互聯網時代，我們的隱私該何去何從？

撰文：馬克·羅滕伯格(Marc Rotenberg)、茱莉亞·霍維茲(Julia Horwitz)、傑拉米·斯科特(Jeramie Scott)

在當今互聯網時代，我們的隱私權已經受到了威脅，政府或企業可以追蹤我們的電話，搜索引擎可以記錄我們的在線瀏覽記錄、恆溫器的設置以及更多信息。

在當代，保衛隱私權不只是簡單地描述出存在的問題或者警告人們隱私權已經喪失，隱私權的護衛者們還密切關注商業實踐、公共政策、技術設計以及人物，並且提出了解決之道。

這部書彙集歐美商業界、學術界、公民社會和政府部門互聯網技術大咖、法律權威專家的真知灼見，全面深刻剖析互聯網隱私問題、重塑技術與隱私關係。以下摘編自《無處安放的互聯網隱私》的第13章——未來發展方向：密碼學。想要免費獲得一本《無處安放的互聯網隱私》嗎？參與文末留言分享活動就有機會把這本書收入囊中哦！

作者：馬克·羅滕伯格、茱莉亞·霍維茲、傑拉米·斯科特

譯者：苗淼

定價：55.00元

上市時間：2017年7月

出版社：中國人民大學出版社

應該犧牲隱私嗎

在過去的一年裡，我們聽到了不少關於社會是否應該放棄隱私的爭論（此處的隱私包括我們的通話記錄、網上交易和出行信息），為了滿足美國國家安全局等機構跟蹤恐怖分子的需要，或是僅僅因為我們生活在一個電子世界裡，隱私本身就應該為便利或其他更重要的目標作出犧牲。

實際上，另一個問題可能會更能夠直達病灶，即執法機構如何在不損害守法公民隱私的前提下跟蹤恐怖分子？更籠統地說，我們怎樣才能在不犧牲隱私的情況下從數字時代中受益？這至少在理論上是行得通的。首先，我將重點談論美國國家安全局，因為如果跟蹤恐怖分子的理由都不需要我們犧牲隱私的話，那麼我們肯定不需要因為其他任何理由犧牲隱私！我不準備談如何在政府能做和不能做的事情上劃定法律界限；相反，我想讓大家關注一大批技術解決方案，在這樣的法律界限範圍內，這些技術將保證執法行為和國家安全計劃做任何事情都不會越過許可權。

例如，我們了解到了一個令人震驚的事實——多家電話公司已經向美國國家安全局提供了客戶的全部呼叫記錄。美國國家安全局索要所有這些記錄的原因之一（即使他們真正感興趣的只是少數條目），是因為他們必須對監控目標的身份保密，以確保他們對政府的興趣不知情，同時，國家安全局也不相信電話公司能保守秘密。雖然國家安全局收集所有此類數據，但政府告訴我們，根據《外國情報監控法》(FISA)法庭頒令規定，國家安全局的分析師只能通過一定數量的總路優化程序系統(hops)查詢與恐怖嫌疑人有關的個人信息。其他的所有信息都應該保密，但是這要求我們依靠政府來保護這些巨大的個人信息寶藏。

1978年頒行的《外國情報監控法》主要內容

安全解決方案

然而，我們並不需要依靠政府來保護我們的數據。美國國家安全局的分析師或許已經獲得了完全相同的信息（即目標對象及相關人員的電話記錄），同時，既沒有泄露目標的身份，也不用下載全部呼叫數據！事實上，使之成為可能的計算機協議已經是眾所周知的。這種情況是安全雙方計算問題的一個特殊案例，其中雙方——電話公司A和政府機構B——以這種方式合作，一方面，B獲得其需要的A方數據，而另一方面，A對B的關注對象並不知情。

安全雙方和多方計算是由姚期智(Andy Yao)在1982年提出來的，這是一個應該廣泛使用的、很好的工具。經過幾十年的理論研究，2008年，這一工具第一次大規模投入使用：為了在定價方案上達成一致，丹麥的甜菜市場參與者利用了安全多方計算。之前在丹麥，每年給甜菜定價都是一個令人頭疼的問題，因為參與者都不相信對方所提供的關於產品內容、生產量以及消費量的信息，但是安全多方計算允許他們根據其私人信息計算價格，而並不需要將這一信息透露給對方。

中國計算機科學家 姚期智

自2008年以來，越來越多開始進行安全雙方和多方計算的軟體工具得到了開發，使這一工具的使用成為現實。例如，在2014年，國際電子電氣工程師協會(IEEE)安全和隱私研討會上，一篇由帕帕斯(Pappas)等人合著的會議論文——《Blind Seer：可擴展的私人資料庫管理系統》(Blind Seer: A Scalable Private DBMS)，提出了一種可以供國家安全局馬上使用的現成軟體系統，這一系統對下載和存儲所有呼叫數據無疑是一個極大的推動。相反，如果由電話公司管理Blind Seer資料庫伺服器系統，那麼這家電話公司願意合作但並不能獲得政府的目標對象的信息，Blind Seer會以加密形式存儲數據。美國國家安全局可以查詢數據並找到所需要的記錄，方式和效率幾乎與未加密的資料庫相同，而資料庫伺服器並不掌握這些查詢或其任何檢索結果。

令人興奮的理論成果比比皆是。例如，一篇在2014年國際密碼學會會議上由Boneh等人發表的文章——《完全同態密鑰加密、算數電路ABE和集中篡改電路》(Fully Key-Homomorphic Encryption, Arithmetic Circuit ABE and Compact Garbled Circuits)指出，這種情況下的安全解決方案至少在原則上是極為方便的：政府機構B只需向電話公司A發送軟體，即可複製A所擁有的電話記錄並傳回B所需要的結果（以加密形式），A不會知道B在尋找哪些數據對象，B也不會查看任何沒有法庭頒令或授權等正當法律權威授權的信息。

這些論文中所描述的研究都是由美國政府資助的。更有趣的是，其資助機構是美國情報界(IC)，資助形式是情報高級搜索項目行動(the Intelligence Advanced Research Projects Activity, IARPA)項目。IARPA項目隸屬美國國家情報總監(Director of National Intelligence, DNI)辦公室，詹姆斯·克拉珀(James Clapper)同時也是該辦公室的負責人，他的名字現在在隱私活動家和公眾中眾所周知，但通常都以負面形象出現。這一軟體對我們的情報機構再合適不過了！

曾任國防部負責情報事務副部長 詹姆斯·克拉珀

密碼學家與政策制定者

是什麼阻止了這些技術解決方案的採用？也許是因為密碼學家和政策制定者之間無法進行溝通。例如，我曾經嘗試向一位政策制定者解釋美國國家安全局可以如何使用我上文提到的Blind Seer系統。他提出了一條反對意見，如果從政治角度考慮，這條意見是至關重要的，但對於計算機科學家來說卻微不足道。他認為Blind Seer系統可能行不通，是因為這個系統只對一家電話公司起作用，但國家安全局需要從多家不同的移動運營商處收集數據。對於一位計算機科學家來說，這隻需要在所有電話公司的數據中分別搜索相關數據，但這種很明顯的道理沒必要向所有人解釋清楚。

看來，這方面的政策制定者需要上一節籠統的計算機科學速成課，並且需要特別補充密碼學知識，而密碼學家不僅應該為這些問題提供最籠統的解決方案，還應該針對我們社會感興趣的具體案例進行處理。

密碼學也為我們提供其他兩全其美的工具，即對違法者問責的同時保護每個人的隱私。例如，匿名證書系統允許用戶證明他們被授權訪問系統的特定部分而不用暴露其他信息，如他們的姓名或其他永久性特徵。然而，它還可能找出超出服務條款範圍的用戶。例如，如果一份報紙訂閱每天只授權一定數量的文章下載，那麼它有可能會辨識出那些嘗試超數量下載的用戶身份。 此外，這種系統可以通過身份託管進行擴展，使其在信賴的第三方幫助下，有可能查明特殊場合下的用戶身份。匿名證書已經在密碼學文獻中被廣泛研究，並在測試環境中成功使用，如希臘的佩特雷大學就將其用於一個課程評價系統中。

另外，密碼學還為我們提供了以科學發現為目的集成信息的工具，但其開展方式尊重從事此類研究者的個人隱私。其理念是確保公布的數據是有差別的私人數據，也就是說，即使知道從事某項具體研究的所有人的全部信息，但也很難分別具體的某個人是否參加了這項研究，由此可見，個人對一項研究所造成的影響是微不足道的。事實證明，許多類型的研究都有可能實現有差別的隱私，因此，我們既可以受益於豐富的有用數據，並發現潛在的科學真理，同時這一過程又不會侵犯任何人的隱私。

因此，與直覺相反，密碼不僅為我們做蛋糕，還提供吃蛋糕的工具。我們可以利用信息的豐富性來監控罪犯和恐怖分子，進行科學研究，並排除未經授權的行為。然而，這些都不需要違反守法公民的個人隱私。密碼學家和政策制定者需要更好的溝通交流，以將此變為現實。

編輯：陳鏡羽

送書時間到！！！

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！