隐私很重要。每个人都知道。可什么才算隐私呢?小时候和同学课上传的小纸条、学期结束给老师的评语、自己拍摄的照片……给定一个事物,我们往往能对它属不属于隐私作出判断。但是对于「哪些是我们的隐私」,我们好像并不如「我家里都有哪些人」清楚。
好吧,按照惯例,先来看看隐私一词有无相对准确权威的定义。
任何人的私生活、家庭、住宅和通信不得任意干涉,他的荣誉和名誉不得加以攻击。 人人有权享受法律保护,以免受这种干涉或攻击。
此定义来自于《世界人权宣言》,亦算作是各国政府制定相关法律时需参考的材料。宣言起草于 1948 年,时值二战结束,各国都已承受过人权被肆意践踏的惨烈后果。然彼时尚无成体系的数字信息存储,更无如今社会无孔不入的网络通信。因此在数字时代,隐私的外延已经有了发展变化。而巨头和权威对个人数字化隐私的监视,也让更多的人重新思考如何用新的方法保护隐私。
数字化时代的特点
隐私的本质保护的是一种信息,数字化时代的信息生产、保存、传播方式都有了显著变化。因此要分析数字化时代的隐私,先考虑一下数字化时代信息的特点。
- 零复制成本。说信息没有复制成本可能不准确,不过用旧的眼光打量现代的信息复制,就会发现实在是太容易了。基本上,只要能获取到一份源数据,复刻出千份万份然后分发,不过是点点鼠标就可以解决的问题。当然在商业用途上,已经有了包括 DRM 以及 Netflix 防截图、中心服务器验证等技术在内的版权保护方案。然而个人的信息与这种商业批量销售的数字内容存在本质区别。
- 传播路径长。一个信息要从一处到达另一处需要经过活跃在互联网协议栈不同层的中间节点,这些节点都有可能篡改、保留信息。
- 终端结构复杂。多数人生产信息和连接互联网使用的都是个人电脑及移动计算设备(平板电脑、手机),这些设备大部分由特定商业公司开发并封闭源代码,不排除留有后门的可能,并且存在被恶意程序攻击的危险。
- 数据在云端。出于同步方便或者本地储存空间的限制,越来越多的人选择将数据存储在服务商提供的云存储空间当中,并利用其提供的额外功能进行分享、编辑等操作。这些数据通常并不能保证被严格加密和保护。
- 社交化蔓延。同传统软件是纯粹的生产力范畴相比,数字化时代的软件往往带有社交属性,一个人在社交圈子中几乎不可能完全避开这类软件。
而在国内的网络环境下,信息的保存和传播还具备一些额外特征。
- 匿名性弱。现行几乎所有国内网络产品账号都需要直接或间接绑定手机号码,而手机号码又严格实名。部分网络应用还要求提供额外的身份证及真人照片。
- 体系封闭。许多国内服务商对 Web 网页端抱有抗拒的态度,部分服务甚至完全不提供网页版本。
- 容易终止服务。许多云端服务的用户都面临着服务终止的危险,费用难以退回尚是小事,数据导出的周期也很短,甚至出现无法追回数据的情况。当然,国外也有许多例子。不过由于国内网民的消费习惯,个人云服务往往只是作为互联网巨头的边缘产品,少有专做云服务的企业,因此这些服务被「战略性放弃」的可能性比较高。
- 泄漏风险高。国内的个人信息泄漏和买卖已经形成了一条完整的灰色产业链,用于推销、诈骗等领域。如果个人相对私密的信息泄漏且形成闭环,造成的社会风险极高。
个人资料的保护
信息本身是没有意义的,要被特定的人利用之后才能体现出特别的价值。每个人在生活当中都会产生或获取大量的信息,而这些信息的特性也各自不同,因此不太可能一视同仁地去保护。
信息保护的本质
那么,要保护,首先需要厘清保护信息这件事的内涵是什么。
- 保证信息不能丢失
- 保证信息不让不需要的人获取到
- 在需要时,能够将信息安全地传递给另一方
第一点其实没有什么好说的,在不考虑存储介质物理特性的情况下,保证信息不丢失的惟一做法就是备份。从 RAID 1 到 RAID 5 再到普通的硬盘复制,都是行之有效的备份方式。而对于云服务的使用者来讲,一个稍靠谱的服务提供商在数据冗余这方面都会比普通用户更加重视。只要不是在有意删改数据的情况下,一般不需担心数据丢失的问题。而像 iCloud 一样的云服务多数用作同步,在每台设备都留有一份副本,完全丢失的风险更小。
这里需要考虑到数据是否属于常改动内容。如果纯粹出于归档的目的,放在自建阵列或者备用盘中更为稳妥;否则,就很不方便了。
第二点和第一点实际上存在冲突。如果每一个介质都有一定概率被其他人窃取到数据,那么多个备份会让这个概率大大增加。好在信息技术为这一点提供了一条方便的方式,那就是加密。主要的操作系统都提供了可靠的磁盘加密方式,保证磁盘被第三方窃取之后,在没有密钥的情况下,数据不会被获取。现代的文件系统也提供了对单个文件或目录加密的功能。考虑到可移植性,也可以用 ZIP 等压缩格式带有的加密方式或者利用 OpenPGP 软件进行密钥加密。合理运用这些加密方式,基本可以抵御存储器意外丢失造成的数据泄漏风险。当然,早期 Google Chrome 隐私模式会提醒用户「注意你身后的人」。如果想让数据在被检查的时候还能匿迹隐形,做法无非是将内容混淆在普通的文件当中。这不是本文想探讨的主题。
第三点本质上也是第二点的延续,不过面临的情况更加复杂,需要的应对方法也更加多。说到底,要解决这个问题,方法依然是加密。常规场景下,网络使用者接触到的无非是应用层级别的加密,以 HTTPS 为主。而新版本的 iOS 对于应用的网络请求强制要求使用 TLS 加密。对于浏览网页来说需要注意的就是不要胡乱添加根证书,适当时候需要删除本地中保存的不合适的根证书,以及及时更新浏览器。这里推荐 HTTPS Everywhere 这个浏览器插件,目前在 Chrome 和 Firefox 上都能找到。而如果你架设了一个网站,也请尽量申请一个免费的 TLS 证书,并配置好服务器,避免心脏出血等漏洞。另外一个场景可能是,在某些情况下,需要模拟 TLS 在一些不安全的应用上(比如电子邮件)传输加密的信息,解决这个问题的工具就是 OpenPGP 了。在网页端或者服务器端可以使用 OpenPGP.js 库实现生成密钥、加密、解密、签名等操作。在本地则可以使用 Gnu Privacy Guard (GPG) 完成这项任务。如果使用 Thunderbird 作为电子邮件客户端,可以利用 Enigmail 插件自动完成邮件的加解密和签名。这样就可以做到端到端加密了。不过对于电子邮件,需要注意的是标题是不会被加密的。
一个重要问题是,在上述讨论的第三点中,与自己通讯的人是否是安全的?这实际上是很多人对加密技术产生的误解。加密只能保证你的信息安全地从你本地传输到了另一个地方不被第三方破解或监听,但你没有任何方式确保这个通讯者不会出卖你的信息。这实际上和加密技术没有任何关系。而在某些时候,这个信息是不得不交出去的,这是后面要讨论的内容。
将隐私信息分级
尽管对于普通人,一些简单的额外加密就可以保护自己的信息免受各种风险威胁。然而对不同的信息进行分类考虑和存储仍然是有必要的。一些数据泄漏可能仅会让你接到几个推销电话,而另一些则事关身家性命。
- 极度危险并私密的信息。这些信息和数据不应该被放到网上,应该经过严格的加密后储存在安全的本地存储设备上。如果有特别的危险,这些数据甚至只应该牢记于心,或用只有自己才知道的方式混淆于普通文件中。
- 私密但需要同步的信息,比如照片。这些数据可以放在自建的私有云服务上并经过加密存储,并且同步到备份硬盘或者加密后同步到网络服务商提供的对象存储服务中。如果你信任某些厂商(且认为他们短时间内没有倒闭的风险),可以将非极度隐私的内容放上去,毕竟它们的服务更加稳定,功能当然也更丰富。如果你只想做归档存储的话,用前面说的方法打包加密,几个地方都扔一份,也不危险。
- 不能完全公开但不危险的工作资料。实际上存储这类资料要求的更多是稳定性以及分享、协作等功能。国内外都有相当多这类服务,或许跟着公司里大家的选择走是更令人愉快的选择。当然,如果你的工作本身就对信息安全要求很高,那还是认真按照更严格的规定操作吧。
- 仅需要合适存储的资料。比如说你的学校今年的招生报告,跟工作和生活毫无关系。这些材料可以多份存储,哪里方面哪里来。
当我们谈论隐私以及与其相关的一系列安全话题时,我们实际上更多想聊的是「私密但需要同步的信息」。
iCloud 的替代品
很少有苹果用户能够完全避开 iCloud 对生活的侵入。而 iCloud 引发的一系列事件让一部分人对 iCloud 的资料安全性不再信任,转而寻找其他的云端存储方式。这里聊聊几个常见的选择。
- NextCloud (ownCloud 续作),如果你有过自己在 VPS 上搭建 WordPress 博客的经历,那么自己搭建 NextCloud 也不是什么难事。作为一个私有云,NextCloud 的功能实际上已经非常丰富了,除了最基本的文件存储之外,还支持分享、文件在线编辑、聊天、照片同步、笔记、日历等功能。手机端的 App 只需要输入自建服务 URL 和账号密码即可使用。总体来讲 NextCloud 还是很安全的,缺点在于需要自己搭建服务器,有一定的技术基础,速度可能也没有大公司服务的速度快。同时手机端照片管理的功能远不如 iOS 自带照片应用强大,如何安全地备份数据也是个令人头疼的问题。
- OneDrive,其实连同前身 SkyDrive,OneDrive 已经运营有一些年头了,只不过免费容量一降再降实在让人不满,连笔者之前购买 Windows Phone 手机赠送的空间都砍掉了。OneDrive 现在和 Office 365 计划有联系,并且 OneNote 笔记本内容实际上也存储在 OneDrive 网盘当中,所以暂时不用担心它倒闭。毕竟是微软出品,OneDrive 上在线 Office 文件的编辑功能自然是绝佳,微软也试验过一系列智能照片管理的功能。Windows 10 已经集成了部分 OneDrive 支持。如果用过的话就会知道,最大的问题就是速度太慢。然后是空间太小(如果买了 Office 365 倒不存在)。手机端 App 的使用体验比 NextCloud 好,不过赶不上 Office 系列其他产品手机端的水准。
- Google 云服务,Google 提供了包括照片、云端硬盘、文档等多款 App 来涵盖手机端云应用的功能,体验还是很不错的。微软和 Google 都是优秀的 iOS 应用开发商。免费的 Google 云盘存储空间是 15 G,值得一提的是,如果同意照片采用「高画质」而非「原文件」存储(也就是可能会稍微损失一点质量),照片的存储空间是无限大。Google 在照片应用中使用了大量人工智能技术,例如搜索 sunset 就会在上传过的库中筛选出夕阳景色的照片。根据 Google 的习惯,照片这类服务存在被砍掉的可能,不过参考 Google Code,真到了时候,还有足够机会迁移。最大的问题是在国内访问不便。
- Dropbox,笔者几乎没有使用过 Dropbox 云盘和同步功能。Dropbox 的免费空间为 2G,收费扩容的价格也比较高。Dropbox 的独特之处在于它的增量同步和共享功能。许多第三方应用也支持通过 Dropbox 同步。和 Google 云服务一样,Dropbox 在国内访问不便。
其他诸如 Amazon Drive 之类的服务在国内还不是特别成熟。而国内公司的云盘和同步服务质量不太令人满意。国内网盘服务普遍不盈利,朝令夕改,容易出现网盘关闭,数据难以找回的情况。在认真考虑到隐私状况的情况下,这些网盘在工作和娱乐上还是可以轻度使用或者做某种程度的备份。
信息安全之外
中学的物理题情景总是发生在去除各类难搞的干扰因素之后形成的「理想状态」中。现实往往比理想状态复杂很多。隐私保护亦是如此。信息安全的知识不能确保每个人都能够生活在安全和隐匿之中。即使信息以安全的形式传输和保存,个人隐私依然存在风险。
- 不得不将信息公开或发送给不可信任的对方
- 信息被针对性地破解或被胁迫解密数据
正如 Ian Murdock 在自由软件界是名震一方的领袖,在现实生活中仍然难逃被轻易击毙的命运一样,在隐私保护的领域,很多事情已经超越了网络技术本身的范畴。信息使人获利,给人带来危险,都是因为信息映射着现实世界。
大隐隐于市
隐藏自己的身份,比公开身份然后将自身安全押在加密上明智很多。毕竟,加密防君子,混淆防小人。细究前面说到的信息,也可以略作分类。
- 可以选择不发布的匿名信息
- 可以选择不发布的实名信息
- 必须发布的实名信息
第一种情况某种意义上也是一种理想状态,除非使用了繁复可靠的安全措施,同时监视者不愿投入过大的资源破解。加上随处可见的手机号绑定提示,多数时候网络账号对应的情况是第二种。不过这当然不是非黑即白的两个极端,如果真的停用一切网络服务,日常生活会面临极大的不便,朋友也会觉得自己无趣。如果你足够无聊,甚至可以打造多个账号来学习明星打造自己的「人设」。保证安全的关键在于谨记「凡在网上的,必留下痕迹,不可撤销」。
第三种情况就很复杂了。日常办证办卡总会留下点记录,法律不健全的情况下,隐私无法确保安全。令人不安的是,这类信息不像网络账号可以自由创建多个,而是和人身份强绑定的。老司机会告诉你开房时用护照,戴口罩,用现金。不过更重要的,可能是认真评估这类信息泄漏带来的负面后果。比如接到诈骗电话,比如被人将真实身份和网络账号关联起来公开信息……就像防御 XSS 攻击。许多人都喜欢给自己取一个独一无二的特殊 ID 作为各类网络账号的用户名来标识自己,这很棒,只要它不关联到现实身份,或者被人连线挖出某些信息时不会觉得尴尬。
信任
熟悉 TLS 协议的朋友都清楚证书机制是如何工作的,一条信任链必须存在一个用户绝对信任的起点。如果这个起点不值得信任,那一切安全都无从谈起。对于隐私或数据,安全也建立在一层层信任机制之上。一个 iPhone 用户需要信任苹果公司不会无底线出卖其数据。请注意,这跟 iCloud 无关。如果往阴谋论方向深究,iPhone 完全有可能不按照用户设定,悄悄地发送数据到苹果服务器上。这一切建立在对苹果公司的信任上。就像一个人如果不信任银行,也不会去银行开户存钱。(除非他无从选择)对不同公司不同的信任度,决定了何种私密等级的信息可以被存放在这家公司的设备或服务中。可怕的其实是,这些公司事实上的可信赖程度比大众直觉上的信任度低。FSF 的观点看似极端,可往往最终都是对的。
谨慎信任,保持匿名,时刻加密。
延伸材料