網絡信任危機

Chrome和Firefox上著名的隱私安全插件Web of Trust最近爆出泄漏用戶數據的丑聞，事件再次證明，互聯網上的信任關系是如此的脆弱。

受到1.4億互聯網用戶信任的Web of Trust（WOT）是一款瀏覽器插件，該插件主要用于保護用戶上網瀏覽時免受廣告跟蹤、黑客陷阱和釣魚攻擊等危害。然而，該軟件的開發商myWOT被發現在數據市場上販售用戶的數據：一份數百萬WOT用戶在一個月內訪問的所有網絡地址的列表。德國記者購買到的樣本數據中包含300萬德國WOT用戶詳細的沖浪歷史。而開發商私下對此的聲明是這一切只是一個疏忽，并承諾將改善這種情況。

然而，沃爾夫·克里斯蒂爾并不太樂觀，克里斯蒂爾認為這是一個非常荒謬的事件，一個本該是保護用戶不被跟蹤的數據安全插件，最終卻將用戶的數據收集并公開販賣。作為數據交易方面的專家，沃爾夫·克里斯蒂爾非常了解用戶的數據是如何被收集、評估和銷售以及諸如WOT之類的插件收集和販賣的數據會被如何利用。

他與研究員莎拉·斯皮克曼合作撰寫了一本關于這個主題的書：這是一本該領域非常專業的研究書籍，這是一個法律和倫理的灰色地帶，數據被秘密地變成金錢，而受損害的自然是數據被泄漏的用戶。

來自數據的錢

沃爾夫·克里斯蒂爾認為myWOT販賣的瀏覽器數據對于數據商業領域特別有價值，如此完整的瀏覽歷史記錄包含一個人訪問的網站和使用的Web服務，這樣的數據不僅可以創建個性化配置文件用于有針對性的廣告投放，還可以用于很多其他的方面，問題相當嚴重，但不幸的是，這是一個法律和倫理的灰色地帶，類似的操作對于互聯網企業來說已經是司空見慣的了，至少在德國許多公司以類似的方式獲取用戶的數據。

而更嚴重的是，myWOT販賣的瀏覽器數據中還包含了一些對于用戶至關重要的數據，這就是myWOT私下承認草率的原因，但是我們并不能知道這是他們無心之失還是有意為之。據沃爾夫·克里斯蒂爾介紹，myWOT記錄和銷售的數據不僅包含用戶訪問網站的網址，而且將瀏覽器地址欄上整個URL及其參數也收集販賣。在數字廣告業內販售的數據通常會包含網站的網址等數據，這是相對普遍的事情，但是販賣整個URL及其參數則會為用戶帶來巨大的安全風險。

眾所周知，地址欄上完整的URL通常包含可追溯到用戶身份的數據，例如電子郵件地址、個人云存儲器上的鏈接、社交網絡和論壇上個人資料的鏈接。對于一些安全驗證方式不完善的網站，甚至可以使用包含參數的完整URL直接訪問用戶的賬戶信息。因此，myWOT銷售的數據不僅可以輕松追溯用戶的身份，對于用戶來說還可能有更多、更嚴重的風險，而該公司的所作所為也已經違反了WOT的數據保護規則。

廣泛的配置文件

不過，沃爾夫·克里斯蒂爾對于myWOT的丑聞一點也不覺得驚訝：一直以來使用瀏覽器插件泄漏數據的風險都非常高，而且克里斯蒂爾認為myWOT在所謂的數據販售商中還只是一個小角色。據克里斯蒂爾介紹，許多公司都在跟蹤用戶的上網模式，這是一件涉及數以億計的互聯網用戶和數百萬網站和互聯網服務的事情，因為用戶數據對于這些企業來說意味著巨大的商業價值：收集和利用的用戶數據越多，數據就越有價值。用戶的偏好、個性特征和行為模式構成的所謂的配置文件越來越詳細的時候，就可以通過更有效的方式聯系和操縱特定的用戶。而這些數據并不只是可以用于創建有針對性的廣告，還可以用于確定用戶的信譽和消費能力。

據沃爾夫·克里斯蒂爾介紹，所有收集用戶數據的公司都試圖在多個設備、平臺和生活領域跟蹤我們的上網行為，厘清我們的上網行為和購買行為以及所有數據之間的聯系。按照沃爾夫·克里斯蒂爾先生的說法，這些公司在收集我們數據的時候，將通過特定的算法從所獲得的電子郵件或者電話號碼等相對穩定的個人細節中生成一個獨特的代碼，這個唯一的代碼被分配給一個人，當我們在家中瀏覽、在辦公室使用互聯網工作或者使用信用卡時，所有被跟蹤收集匯總到以該代碼識別的所謂的配置文件。

危險程度

這是一個遠遠超出人類歷史上任何已知的強大實體的強大力量，所創建的所謂配置文件內容將涵蓋我們日常生活的方方面面，無所不知、無所不有。沃爾夫·克里斯蒂爾先生認為，這是一個巨大的問題。在這樣的系統中，所謂隱私保護只是一個笑話。或許WOT泄漏的數據只是一個瀏覽歷史記錄，即使包含了所有參數和完整的URL也并不足以釀成大禍。真正可怕的是在目前的數據交易規模下，全球化的收集、積累和精煉處理數據所創建的用戶檔案。以Oracle在2016年夏天收購的數據追蹤服務商AddThis為例，按照該公司的聲明，它在1 500萬個網站上監測的用戶超過30億，并為這些用戶中的每一個用戶創建了一個檔案。在如此規模的數據跟蹤方式下，常規的匿名化方法發揮不了什么作用。數據追蹤服務商將通過跟蹤獲得的數據對用戶進行識別，它并不一定需要知道每一個上網用戶的名字，但是它可以將所有上網用戶與其唯一的檔案關聯起來。對于系統來說，用戶的名字不再是最主要的識別代碼，相反系統產生的代碼將是用戶的新名字。

對于這些互聯網公司來說，要求或者禁止他們進行數據收集和交易明顯是不現實的。目前我們不知道有什么方法可以更好地保護用戶的權益，不過對于WOT來說問題相對比較簡單，如果這一切確實只是一個疏忽，并且該公司確實有良好的意愿改善這種情況，那么該公司只需要在收集數據的過程中進行簡單的處理，WOT插件就能夠只收集訪問的網站而不是完整的URL，然而所收集的這些數據在數據交易市場上仍然是有價值的，但對于用戶來說，風險會低許多。