以为常,这种交换带来两种结果:
一、企业获取个人信息,并利用它提高服务质量。如输入法收集用户的码字习惯,提供更加强大的词库。
二、企业把用户信息卖给广告主换取收入,用户则免费享有企业提供的服务。如为免费使用 Gmail,用户接受谷歌扫描邮件内容,并据此推送广告。
互联网经济要往前发展,势必要求个人信息更加透明和顺畅流转。如果我们死守个人信息不放,那大数据对我们也就没啥好分析的了,互联网服务的个性化和智能化更加无从谈起。
来,我们达成些共识
2011 年,一名德国学生向 Facebook 索要了自己被收集的所有信息,结果他收到一张有 1222 个 PDF 文件的光盘,上面有他以往在 Facebook 的所有行踪,甚至包括已经删除了的信息。这名学生极其恼火,他觉得这超出了等价交换的范畴。
所以,我们和企业的交换,靠什么来界定等价?
靠耐心。如果你有足够的耐心,读完各种互联网服务里又臭又长、咬文嚼字的用户隐私协议的话,大概就能知道自己献出的个人信息具体包括什么了,并评估要不要接受这份协议。可惜,除非事到临头或无聊至极,否则没人会去读这些协议。
于是,我们和企业(盲)签了一个协议,授权它使用我们的信息。这时带来的另一个问题是,信息的最终归属权和控制权,是谁的?
按照世界经济论坛的定义,毫无疑问,当然还是我们自己的。
几乎每一家大公司,都会在隐私条款里提前告知用户,它们将如何使用信息;每一家第三方服务商在接入开放平台时,都要告知并获得用户授权。这是对用户信息归属权和控制权的尊重。
在这方面,Facebook 是吃过亏的。2006 年,Facebook 单向改变个人信息披露规则,「动态消息」功能把用户行踪聚合显示在好友首页上,被人称为「像跟踪癖一样」。结果,超过 70 万用户对此进行了抗议。而当 Facebook 允许用户选择不让自己的某些操作显示在好友首页上时,这股抗议浪潮又迅速消失无踪。
所以,当互联网经济发展到现今阶段,下面这些共识是需要达成的。
首先,用户拥有个人信息的最终归属权;企业通过并没有多少人会看的用户协议,获取信息的使用权,任何超出协议的用途,都必须提前取得用户同意。
其次,用户拥有个人信息的最高控制权,包括「被遗忘」的权利。如果年少轻狂的你多年前写了一篇怀念初恋女友的博客,而你没法把它在互联网上彻底删除,你那只喝 180 度纯醋的妻子会不会拿着键盘和主板让你选择:跪哪个?
2014 年,谷歌在欧洲一宗关于数据隐私限制的重要案件庭审中败诉,法院裁定谷歌有责任在特定情况下删除与个人信息有关的网页链接。这便是承认了个人在网络上的「被遗忘权」。
离我们更近的例子在微信朋友圈。朋友圈内容三天可见、半年可见,是把对内容的控制权部分还给了我们。比如现在,谁还记得我一个月前说过的,要给每一个留言评论的可爱读者发红包的话呢。反正这条朋友圈已经不可见,你们哪里来的实锤?
再次,所有使用用户信息的企业,都必须承担起保护信息安全的责任。工信部近日对外公布印发了《公共互联网网络安全突发事件应急预案》,把一亿以上互联网用户信息泄露定性为特别重大网络安全事件。