论文部分内容阅读
我要是把自己的社会保险号公布在这篇文章中,那我就是个傻子:这样做会让我容易受到各种信用欺诈、诈骗,甚至是刑事拘留。所有这些一定会发生,因为一些坏蛋会读到这篇文章,记录下我的社会保险号,并冒充我。
我们现在比2002年更加了解社会保险号的使用和滥用情况。当年,加州立法机构通过了SBl386法案,这是美国第一部规定在持有消费者个人信息的计算机系统被“突破”,或该信息以其它方式被盗用时,消费者应该得到通知的法案。由于SBl386法案,2005年我们获悉ChoicePoint——家大多数美国人从没听过的公司——以某种方式将超过163000消费者详细的信用记录直接卖给了身份窃贼(超过800人因此遭受到直接损失)。而在2007年,我们获悉身份窃贼入侵了折扣零售商TJX公司的计算机系统,并盗取了超过4500万个信用卡号码。
我们还了解到,政府在保护个人信息安全上同样糟糕,比如,奥克拉荷马州人力服务部门曾有50万份档案被入侵t弗吉尼亚州卫生事业部曾有800万份档案被暴露;还有,美国退伍军人事务部的2650万份档案(连同一台笔记本电脑和移动硬盘)从一位在家办公的雇员处被盗。
所有这些以及更多其它案例,描绘了一幅今天美国隐私受到真正威胁的扰人景象。
隐私问题很重要。数据隐私保护我们免受潜在的电子犯罪干扰——身份窃贼、跟踪、甚至诸如垃圾邮件的轻微犯罪。隐私让我们有权秘密地与他人见面和对话——一项对于民主社会至关重要的权利,因为民主的实现需要给政治观念成长和成熟留出空间。完全的隐私,也被称为独居,给予我们个人成长的空间。谁可以在每个动作、步骤和错误都被捕获、永远保存和评价的情况下,学习写作、绘画或其他的创作呢?并且,私下交易的能力保护我们免受合法和非法的歧视。
直到最近,想要保护自己隐私的人依然被敦促从现代社会的某些领域“退出”或避开。担心你的购物信息被信用卡公司追踪吗?那就使用现金吧。担心快易通(E-ZPass)档案会用于对你的诉讼?那就在收费亭投硬币吧。不想在机场出示你的身份证?那就开车吧。不想让你的行踪被无时无刻地追踪?关掉你的手机吧。那么你就成为少数派:面对便利性和隐私的抉择,美国人一边倒地选择了前者。类似TJX的公司完全不会因为客户个人数据的泄漏而受到损失。
然而,现在自我节制不再能保证隐私。当然,它实际上从没成功过。但是,直到最近20年之前,它一直能够将一些私人信息保持在流通之外。今天,尽管你可以不使用超市储蓄卡,但是超市仍能通过摄像头捕获你的脸部图像。你可以使用现金,但是大量现金交易仍将汇报给联邦政府。你可以尝试没有互联网的生活,但是你会被边缘化。更糟的是,你将不能参与到有关你的隐私如何日益衰弱的公共辩论中——因为辩论只在网上进行。并且无论你做什么,都不能阻止你的信息被存储在商业网络系统中。
在这样的环境下,真正的问题不是你的信息抛头露面,而是它得不到避免滥用的保障。换句话说,隐私问题越来越多地是由低劣的安全措施造成。最大的问题,我一直认为,是决策制定者不优先考虑安全性。由于不坚持使用安全系统,政府和企业都令其自身陷入不安全的系统中。
考虑一下简陋的社会保险号:作为一个隐私权倡导者,我总是在人们问到我的“社会(保险号)”时感到生气。身为一位安全专家,我对于一个原本设计用于标识符的数字——用作单一特定的目的去追踪个人收入来计算社会保险补助金——现在却被加上其它无数种目的的身份验证用途而感到深深的不安。提供我的社会保险号不应该比提供我的姓名或地址更能“证明”我就是“我”。但是,在没有更好系统的情况下,这个号码成为,按照加州隐私保护办公室主任乔安妮-麦克纳布(Joanne McNabb)的话来说, “身份窃贼打开金库的钥匙”。
是的,我们知道隐私正遭受攻击——来自搜寻骗税人和恐怖分子的政府,来自寻找新客户的企业;来自想要控制成本的保险公司;甚至来自爱好八卦的朋友、同事和同学。整体上来说,我们没能对我们的信息系统、企业和社会建立起强大的隐私和安全保障,使得情况更糟。于是我们就将一切网络化,这既帮助了合法用户,也帮助了罪犯。难怪会变成现在这个样子。
突然,我们有很多工作要做。
但是,尽管我们目前的隐私问题感觉和Twitter一样新颖,但是隐私作为一项权利的概念却是古老的。美国人一直期望这项权利传承下去,即使是在科技带来越来越强大的工具来颠覆它的今天。美国隐私权的故事就是创造的故事和恐惧的故事,我们最好从一些机遇和危险的时刻谈起。
宪法
“隐私”一词并没有出现在美国宪法中,但是,法院和宪法学者在其中找到许多隐私保护条款,比如禁止军队进人民房(第三修正案);禁止“不合理的搜查与扣押” (第四修正案);禁止迫使人们“自证其罪”(第五修正案)。这些条款保留了对政府权力的基本审查。
然而,随着时间的推移,技术的进步以新的方式对隐私产生威胁,而我们对这个概念的理解也随之改变。
1890年,两个波士顿的律师,塞缪尔·沃伦(samuel Warren)和路易斯·布兰德斯(Louis Brandeis),在《哈佛法学评论》中合著了一篇文章,警告当时的侵入技术威胁能够听见“壁橱内的细语”并“站在屋顶上大声宣告”这些谈话。面对这些威胁,他们建立了“隐私权”的直接定义,并认为隐私被侵犯的个人应该能够提起诉讼寻求赔偿。
沃伦和布兰德斯将隐私称作“不受干扰的权利”,并举出无数个它可能被侵害的例子。经过一个世纪的法学研究之后,我们已经了解到,这些案例表现出四种不同的侵害类型:对个人隐居生活或私人事务的侵扰,公开令人困窘的私人事实;使人处于“谣言”之中的宣传;以及未经授权盗用个人的名称或肖像。
在我们的世界里,“对个人隐居生活或私人事务的侵扰”可以形容某些人对你计算机系统的入侵。看一下帕特里克·康诺利(Patrick Connolly)的案子,这位美国军方承包商被指控侵害超过4000名青少年,他入侵这些青少年的计算机,威胁公开其照片和视频,除非他们提供自己的色情照片和视频。你也可能以许多较轻微的方式受到侵扰:例如,公司在你的屏幕上强行插人广告,或者需要人为关闭的弹出式广告。甚至电话推销员在晚餐时间给你打电话也是侵扰。这就是为什么阻止网络广告的程序和联邦政府的“谢绝来电”清单都被视作正当的隐私保护措施。
同时,防止公开令人困窘的私人事实的愿望,是隐私法规《健康保险便利及责任法案》(Health Insurance Portability and Accountability Act)背后的推动力量之一。根据这项法律及其衍生条款,医疗服务提供者不能暴露病历中的信息,除非你给予明确的许可。另一项法律,1988年的《视频隐私保护法案》(Video Privacy Protection Act),使得 DVD租赁公司奈飞(NefflLx)不得透露你租借电影的信息。
“谣言”是一个我们仍然不知道如何处理的网络问题。在现在的网络上,匿名发布虚假文字来损害他人的名声是非常简单的。虽然自由言论的拥护者总是说,反击恶意言论的方法是发表更多的言论,但是经验显示,这种补救措施在Goog时代效率低下。例如,两年前Autoadmit网站,一个供法学学生和律师使用的在线留言板,被两位耶鲁大学法律系的女学生起诉。她们说自己没能获得暑期实习律师职位,就是因为每次人们在该网站上搜索她们的名字时,就会出现对她们卑鄙和恶意的性评论。
未经允许使用个人的名称或肖像是报纸上大部分的“性短信”事件的本质。记者们注意的通常是青少年自愿地向男(女)朋友发送自己的性感或干脆是色情照片的行为。但是,实际的损害发生在接收方将这些照片转发给其他朋友的时候。也就是说,损害由盗用产生,而不是接收。
这篇积满灰尘的《哈佛法学评论》文章与我们今天面对的网络隐私问题如此一致,这表明,虽然科技是这些隐私侵害的推动因素,但它不是根源。根源是坐在电脑荧幕前面的人,而不是背后的科技。
再看看另一个例子,电子监控。尽管电子邮件和电话貌似带来了隐私,但是敏感的电子通信一直都是一个具有吸引力的目标。在美国内战期间,双方都在窃听,导致一些州通过了反窃听法律。但正是麦克风和电话的发明,将电子监控的范围扩展到普通美国人的家中。这使得美国隐私法的诉讼由信息转向通信。
1928年,在一个叫做奥姆斯特德对决合众国(Olmsteadv.United States)的案件中,最高法院审理了一个电话被联邦探员窃听的西雅图走私者的申诉。探员们安装电话窃听器并没有侵犯或破坏任何法律,但是他们也没有对罗伊·奥姆斯特德(Roy Olmstead)财产进行实质搜查所需的搜查令。
1916年,布兰德斯被伍德罗-威尔逊(Woodrow Wilson)总统任命的美国联邦最高法院大法官,对此感到震惊。他在自己的评论中写到:“无论电话线路是什么时候被窃听的,线路两端的人隐私权都被侵害了,并且其间各类话题的谈话,即使是合理的、私密的和机密的,还是可能会被窃听”。唉,这就是分歧。根据5比4的投票结果,法院赞成政府:对电子通信的窃听不需要搜查令,因为“不存在搜查”。奥姆斯特德被判入狱,联邦探员获得无需搜查令进行窃听的权利,该法律就这样继续屹立了39年,直到i967年一个更加开明的法庭将其翻案。
令人欣慰的是美国法律渐渐学会正确对待隐私权——归根到底,这是我们共和制度的力量。但是令人烦恼的是,这个过程有时候需要很长时间。在我们等待法律适应科技发展的过程中,可能发生很多不公正的判决。
计算机
我们今天所认识的消费者数据资料库——个人信息的大仓库,按照姓名索引,为了分享曾经被当作“隐私”的信息而专门构建——开始并没有计算机的参与。但是,计算机无疑起到了推波助澜的作用。
今天最大的消费者报告公司之一始于1899年,当时两兄弟创建了零售信用公司(Retail Credit Company)——现在叫做爱贵发(Equifax)——来跟踪亚特兰大市杂货业和零售客户的信誉。企业被鼓励汇报哪些客户能可靠地支付账单,而哪些不能。零售信贷公司收集信息,发布成册,并进行销售。
零售信贷公司和其他消费者报告公司直到60年代一直在使用纸质文件。当他们最终准备计算机化的时候,就开始与哥伦比亚大学政治学教授艾伦·威斯汀(Alan Westin)成了对头。
威斯汀发现在无数案件中,人们由于客户文件档案中的错误而被拒绝借贷、保险、住房,甚至是工作,而很多受害者甚至不知道这些文件的存在。他担心,计算机化会使信贷数据资料库受到更加广泛的使用,如果控制不当,就会产生不良后果。在计算机时代,他说,隐私不再只是“不被打扰的权利”,而是囊括了人民“决定自己与他人在什么时间,通过何种方式,进行多大范围的个人信息交流”的权利。对个人信息的持有,威斯汀说,不该给公司无限制的使用这些信息的权利。
威斯汀的研究引发了大量的国会调查,并受邀去国会作证。人们有权查看自己的档案,他说。而且如果他们认为档案有错,就需要一个对其进行争辩并强制调查的途径。
零售信贷和其他公司抗议说,洪水般的请求会使他们备受侵扰并破产。并且,威斯汀对隐私的定义可能使不同团体的权利陷入冲突之中——举一个眼下的极端例子,这将意味着一个前恋人有权命令你把他或她的名字从你的地址簿中移除,并删除过去全部的电子邮件。但是,威斯汀和其他的隐私权倡导者等到了胜利日,国会通过了《1970年公平信用报告法案》(Fair Credit Reporting Act of 1970)。尼克松政府的咨询委员会随后制定了《公平信息实施法规》(Code of Fair InformaNon Practice),作为一套指导原则,给后来通过的多数美国隐私法律划定底线。
这项法规出人意料的简单。不能设立秘密的数据资料库;个人必须能够查看自己档案;必须有修改错误的途径;维护数据资料库的组织必须保证它们可靠,并保护它们免于未经许可的访问;作为单一目的而收集的信息不得用作其他目的。
举两个例子。1987年美国参议院在讨论罗伯特-伯克(Robert Bork)法官最高法院提名的时候,华盛顿特区的《每周都市报》试图挖掘一些八卦信息,翻出了他的录像带租借记录,随后就通过了《视频隐私保护法》。1994年的《驾驶员隐私保护法》在女演员丽贝卡-雪佛(RebeccaSchaeffer)于1989年被一位疯狂的影迷谋杀后通过,这名影迷曾雇佣一名私家侦探追查她的住址。该侦探通过加州汽车管理局(Califonia Department of Motor Vehicles)得到这些信息,因为雪佛申请驾照时,需要提供她的家庭住址。
在这两个案件中,国会都采取行动防止个人信息在未获允许的情况下,以某种方式重复使用。以上案例两次更新了隐私权的概念。
互联网
在20世纪80年代和90年代初,欧洲和加拿大的立法委员们通过了全面的隐私法案,并配备专员和执法机制,但美国却采用零散的方式。一部分数据库拥有符合法规的隐私保证,其余的则没有。窃听需要搜查令——除非公司以“改进客户服务”的目的去监听雇员。但是,即使政策没有统一性,它们也基本覆盖了大多数出现的状况。
紧接着是互联网的爆炸式增长——同时使社会、商业和监控受益。大量信息的检索从未如此简单快捷。但是,尽管大多数互联网用户开始迅速依赖于诸如雅虎和谷歌等公司提供的服务,却很少有人意识到,他们自己是这些公司贩卖的产品。
互联网上所有的活动都是通过中转的——依靠你的计算机上和远程服务的软件;依靠远程服务本身,依靠运营这些 数据的互联网服务供应商。上述每一种媒介都有能力记录或改变它所传递的数据。并且,每种媒介都有利用自己位置获取经济利益的原动力。
数千种不同的商业模式蓬勃涌现。像双击(Doubleclick)公司等就意识到,它们可以追踪哪些网民去了哪些网站,并集成这些信息建立大量的用户个人档案,用于定向广告。一些互联网服务供应商更进一步,将它们自己的广告植入到用户的数据流中。一家电子邮件供应商更加过分:它截获所有亚马逊向它的用户发出的电子邮件,使用这些消息来推销它自己的稀有和绝版书籍在线交易网站。这家供应商最后被控诉违反《联邦窃听法》。但是,几乎所有其他的侵害行为都是法律允许的,根本上说,是被国会允许的,它从来就没能拿出坚定的决心来通过全面的互联网隐私法规。
并不是国会不敢管控互联网。只是20世纪90年代国会的注意力集中在为儿童屏蔽网络色情——为此制定的法律最终被最高法院认定为违宪,因为它们也限制了成年人的权利。国会成功通过的互联网隐私法案中一个重要部分是《儿童在线隐私保护法》(Children’s Online Privacy ProtectionAct,COPPA),它主要禁止故意收集12岁及以下儿童的信息。
相反地,规范互联网隐私的责任几乎都落在了联邦贸易委员会肩上。该委员会使用的主要工具是:1914年联邦贸易委员会法(及之后的更新),禁止企业从事“不公平或欺骗性的行为或业务”。该法律针对网络隐私的措施是,公司须编写“隐私条款”描述它们如何使用从客户获得的个人信息。遵从自身条例的公司就是好公司——即使它们收集你的信息并发布、销售,或使用它来发送电子邮件,或用于“任何其它合法目的” (而法律对此相当宽容)。唯一一个会令公司陷入麻烦的情况是宣称它们会在某个情况下尊重你的隐私权,然后却言行不一。
克林顿政府在执政末期举行听证会,试图通过一些具有真正效用的网络隐私法案。我在其中一个听证会上表明,赞成这些强力法案。但是,坐在我旁边证人席上的是强大的商业利益集团,他们认为,该法规实施起来昂贵且困难。该法规没能通过。商业集团视之为他们“市场导向”方法的胜利:不喜欢一家公司的隐私权立场的消费者完全可以换另一家。隐私权倡导者们退缩了,因为他们知道,如果共和党人赢得2000年大选,该法案就不太可能通过。我们没有意识到自己有多么正确。
9·11
2001年9月11日的恐怖袭击,改变了争论的内容。突然间,争议焦点不再是国会是否应该保护消费者隐私,或让企业不受约束地运营。相反地,问题变成:国会是否应该授权布什政府使用可怕的国家监控能力,去寻找在美国国内活动的恐怖分子,并在他们实施下一次袭击前阻止他们?
政府本身没有丝毫疑虑。凡是对它制止恐怖袭击计划造成阻碍的隐私权保护法,它都将着手对其进行修改。这项工作的顶峰就是《美国爱国者法案》(USA Patriot Act),2001年10月26日签署生效,它极大地扩张了政府调查嫌疑恐怖主义的权力。在随后的几个月里,当局的代表们一再谴责那些抱怨隐私和自由受到威胁的人。司法部长约翰·阿什克罗夫特(John Ashcroft)说,他们“给美国的敌人提供弹药。”
这是一个强大、简单、又十分有效的信息——有效到据我们所知,国会只撤销了很少几个项目。这些项目中的第一个也是最公开的,涉及一个叫做全面信息识别(ToralInformation Awareness,简称TIA)的国防部研究项目。
TIA很快被重新命名为恐怖主义信息识别(TerrorismInformation Awareness),它是国防部高级研究计划局(Defense Advanced Research Projects Agency,DARPA)新成立的信息识别办公室(InformationAwareness Office)的心血结晶,该办公室由退役海军上将约翰·波因德克斯特(John Poindexter)(前国家安全顾问)和副手罗伯特-L·波普(Robert L,Popp)掌管。这个想法主要根据两人以前在水下监视和反潜作战的经验,使用数据挖掘和交互分析的最新发展,在恐怖分子策划袭击的时候就抓住他们。
寻找潜艇的一种方法是在海洋中布置声纳传感器,然后,设法过滤掉海洋的背景声,提取潜艇的声音。恐怖分子问题是相似的,波因德克斯特在2002年国防部高级研究计划局科技会议上讲解到。关键的不同点是原来潜艇藏身于水的海洋,现在恐怖分子则藏身于数据和交易的海洋中。 “我们必须在噪音世界中揪出恐怖分子,了解他们的计划内容,并制定防治他们袭击的选择方案。”他在发表的讲话中提到。
这种方法并不是太牵强。考虑一下1995年俄克拉荷马市爆炸案,案中使用的爆炸物由化肥和燃油制成,用从锐得物流(Ryder)租来的卡车进行运输。提前阻止类似阴谋的一种方法可以是寻找除农民之外购买大量可制造炸弹的化肥的人——如果此人(或他的朋友)也租用过一辆厢式货车,那嫌疑就更大了。
当销售硝酸铵的商店都在国土安全部注册后(一部相关的联邦法律在2007年通过生效),这项任务会简单一些。不过,即使我们有这些注册信息,阻止一个使用化肥制造的恐怖袭击仍将需要获得全美所有化肥销售者处的实时采购信息。
2003年夏天,当我还是MIT的研究生时,我得到一个在TIA项目工作的职务,因为我认为,数据挖掘会是一种客观地审查如山般个人信息而不会损害隐私权的方法。然而,国会反对TIA的做法,理由是它将每位公民都视作嫌疑犯,而且它担心,一个庞大的数据监视系统可能会被用于其它非抓捕恐怖分子的目的。这种可能性并不是杞人忧天:1972年理查德·尼克松总统曾命令美国国税局调查他的政治对手,包括乔治·麦戈文(George McGovem)总统竞选阵营的主要赞助者。 (很多人认为,对TIA的反对也是对波因德克斯特的报复,他曾因为在1980年代的伊朗叛军丑闻中向国会说谎而定罪,但在上诉后被撤销罪名)。国会于2003年终止了该项目的资金。
TIA最终也只是一个研究项目。但是,其他的倡议在同一时刻继续向前迈进。
例如,2002年运输安全管理局的官员要求捷蓝航空公司(JetBlue Airway)提供详细的乘客信息给火炬概念(TorchConcepts),一家位于阿拉巴马州亨茨维尔市的公司,它正在开发一个甚至比国防部高级研究计划局设想的更具有侵入性的数据挖掘系统。捷蓝公司非常乐于帮忙:500万乘客的档案被转移。这些档案,包括乘客的姓名、地址、电话和行程,随后被合并,或“融入”到一个从叫做艾克希姆(Acxiom)的营销服务公司所购买的人口数据库中。第二个数据库则详细说明了乘客的性别、收入、职业和社会保险号。他们是租用还是拥有房屋,他们在现在的地址生活了多长时间;他们 有几个孩子,他们的家庭中有几位成年人;以及他们拥有多少辆车。
根据由旅行作家和隐私权倡导者爱德华·哈斯布鲁克(Edward Hasbrouck)揭发,并于2003年9月18日在有线新闻上公布的一份公司简报所称, 火炬概念公司在数据中识别出“几个特别的旅行模式”,推断出“已知的航空恐怖分子容易与一般的捷蓝乘客模式区别出来”。媒体一片哗然,但是,一份2004年国土安全部的报告最终断定,没有违反任何刑事法律,因为捷蓝公司直接向火炬概念公司提供数据,而不是联邦政府。(然而,捷蓝公司违反了它自己的隐私条款。)
另一个紧随9·11推出的数据融合项目是跨州反恐信息交换系统(Multistate Anti-Terrorism InformationExchange,Matrix),它也因为隐私问题而关闭。根据国土安全部隐私办公室的一份报告,该系统旨在使不同州的执法机构能够简单地搜索另一州的计算机,但是,该系统“已经远不止是反恐目的的模式分析工具”。该报告发现,Matrix未能及时形成自己的隐私条款,而且,它“缺乏足够的审计控制”。公众支持率大跌,各州纷纷退出,该项目就终止了。
从那以后,一些州市与国土安全部合作,建立了所谓的“融合中心”,目的在于帮助敏感信息在联邦、州、甚至是地方执法机构间流动。根据该部门的网站的介绍,截~2009年2月,全国共有58座融合中心,国土安全部在2004至2007年间花费了超过2.54亿美元来支持它们。这些中心运营的细节极少公之于众。但是2008年4月,时任该部门负责情报和分析的首席副主管杰克·托马尔基奥(Jack Tomarchio)向参议院国土安全和政府事务委员会汇报说,从两个美国融合中心得到的信息已经传送给一个外国政府,从而成立了一个恐怖活动调查组。“国土安全部收到一封该国对此信息的感谢信,”他作证说,“这个信息如果没有州和地方政府的参与,将不会被收集到。”
至少在布什政府眼中,牺牲美国公民的隐私权去换取国家的安全已被证明是相当值得的。但是现在,形势再度逆转,再一次凸显我们的共和制度最终还是重视隐私的,并将采取行动保护它不被滥用。
FACEBOOK时代
当今的信息时代有一点值得思考:为什么那么多的隐私权倡导者都有Facebook页面?
根据网络排名服务公司Alexa的数据,Facebook最初作为哈佛大学本科生们张贴他们照片和手机号码的地方——出于隐私考虑,哈佛大学在2003年之前没有将这些信息放在网络上——如今已经成长为世界上第四位最流行的“网站”。但是,Facebook实际上是各种依赖私人信息的应用软件的集合:一个朋友和商业伙伴可以更新自己信息的智能地址簿;一个(基本上)没有垃圾邮件的消息系统;一个图片分享网站。而且在Facebook上,开发人员可以编写无缝集成的软件。
这些应用软件在隐私方面陷入了困境。比方说你想要完成这些好玩的Facebook调查之一。按下一个按钮,你就被带人一个标题为“允许访问?”的页面。然后你被告知,使用该应用软件会“提取你的个人档案信息、照片、你朋友的信息,和其余它运行所需的内容。”有多少信息呢?实际上,没有方法可以确定——也许是你曾输人到Facebook的全部东西。
大约每五个互联网用户中就有一个平均每天在Facebook上花25分钟,每次他们在Facebook页面输入信息时都暗含着这个问题:他们是否信任该网站的安全性和隐私控制?答案必然是肯定的。
这就是隐私权倡导者们驻扎在Facebook上的原因:这里就是行动的地方。容易想象出,未来大多数个人通信都将在这样平台上完成。拒绝参与其中的倡导者和组织会发现,他们自己被排斥在外。
时任太阳计算机系统公司(sHn Microsystems)CEO的斯科特·麦克尼利(scott McNealy)曾在一个相似的情况下,说过一段著名的话, “反正你不管怎样都没有隐私,习惯它吧。”1999年1月,麦克尼利试图推广一项由太阳公司编制的分布式计算新技术——即我们今天称作“云计算”的早期版本——记者们一直就该系统将如何保护隐私的问题纠缠他。四年半之后,他告诉《旧金山纪事报》: “我当时表达的意思是,反正已经有人得到了你的病历。有人拥有我的牙科记录。有人拥有我的财务档案。有人几乎知道我的一切。”
今天,存储在远程服务器上的不只是医疗和财务档案一而是一切。想想电子邮件,如果你通过邮件通讯协议(PostOffice Protocol,POP)的账号下载邮件,就像1999年大多数网民做的那样,那么邮件被复制到你的计算机,然后从你的互联网服务供应商的服务器删除。然而,现在大多数人使用网页邮件或互联网消息访问协议(Internet MessageAccess Protocol,IMAP),这会在服务器上留下一份副本,直到被明确删除。大多数人不知道服务器的位置——它只是在互联网“云”中的某个地方。
诸如Facebook,Gmail和Google Docs等服务变得广受欢迎,是因为它们使得用户在家和办公室都可以自由访问他们的数据,而不需要来回地携带它们。但是将你的数据放在一些组织的服务器上,这会出现各种意外状况。该组织可能会有一个不道德的雇员,为了私利抽走数据。网络窃贼可能会破解并入侵它的服务器,同时设法盗走许多人的数据。或者一个黑客可能会盯上你的数据,然后联系该组织,声称是你。所有这些都是安全威胁——因为受侵犯的是你的数据,这些安全威胁就成为隐私威胁。
我们面临的现状
我的职业生涯有很大一部分是在寻找使计算机系统更加安全的方法,而且我相信我们今天面临的很多问题不仅是可以解决的——许多已经被解决了。要缓解内部人员成为数据窃贼的威胁,可以给雇员付足够多的薪水、审查他们的工作、限制雇员的权限以及严厉处罚任何滥用雇主信任的雇员。计算机系统通过采用Java和Python等现代语言替代80年代的标准,比如c和c++来编程就可以抵御缓存溢出攻击,一个最近几年最常见的安全漏洞。我们的确知道如何去构建安全系统。不幸的是,这些系统开发成本更高,并且使用它们就需要我们抛弃现在使用的系统——至少是我们的关键应用软件。
但是一个基础性问题更难以解决:识别网络上的人。如果某人假冒你打电话给公司,要求访问你的数据,该怎么办?
如果谷歌或雅虎是实体店面,那么它们会要求查看一个由国家签发的身份证。它们会把你开户时的照片与现在站在大厅的人对比。是的,存在假身份证,也存在诈骗。然而,在现实世界中,识别技术大多数时候都表现不错。
结果就是,我们基本上也拥有在数字世界解决此问题的技术。然而已开发出来的解决方案在政治上是站不住脚的——不仅因为认知成本,讽刺的是,还因为对隐私认证的担忧。 我理解这些担心,但是,我认为它们错位了。当有人能够大肆地挪用你的个人数据,那么缺乏一个可靠的网络识别系统使隐私受到的威胁远远大于引入这样一个系统的威胁。并且,社会忍受低安全性所付出的代价可能远大于解决这个缺陷。
我相信,如果没有一个自由使用并由全世界政府支持的强大电子识别系统——一个真正的在线访问护照,我们将无法保护网络隐私。政府的基本职责之一是保护国家的内部安全,使商业顺利进行。几百年来,这意味着制造身份证明文件,使人们能够证明他们的国籍和身份。但是,美国政府已经放弃了它在网络世界的责任,而企业们则建立了它们自己的系统——比如索取你的社会保险号和住址,也许还有你喜欢的颜色。
在电子世界中难以识别他人身份是每个公司、每个组织和每个网站都要面对的问题。尤其是对Facebook和Google而言,因为从根本上来讲,它们不知道谁是其客户。当你在银行开户时,美国法律要求你使用国家签发的身份证明,来确认你的身份。银行账户会与一个真实身份建立连接。但是,像Facebook和Google的电子账户并不是这样。它们映射有一个身份,但这些身份实际上并未连接到任何东西。如果某个黑客夺走了你的Gmail账户,而你需要拿回来的时候,这就是个大问题了。
一个解决方案将会是通过添加电子芯片,使驾照和国家签发的其它身份证可在网络上使用。试想一下:访问你的银行账户,在亚马逊上购物,或在eBay上竞价都不再要密码。只用插入你的身份卡。并且如果你丢失了身份卡,你可以挂失再拿到一张新卡。马上,所有你的网络账户将识别新的凭证,并拒绝旧卡。
过去也提出过相似的建议:20世纪90年代美国邮政服务着手建立一个叫做“美国卡”的系统。但是,该项目从来没有真正开始——部分原因是技术条件不够,但是也因为公众的强烈反对。事实上,美国每次试图改善身份认证的努力都引起大量的公众反对。许多隐私权倡导者将强制性身份证视作警察制国家的标志之一。而且,许多州政府担心它的费用。
虽然一个更强大的识别系统无疑会由于一些错误而伤害到一些公民,但是我认为,这种反对是令人遗憾的。我们每次使用在线银行服务、或网络购物、甚至是使用Facebook都已经被要求认证身份,只不过是通过I临时的、破碎的系统进行认证而已。如果我们拥有一个单独的强大的识别系统,那么我们就可以立法保护它不被非正当使用的法律。例如,一部2003年通过的加州法案禁止酒吧、汽车经销商和其它部门将收集来的驾照信息用于任何除年龄验证或驾照验证以外的目的。
100多年以来,美国法理学一直将隐私认作是民主、社会关系和人类尊严的必要条件。最近50年,我们已经了解到,保护隐私不单是控制对你住宅的侵犯,还需要能够控制企业、政府和整个社会对你个人信息的掌握。即使美国人在9/11事件后被告知,需要在安全和隐私之间做出抉择,但是我们越来越清楚,二者缺一不可。
我们需要有意识地去学习如何保护隐私,而不是临阵磨枪。尽管科技可以带来帮助,但是我坚信这样的保护需要明确的相关政策为引导。正如尼克松总统成立环境保护局来保护我们的环境,我们同样需要某种“隐私保护局”来给我们权利一个斗争的机会。我们现在这种零散的方式已经是令人无法接受的了。
我们现在比2002年更加了解社会保险号的使用和滥用情况。当年,加州立法机构通过了SBl386法案,这是美国第一部规定在持有消费者个人信息的计算机系统被“突破”,或该信息以其它方式被盗用时,消费者应该得到通知的法案。由于SBl386法案,2005年我们获悉ChoicePoint——家大多数美国人从没听过的公司——以某种方式将超过163000消费者详细的信用记录直接卖给了身份窃贼(超过800人因此遭受到直接损失)。而在2007年,我们获悉身份窃贼入侵了折扣零售商TJX公司的计算机系统,并盗取了超过4500万个信用卡号码。
我们还了解到,政府在保护个人信息安全上同样糟糕,比如,奥克拉荷马州人力服务部门曾有50万份档案被入侵t弗吉尼亚州卫生事业部曾有800万份档案被暴露;还有,美国退伍军人事务部的2650万份档案(连同一台笔记本电脑和移动硬盘)从一位在家办公的雇员处被盗。
所有这些以及更多其它案例,描绘了一幅今天美国隐私受到真正威胁的扰人景象。
隐私问题很重要。数据隐私保护我们免受潜在的电子犯罪干扰——身份窃贼、跟踪、甚至诸如垃圾邮件的轻微犯罪。隐私让我们有权秘密地与他人见面和对话——一项对于民主社会至关重要的权利,因为民主的实现需要给政治观念成长和成熟留出空间。完全的隐私,也被称为独居,给予我们个人成长的空间。谁可以在每个动作、步骤和错误都被捕获、永远保存和评价的情况下,学习写作、绘画或其他的创作呢?并且,私下交易的能力保护我们免受合法和非法的歧视。
直到最近,想要保护自己隐私的人依然被敦促从现代社会的某些领域“退出”或避开。担心你的购物信息被信用卡公司追踪吗?那就使用现金吧。担心快易通(E-ZPass)档案会用于对你的诉讼?那就在收费亭投硬币吧。不想在机场出示你的身份证?那就开车吧。不想让你的行踪被无时无刻地追踪?关掉你的手机吧。那么你就成为少数派:面对便利性和隐私的抉择,美国人一边倒地选择了前者。类似TJX的公司完全不会因为客户个人数据的泄漏而受到损失。
然而,现在自我节制不再能保证隐私。当然,它实际上从没成功过。但是,直到最近20年之前,它一直能够将一些私人信息保持在流通之外。今天,尽管你可以不使用超市储蓄卡,但是超市仍能通过摄像头捕获你的脸部图像。你可以使用现金,但是大量现金交易仍将汇报给联邦政府。你可以尝试没有互联网的生活,但是你会被边缘化。更糟的是,你将不能参与到有关你的隐私如何日益衰弱的公共辩论中——因为辩论只在网上进行。并且无论你做什么,都不能阻止你的信息被存储在商业网络系统中。
在这样的环境下,真正的问题不是你的信息抛头露面,而是它得不到避免滥用的保障。换句话说,隐私问题越来越多地是由低劣的安全措施造成。最大的问题,我一直认为,是决策制定者不优先考虑安全性。由于不坚持使用安全系统,政府和企业都令其自身陷入不安全的系统中。
考虑一下简陋的社会保险号:作为一个隐私权倡导者,我总是在人们问到我的“社会(保险号)”时感到生气。身为一位安全专家,我对于一个原本设计用于标识符的数字——用作单一特定的目的去追踪个人收入来计算社会保险补助金——现在却被加上其它无数种目的的身份验证用途而感到深深的不安。提供我的社会保险号不应该比提供我的姓名或地址更能“证明”我就是“我”。但是,在没有更好系统的情况下,这个号码成为,按照加州隐私保护办公室主任乔安妮-麦克纳布(Joanne McNabb)的话来说, “身份窃贼打开金库的钥匙”。
是的,我们知道隐私正遭受攻击——来自搜寻骗税人和恐怖分子的政府,来自寻找新客户的企业;来自想要控制成本的保险公司;甚至来自爱好八卦的朋友、同事和同学。整体上来说,我们没能对我们的信息系统、企业和社会建立起强大的隐私和安全保障,使得情况更糟。于是我们就将一切网络化,这既帮助了合法用户,也帮助了罪犯。难怪会变成现在这个样子。
突然,我们有很多工作要做。
但是,尽管我们目前的隐私问题感觉和Twitter一样新颖,但是隐私作为一项权利的概念却是古老的。美国人一直期望这项权利传承下去,即使是在科技带来越来越强大的工具来颠覆它的今天。美国隐私权的故事就是创造的故事和恐惧的故事,我们最好从一些机遇和危险的时刻谈起。
宪法
“隐私”一词并没有出现在美国宪法中,但是,法院和宪法学者在其中找到许多隐私保护条款,比如禁止军队进人民房(第三修正案);禁止“不合理的搜查与扣押” (第四修正案);禁止迫使人们“自证其罪”(第五修正案)。这些条款保留了对政府权力的基本审查。
然而,随着时间的推移,技术的进步以新的方式对隐私产生威胁,而我们对这个概念的理解也随之改变。
1890年,两个波士顿的律师,塞缪尔·沃伦(samuel Warren)和路易斯·布兰德斯(Louis Brandeis),在《哈佛法学评论》中合著了一篇文章,警告当时的侵入技术威胁能够听见“壁橱内的细语”并“站在屋顶上大声宣告”这些谈话。面对这些威胁,他们建立了“隐私权”的直接定义,并认为隐私被侵犯的个人应该能够提起诉讼寻求赔偿。
沃伦和布兰德斯将隐私称作“不受干扰的权利”,并举出无数个它可能被侵害的例子。经过一个世纪的法学研究之后,我们已经了解到,这些案例表现出四种不同的侵害类型:对个人隐居生活或私人事务的侵扰,公开令人困窘的私人事实;使人处于“谣言”之中的宣传;以及未经授权盗用个人的名称或肖像。
在我们的世界里,“对个人隐居生活或私人事务的侵扰”可以形容某些人对你计算机系统的入侵。看一下帕特里克·康诺利(Patrick Connolly)的案子,这位美国军方承包商被指控侵害超过4000名青少年,他入侵这些青少年的计算机,威胁公开其照片和视频,除非他们提供自己的色情照片和视频。你也可能以许多较轻微的方式受到侵扰:例如,公司在你的屏幕上强行插人广告,或者需要人为关闭的弹出式广告。甚至电话推销员在晚餐时间给你打电话也是侵扰。这就是为什么阻止网络广告的程序和联邦政府的“谢绝来电”清单都被视作正当的隐私保护措施。
同时,防止公开令人困窘的私人事实的愿望,是隐私法规《健康保险便利及责任法案》(Health Insurance Portability and Accountability Act)背后的推动力量之一。根据这项法律及其衍生条款,医疗服务提供者不能暴露病历中的信息,除非你给予明确的许可。另一项法律,1988年的《视频隐私保护法案》(Video Privacy Protection Act),使得 DVD租赁公司奈飞(NefflLx)不得透露你租借电影的信息。
“谣言”是一个我们仍然不知道如何处理的网络问题。在现在的网络上,匿名发布虚假文字来损害他人的名声是非常简单的。虽然自由言论的拥护者总是说,反击恶意言论的方法是发表更多的言论,但是经验显示,这种补救措施在Goog时代效率低下。例如,两年前Autoadmit网站,一个供法学学生和律师使用的在线留言板,被两位耶鲁大学法律系的女学生起诉。她们说自己没能获得暑期实习律师职位,就是因为每次人们在该网站上搜索她们的名字时,就会出现对她们卑鄙和恶意的性评论。
未经允许使用个人的名称或肖像是报纸上大部分的“性短信”事件的本质。记者们注意的通常是青少年自愿地向男(女)朋友发送自己的性感或干脆是色情照片的行为。但是,实际的损害发生在接收方将这些照片转发给其他朋友的时候。也就是说,损害由盗用产生,而不是接收。
这篇积满灰尘的《哈佛法学评论》文章与我们今天面对的网络隐私问题如此一致,这表明,虽然科技是这些隐私侵害的推动因素,但它不是根源。根源是坐在电脑荧幕前面的人,而不是背后的科技。
再看看另一个例子,电子监控。尽管电子邮件和电话貌似带来了隐私,但是敏感的电子通信一直都是一个具有吸引力的目标。在美国内战期间,双方都在窃听,导致一些州通过了反窃听法律。但正是麦克风和电话的发明,将电子监控的范围扩展到普通美国人的家中。这使得美国隐私法的诉讼由信息转向通信。
1928年,在一个叫做奥姆斯特德对决合众国(Olmsteadv.United States)的案件中,最高法院审理了一个电话被联邦探员窃听的西雅图走私者的申诉。探员们安装电话窃听器并没有侵犯或破坏任何法律,但是他们也没有对罗伊·奥姆斯特德(Roy Olmstead)财产进行实质搜查所需的搜查令。
1916年,布兰德斯被伍德罗-威尔逊(Woodrow Wilson)总统任命的美国联邦最高法院大法官,对此感到震惊。他在自己的评论中写到:“无论电话线路是什么时候被窃听的,线路两端的人隐私权都被侵害了,并且其间各类话题的谈话,即使是合理的、私密的和机密的,还是可能会被窃听”。唉,这就是分歧。根据5比4的投票结果,法院赞成政府:对电子通信的窃听不需要搜查令,因为“不存在搜查”。奥姆斯特德被判入狱,联邦探员获得无需搜查令进行窃听的权利,该法律就这样继续屹立了39年,直到i967年一个更加开明的法庭将其翻案。
令人欣慰的是美国法律渐渐学会正确对待隐私权——归根到底,这是我们共和制度的力量。但是令人烦恼的是,这个过程有时候需要很长时间。在我们等待法律适应科技发展的过程中,可能发生很多不公正的判决。
计算机
我们今天所认识的消费者数据资料库——个人信息的大仓库,按照姓名索引,为了分享曾经被当作“隐私”的信息而专门构建——开始并没有计算机的参与。但是,计算机无疑起到了推波助澜的作用。
今天最大的消费者报告公司之一始于1899年,当时两兄弟创建了零售信用公司(Retail Credit Company)——现在叫做爱贵发(Equifax)——来跟踪亚特兰大市杂货业和零售客户的信誉。企业被鼓励汇报哪些客户能可靠地支付账单,而哪些不能。零售信贷公司收集信息,发布成册,并进行销售。
零售信贷公司和其他消费者报告公司直到60年代一直在使用纸质文件。当他们最终准备计算机化的时候,就开始与哥伦比亚大学政治学教授艾伦·威斯汀(Alan Westin)成了对头。
威斯汀发现在无数案件中,人们由于客户文件档案中的错误而被拒绝借贷、保险、住房,甚至是工作,而很多受害者甚至不知道这些文件的存在。他担心,计算机化会使信贷数据资料库受到更加广泛的使用,如果控制不当,就会产生不良后果。在计算机时代,他说,隐私不再只是“不被打扰的权利”,而是囊括了人民“决定自己与他人在什么时间,通过何种方式,进行多大范围的个人信息交流”的权利。对个人信息的持有,威斯汀说,不该给公司无限制的使用这些信息的权利。
威斯汀的研究引发了大量的国会调查,并受邀去国会作证。人们有权查看自己的档案,他说。而且如果他们认为档案有错,就需要一个对其进行争辩并强制调查的途径。
零售信贷和其他公司抗议说,洪水般的请求会使他们备受侵扰并破产。并且,威斯汀对隐私的定义可能使不同团体的权利陷入冲突之中——举一个眼下的极端例子,这将意味着一个前恋人有权命令你把他或她的名字从你的地址簿中移除,并删除过去全部的电子邮件。但是,威斯汀和其他的隐私权倡导者等到了胜利日,国会通过了《1970年公平信用报告法案》(Fair Credit Reporting Act of 1970)。尼克松政府的咨询委员会随后制定了《公平信息实施法规》(Code of Fair InformaNon Practice),作为一套指导原则,给后来通过的多数美国隐私法律划定底线。
这项法规出人意料的简单。不能设立秘密的数据资料库;个人必须能够查看自己档案;必须有修改错误的途径;维护数据资料库的组织必须保证它们可靠,并保护它们免于未经许可的访问;作为单一目的而收集的信息不得用作其他目的。
举两个例子。1987年美国参议院在讨论罗伯特-伯克(Robert Bork)法官最高法院提名的时候,华盛顿特区的《每周都市报》试图挖掘一些八卦信息,翻出了他的录像带租借记录,随后就通过了《视频隐私保护法》。1994年的《驾驶员隐私保护法》在女演员丽贝卡-雪佛(RebeccaSchaeffer)于1989年被一位疯狂的影迷谋杀后通过,这名影迷曾雇佣一名私家侦探追查她的住址。该侦探通过加州汽车管理局(Califonia Department of Motor Vehicles)得到这些信息,因为雪佛申请驾照时,需要提供她的家庭住址。
在这两个案件中,国会都采取行动防止个人信息在未获允许的情况下,以某种方式重复使用。以上案例两次更新了隐私权的概念。
互联网
在20世纪80年代和90年代初,欧洲和加拿大的立法委员们通过了全面的隐私法案,并配备专员和执法机制,但美国却采用零散的方式。一部分数据库拥有符合法规的隐私保证,其余的则没有。窃听需要搜查令——除非公司以“改进客户服务”的目的去监听雇员。但是,即使政策没有统一性,它们也基本覆盖了大多数出现的状况。
紧接着是互联网的爆炸式增长——同时使社会、商业和监控受益。大量信息的检索从未如此简单快捷。但是,尽管大多数互联网用户开始迅速依赖于诸如雅虎和谷歌等公司提供的服务,却很少有人意识到,他们自己是这些公司贩卖的产品。
互联网上所有的活动都是通过中转的——依靠你的计算机上和远程服务的软件;依靠远程服务本身,依靠运营这些 数据的互联网服务供应商。上述每一种媒介都有能力记录或改变它所传递的数据。并且,每种媒介都有利用自己位置获取经济利益的原动力。
数千种不同的商业模式蓬勃涌现。像双击(Doubleclick)公司等就意识到,它们可以追踪哪些网民去了哪些网站,并集成这些信息建立大量的用户个人档案,用于定向广告。一些互联网服务供应商更进一步,将它们自己的广告植入到用户的数据流中。一家电子邮件供应商更加过分:它截获所有亚马逊向它的用户发出的电子邮件,使用这些消息来推销它自己的稀有和绝版书籍在线交易网站。这家供应商最后被控诉违反《联邦窃听法》。但是,几乎所有其他的侵害行为都是法律允许的,根本上说,是被国会允许的,它从来就没能拿出坚定的决心来通过全面的互联网隐私法规。
并不是国会不敢管控互联网。只是20世纪90年代国会的注意力集中在为儿童屏蔽网络色情——为此制定的法律最终被最高法院认定为违宪,因为它们也限制了成年人的权利。国会成功通过的互联网隐私法案中一个重要部分是《儿童在线隐私保护法》(Children’s Online Privacy ProtectionAct,COPPA),它主要禁止故意收集12岁及以下儿童的信息。
相反地,规范互联网隐私的责任几乎都落在了联邦贸易委员会肩上。该委员会使用的主要工具是:1914年联邦贸易委员会法(及之后的更新),禁止企业从事“不公平或欺骗性的行为或业务”。该法律针对网络隐私的措施是,公司须编写“隐私条款”描述它们如何使用从客户获得的个人信息。遵从自身条例的公司就是好公司——即使它们收集你的信息并发布、销售,或使用它来发送电子邮件,或用于“任何其它合法目的” (而法律对此相当宽容)。唯一一个会令公司陷入麻烦的情况是宣称它们会在某个情况下尊重你的隐私权,然后却言行不一。
克林顿政府在执政末期举行听证会,试图通过一些具有真正效用的网络隐私法案。我在其中一个听证会上表明,赞成这些强力法案。但是,坐在我旁边证人席上的是强大的商业利益集团,他们认为,该法规实施起来昂贵且困难。该法规没能通过。商业集团视之为他们“市场导向”方法的胜利:不喜欢一家公司的隐私权立场的消费者完全可以换另一家。隐私权倡导者们退缩了,因为他们知道,如果共和党人赢得2000年大选,该法案就不太可能通过。我们没有意识到自己有多么正确。
9·11
2001年9月11日的恐怖袭击,改变了争论的内容。突然间,争议焦点不再是国会是否应该保护消费者隐私,或让企业不受约束地运营。相反地,问题变成:国会是否应该授权布什政府使用可怕的国家监控能力,去寻找在美国国内活动的恐怖分子,并在他们实施下一次袭击前阻止他们?
政府本身没有丝毫疑虑。凡是对它制止恐怖袭击计划造成阻碍的隐私权保护法,它都将着手对其进行修改。这项工作的顶峰就是《美国爱国者法案》(USA Patriot Act),2001年10月26日签署生效,它极大地扩张了政府调查嫌疑恐怖主义的权力。在随后的几个月里,当局的代表们一再谴责那些抱怨隐私和自由受到威胁的人。司法部长约翰·阿什克罗夫特(John Ashcroft)说,他们“给美国的敌人提供弹药。”
这是一个强大、简单、又十分有效的信息——有效到据我们所知,国会只撤销了很少几个项目。这些项目中的第一个也是最公开的,涉及一个叫做全面信息识别(ToralInformation Awareness,简称TIA)的国防部研究项目。
TIA很快被重新命名为恐怖主义信息识别(TerrorismInformation Awareness),它是国防部高级研究计划局(Defense Advanced Research Projects Agency,DARPA)新成立的信息识别办公室(InformationAwareness Office)的心血结晶,该办公室由退役海军上将约翰·波因德克斯特(John Poindexter)(前国家安全顾问)和副手罗伯特-L·波普(Robert L,Popp)掌管。这个想法主要根据两人以前在水下监视和反潜作战的经验,使用数据挖掘和交互分析的最新发展,在恐怖分子策划袭击的时候就抓住他们。
寻找潜艇的一种方法是在海洋中布置声纳传感器,然后,设法过滤掉海洋的背景声,提取潜艇的声音。恐怖分子问题是相似的,波因德克斯特在2002年国防部高级研究计划局科技会议上讲解到。关键的不同点是原来潜艇藏身于水的海洋,现在恐怖分子则藏身于数据和交易的海洋中。 “我们必须在噪音世界中揪出恐怖分子,了解他们的计划内容,并制定防治他们袭击的选择方案。”他在发表的讲话中提到。
这种方法并不是太牵强。考虑一下1995年俄克拉荷马市爆炸案,案中使用的爆炸物由化肥和燃油制成,用从锐得物流(Ryder)租来的卡车进行运输。提前阻止类似阴谋的一种方法可以是寻找除农民之外购买大量可制造炸弹的化肥的人——如果此人(或他的朋友)也租用过一辆厢式货车,那嫌疑就更大了。
当销售硝酸铵的商店都在国土安全部注册后(一部相关的联邦法律在2007年通过生效),这项任务会简单一些。不过,即使我们有这些注册信息,阻止一个使用化肥制造的恐怖袭击仍将需要获得全美所有化肥销售者处的实时采购信息。
2003年夏天,当我还是MIT的研究生时,我得到一个在TIA项目工作的职务,因为我认为,数据挖掘会是一种客观地审查如山般个人信息而不会损害隐私权的方法。然而,国会反对TIA的做法,理由是它将每位公民都视作嫌疑犯,而且它担心,一个庞大的数据监视系统可能会被用于其它非抓捕恐怖分子的目的。这种可能性并不是杞人忧天:1972年理查德·尼克松总统曾命令美国国税局调查他的政治对手,包括乔治·麦戈文(George McGovem)总统竞选阵营的主要赞助者。 (很多人认为,对TIA的反对也是对波因德克斯特的报复,他曾因为在1980年代的伊朗叛军丑闻中向国会说谎而定罪,但在上诉后被撤销罪名)。国会于2003年终止了该项目的资金。
TIA最终也只是一个研究项目。但是,其他的倡议在同一时刻继续向前迈进。
例如,2002年运输安全管理局的官员要求捷蓝航空公司(JetBlue Airway)提供详细的乘客信息给火炬概念(TorchConcepts),一家位于阿拉巴马州亨茨维尔市的公司,它正在开发一个甚至比国防部高级研究计划局设想的更具有侵入性的数据挖掘系统。捷蓝公司非常乐于帮忙:500万乘客的档案被转移。这些档案,包括乘客的姓名、地址、电话和行程,随后被合并,或“融入”到一个从叫做艾克希姆(Acxiom)的营销服务公司所购买的人口数据库中。第二个数据库则详细说明了乘客的性别、收入、职业和社会保险号。他们是租用还是拥有房屋,他们在现在的地址生活了多长时间;他们 有几个孩子,他们的家庭中有几位成年人;以及他们拥有多少辆车。
根据由旅行作家和隐私权倡导者爱德华·哈斯布鲁克(Edward Hasbrouck)揭发,并于2003年9月18日在有线新闻上公布的一份公司简报所称, 火炬概念公司在数据中识别出“几个特别的旅行模式”,推断出“已知的航空恐怖分子容易与一般的捷蓝乘客模式区别出来”。媒体一片哗然,但是,一份2004年国土安全部的报告最终断定,没有违反任何刑事法律,因为捷蓝公司直接向火炬概念公司提供数据,而不是联邦政府。(然而,捷蓝公司违反了它自己的隐私条款。)
另一个紧随9·11推出的数据融合项目是跨州反恐信息交换系统(Multistate Anti-Terrorism InformationExchange,Matrix),它也因为隐私问题而关闭。根据国土安全部隐私办公室的一份报告,该系统旨在使不同州的执法机构能够简单地搜索另一州的计算机,但是,该系统“已经远不止是反恐目的的模式分析工具”。该报告发现,Matrix未能及时形成自己的隐私条款,而且,它“缺乏足够的审计控制”。公众支持率大跌,各州纷纷退出,该项目就终止了。
从那以后,一些州市与国土安全部合作,建立了所谓的“融合中心”,目的在于帮助敏感信息在联邦、州、甚至是地方执法机构间流动。根据该部门的网站的介绍,截~2009年2月,全国共有58座融合中心,国土安全部在2004至2007年间花费了超过2.54亿美元来支持它们。这些中心运营的细节极少公之于众。但是2008年4月,时任该部门负责情报和分析的首席副主管杰克·托马尔基奥(Jack Tomarchio)向参议院国土安全和政府事务委员会汇报说,从两个美国融合中心得到的信息已经传送给一个外国政府,从而成立了一个恐怖活动调查组。“国土安全部收到一封该国对此信息的感谢信,”他作证说,“这个信息如果没有州和地方政府的参与,将不会被收集到。”
至少在布什政府眼中,牺牲美国公民的隐私权去换取国家的安全已被证明是相当值得的。但是现在,形势再度逆转,再一次凸显我们的共和制度最终还是重视隐私的,并将采取行动保护它不被滥用。
FACEBOOK时代
当今的信息时代有一点值得思考:为什么那么多的隐私权倡导者都有Facebook页面?
根据网络排名服务公司Alexa的数据,Facebook最初作为哈佛大学本科生们张贴他们照片和手机号码的地方——出于隐私考虑,哈佛大学在2003年之前没有将这些信息放在网络上——如今已经成长为世界上第四位最流行的“网站”。但是,Facebook实际上是各种依赖私人信息的应用软件的集合:一个朋友和商业伙伴可以更新自己信息的智能地址簿;一个(基本上)没有垃圾邮件的消息系统;一个图片分享网站。而且在Facebook上,开发人员可以编写无缝集成的软件。
这些应用软件在隐私方面陷入了困境。比方说你想要完成这些好玩的Facebook调查之一。按下一个按钮,你就被带人一个标题为“允许访问?”的页面。然后你被告知,使用该应用软件会“提取你的个人档案信息、照片、你朋友的信息,和其余它运行所需的内容。”有多少信息呢?实际上,没有方法可以确定——也许是你曾输人到Facebook的全部东西。
大约每五个互联网用户中就有一个平均每天在Facebook上花25分钟,每次他们在Facebook页面输入信息时都暗含着这个问题:他们是否信任该网站的安全性和隐私控制?答案必然是肯定的。
这就是隐私权倡导者们驻扎在Facebook上的原因:这里就是行动的地方。容易想象出,未来大多数个人通信都将在这样平台上完成。拒绝参与其中的倡导者和组织会发现,他们自己被排斥在外。
时任太阳计算机系统公司(sHn Microsystems)CEO的斯科特·麦克尼利(scott McNealy)曾在一个相似的情况下,说过一段著名的话, “反正你不管怎样都没有隐私,习惯它吧。”1999年1月,麦克尼利试图推广一项由太阳公司编制的分布式计算新技术——即我们今天称作“云计算”的早期版本——记者们一直就该系统将如何保护隐私的问题纠缠他。四年半之后,他告诉《旧金山纪事报》: “我当时表达的意思是,反正已经有人得到了你的病历。有人拥有我的牙科记录。有人拥有我的财务档案。有人几乎知道我的一切。”
今天,存储在远程服务器上的不只是医疗和财务档案一而是一切。想想电子邮件,如果你通过邮件通讯协议(PostOffice Protocol,POP)的账号下载邮件,就像1999年大多数网民做的那样,那么邮件被复制到你的计算机,然后从你的互联网服务供应商的服务器删除。然而,现在大多数人使用网页邮件或互联网消息访问协议(Internet MessageAccess Protocol,IMAP),这会在服务器上留下一份副本,直到被明确删除。大多数人不知道服务器的位置——它只是在互联网“云”中的某个地方。
诸如Facebook,Gmail和Google Docs等服务变得广受欢迎,是因为它们使得用户在家和办公室都可以自由访问他们的数据,而不需要来回地携带它们。但是将你的数据放在一些组织的服务器上,这会出现各种意外状况。该组织可能会有一个不道德的雇员,为了私利抽走数据。网络窃贼可能会破解并入侵它的服务器,同时设法盗走许多人的数据。或者一个黑客可能会盯上你的数据,然后联系该组织,声称是你。所有这些都是安全威胁——因为受侵犯的是你的数据,这些安全威胁就成为隐私威胁。
我们面临的现状
我的职业生涯有很大一部分是在寻找使计算机系统更加安全的方法,而且我相信我们今天面临的很多问题不仅是可以解决的——许多已经被解决了。要缓解内部人员成为数据窃贼的威胁,可以给雇员付足够多的薪水、审查他们的工作、限制雇员的权限以及严厉处罚任何滥用雇主信任的雇员。计算机系统通过采用Java和Python等现代语言替代80年代的标准,比如c和c++来编程就可以抵御缓存溢出攻击,一个最近几年最常见的安全漏洞。我们的确知道如何去构建安全系统。不幸的是,这些系统开发成本更高,并且使用它们就需要我们抛弃现在使用的系统——至少是我们的关键应用软件。
但是一个基础性问题更难以解决:识别网络上的人。如果某人假冒你打电话给公司,要求访问你的数据,该怎么办?
如果谷歌或雅虎是实体店面,那么它们会要求查看一个由国家签发的身份证。它们会把你开户时的照片与现在站在大厅的人对比。是的,存在假身份证,也存在诈骗。然而,在现实世界中,识别技术大多数时候都表现不错。
结果就是,我们基本上也拥有在数字世界解决此问题的技术。然而已开发出来的解决方案在政治上是站不住脚的——不仅因为认知成本,讽刺的是,还因为对隐私认证的担忧。 我理解这些担心,但是,我认为它们错位了。当有人能够大肆地挪用你的个人数据,那么缺乏一个可靠的网络识别系统使隐私受到的威胁远远大于引入这样一个系统的威胁。并且,社会忍受低安全性所付出的代价可能远大于解决这个缺陷。
我相信,如果没有一个自由使用并由全世界政府支持的强大电子识别系统——一个真正的在线访问护照,我们将无法保护网络隐私。政府的基本职责之一是保护国家的内部安全,使商业顺利进行。几百年来,这意味着制造身份证明文件,使人们能够证明他们的国籍和身份。但是,美国政府已经放弃了它在网络世界的责任,而企业们则建立了它们自己的系统——比如索取你的社会保险号和住址,也许还有你喜欢的颜色。
在电子世界中难以识别他人身份是每个公司、每个组织和每个网站都要面对的问题。尤其是对Facebook和Google而言,因为从根本上来讲,它们不知道谁是其客户。当你在银行开户时,美国法律要求你使用国家签发的身份证明,来确认你的身份。银行账户会与一个真实身份建立连接。但是,像Facebook和Google的电子账户并不是这样。它们映射有一个身份,但这些身份实际上并未连接到任何东西。如果某个黑客夺走了你的Gmail账户,而你需要拿回来的时候,这就是个大问题了。
一个解决方案将会是通过添加电子芯片,使驾照和国家签发的其它身份证可在网络上使用。试想一下:访问你的银行账户,在亚马逊上购物,或在eBay上竞价都不再要密码。只用插入你的身份卡。并且如果你丢失了身份卡,你可以挂失再拿到一张新卡。马上,所有你的网络账户将识别新的凭证,并拒绝旧卡。
过去也提出过相似的建议:20世纪90年代美国邮政服务着手建立一个叫做“美国卡”的系统。但是,该项目从来没有真正开始——部分原因是技术条件不够,但是也因为公众的强烈反对。事实上,美国每次试图改善身份认证的努力都引起大量的公众反对。许多隐私权倡导者将强制性身份证视作警察制国家的标志之一。而且,许多州政府担心它的费用。
虽然一个更强大的识别系统无疑会由于一些错误而伤害到一些公民,但是我认为,这种反对是令人遗憾的。我们每次使用在线银行服务、或网络购物、甚至是使用Facebook都已经被要求认证身份,只不过是通过I临时的、破碎的系统进行认证而已。如果我们拥有一个单独的强大的识别系统,那么我们就可以立法保护它不被非正当使用的法律。例如,一部2003年通过的加州法案禁止酒吧、汽车经销商和其它部门将收集来的驾照信息用于任何除年龄验证或驾照验证以外的目的。
100多年以来,美国法理学一直将隐私认作是民主、社会关系和人类尊严的必要条件。最近50年,我们已经了解到,保护隐私不单是控制对你住宅的侵犯,还需要能够控制企业、政府和整个社会对你个人信息的掌握。即使美国人在9/11事件后被告知,需要在安全和隐私之间做出抉择,但是我们越来越清楚,二者缺一不可。
我们需要有意识地去学习如何保护隐私,而不是临阵磨枪。尽管科技可以带来帮助,但是我坚信这样的保护需要明确的相关政策为引导。正如尼克松总统成立环境保护局来保护我们的环境,我们同样需要某种“隐私保护局”来给我们权利一个斗争的机会。我们现在这种零散的方式已经是令人无法接受的了。