《贫困经济学》介绍了这样一个实验。请一群学生回答一个简单的问卷,每人给5美元酬金(于是,他们有了一笔闲置的零钱)。然后,随机发给每人一个广告,并要求为一家慈善机构捐款。
有些人的广告写的是:非洲正在经历饥荒,300万人受灾。请捐钱。
另一些人拿到的广告写的是:非洲有位7岁小姑娘吃不起饭,无法上学。如果我们捐200美元,她就可以在家人和慈善机构的帮助下,上学且在学校吃饭。
实验的结果是:拿到300万人的广告一组,平均捐款额只有拿到小女孩广告的一半不到。结论是:问题太大,我们容易泄气,觉得捐款也没有用,于是就放弃了努力。
即使我得到了人工智能和软件理论的博士,一度还差点被推选为国家密码委的专家顾问,如今面对眼花缭乱的信息安全技术,隐私保护的漏洞,大公司无所不知的监控和数据采集,也会觉得深深的无力。我也不知道如何保护自己的隐私,特别是我身边的朋友都一脸无所谓,用着360和qq的时候,我甚至连如何开始信息安全启蒙都不知道。
昨天有位小孩,因为在网上“多次”浏览一个“非法”网站,被登报严肃批评。这事本身是否荒唐就不讨论了,背后暴露的问题倒是值得讨论:
这位小朋友究竟用的什么浏览器,上了什么网站,如何被侦测到“多次”而不是“偶尔”?如果仅仅是浏览网站就会被侦查,如何保护我们的浏览安全?
我们有许多人追求安全邮箱(protonmail),安全聊天工具(signal),但是在更加基础的工具上,反而留下了安全漏洞。比如某些浏览器,会提供一个账号一个你,让你云端同步自己的浏览记录和书签,你会接受吗?或者浏览器会强迫你接受吗?显然,当你上传浏览记录到云端,究竟访问了哪些网站就不再是一个隐私问题了,而是一个“严肃批评”的问题。
另一方面,你的输入法如果同步云端,你输入的每一个字、每一句话显然都在输入法开发者的数据库里,他会用来训练、取词、扩充词库,调整词频,自然是会明文读取你输入的每一句话。我碰巧还知道有些流行输入法,从前是用“http”而不是“https”协议上传输入记录,这就是说,只要我在你的局域网里,拿一个小白形式的工具,大概也能看到你所说的每一句话,书写的每一封情书——不管是写给谁的。
至于Siri会昼夜不停地听你的声音,甚至在你和亲密爱人聊天的时候也在听,算不算是开通了一个任人窃听的通道,这就只有看看我们掩耳盗铃的技巧有多高了。我很少使用语音留言,绝不开通刷脸功能,也是暂时敷衍,延缓生物信息被攻破的时间而已。
在这种情况下,什么安全邮箱,安全聊天工具,都是自欺欺人而已。你只能祷告,自己是一只无足轻重的小蚂蚁,铁拳暂时还打不到你的头上。
这就是我常常讲的安全知识启蒙。讲完之后,我会笑一笑说,我知道改变输入法这样基本的操作习惯是很难的。如果你们暂时改变不了,我完全可以理解。大部分人的反应是,那么,我用华为手机自带的输入法,或者汛飞,或者多用语音,不用输入,是否会安全一些?
答案当然是,“安全一些”。只要开始重视,就可以慢慢地改变自己的行为习惯了,关键是安全究竟重不重要,重要的什么程度的问题。
如果你的输入法和浏览器都安全了,那么可以考虑用端对端加密的形式与人聊天。
即使是signal一类的安全工具,采用群聊的方式也是不安全的,因为不知道别的人是不是采用了不安全的操作系统,不安全的输入法,或者开放了照相权限给天气预报app。其实我不太用signal,真正需要安全的聊天,我至少会选择服务器在欧洲的服务,比如wire。但这样说下去,大家就没有信心提升安全性了,而我们用了好长时间才说服朋友们迁移到signal上来。
但手机也不是安全的工具,要保护隐私,尽量在计算机上操作较好。