P3P技术,网络隐私的保护神 左晓栋 2001年 14期 微软公司在3月份对外宣布了一个技术实施的细节,该公司在将于今年下半年问世的IE6.0中嵌入了P3P技术。这是在全球技术界、隐私保护界争论了很长时间后,第一次有公司公开宣称在产品中已经实现了对P3P技术的支持。   #1 小甜饼cookies    经常上网的人都知道,每当浏览一个网站时,你的计算机上都会留下一个称为cookies的小东西,你一般完全感觉不到它的存在。但当你浏览C盘Windows目录下cookies目录的时候,你会发现里面存满了大量的文本小文件,打开后会看到几排数字和字符。不要小看了这东西,如果你浏览了新浪的一条新闻,当你再去看时,你会发现这条新闻的颜色与其它不同,表示你这台机子已经看过这条新闻了,原因就在于cookies记录下了你已经浏览该新闻的信息。这倒是很方便,可是,它同样也会使网站由此得知你的个人信息,通过cookies,他们可以知道你的职业、生活习惯、购物癖好等。然后呢,你就等着广告商给你塞广告吧。有一天你正需要一本C++的书而书商特地来向你推销时,你可别认为这是巧合,人家早就通过cookies知道你最近正在学习编程(比如你总是浏览有关C++的网站)。所以说,cookies确实给我们带来了很多方便,但同时也使我们面临巨大的危险,我们的个人隐私得不到保障。    商人们对cookies自然是爱不释手了,对他们来说,cookies简直就是他们的命根,就是他们的饭碗。在这样一个商业化的社会中,我们不能指望他们把这个饭碗扔掉,可是我们又确实需要保护自己的安全和隐私。   #1 隐私保护和信息安全    很多人一听到隐私保护问题,就首先把它同信息安全对立起来,完全忽视了它们的一致性。隐私保护与信息安全首先表现出的就是一致性。在这个前提下:    第一,首先是一方为了保障其信息安全而影响到了另一方的隐私,比如公司为保障其企业数据的安全而对公司员工行为的监视。对同一个客体来说,往往也存在着冲突,在某方面获得信息安全的同时则要牺牲另一方面的隐私利益,比如银行摄像机的安装,显然这是确保我们在银行的资产不会被不法之徒窃取的有效手段,但我们每个人都要在摄像机中露脸,这是地地道道的隐私侵犯。    第二,它来源于信息共享。去年年初,国际范围内发生了大规模的黑客攻击事件,而且黑客攻击出现了一些新的特点,比如攻击规模广、攻击手段蜂群式(美国人叫合力攻击)以及攻击技术高超多变等特点。为了能够使受害面尽可能减小以及能够在尽量短的时间内研究出应对措施,国际上普遍认为建立各级信息共享和分析机制势在必行。    我们想一想,除了政府部门之外,谁最容易受到攻击?显然是企业!企业在受攻击后立刻向有关机构报告,这固然有利于执法和研究机构立即行动,可以避免攻击波及其它企业,可是有多少企业愿意公开自己受攻击的消息呢(这其中有的企业怀有龌龊的心理,认为反正我已经被干掉了,别人也倒一倒霉吧。我们国内还有一种现象,就是有的企业很喜欢宣扬自己被黑,借以提高其知名度,这些情况都属例外)。对一个成熟企业来说,企业被攻击这种事是企业自己的隐私,一旦公布出去会对企业造成负面影响。但不共享信息又是不行的──信息共享和分析机制是众多的信息安全专家研究后提出的措施,是非常科学的。但是这又构成了矛盾。    由于现在隐私保护体系还没有完全建立起来,而且广大公众的隐私保护意识还不甚强烈,所以我们应该大力宣传隐私保护并呼吁制定出更为合理的法规政策。现在很多网站的主页都刊登了隐私条例,这就是一种进步。但这里一般涉及的是隐私保护同传统观念以及惯性行为方式的冲突,没有涉及到它同信息安全的正面冲突,所以在理论上是不难解决的。    在很多时候,信息安全和隐私保护的矛盾来源于利益之争,比如老板监视员工的案例。在这个时候,协调好双方的利益是解决好问题的最终办法。   #1 P3P──隐私偏好平台    P3P全称为“隐私偏好平台”──Platform for Privacy Preferences,它是由万维网协会(W3C)和隐私权提倡团体共同推广的标准,在经历了四年的开发期后,于去年6月份登台亮相。此后微软立刻(也是在6月份)宣布将在Windows2000中提供对P3P技术的支持,而3月22日这条消息的发布终于使世人相信P3P的应用已经由理想变成了现实。    P3P的设计宗旨是让消费者掌握自己的网上隐私,它将帮助消费者理清多如牛毛的“网站隐私权条款”,消费者可先自行决定愿意提供的个人资料范围,如果某个网站要求超出范围的资料,这个平台会“跳出”警告讯号,提醒消费者并“告知这些资料将被用于何种用途”。    微软的IE产品部经理Michael Wallent介绍IE6.0中的P3P应用时说,嵌入浏览器的隐私控制器是一个滑动条,使用户可以在5项隐私设置中做出选择,这些设置的最低级允许接收所有的cookies,而最高的级别则拒绝所有的cookies。缺省设置是中间级别,在该级别中,如果一个站点不遵守P3P标准的话,那么有关它的cookies将被自动拒绝。    但我们现在还不知道网站将怎样采用或支持P3P技术,因为还没有人透露这方面的资料。但无论如何,P3P技术确实可以在一定程度上保护用户的隐私,面对世人对隐私保护、讨伐不法商家的强烈呼声,它的确是一个解决的办法──虽然也许并不是非常积极的办法。    其实,P3P是一种“先天不足”的技术,它的“先天不足”在于,仅仅被动地告知消费者某个网站要求不同的个人资料和根本上应不应该允许网站向消费者要这些资料,完全是两回事。P3P虽然帮助消费者过滤掉那些“想知道太多不该知道的内容”的网站,但却没有办法来制止网站隐私权的侵犯事件。也就是说,P3P已经比以往只能选择“接受”或“拒绝”各网站隐私条款的方式好多了,不过,它还是无法让消费者降低隐私疑虑。一句话,这种东西治标不治本。    另外,P3P能否成为标准也还只是雾里看花。如果商家不愿配合放入这个软件,消费者还是没办法知道哪些个人资料超出了自己设定的范围。目前除了微软宣布支持P3P外,IBM、美国在线等公司也表现出了良好的姿态。但他们自己也承认,没有办法确认商家是否遵守了标准的规定,也无法阻止网站搜集消费者的资料。   #1 新技术的冲击    从技术的角度讲,新技术的发展必然要对旧的理念和习惯带来冲击。这种冲击的结果就是,要么新技术站住了脚,成为了一种社会必然需要,从而使旧的理念和习惯被迫做出改变;要么新技术没办法战胜旧理念和习惯,那它干脆死在萌芽状态。就比如说遍布于各处的摄像机,根据美国人统计,每个纽约人每天平均被摄像23次,这种不折不扣的隐私侵犯放在若干年以前人们是无法容忍的,可现在人们对它习以为常,这是因为它为人们的安全带来了便利,减少了各种犯罪,也就是说,它成了一种社会需要。美国一位专家对这一问题做过精辟的论述:“当IT技术成为一种社会需要而不仅仅是工作技能时,由此导致的隐私问题是可以容忍的。”说到底,这是一种碰撞现象,就如同我们经常见到的不同文化或思潮之间的碰撞一样,没什么大惊小怪的。当然,碰撞的过程必然是惨烈的,正如我们大家现在所见。而问题的解决也要看碰撞的双方谁的力量在最后处于上风,外界不可能对这一过程施加什么影响,这也是历史发展的必然规律。信息安全需要新技术和措施去保障,而我们的隐私也需要维护。如果某一项信息安全技术或措施因为隐私问题而退场了,那我们也不要为它流泪和遗憾,它不再是社会需要了嘛。连隐私问题都解决不了,它还怎么是社会需要?而如果我们因为采用新技术而不得不去牺牲一部分隐私时,大家也不要心疼,这是社会需要嘛。    P3P技术至少体现出了业界对解决网络安全问题、保护公民隐私所做的努力和积极的姿态。但这种技术究竟怎么样,很多人还是持怀疑态度的。某一媒体的一句评论透彻入理:“科技不应该为保护消费者的隐私负责,真正该负责的是使用科技和拿消费者资料赚钱的商家。”