从刷支付宝乘地铁谈起，浅议大数据时代的隐私安全

据悉，在2018年，每个月都会有新的城市在公交地铁领域开通移动支付。

近期支付宝、微信、银联等移动支付企业纷纷抢滩城市公共服务。针对地铁公交这一场景，目前已经有超过30个城市在支付宝内上线了电子公交卡功能，这意味着——用户可以丢开匿名的交通卡，使用支付宝及相关应用进行刷码通行。

和此前共享单车市场相比，轨道交通等公共出行在每个人的生活中都占据了更重要的地位。用“现代支付系统”取代“传统地铁充值卡”所能提供的便利，让很多用户感到迫不及待。

而在现代支付系统的接入之后，出行的数据也可能继续用在城市交通管理之中，改善更多其他服务，如改进城市的交通服务、整治拥堵等等。而这些便利存在的前提在于——当今的大数据时代大背景。

高速发展、高吞吐量的大数据时代，绝大多数人都的所有行为逐渐都能在信息世界之中留下数据足迹，无论是用户主动留下的数字脚印，还是由他人建立的关于用户的数据。

在此，笔者仍然希望“老生常谈地”与大家探讨大数据时代的个人隐私问题。

个人与服务商之间的信息不对称

信息时代下，只要我们使用在线工具和平台，或者接入平台的服务，就会产生相应的数据。在一些观点看来，人人是数据的生产者，可以让信息变得更透明。但是作为线上服务的使用者，即便有用户隐私条款的存在，多数的用户仍然并不了解自己被采集了什么样的信息，被追踪了哪些数据。

条款中冗长的文字、专业的术语，都会给普通用户的精准理解带来一点困难。除此之外，用户条款中夹杂的“可能”、“潜在”等词汇的存在，继续模糊了好不容易建立起来的一点概念。这些数据的使用状况，数据分析和挖掘的目标和最终的数据消费者，更是不得而知。

即便一些用户是较为谨慎的——他们在选择应用服务的时候会考虑“数据泄漏”带来的影响，但他们能够避开的更多只是一些声誉差的，已经发生过数据泄漏的企业。通常情况下，规模较大的企业能够享有更好的声誉和用户口碑，获得多数人的信任和青睐。

如果这家服务商的大名家喻户晓，人人都在使用它的APP，更多的用户就能放心大胆的进行注册，然后开始使用这款服务。但显然，这仍然只是“一厢情愿”的信任，大的企业也可能存在安全漏洞和疏忽。仅在过去的一年中，就继续曝出了大大小小的数据泄漏事件，其中也有不少知名大企业的身影。

互联网巨头 Yahoo 数据泄漏：10亿账号的用户姓名、生日、邮箱地址、密码、电话、安全问题和答案全被泄露

美国三大信贷之一 Equifax 数据泄漏：超过 1.43 亿的美国用户数据泄漏，包括姓名，社保号码，出生日期，地址，及驾驶证信息；20.9 万用户的信用卡号，以及部分英国和加拿大用户信息。

移动出行 Uber 数据泄漏：5700 万乘客用户信息泄漏，5万名司机信息泄露。

深度分析和机器学习在混淆隐私边界吗

积累足够全面的数据才能让有规律的随机事件，在大量重复出现的条件下，呈现出几乎必然的统计特性。

随着政府的政策支持和公共部门积极进行数据整合，冗余数据中蕴含的战略和资产方面的价值逐渐浮出水面，企业纷纷着力于进行大数据技术研发与产品化。企业在应用数据进行决策和谋利的同时，仍然会不言而喻地使用用户的个人数据，使之在整合、关联和深度分析时受到隐私侵犯。 在当前数据科学和信息技术发展的过程中，隐私信息的界定正在变得不严格。

巨大的数据集之下，即便个人提供部分数据字段，也可能被得出一些隐秘的推测，并给用户带来风险。

2016年，上海交通大学的一篇机器学习论文《基于面部图像的自动犯罪概率推断》曾引起过争议。相同遭遇的还有2017年斯坦福大学公布的论文《Deep neural networks are more accurate than humans at detecting sexual orientation from facial images》，其中的 AI 算法已经能够通过个人的肖像照片识别同性恋，且准确率高达81%。

公开在社交网站及其他角落的相片信息中的肖像不存在隐私问题，但对于人脸图像数据的分析、存储和使用，隐私权问题依旧面临挑战。如果个人用户并不在意自己在各个角落的信息披露，认为网络空间仅仅是和普通公共场所一样，那么当处在隐私边界时，他们就容易遭到认知偏差的影响，比如过度低估个人信息的利用程度和数据价值。只需要一些公开的信息，运用技术就可以对个人的情况进行推断、分类甚至“定价”和“特殊对待”。

如今企业在技术层面的数据挖掘技术的演进、机器学习和深度学习算法的发展，都让数据利用效率和程度得到显著提升。特定的分析流程和算法有时很难进行描述和解释，服务运营商甚至在进行分析之前也不了解他们能够得到的结果。更多隐私问题甚至是在二次开发利用原始数据时才引发的，因此在法律监管上也存在难度。

隐私专家 John Diebold 曾前写过这样一句话，而这在不久之后的将来，这可能会成为现实。

信息时代你留下的每一个字节，都会是构成隐私的血肉。

隐私意识在觉醒，但是…

2018年伊始时，大家的朋友圈都曾一度遭遇被“支付宝年度账单”和“网易云音乐”统治的时刻，随后当天就有用户揭露被安插在年度账单首页之中、必须签署的《用户隐私协议》。

细心用户发现了这行隐蔽的小字，并点开看了《用户协议》，但也许是因为个人意志还无法抗衡从众心理，又或许还是败给了自己的好奇心，最终绝大多数用户还是同意将自己的数据授权给了芝麻服务，开开心心地在朋友圈晒了支付宝年度截图。

可以发现人们的隐私意识虽然存在，但依然愿意用牺牲个人数据换取更好的网络生活，或者将安全和隐私的责任完全寄托在政府和网络服务商身上。2014年时，EMC在15个国家和地区进行了15000 用户的隐私保护调查，而调查结果依旧让人担忧。

50%的用户遭遇过或大或小的数据泄漏

62%的用户并不会定期修改密码

33%的人不会修改社交网络上的隐私设置

39%的人不会对自己的移动设备设置密码

而 2018 年 刚刚召开的Usenix Enigma 安全峰会上，谷歌工程师也在演讲时道出了谷歌用户的安全意识现状，可以看到情况并不乐观——尽管早在 7 年前谷歌就开始引入了两步验证（2FA）功能，但目前有效的谷歌账户中，少于 10% 的用户开启了两步验证功能对账户进行保护；而使用密码管理器的用户在整体仅占12%的比例。

安全、便利和隐私之争始终无法停歇大数据时代的便利已经渗透进了我们生活的每个角落，更低的商品价格、更符合实时需求的产品和社会沟通度，要使用这些服务就会创建个人数据，而通过数据信息就总有办法辨析出个人的身份。

如果用户确实关心自己的隐私状况，不希望泄漏信息还是有一些简单的措施可以采纳：

1.避免连接公共WiFi，及时在所有设备上进行安全更新

2. 开启账户两步验证功能，安装密码管理器

3. 注意所有应用程序的权限设置

4. 斟酌填写真实信息，适当选择备用方式

5. 开启浏览器拒绝跟踪功能，及时清理 cookie

6. 适当使用匿名互联网服务

科技之殇：端到端加密究竟保护了谁？

研究人员称HTML5可以被用来追踪网民

得到相机授权的iPhone APP可在你不知情的情况下偷偷拍照窃取隐私

Firefox再次从Tor浏览器中借鉴了一个隐私保护功能

Signal 新探索：运用英特尔 SGX 加强联系人搜索功能的隐私安全

Google无视用户隐私设置，暗中收集Android位置数据

iTerm2 中可能通过 DNS 请求泄漏隐私信息