隱私換服務，蘋果能否抵制誘惑、堅守承諾？

【獵雲網（微信號：ilieyun）】6月1日報道（編譯：葛蘭東）

在蘋果引人注目的新園區附近有一個大房間，先進的機器正在加熱、冷卻、擠壓、震動和以其它方式測試晶元。這些晶元（為未來的iPhone和其他蘋果產品提供動力的硅晶元）正在經歷著它們新生而神秘的生命中最艱苦、最緊張的工作。整個房間里有數百塊電路板，這些電路板被放在數百個盒子里，測試過程就在這些盒子里進行。

這些晶元之所以在這裡，是為了檢驗它們是否可以經受住在正式面市後所有可能會遭遇到的攻擊。如果它們在這裡成功接受了檢驗，那麼在任何地方則都可以接受挑戰；這一點的重要性在於，如果它們在面市後失敗，那麼意味著整個蘋果的失敗。這些晶元是蘋果在與泄露隱私所做鬥爭中最強大的防線，該公司也一直在努力保護用戶數據的隱私。

這是一場多方面的戰鬥：反對那些想讀取用戶個人數據的政府；反對那些試圖代表他們侵入設備的黑客；反對那些攻擊蘋果嚴格隱私政策的其他公司。

批評人士認為，這種做法意味著蘋果通過限制功能的方式過度關注隱私，並且這需要巨額花費才能實現（公司因其產品溢價所獲大量現金，這實際上也剝奪了那些無法負擔的人的利益）。

但蘋果表示，這種鬥爭是必要的，他們認為隱私權是一項人權，即使面對激烈的批評和困難，也必須予以維護。

從始至終的隱私承諾

對於公司來說，隱私權既是一個技術問題，也是一個政策問題。數據的隱私被他們認為是所做工作最核心的部分之一，並且最終通過體現這些原則的產品推向市場。

蘋果的產品從一開始就堅持其對隱私的承諾。它的員工經常談到「通過設計來保護隱私」的原則：保證數據安全必須在設計的每一步都加以考慮，並且必須被編碼到每個部分。同樣重要的是「默認隱私」的概念，這意味著蘋果總是假設數據不應該被收集，除非數據確實需要被收集。

蘋果軟體工程高級副總裁Craig Federighi說：「我可以告訴你，考慮隱私問題只是整個過程的開始，而不是結束。當我們在設計某個產品時，首先會問的問題就是我們要如何管理這些客戶數據。」 Federighi坐在壯觀的蘋果新園區內，向媒體講述了他的公司對隱私的承諾，證明了這在公司價值觀中的核心地位，即使許多客戶對此漠不關心，甚至不屑一顧。

蘋果的隱私原則很簡單：它不想知道關於你的任何它不需要知道的事情。他說，蘋果不希望通過收集數據來生成有關其用戶的廣告。

他還表示：「作為一家公司，我們沒有興趣了解你的所有信息，我們也不想了解你的所有信息。我們認為你的設備應該對你進行個性化設置，但這是在你的控制下發生的，而不是讓蘋果去了解你，我們沒有動力這麼做。」

「從道德上講，我們不想這樣做。我認為這與其他許多公司具有根本性的不同。」

這些奇怪盒子里的晶元只是這個任務的一部分，蘋果最值得驕傲的成就之一就位於其中，被稱為「安全的飛地」。

這個飛地就像是一個內部密室，是手機中存儲最敏感信息的部分，並配備了所有必要的安全措施。

隨著iPhone 5s的問世，這個安全飛地每年都在進行改進，從功能上講，它是手機的一個獨立部分，對什麼時候可以訪問它有特定的限制。它的內部有一些關鍵信息，比如當你把指紋放在感測器前時，用來檢查指紋的生物特徵數據就會被鑰匙鎖定，另外還有一些鑰匙會鎖定信息，因此信息只能被發送或接收它們的人讀取。

如果想要手機保持安全，那麼這些鑰匙就必須安全：這些鑰匙保護生物特徵數據，而生物特徵數據可以確保手機內的東西只能被其所有者看到。儘管蘋果對這一過程的兩個部分都受到了威脅而感到有些擔心（比如有人提出，蘋果的人臉識別技術可能被人體模特愚弄，不過這一說法並未得到證實），但安全專家表示，蘋果的方法已經奏效。

「生物識別技術並不完美，那些在網上發布解決方案以確保安全登錄的人可以證明這一點，」Malwarebytes惡意軟體首席分析師Chris Boyd接著說到，「不過，自從蘋果推出Secure Enclave並於2017年為iPhone 5S發布Secure Enclave固件解密密鑰以來，並沒有出現重大的安全恐慌。」

這些崇高的原則是無可爭辯的，沒有人願意無意中分享自己的信息。但是，正如喬布斯所說，設計重要的是它的功效如何；產品的安全性只有在實際使用中才能具有意義。

因此，對晶元進行壓力測試的目的是，看看它們在這種極端情況下是否會出現不當的行為。如果確實出現，也要確保這種情況只發生在實驗室的階段，而不是在它們進入用戶手機之後。任何不當行為都可能對設備造成致命的傷害。

手機用戶並不太會有零下40攝氏度或110攝氏度的經歷，所以任何一部普通的手機都不太可能會遇到這種極端情況。但是在這裡，這種極端情況下的擔憂也被考慮到了。如果晶元在這種情況下被發現是不安全的，那麼有心人就會創造這種情況，那麼手機存儲的所有數據則都可以從晶元中被提取出來。

如果這類故障是在手機到達用戶後發現的，那麼蘋果將無能為力。與軟體更新不同的是，晶元在人們使用之後是無法改變的。因此，蘋果轉而在這個房間里尋找任何可能的危險，進行調整和修復，以確保晶元能夠應對它們所有可能的遭遇。

高價換取隱私

晶元在進入這個房間的前幾年就已經到達這裡了；裝在盒子里的硅可能要數年才能送到用戶手中。（這裡有說明它們是何種晶元的筆記，但上面有禁止閱讀的貼紙。）

最終，它們將進入蘋果新推出的iPhone、Mac、Apple Watch，以及該公司未來將投放市場的其他豪華計算設備。這些產品的成本引起了蘋果競爭對手的一些批評，他們說這是隱私的代價；蘋果很善於談論自己收集的數據有多麼少，但它之所以能夠這麼做，只是因為它收取了巨額溢價。這是谷歌老闆Sundar Pichai最近的觀點，實際上科技公司就隱私問題展開了一系列激烈交鋒，Pichai只是其中之一。

Pichai在《紐約時報》的一篇專欄文章中寫道：「隱私不能成為奢侈品，只提供給那些買得起優質產品和服務的人。」他沒有給明確提到蘋果，不過他也不需要這麼做。

Pichai認為，收集數據有助於減輕技術的負擔，這與人們經常聽到的一種關於蘋果的看法相呼應，即它們對隱私的承諾之所以成為可能，只是因為它們的產品價格昂貴，這讓蘋果可以承擔技術上的更多花費。對隱私採取更寬鬆的態度，有助於讓世界上幾乎所有大型科技公司(從谷歌到Instagram)生產的產品免費，至少在使用時是免費的。

Federighi說：「我不會購買奢侈品。」這給人感覺他對公眾的攻擊感到非常驚訝。

「一方面，過去幾個月里，行業里的其他公司似乎在隱私方面發出了更多積極的聲音，這讓人感到欣慰。我認為這是一個比那種幾個月和幾次新聞發布更深層次的問題。我認為你必須從根本上審視公司文化、價值觀和商業模式。這些不會在一夜之間改變。」

「但我們當然想為世界樹立一個很好的榜樣，向人們展示他們可以提高對於產品的期望值，並且無論是我們還是其他品牌的產品。當然，我們很希望最終可以把蘋果的產品賣給每個人，而不僅僅被認為是奢侈品，我們認為偉大的產品體驗是每個人都應該擁有的。這是我們渴望發展實現的。」

大約一個月前，蘋果在矽谷的另一個鄰居又對該公司進行了一次侮辱。Facebook深陷自己的隱私醜聞，宣布不會將數據存儲在某些國家。雖然它沒有明確指向哪個公司，但很明顯，這是在針對蘋果。

在國外保護數據安全和隱私是「我們願意做的一種權衡，」馬克·扎克伯格在當時還表示，「我認為對於互聯網和隱私的未來很重要的一點是，我們的行業應該繼續堅決反對將人們的數據存儲在不安全的地方。」

Facebook前網路安全主管Alex Stamos稱，扎克伯格的聲明是對蒂姆·庫克的一次巨大打擊。

Federighi表示，當收集到的信息量最小化時，位置數據的存儲就變得不那麼重要了，而任何存儲的數據都會以阻止人們窺探信息的方式存儲。

他說：「第一步，當然是我們所有數據的最小化技術，以及我們將數據保存在設備上並保護設備不受外部訪問的程度。所有這些都意味著數據首先不在任何雲中，任何人都無法訪問。」蘋果聲稱，由於不收集數據，所以沒有人可以閱讀或濫用。

Federighi認為，更重要的是由於數據是加密的，即使它被攔截（就算有人實際上持有存儲數據本身的磁碟驅動器），它也無法讀取。例如，只有發送和接收iMessage的兩個用戶才能讀取它們。因此，如果安全性正常，那麼攔截的人所能看到的應該是一組亂碼組成的信息，這需要一個特殊的鑰匙才能解鎖。

在美國國內，蘋果對隱私的承諾已導致其與美國政府以及傳統競爭對手發生糾紛。其中最著名的可能是發生在加利福尼亞州聖貝納迪諾的恐怖襲擊之後。當時為了尋找有關攻擊者的信息，聯邦調查局要求蘋果開發一款軟體版本，該版本將削弱保護並允許其訪問攻擊者的手機；蘋果辯稱，不可能僅針對一個特定案例削弱其安全性，並予以拒絕。

聯邦調查局最終解決了這個問題，據報道，他們使用一家以色列公司的軟體解鎖了手機。但爭論一直在繼續，蘋果並沒有改變主意，並堅持說，儘管政府要求幫助訪問手機，但這樣做實際上會威脅到國家安全。

Federighi指出，並非所有手機上的敏感數據都是個人的。其中一些可能非常需要公開。

「如果我是一家發電廠的工人，我可能會接觸到一個會帶來嚴重後果的系統，」他還說道，「這些設備的保護和安全實際上對公共安全至關重要。

「我們知道，有很多動機很強的攻擊者想從我們的設備上獲得利益，或者想侵入這些存儲起來的寶貴信息。」

蘋果反覆強調，創造一把僅僅允許政府進入完全設備的萬能鑰匙或後門是不可能的。任何允許執法者進入的入口，都不可避免地會被他們正在打擊的罪犯所利用。因此，他認為，儘可能多地保護手機用戶，可以保持數據的私密性，並確保設備的安全。

他仍然樂觀地認為這一爭論將得到解決。他說：「我認為，我們最終希望各國政府能夠接受這樣一種觀點，即讓每個人都擁有安全可靠的系統是更好的選擇。」

與宿命論作鬥爭

蘋果也不得不與人們根本不關心隱私的觀點作鬥爭。人們反覆表明，如果免費獲得功能意味著放棄對數據的所有權，他們更願意免費獲得這些功能。在應用商店排名前十的應用中，有四款是由Facebook開發的，而Facebook將這種對於隱私的取捨置於其業務的核心。

很容易得出的一個結論是我們生活在一個後隱私的世界。隨著互聯網的發展，信息變得越來越公開，而不是越來越私密，似乎每一種新技術產品都通過給用戶提供更多分享自己的新方式而蓬勃發展。

但最近幾個月，情況似乎有所改變。Federighi說，人們越來越清楚，信息的隱私是健康社會的中心。

「就像你知道的，我認為人們有點宿命論，認為隱私已經死了，」他繼續說道，「我不相信這一點，我認為人們正在意識到，隱私對於良好社會的運轉非常重要」。

「作為社會的一份子，我們將在這個問題上投入越來越多的精力。我們為自己的努力感到自豪。」

還需要作出鬥爭的是用戶被引誘交出數據，而這些數據在很大程度上並不引人注目。在政府監控和私人廣告跟蹤之間，用戶開始相信他們所做的一切都可能被某人跟蹤。他們的反應大多是冷漠，而不是恐懼。

這給蘋果帶來了一個問題，蘋果花費了大量的時間和金錢來保護隱私。Federighi認為，隨著情緒從自滿轉變為擔憂，他的公司將被證明是正確的。

他說到：「有些人非常關心它，而有些人根本不在意。」

他表示，如果蘋果繼續生產不侵犯人們隱私的產品，這就會提高標準。這樣做或許會改變那些為了獲取新功能就意味著放棄隱私的想法。

「我認為，只要我們能為可能的事情樹立一個積極的榜樣，我們就能提高人們的期望感。人們或許會疑問，為什麼這個應用會需要用到我的數據？蘋果似乎不需要這麼做，而為何這個應用需要？」

「我認為看到的這種情況越來越多，所以以身作則是我們需要堅持的。這是一條漫長的道路，但最終我們會取得勝利，無論如何這都是值得的。」

最近幾個月的醜聞之後，幾乎所有的科技公司都開始強調隱私。谷歌不會在沒有明確說明如何保護其生成數據的情況下發布任何新產品；就連旨在分享信息的Facebook也聲稱，它們正在朝著隱私保護是首要原則的方向發展，這顯然是為了減輕其不斷爆出的數據濫用醜聞所造成的損害。

隱私正面臨成為一個營銷術語的危險。就像之前的人工智慧和機器學習一樣，它也有可能成為科技公司需要向他們目標用戶承諾的另一個詞，即使它實際上是如何被使用在很大程度上仍不為人知。

Privacy International技術負責人Christopher Weatherhead表示，在一些基本條件仍未得到滿足的情況下，很難認真對待最近對一些公司的重新定位，據悉該公司曾多次呼籲蘋果及其競爭對手在隱私方面做更多的工作。Weatherhead說到，「許多矽谷公司目前都聲稱自己的定位是可以提供一個更加註重隱私的未來，但在基本問題得到解決之前，這些都似乎是一種虛張聲勢的營銷手段。」

Federighi相信，不管人們是否注意到隱私問題，蘋果都會繼續致力於此，而對這個詞是如何使用和濫用的幾乎不關心。但他承認，自己擔心這對未來可能意味著什麼。

「不管我們是否因此而受到讚揚，或者人們是否注意到其中的差別，我們都要這麼做，因為我們正在製造這些產品，我們認為這些產品應該存在於世界上，」他說。「我認為，如果公眾最終被誤導，並且沒有形成『我認為我使用的產品需要尊重我的隱私』這種意識，那將是不幸的。事實上，隱私正在變成一個廉價的辭彙。」

「因此，在這個層面上我對世界感到擔憂。但這肯定不會影響我們的工作。」

蘋果的批評者認為，如果隱私不是奢侈品，那麼它至少是一種妥協。他們認為在儘可能不了解購買者信息的情況下生產產品是一種權衡，包括放棄最好的功能。

例如，谷歌的許多產品收集的數據不僅用於廣告，而且還可以對應用本身進行個性化設置，像谷歌地圖就能夠知道你可能想去哪種類型的餐廳。Netflix會收集用戶的信息，然後用這些信息來決定製作哪些劇集，以及向用戶推薦什麼。「Bandersnatch」是非常受歡迎的《黑鏡》中的一集，它似乎在很大程度上展示了數據如何被收集。

在證明保護隱私也意味著放棄功能或性能的時候，經常舉的例子是語音助手。谷歌的語音助手，利用互聯網上的信息來改進自己，讓它學會如何更好地傾聽人們的聲音，並在這樣做的時候更有效地回答問題。蘋果的方法意味著Siri沒有太多的數據可用。批評人士認為，這阻礙了它的表現，使Siri在聽和說方面都不太擅長。

差異隱私

蘋果堅持認為缺乏數據並沒有阻礙其產品的發展。

「我認為非常自豪，因為我們能夠提供最好的體驗，我們認為在這個行業中，不需要通過放棄隱私來獲得良好的體驗，這是一種虛假的妥協，」Federighi表示，「所以我們要挑戰自己，有時候這是額外的工作，但這很值得。

「這是一個有趣的問題。」

該公司表示，它可以使用替代技術來保持產品的水準，而不是相對不加區別地收集數據，甚至將其放入一個數據集，以便銷售廣告和改進產品。也許最不尋常的是它對「差異隱私」的依賴，這是一種計算機科學技術，它可以在不知道自己到底在收集誰的數據的情況下收集大量數據。

以在自動糾錯鍵盤上添加新單詞這一難題為例，新的說話方式（例如「belfie」一詞）會反映在手機的內部詞典中。在收集大量數據時這樣做相對簡單，只需要收集每個人說的每句話，當一個詞達到設定的使用量時，它可以被認為是一個真正的詞而不是一個錯誤。但蘋果不想讀取人們所說的內容。

相反，這依賴於差異隱私。這會把人們添加到字典中的單詞弄得模糊不清，使數據更加錯誤。新單詞中添加了大量自動生成的不準確單詞。如果一個趨勢足夠一致，它將仍然存在於數據中，但任何單詞也可能是「模糊」的一部分，從而保護數據集成員的隱私。這是一個複雜而混亂的過程。但簡而言之，它可以讓蘋果從整體上了解其用戶，而不必了解每個用戶。

在其他情況下，蘋果只是選擇獲取公開的信息，而不是依賴於從使用其服務的人那裡收集私人數據。

谷歌可能會通過搜羅使用其服務的用戶的照片，並將其輸入電腦，從而改進其圖像識別工具，以便更好地識別其中的內容；蘋果購買的是公開照片目錄，而不是私人照片。Federighi認為語音識別也發生了同樣的事情，但公司花錢讓人們探索和注釋數據集，這樣人們的數據仍然是私人的，而不是被用於匿名人工智慧服務的訓練。

蘋果也在努力確保其用戶及其設備不受他人侵害。該公司一直致力於開發一種被稱為「智能跟蹤預防」的技術，這種技術內置在其網路瀏覽器Safari中。近年來，廣告公司和其他窺探組織一直在研究跟蹤網路用戶的新方法；蘋果一直在努力保持領先一步，試圖在用戶瀏覽互聯網時隱藏他們的蹤跡。

但在所有這些細節中隱藏著一種哲學上的差異。在很多情況下，這些東西根本不需要發送給蘋果。

這一切都源於蘋果根本不想知道這樣一個事實。因為它所知道的任何東西都很容易再被別人知道；沒有數據是防止濫用數據的最有效保障。

「從根本上講，我們將個人信息的集中化視為一種威脅，無論是在蘋果還是其他人手中，」Federighi表示，「我們認為伺服器世界中的所謂安全性並不能長期保護隱私。」

「因此，最終保護用戶隱私的方法是確保你從一開始就沒有收集和集中數據。因此，我們從一開始就儘可能把這種想法構建到體系結構中。」

相反，這項工作是你手機中功能強大的計算機完成的。蘋果表示，與其將大量數據上傳到伺服器農場，讓員工對其進行篩選，不如讓手機更智能，將所有數據留給用戶自己。這意味著蘋果或其他任何公司都無法查看這些數據，即使他們想要查看。

Craig Federighi說：「去年秋天，我們談到了iPhone和最新款iPad的晶元中有一個很大的特殊模塊，叫做蘋果神經引擎，它在進行人工智慧推理方面的功能強大得令人難以置信。」

「因此，我們可以完成以前在大型伺服器上必須完成的任務，我們也可以在設備上完成這些任務。通常情況下，當涉及到對個人信息的推斷時，你的設備是一個完美的地方，因為那上面有很多不應該離開設備而進入其他公司的本地內容。」

最終，這可能會被視為功能本身。這種方法有其自身的優勢，無論人們是否在考慮它對隱私意味著什麼，它都可以提高性能。

「我認為最終的趨勢是越來越多地轉移到設備上，因為人們既希望可以尊重隱私，又希望隱私一直可被採用，無論你是否有良好的網路連接，你希望它具有非常高的性能和較低的延遲。」

如果蘋果不打算收集用戶的數據，那麼它需要從其他地方獲取數據。有時這意味著從它自己的員工那裡獲取信息。

這就是蘋果的健康和健身實驗室里發生的事情。它藏在加利福尼亞州一幢不起眼的建築里，牆壁是蘋果園區隨處可見的單調裝修，但隱藏在牆壁後面的是蘋果一些最受歡迎的新產品的關鍵內容。

蘋果對健康的承諾最明顯地體現在Apple Watch上，實際上它已經滲透到該公司的所有產品中。庫克曾表示，這將是蘋果「對人類最大的貢獻」。收集這些數據已經幫助挽救了人們的生命，該公司顯然對即將收集的新數據、新方法和新療法感到樂觀和興奮。

但是健康數據也是關於任何人最重要和最敏感的信息之一。很有可能你的手機比你的醫生更了解你的健康狀況，但職業道德、規章制度和規範的約束會確保你的醫生不會意外地向外界泄露這些信息。

這些保護不僅是道德要求，而且是實際需要；人們和醫生之間的信息交流只有在保證隱私的前提下才能實現。這在醫療專業人員和病人間的溝通中是必要的，這同樣適用於人們和他們的手機。

為此，蘋果創建了自己的健身實驗室。它是一個專門收集數據的地方，同時也象徵著蘋果為了維護數據安全所做的各種工作

數據流通過參與研究的人員戴著的面具流入，數據由員工收集，他們將自己的發現放入作為高科技剪貼板的iPad中，並通過與手腕相連的Apple Watch流入。

在一個房間里，有一個無邊無際的游泳池，可以讓人們在游泳的同時用面具遮住他們的臉，分析他們是怎麼做到的。而在隔壁，人們戴著同樣的面具做瑜伽。另一個部分包括介於牢房和冰箱之間的巨大房間，人們在那裡被冷卻或加熱，以查看收集到的數據的變化。

所有這些數據將被用來收集和理解更多關於正常人手臂的數據。房間的一個功能是具有調整讓Apple Watch更好工作的演算法，並通過這樣做使它收集的信息更加有用。例如，蘋果可能會了解到，有一種更有效的方法來計算人們在跑步時燃燒了多少卡路里，這可能會導致軟體和硬體的改進，這將在未來運用到你的手腕上。

但即使這些海量數據正在被收集，它也被匿名化和最小化。自願參加研究的蘋果員工在掃描自己後進入大樓，然後立即與其社會身份分離，只會得到一個不能與員工關聯的匿名標識。

從設計上講，蘋果甚至不知道自己在收集哪些員工的數據。員工們不知道他們的數據為什麼會被收集，只知道這項工作有一天會以未知的未來產品而告終。

批評人士可能會辯稱，所有這些都是不必要的，蘋果不需要自己製造晶元，也不需要自己收集數據，不需要讓員工和矽片都處於陌生的環境中，從而使信息保密。蘋果回應，它不想購買這些數據或晶元，這麼做是為了在保護用戶安全的同時打造新功能。

如果設計重要的是功效，那麼數據隱私也是。眾所周知，蘋果對其未來產品的保密性和它對用戶信息的保密性一樣好，但所有這些工作和所有這些原則都將接受測試，這可以決定蘋果和互聯網的未來。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！