互联网时代，我们的隐私该何去何从？|送书福利

2017 年 8 月 3 日 商业周刊中文版

撰文：马克·罗滕伯格(Marc Rotenberg)、茱莉亚·霍维兹(Julia Horwitz)、杰拉米·斯科特(Jeramie Scott)

在当今互联网时代，我们的隐私权已经受到了威胁，政府或企业可以追踪我们的电话，搜索引擎可以记录我们的在线浏览记录、恒温器的设置以及更多信息。

在当代，保卫隐私权不只是简单地描述出存在的问题或者警告人们隐私权已经丧失，隐私权的护卫者们还密切关注商业实践、公共政策、技术设计以及人物，并且提出了解决之道。

这部书汇集欧美商业界、学术界、公民社会和政府部门互联网技术大咖、法律权威专家的真知灼见，全面深刻剖析互联网隐私问题、重塑技术与隐私关系。以下摘编自《无处安放的互联网隐私》的第13章——未来发展方向：密码学。想要免费获得一本《无处安放的互联网隐私》吗？参与文末留言分享活动就有机会把这本书收入囊中哦！

作者：马克·罗滕伯格、茱莉亚·霍维兹、杰拉米·斯科特

译者：苗淼

定价：55.00元

上市时间：2017年7月

出版社：中国人民大学出版社

应该牺牲隐私吗

在过去的一年里，我们听到了不少关于社会是否应该放弃隐私的争论（此处的隐私包括我们的通话记录、网上交易和出行信息），为了满足美国国家安全局等机构跟踪恐怖分子的需要，或是仅仅因为我们生活在一个电子世界里，隐私本身就应该为便利或其他更重要的目标作出牺牲。

实际上，另一个问题可能会更能够直达病灶，即执法机构如何在不损害守法公民隐私的前提下跟踪恐怖分子？更笼统地说，我们怎样才能在不牺牲隐私的情况下从数字时代中受益？这至少在理论上是行得通的。首先，我将重点谈论美国国家安全局，因为如果跟踪恐怖分子的理由都不需要我们牺牲隐私的话，那么我们肯定不需要因为其他任何理由牺牲隐私！我不准备谈如何在政府能做和不能做的事情上划定法律界限；相反，我想让大家关注一大批技术解决方案，在这样的法律界限范围内，这些技术将保证执法行为和国家安全计划做任何事情都不会越过权限。

例如，我们了解到了一个令人震惊的事实——多家电话公司已经向美国国家安全局提供了客户的全部呼叫记录。美国国家安全局索要所有这些记录的原因之一（即使他们真正感兴趣的只是少数条目），是因为他们必须对监控目标的身份保密，以确保他们对政府的兴趣不知情，同时，国家安全局也不相信电话公司能保守秘密。虽然国家安全局收集所有此类数据，但政府告诉我们，根据《外国情报监控法》(FISA)法庭颁令规定，国家安全局的分析师只能通过一定数量的总路优化程序系统(hops)查询与恐怖嫌疑人有关的个人信息。其他的所有信息都应该保密，但是这要求我们依靠政府来保护这些巨大的个人信息宝藏。

1978年颁行的《外国情报监控法》主要内容

安全解决方案

然而，我们并不需要依靠政府来保护我们的数据。美国国家安全局的分析师或许已经获得了完全相同的信息（即目标对象及相关人员的电话记录），同时，既没有泄露目标的身份，也不用下载全部呼叫数据！事实上，使之成为可能的计算机协议已经是众所周知的。这种情况是安全双方计算问题的一个特殊案例，其中双方——电话公司A和政府机构B——以这种方式合作，一方面，B获得其需要的A方数据，而另一方面，A对B的关注对象并不知情。

安全双方和多方计算是由姚期智(Andy Yao)在1982年提出来的，这是一个应该广泛使用的、很好的工具。经过几十年的理论研究，2008年，这一工具第一次大规模投入使用：为了在定价方案上达成一致，丹麦的甜菜市场参与者利用了安全多方计算。之前在丹麦，每年给甜菜定价都是一个令人头疼的问题，因为参与者都不相信对方所提供的关于产品内容、生产量以及消费量的信息，但是安全多方计算允许他们根据其私人信息计算价格，而并不需要将这一信息透露给对方。

中国计算机科学家姚期智

自2008年以来，越来越多开始进行安全双方和多方计算的软件工具得到了开发，使这一工具的使用成为现实。例如，在2014年，国际电子电气工程师协会(IEEE)安全和隐私研讨会上，一篇由帕帕斯(Pappas)等人合著的会议论文——《Blind Seer：可扩展的私人数据库管理系统》(Blind Seer: A Scalable Private DBMS)，提出了一种可以供国家安全局马上使用的现成软件系统，这一系统对下载和存储所有呼叫数据无疑是一个极大的推动。相反，如果由电话公司管理Blind Seer数据库服务器系统，那么这家电话公司愿意合作但并不能获得政府的目标对象的信息，Blind Seer会以加密形式存储数据。美国国家安全局可以查询数据并找到所需要的记录，方式和效率几乎与未加密的数据库相同，而数据库服务器并不掌握这些查询或其任何检索结果。

令人兴奋的理论成果比比皆是。例如，一篇在2014年国际密码学会会议上由Boneh等人发表的文章——《完全同态密钥加密、算数电路ABE和集中篡改电路》(Fully Key-Homomorphic Encryption, Arithmetic Circuit ABE and Compact Garbled Circuits)指出，这种情况下的安全解决方案至少在原则上是极为方便的：政府机构B只需向电话公司A发送软件，即可复制A所拥有的电话记录并传回B所需要的结果（以加密形式），A不会知道B在寻找哪些数据对象，B也不会查看任何没有法庭颁令或授权等正当法律权威授权的信息。

这些论文中所描述的研究都是由美国政府资助的。更有趣的是，其资助机构是美国情报界(IC)，资助形式是情报高级搜索项目行动(the Intelligence Advanced Research Projects Activity, IARPA)项目。IARPA项目隶属美国国家情报总监(Director of National Intelligence, DNI)办公室，詹姆斯·克拉珀(James Clapper)同时也是该办公室的负责人，他的名字现在在隐私活动家和公众中众所周知，但通常都以负面形象出现。这一软件对我们的情报机构再合适不过了！

曾任国防部负责情报事务副部长詹姆斯·克拉珀

密码学家与政策制定者

是什么阻止了这些技术解决方案的采用？也许是因为密码学家和政策制定者之间无法进行沟通。例如，我曾经尝试向一位政策制定者解释美国国家安全局可以如何使用我上文提到的Blind Seer系统。他提出了一条反对意见，如果从政治角度考虑，这条意见是至关重要的，但对于计算机科学家来说却微不足道。他认为Blind Seer系统可能行不通，是因为这个系统只对一家电话公司起作用，但国家安全局需要从多家不同的移动运营商处收集数据。对于一位计算机科学家来说，这只需要在所有电话公司的数据中分别搜索相关数据，但这种很明显的道理没必要向所有人解释清楚。

看来，这方面的政策制定者需要上一节笼统的计算机科学速成课，并且需要特别补充密码学知识，而密码学家不仅应该为这些问题提供最笼统的解决方案，还应该针对我们社会感兴趣的具体案例进行处理。

密码学也为我们提供其他两全其美的工具，即对违法者问责的同时保护每个人的隐私。例如，匿名证书系统允许用户证明他们被授权访问系统的特定部分而不用暴露其他信息，如他们的姓名或其他永久性特征。然而，它还可能找出超出服务条款范围的用户。例如，如果一份报纸订阅每天只授权一定数量的文章下载，那么它有可能会辨识出那些尝试超数量下载的用户身份。此外，这种系统可以通过身份托管进行扩展，使其在信赖的第三方帮助下，有可能查明特殊场合下的用户身份。匿名证书已经在密码学文献中被广泛研究，并在测试环境中成功使用，如希腊的佩特雷大学就将其用于一个课程评价系统中。

另外，密码学还为我们提供了以科学发现为目的集成信息的工具，但其开展方式尊重从事此类研究者的个人隐私。其理念是确保公布的数据是有差别的私人数据，也就是说，即使知道从事某项具体研究的所有人的全部信息，但也很难分别具体的某个人是否参加了这项研究，由此可见，个人对一项研究所造成的影响是微不足道的。事实证明，许多类型的研究都有可能实现有差别的隐私，因此，我们既可以受益于丰富的有用数据，并发现潜在的科学真理，同时这一过程又不会侵犯任何人的隐私。

因此，与直觉相反，密码不仅为我们做蛋糕，还提供吃蛋糕的工具。我们可以利用信息的丰富性来监控罪犯和恐怖分子，进行科学研究，并排除未经授权的行为。然而，这些都不需要违反守法公民的个人隐私。密码学家和政策制定者需要更好的沟通交流，以将此变为现实。

编辑：陈镜羽

在文章下方留言：互联网时代，你是如何保护个人隐私的？就有机会获得我们免费送出的《无处安放的互联网隐私》。活动截止时间为 8月9日中午12点。共5本，快来参与吧~！在后台回复“中奖”，即可查看获奖读者名单，快来加入我们的留言互动吧！

送书时间到！！！

（如果您想即刻阅读本书，可点击“阅读原文”前往购买。）

◆ ◆ ◆ ◆ ◆

点击你感兴趣的关键词

立即获得关于TA的更多信息！

机场健身丨廉价iPhone丨睡眠丨美国山寨

麦肯锡丨摩托车崛起丨日本百元店丨塔吉特危机

细菌克星丨中国地产丨啃小族丨迪士尼丨比特存亡

中国鬼城丨腾讯刘炽平丨狼人杀丨省钱套路丨人机战