第 19.18 节 网络安全中的主体隐私权与主体选择的自由讨论 一网络安全与企业道德

每个人都热爱自由，什么是真正的自由？当计算机被制造出来的时候正如其名，就是用来取代传统人工计算或者计算尺这种东西的，和自由没什么关系，真正赋予计算机以灵魂的是互联网。那时候全美国的高校被联系为一个整体。国际互联网于 1994 年接入中国，那时候发送第一封通往国外的邮件内容是“Across the Great Wall we can reach every corner in the world.”，人们觉得这是极大的自由，可以超越时间和空间的限制，甚至跨越了种族和国家。但现在这句英语成为现实，令人感到悲哀。

一般来说，主体指用户，可能是个人，也可能是机构组织。主体隐私包括主体一切信息，即主动公开和被动公开的。主体选择包括但不限于主体自决权，主体判断权，主体选择权。主体判断决定主体选择，主体自决体现主体选择的有效性和意义。网络安全的存在是为了维护系统正常运行，避免非授权行为发生，侦测异常情况，抵御攻击。根本上来说，是为了维护数据安全。

但是网络上目前存在着各种不公平和阻碍，有的是技术上的手段，有的是政策上的限制。美国的网络中立性法案几近惨遭废除，俄罗斯人民无法使用 Telegram 都是最好的例证。世界上没有真正的净土，唯有靠人们自己的创造和努力。同样的，自由也是是需要自己创造的。尤其是网络自由。Github 正是如此，在其每个页面挂出反对废除网络中立法的呼吁流量公平条幅。

人们是不是感觉自由和自己有没有受到环境的限制有着密不可分的关系。如果一个人永远都不会访问谷歌，甚至不知道什么是谷歌，那么假设从技术上对谷歌采取阻断策略会影响到他的自由吗？换句话说，杀毒软件阻碍了用户的自由，如果没有杀毒软件的危险警告，用户可能永远也不会发现自己中了什么木马病毒，除非发觉有些异常。所以相当大的一部分用户厌恶一切杀毒软件。尤其是那些自以为是的添加了各种实用功能的全能安全软件。一般来说，Linux 用户群体多是由这些人构成的。GNU 计划的核心就是自由，自由软件运动潮流将自由与权力真正交付给用户。

换句话说，在保障网络安全和自由之间必须找到一个平衡点。号称世界上最安全的操作系统 OpenBSD 的用户数实在不是太多以至于整个基金会不得不多次向开源界请求捐献，由于严重的资金缺乏，他们的服务器甚至都无力支持正常运行。可见这就是过度追求安全所导致的后果，为了安全甚至移除了常用的软件“sudo”，当然其自己实现了一个类似功能的软件是后话。如此安全的操作系统，怎么就没人用呢？RHEL 预置的 SELinux 也是一个例子，每当系统故障时，管理员总要先关闭他看看能不能解决，或者直接在一开始就通过命令禁用该功能。本来设计是弥补 Linux 内核安全性的软件，像 ACL 一样的软件，仿佛成了系统管理员的大敌，任何正常的请求都会遭到审查。当然这并不是说 Linux 或者 UNIX 系统不需要任何安全机制或者上述安全软件，否则迟早会成为病毒的培养基。如果确定这个平衡点是最困难的。

就像坚守苦难哲学的用户一样，愿意坚守 GPL 协议，拒绝任何非开源软件。无可指责，只是可能无法让人理解。我能够理解其认为微软的操作系统并非安全的原因。或者说导致其厌恶的原因。Windows 源码并不公开，未经安全审计，而实际上在十余年前微软使得盗版的 Windows XP 系统黑屏事件也是最好的证明。

我们可能感觉在网络上每时每刻都有人在对我们进行监控，这严重侵犯了我们的自由。无处不在的敏感词和 503 错误究竟能够带给我们什么东西？是网络安全还是阻断不同的世界观？许多人在网络上留下了各种痕迹，根据痕迹很轻松就能够通过社会工程学查到一个人所有信息。而人们却不自知，还是随意的在各种公开环境下发表各种言论，辱骂对面的网友。有人把这叫做自我审查，我则认为这也是网络安全的重要一环，保护自己的隐私。隐私无处不在，数据无处不在，大数据分析之所以在中国如此兴盛，就在于我们缺乏真正能够保护用户隐私的法律法规。当你关注了一个微信公众号，你的性别，年龄，使用的手机型号，地域，职业，头像都将会被所有者获得。而这就是你的隐私，虽然看起来是你主动公开的，但是任何人都无权未经你的许可获得。而这就是 GDPR 条例（欧盟一般数据保护条例）所规定的。而我们，还差的远。有人居然公开在网络提问平台知乎提问，“知乎 互联网洞见者”第二问：“算法源于大数据，而大数据源于我们每一个人，那我们是不是应该拥有主导数据的权利？”看到这样的提问，我只能感到莫名的悲哀，技术之外，我们没有一点人文关怀。

能够说出“中国的用户愿意牺牲其隐私换取方便”的公司竟然能够在中国成为最大的网络巨头之一，而这样的企业在中国比比皆是。比起 503 阻断更让人可悲的莫过于这些企业的存在。这些企业肆意收集用户数据，腾讯 QQ 公然扫描用户磁盘，被揭露后竟然妄论检查病毒，是谁给的他这种权力？是我们开始看都不看的用户使用条例吗？这是用户想要的自由吗？腾讯的捆绑安装流氓行为至今尚未停止，当你安装腾讯 QQ PC 版后，你将发现其偷偷地捆绑安装了腾讯游戏大厅。比起看得见的网络安全，深蓝武器，这些看不见的“木马病毒”更能发人深省。这就是所谓的方便用户？利用自由换取方便？而国内目前最大的互联网安全公司 360 公司的前身就是 3721 科技有限公司。而现在甚至许多企业乃至其竟然进入了政府的招标项目。很多同学固执地坚持使用这种软件，可谓是病入膏肓。著名的 3Q 大战就是例证，根本无视用户。是严重的侵权行为，把用户的计算机当成腾讯和奇虎 360 公司的战场。用户的网络安全何从谈起？而今这家公司在沃通证书事件后竟然还敢打着维护网络安全的名头堂而皇之的搞什么 360 浏览器根证书计划，真是让人忍俊不禁，该计划声称 360 有权移除任何证书，甚至包括系统证书，试问，用户的自由何在？SSL 证书机构能和不经过用户同意任意添加移除系统内置的安全证书吗？是谁给奇虎 360 这样的底气，自诩维护网络安全与用户自由，实则视用户为草芥。一家没有企业道德的公司虽然能够暂时偏安一隅发展壮大，但是永远也无法成为一家国际化的，受人尊敬的大企业。同样地，那些选择了使用这些企业产品的主体所承担的代价就是被肆意侮辱。而腾讯成为了世界上最流行的 IM 软件，这能给我们什么启示？用户选择具有盲目性，这是从技术上无法避免的。

东边不亮西边亮，Facebook 的隐私问题也是个大问题，操纵民意，控制选举。竟然无视美国国会的质询，一意孤行，如此尔尔。我们在网络上的自由何处去寻？无法保护自己的隐私，我们就没有网络安全可言。各种名词对我们轮番轰炸，我们却根本连眼下的问题都无法解决，大数据用来精准投放广告，区块链用来做“挖矿”的木马，云计算也用来“挖矿”。但是我们习焉不察，这是因为这些没有阻碍自己的自由吗？还是因为我们的屈服和软弱？

当你在网上投放了一份简历，就会有数十家你没有投的公司来联系你。他们是怎么知道你的电话号码的？当你高考前夕，会有各种补习班打电话给你，甚至还能准确的叫出你的名字，你感觉自己自由吗？网络上真的没有一片净土吗？何处是吾乡？

更多地是无可奈何，用户自己不珍视的权利，没有网络安全意识，即使操作系统做的再好，安全等级认证的再高也没有任何用处。世界上没有绝对安全的操作系统，也没有绝对的网络安全，社会工程学是利用一切手段收集用户信息进行建构分析的手段，是渗透测试常用的手段。乌云网至今未开，首页还是两年前的那句话：“与其相信谣言，不如相信乌云”。漏洞收集和用户的数据都是双刃剑，我不否认某些程度上“技术无罪”，但是人需要承担责任。

当人们不得不牺牲自己的自由去使用一个恶迹斑斑，竞价排名的搜索引擎，不得不透过工具软件来了解真正的网络世界时。谈论什么网络安全都是没有任何意义的。因为人们是不自由的。美国的棱镜计划就是一个例子，甚至通话都通过语音识别技术被记录下来进行数据分析，人们的面部特征，步态姿势，DNA，指纹都被记录，监控无处不在，社会工程学无处不在，在大数据中每个人都是一滴水，但是没有一滴滴水，怎么会有成百上千 EB 的数据库呢？

用户通常不会阅读比玄幻小说还长的 EULA，Privacy Policy。在外部环境缺乏有效约束的情况下仅仅依靠企业道德维护网络安全与用户隐私是站不住脚的。用户的主体选择归根结底是用户自己的事情，根据社会契约论，用户对隐私的放弃不是为了使其滥用，而是为了自己的更大的自由，更多地择业机会，更优的购物选择。