An image to describe post

图片摄于首尔,汉江上。


网络安全法刚开始实施,阿里和顺丰就为所谓“信息安全”打了一仗,而且24小时过去还未见分晓,这个事情值得一说。

对于此次事件,阿里和顺丰都说是“为了用户的隐私安全”,因为都没有给出翔实的证据,所以具体细节不好判断。但我们可以换个角度,从数据流向的角度来看,数据在谁手里,要流向谁的手里,再结合逻辑推理,就容易看出端倪。

在物流数据的生意里,“要数据”的阿里是下游,“不给数据”的顺丰是上游。很难想象,单纯因为上游的数据安全做得不好,下游就断开合作——按常理,拿到尽可能多的数据才是最关心的,如果上游供应商的安全有问题,下游开心还来不及呢。相反,如果上游觉得下游有问题,信不过下游,取消合作是相当自然的。退一步说,顺丰只是不给淘宝提供数据,并没有阻止大家通过其它方式查询,这时候还要打着“保护用户隐私”的幌子决绝地下架“顺丰快递”的选项,未免做得太难看了点。

看起来,这里说的“数据”,只是一些信息数据的查询而已,值得两家巨头大动干戈吗?答案是,相当值得。环顾四周,信息技术早就不再局限于加速信息的流动,在实体经济已经充分发展的情况下,很多时候是用信息(数据)取代了实体。数据在,价值在,数据不在,价值就不在。

对黑产有所了解的人都知道,有些人专门去老少边穷地区高价收购身份证信息,甚至请每个人拿身份证拍一张合照,拿这些信息做很大的买卖。在这个游戏里,这些人是否真的存在,这不重要,重要的是从数据上来看他们存在,这就够了。有了这些数据,就可以去薅羊毛,就可以去当水军。一句话,有了数据,就可以支配漫长的价值链。

既然数据这么重要,那么相关的规矩建立起来了吗?很可惜,没有。

信息技术始终没有解决的两个问题,就是数据的复制和二次利用。复制很好理解也很普遍,过手的数据都要拷贝一份存起来;二次利用,指的是数据被超出数据产生者设想、违背数据产生者意愿的方式来使用。

我们寄出一封信,不会想到邮筒、分拣机、传送带、邮递员、收发室,都把信给抄了一遍,信的内容以后会被用作各种用途,被成百上千次地分析,展现给各色人看。我们拿个小本记账,也不会想到,本子上的信息会四处复印,让各种人分析我们的收支状况和消费喜好。传统社会里这似乎是不可想象的,但是在数据的时代里,这就是活生生的事实。

觉得太恐怖了,难以置信?听我讲个故事。我有个朋友平时相当注意个人数据隐私,有一次好奇问问搞安全的朋友,你们从网上到底能挖出我的多少信息?结果对方花了不到5分钟就统计出自己每月的准确的收支情况。好奇之下,他一定要问是如何知道的。原来,答案无非是他之前在手机上同意了开启“智能短信”。

这些“智能”程序既然能把银行收支短信重新格式化,以漂亮的形式展现出来,也就可以把内容复制发送到后端服务器,在传递过程中又可以被无数次截流和复制,在想不到的地方被记录和分析。这就是“复制和二次利用”的威力,但是,有多少人在选择“同意”开启智能短信的时候,能想到后面的结果呢?

有些观点认为,就算数据被利用无法避免,阿里巴巴牌子响,总值得信赖一些,你看马云不是说过,绝对不做这个不做那个嘛。能说出这样的话,大概只能是因为对历史的无知和对商业的天真。近些年“不做游戏”和“不做物流”的承诺就不说了,说个远点决绝点的:

  • 2006年8月16日,阿里巴巴集团公开声明:阿里巴巴集团旗下所有子公司及业务部门自即日起永远不和周鸿祎投资及有关联的公司发生任何业务往来

  • 2013年5月22日,e淘网公开上线了360购物搜索360.etao.com

那么,数据的复制、收集、处理,果真应当是毫无法则,一点也没有道理可讲吗?我看不见得。如果你仔细观察马云最近演讲中对“数据”的强调就会发现,他强调的是数据的处理和应用能力,却没有提到数据归属权确认和数据收集的正当程序。

在我看来,这背后隐藏的逻辑是:我处理数据的能力最强,所以数据就应该归我。至于数据是谁产生的,授权给谁用的,这个问题不重要。要知道,用户选择顺丰,可以视为隐含着把物流数据给顺丰的授权,而没有包含着把物流数据给淘宝的授权。结果淘宝想要数据,反而打着“保护用户隐私”的幌子,看起来总有些滑稽。

扯远一点,面对日渐强大的数据收集和处理能力,我们该如何“捍卫”自己的数据?在我看来,也只能设法增加数据复制和二次利用的难度。比如把银行密码写在纸上,贴在保险柜里,这恐怕比什么记录软件都要靠谱。