第八章 如何保护用户隐私?
问题不在于是否有人在监视你,问题在于他们的意图。
——兰迪·米霍兰德(Randy K.Milholland),网络喜剧先驱
谷歌的三名高管闭门争论的另一个重要决定,是如何为用户个人信息保密。人们希望并应该获得有关政府官员和其他公众人物的信息资料,但每个人都希望他们自己的信息不被窥探。在这个问题上,拉里和谢尔盖坚定地站在保密一边。他们面临着来自公司外部隐私权倡导者的强烈批判。
谷歌收集了有关其服务用户的海量信息,其规模或许超过了历史上的任何一家公司。谷歌的计算机跟踪用户点击的广告、他们搜索的项目、他们访问的站点,甚至他们在电子邮件中谈论的话题。使用这些信息,可以使谷歌计算机发现向每一个人提供更相关数据和广告的方法。它不再单单和PageRank有关。
这并不意味着谷歌的某个员工正在阅读其用户的电子邮件,数亿网民使用谷歌的搜索服务,而人类无法胜任此项任务。它全部由谷歌计算机完成,而没有人工干预。但是数据存储在谷歌计算机上,易于遭到政府传讯,或许还易于遭到聪明黑客的蓄意盗窃。
对于拉里和谢尔盖而言,收集此类数据只是为了使谷歌的服务更加有用的部分过程。但是人们对互联网产生了猜疑。例如,谷歌可以向广告客户和其他公司出售信息,正如杂志向其他人出售它的读者信息。没有证据显示谷歌曾经这么做,拉里和谢尔盖也发誓说公司永远不会这么做——至少在他们负责的时期不会。
拉里解释说:“不论你在何时搜索,你都相信我们能给你提供正确的结果。我们对此非常在意。我们在这方面拥有相当好的声誉。我想,网民会认为我们愿意采取某些人一开始可能觉得怪异的立场。但是我们绝对可以解释我们那么做的原因,而且我们是这方面的表率。”
但是,如果任何政府用法律传票对付谷歌,该公司就不得不交出被要求提供的数据。从技术上说,此类数据并不能认定某个人,而只能认定某个计算机用户的互联网地址。但是,通过以其他手段挖掘该计算机地址的所有人,可以用这些数据来找到某个人——或者至少找到使用该计算机的人。隐私权倡导者和某些国家的政府敦促谷歌在一个很短的期限过后删除此类信息。政府的用意很天真,它们相信谷歌滥用信息会引起潜在的威胁;但实际上这意味着政府对非法行为的调查取证更加艰难。拉里和谢尔盖对删除数据提出的质疑是,保存信息的期限应该有多久。
王说,这涉及谷歌收集用户数据的另一个原因:它有助于确定可以发现网络罪犯的访问模式,使公司能够防范今后的类似攻击。在这种情形下,王再次声称,保存数据是服务用户的最好方法。“关注用户不仅要提供最好、最强大的服务,还要提供用户信任的服务。这种信任的一个组成部分就是隐私权,因为这是一种由信息驱动的服务。”
你信任谷歌吗?
用户信任是谷歌的充分必要条件,而违背信任——甚至是对违背的感知——会威胁到公司未来的竞争力。这也是王的职责之一。作为她工作的一部分,在新产品还只是一个蓝图的早期设计阶段,她就定期和产品开发人员碰头。她询问开发人员计划利用这一产品收集什么信息,将和谁共享数据,以及如何妥善保管数据。然后再与拉里、谢尔盖和埃里克讨论这些问题,他们的建议将被纳入该产品的设计。
任务之一是将信息的使用方式准确告知客户。当有人下载谷歌的工具栏时,他们必须点击一个方框,以便允许PageRank收集有关其冲浪习惯的数据。如果他们点击了,就会弹出一则解释信息利用方式的隐私权说明,它有一行粗体红字标题,上面写着:“请仔细阅读:这不是通常意义的废话。”
拉里和谢尔盖规定了要求,即必须对用户透明——清楚解释公司的行为——以及是否允许这么做的选择。即使用户决定不想自己的信息被收集,他们仍然可以下载工具栏,无须激活PageRank。这违背了许多互联网公司的流行趋势,那实际上是在说:“如果您不接受这个条件,则不能使用本产品。”
同样,在使用谷歌的即时信息系统GoogleTalk时,用户可以选择取消记录选项,这就阻止了谷歌和聊天人保存任何谈话记录。
尽管如此,大多数人并未选择隐私权选项,于是谷歌就保存了这些数据。但它已经学会了妥协。最初的时候,谷歌并未对数据的保存期限作出任何限定。隐私权倡导者发出了抱怨,既针对谷歌,也针对政府监管机构。于是,到2007年,王开始了与产品设计人员的一系列会面,询问他们为何需要此类数据。运行记录改进了搜索、拼写检查功能和其他服务。但开发人员说,他们保存数据的最重要原因,是确保网络的安全。
任何互联网公司都遭受过垃圾邮件、诈骗和所谓的“拒绝服务”攻击,在遭受攻击时,站点会被自动生成的许多请求淹没,网速减缓或者引起崩溃。通过保存数据,谷歌可以识别导致攻击的任何行为模式和用来发动攻击的计算机,将这些信息用于防范今后的类似攻击。
“事实是,成功攻击我们的人可能已经作了两年的努力,”王说,“所以当我们回头查看相当长时间的运行记录时,我们就能察觉今天碰到的行为模式。我们可以找出我们在目前的攻击中看到的所有模式。我们会问:‘这次攻击的下一步是什么?我们设法阻止攻击的方法是什么?’帮助我们获得今天所需的这一答案的是历史记录。”
然后王询问开发人员,他们实际上需要把数据保存多长时间,以便保持网络的安全。在收集反馈意见并向拉里和谢尔盖报告之后,谷歌制定了它的政策:它将仅保存18个月数据,然后将其“匿名”,以便用户个人及其计算机不被识别出来。
这种做法未能安抚任何人。所以谷歌工程师一直在研究这一问题,看看他们能否缩短数据保存时间。最终结果是,2008年谷歌宣布将把数据保存期限缩短一半,即9个月。“我们的工程师说,他们认为在9个月的基础上,他们仍然能够获得很好的结果,很好的鲁棒性,很好的安全性,”王说,“而我的确可以坦率地说,我们要放弃一些质量,一些更快获得真正优质的搜索结果的能力,因为我们没有那种历史数据。但是,我们认为目前已经建立了一个系统,并改进了我们的分析工具,我们将在9个月内获得我们确确实实需要的东西。”
这使拉里和谢尔盖陷入了另一种两难境地。对他们而言,用户体验是至关重要的,而有关隐私权的抱怨被过分夸大了。从未有过谷歌侵犯其用户隐私权的案例记载,无论是意外失控,还是从事向垃圾邮件发送者出售用户隐私等行为。有关谷歌的所有抱怨都属于将会发生什么的范畴,而不是已经发生了什么的范畴。一般而言,谷歌在保护人们的隐私权方面比它的竞争对手做得更好。2005年8月,美国司法部向谷歌、美国在线、微软和雅虎发出了传票,要求它们交出两个月的搜索查询记录及其索引中的所有网址,以便布什当局为一部互联网色情法案作辩护。除了谷歌,其他几家公司都遵从了传票规定。谷歌在法庭上质疑这是一个没有任何盖然性理由的审前调查。最后,谷歌设法将信息限制为5万个网址,并无须交出用户用于搜索的关键词。
事实上,大多数互联网用户都不大担心隐私权,也很少采取措施保护自己。但是他们确实希望与之打交道的公司能提供这种保护,而且他们要靠隐私权倡导者代表他们的利益推动这个问题的解决。隐私权倡导者和政府监管机构就极少数用户的数据输入提起投诉。这就意味着,通过缩短数据保存时间,拉里和谢尔盖要接受一个他们认为确实没必要的折衷办法,并最终牺牲某些用户体验,这可视为有悖于谷歌重视用户需求的承诺。
王说,这种接受源于保持公众信任的必要性。来自隐私权倡导者的公开投诉,影响了谷歌的总体公众观点。“这是一种艰难的平衡,”她说,“但是,如果我们在尊重用户隐私权上按兵不动,那就和提供差劲的服务没什么两样。如果公众认为我们是出于一己之利才保存数据的,而我们正处于某种黑客攻击的风险中,而所有此类数据都存储于此,那么我们就要丧失他们的信任,无论服务多好他们都不会再来了。”
这可能仍是一个问题。许多隐私权倡导者仍然希望谷歌将用户数据的保存时间缩短到6个月。包括备受尊敬的电子边界基金(EFF)和欧洲联盟在内。王说,不达成安全性和用户体验的严肃折衷,这是不可能做到的。
尽管如此,王说公司与电子边界基金等组织合作得很好,她的一名前同事担任她与该基金的联络人。这些组织的所有建议,都被带到包括拉里和谢尔盖在内的公司团队进行讨论。
但还有一大部分投诉是来自未曾与谷歌对话或是试用此类产品而在媒体上表达其观点的人。王说,对于那些似乎并不想真正解决问题而“只想呵斥公司”的人,她只承担其投诉的合理部分。一些投诉只是疯狂之举,她就予以愤怒驳回。例如,一位倡导者打电话给她,声称谷歌根本不应保存任何用户的搜索记录,即使用户经常利用搜索记录来寻找他们曾经访问又想再次访问的站点。这位倡导者建议:用户只需在纸上写下他们访问过的网址,使之不被窥探,或者至少不被无权翻看其抽屉的人窥探。
王坚称,谷歌并非其他公司,只管创造产品,然后将其丢给公司律师四处签约。“这里的隐私权是对每个人的关切,从我们的工程师到我们的高管。这是一个真正不同寻常的工作环境。我认为人们往往并不理解这一点,或者他们可能也并不相信,因为在这之外,的确有太多的公司作为反面例子存在着。但我相信这是真的,这是我的团队,所以……”她停下笑了笑。
随着谷歌的发展壮大,这些讨论会一直持续下去吗?如果不出意外,拉里和谢尔盖将被迫维持这种了解和处理投诉的架构。如果他们以利润的名义将其理想打折,他们不可能取得这样的成功。正是由于他们坚持的理想,才使谷歌出类拔萃,并赢得了数百万人的信任。王指出,谷歌在早期并没有效仿其他互联网公司,经常深入挖掘它们的用户的相关信息,有时还将此类信息卖给广告客户。“我们不需要那么做,”她说,“而且我们取得了巨大的成功。”
但在这些问题上,公众的看法就是一切,谷歌也在努力使用户相信它在做正确的事情。它在发展壮大的过程中的每一个举动,都经受了认真追究和谴责。电话营销员、垃圾邮件发送者和宣传品邮寄者对于任何一家大广告公司对所掌握数据的利用方式都表示怀疑,但看起来谷歌在这方面没什么可做的。在线广告公司Turn的首席执行官吉姆·巴内特(JimBarnett)总结了这种情绪:“事实上,谷歌确实关心用户隐私,并试图深入考虑它的数据使用方式。但是,它们也极具竞争力,敢于在这一竞争性市场上取得影响力,这就是收购DoubleClick的意义所在。这是一种真正的关切。谷歌在在线广告和绝大部分搜索引擎市场上的实力非同寻常,并且每一季度都在增长。广告客户从事的是数据变现,而谷歌拥有独一无二的数据访问机会。”
信任是一种竞争优势
谷歌的竞争对手们无所顾忌地利用着这些关切。2008年晚些时候,微软和雅虎宣布了它们自己的承诺,要在隐私权方面成为比谷歌更好的企业公民。12月8日,微软提出将其保存用户数据的时间缩短到欧盟建议的6个月,条件是谷歌和雅虎缩短至同样的期限,这样它就把皮球踢给了谷歌。雅虎当时的政策是保存数据13个月,它随即在12月17日发难,说它将把保存时间缩短至仅仅3个月,有限的几种情形除外。Ask已经提供了一项服务,允许人们选择退出任何数据保存,和谷歌在人们下载其工具栏选项时所提供的服务相同。
现在,这使谷歌看起来像是一个坏家伙,而不是试图尽可能缩短数据保存时间同时尽量减少对服务质量产生影响的创新者。而且这引起了纷争:用户们最关心的问题是什么——隐私权还是搜索质量?
这些问题造成了损害。由于政策的原因,这家“不作恶”的公司已经迅速上升为消费者认可和尊重的、令人震惊的品牌。随着谷歌的壮大及其政策宣传,它的声誉开始受损,它不作恶的公开立场成了一种义务。
自2004年以来,有两个组织——在线隐私权倡导者TRUSTe以及致力于隐私权和数据保护问题的智库波尼蒙研究所(Ponemon Institute)——进行过一次“隐私权最受信任公司”的年度颁奖。它们调查了6000多名美国消费者,就人们所认为的最值得信赖、在保护个人信息方面做得最好的公司收集相关意见。从一开始,谷歌就连续在这一名单中排名第10或11位,除了总共两次异常——2005年和2008年它跌出了前20名。2005年,谷歌进入中国市场的计划被广为宣传。经过争取,雅虎于2008年首次进入前20名,排名第14位。鉴于雅虎在隐私权和审查权方面的麻烦至少和谷歌一样多,可能的解释是,所谓不作恶的谷歌得到的宣传和批评要多得多。
TRUSTe首席执行官弗兰·迈尔(Fran Maier)负责监督各家公司的在线隐私政策及其执行情况,他承认这种关切在很大程度上是对未知事物的恐惧。“有了谷歌,你就有了一家以诸多方式挑战极限的公司。它们可能会提出一些我们很多人闻所未闻的东西。”迈尔还强调,尽管微软或谷歌都没有进入前20名,但它们进入榜单仍然“有戏”。“许多人对这两家公司感觉不错。”
该研究报告的作者拉里·波尼蒙(Larry Ponemon)对《旧金山纪事报》说,谷歌和微软患有“大公司综合征”。简而言之,他说:“人们揣测,如果你是一家大公司且收集数据,这里面肯定有文章。”
对于公众的自身利益而言,谷歌似乎正变得过于庞大,因此它越来越被看做是恶狼。拉里和谢尔盖不喜欢做出善意姿态(例如,将用户数据保存时间缩短至3个月)的想法,他们认为,这种姿态并不能真正有助于用户的最佳利益。他们猜想,他们的逻辑将会胜出。这将使他们在公关战争中面临败北的危险。
一旦失足,谷歌将比任何竞争对手都要输得惨。对于公开发誓永不作恶的任何一家公司而言,这都是一个祸根。