专业/大卫·巴克斯代尔和数字隐私

Google 向用户提供免费服务，并作为回报从用户那里收集个人数据，用于收入和产品目的。公司在很大程度上保留对收集数据的控制权，并为了维持运营而授予精选的工程师访问权限。对这些工程师的选择标准优先考虑技术技能而不是道德需求。再加上市场力量迫使 Google 提高利润，Google 有动力以牺牲 数据隐私 为代价来重视数据收集。最终，这会导致一个公司环境，在那里工程师很容易滥用他们的权力。大卫·巴克斯代尔，一位前 Google 员工，就是这种情况。

Google 是一家庞大的公司，拥有许多应用程序，这些应用程序每天都在我们的生活中广泛使用。 Google 收集所有输入的数据，并按帐户信息进行分类。这些数据对于产品研究、出售用于广告的数据以及客户服务至关重要。 Google 的站点可靠性工程师 (SRE) 使用这些数据来帮助解决帐户的任何问题。

前 SRE 大卫·巴克斯代尔违反了 Google 的内部隐私政策^[1]。他利用自己的 数据特权，通过查看四个未成年人的通话记录、联系人列表和聊天记录来监视他们的帐户。他使用他们的数据来威胁未成年人，并在 Google 的好友列表上与他们聊天。 Google 在发现后发表了以下声明

“我们解雇了大卫·巴克斯代尔，因为他违反了 Google 的严格内部隐私政策。我们严格控制有权访问我们系统的员工数量，并且我们定期升级我们的安全控制 - 例如，我们正在显著增加在审计日志上花费的时间，以确保这些控制措施有效。也就是说，为了正常运行，始终需要少数人访问这些系统 - 这就是为什么我们对任何违规行为如此重视的原因。” - Google 工程高级副总裁比尔·考夫兰 ^[1]

然而，尽管 Google 拥有安全协议，并且对客户数据的访问权限有限，但巴克斯代尔并不是第一个肇事者^[1]。

SRE 职位需要访问 Google 数据库和客户数据。据一位 2007 年离开公司的 Google 前 SRE 称，“由于站点可靠性工程师负责不断地解决问题，因此他们每天多次远程访问 Google 的服务器，通常在奇数时间，”无论何时需要修复问题 ^[1]。

快速解决问题对于保持 Google 用户满意至关重要。Google 用户希望他们的 Google 服务始终运行、速度快，并且永远不会丢失他们的信息。Google 的许多服务是链接的，以便用户可以在所有 Google 平台上维护一个单一用户帐户。这些服务背后的数据库是链接的，以支持此框架。这位前 Google SRE 建议“SRE 被赋予对他们负责服务的用户的帐户的无限制访问权限”，使他们能够在发生问题时迅速解决问题 ^[1]。换句话说，SRE 可以访问一系列数据库，以解决可能跨越多个 Google 服务平台的问题。例如，根据这位前 SRE 的说法，“如果你是一名 SRE…在 Gmail 上，你将有权访问邮箱，因为你可能需要查看数据库。你需要访问存储机制”^[1]。在这种情况下，“为了确定 Gmail 技术问题的根源，SRE 可能需要访问存储在 Google 服务器上的电子邮件，以查看数据是否损坏”^[1]。

Google 的内部结构可能不足以防止对敏感客户数据的恶意滥用。当 SRE 访问 Google 的数据库时，他们的活动和其他信息（例如执行的维护类型以及访问日期和时间）会存储在活动 服务器日志 中。活动 服务器日志 通常包含关于维护活动的详细信息的广泛数据字段。阅读和解释日志并非易事，因此它们可能无法实时监控。但是，活动 服务器日志 非常有助于事后证明事情。在巴克斯代尔先生的案例中，他的活动被记录在维护日志中的威胁并没有阻止他侵入性地访问客户数据。Google 此后表示，该公司将“显著增加在审计日志上花费的时间”^[1]。 服务器日志 无法阻止恶意行为；充其量，它们会阻止这种行为，并且肯定没有阻止巴克斯代尔先生滥用他对客户数据的访问权限。

Google 主要基于其技术专长来信任其员工访问客户数据。Google 对其 SRE 的信任可能会随着职位标准中增加行为面试而更加合理。

Google 对 SRE 职位的面试流程几乎完全集中在技术材料上。以下是对 SRE 职位的面试流程的描述，由一位在 Glassdoor.com 上面试的候选人撰写^[2]。

“现场面试 #1：系统管理。我们大部分时间都花在设计一个假设的网络服务上。”

“现场面试 #2：故障排除。我们完成了两个问题，一个是关于网络的，另一个是找出为什么服务失败了。”

“现场面试 #3：大型系统设计。这个问题涉及分析大量数据。”

“现场面试 #4：Perl 编码。包括一个正则表达式问题，然后是一个数据分析问题，该问题经过多次迭代，使其逐渐变得更难。”

“现场面试 #5：网络。面试官不太乐于助人，这绝对是一个失败”^[2]。

面试官简明扼要地描述了每次面试，并且没有提到任何行为面试或面试过程中的任何非技术性对话。正如重点突出显示的那样，整个面试过程都是一项知识测试。用一位前 Google 员工的话来说，“该公司不会密切监控 SRE 以检测对客户帐户的错误访问，因为 SRE 通常被认为是经验丰富的工程师，可以信赖”^[1]。

理解为什么谷歌对这些道德违规行为没有做出更强烈的反应，需要将谷歌置于公开市场的背景下。 谷歌是一家上市公司，因此面临着投资者要求产生回报的压力。这种压力导致公司将某些价值观相互对立，在本例中即为数据隐私和数据收集。为了理解原因，了解谷歌如何产生收入非常有用。

为了安抚投资者，谷歌必须改进现有收入来源或创造新的收入来源。如今，广告仍然是谷歌的主要收入来源，占2014年收入的近90% [图片]。因此，该公司投入大量精力来改进广告。利用之前收集的个人数据，广告可以根据用户的喜好进行定制，从而提高点击率（例如，如果我知道你喜欢鞋子，那么你更有可能点击有关鞋子的广告）。从根本上说，这就是谷歌如何提高收入 - 通过改进广告体验。此外，这些数据成为新竞争对手进入市场的障碍，为谷歌提供了强大的竞争优势。基本上，数据推动了谷歌的盈利能力。因此，对于谷歌而言，保持对其数据的控制至关重要，这样才能保持竞争力。这就是为什么谷歌在欧盟对谷歌的数据所有权提出挑战时如此努力地进行反击。

2014年5月^[3]，欧盟裁定，搜索引擎必须根据客户的要求从其服务器中删除客户数据。该裁决以其公民有权被遗忘的理念而闻名（尽管该术语也源于之前的一项裁决^[3]）。该裁决引起了广泛关注，并获得了普遍支持：在前八周内，收到了近70,000条请求。作为全球最大的搜索引擎，谷歌受到的打击最大，不得不删除大量宝贵数据。然而，与谷歌更为担忧的事情相比，这些数据微不足道：该裁决从根本上挑战了谁控制着数据。它实际上将用户数据的控制权从谷歌转移到了公民手中。此外，该裁决为更全面的法律奠定了先例，这些法律将进一步侵蚀谷歌对其数据的控制权。 谷歌进行了报复，加大了游说力度，以至于欧盟专员维维安·雷丁承认了“前所未有的游说”努力^[4]。这场战斗一直持续到今天，谷歌正在努力保持对其数据的控制权。

因此，市场压力将数据收集与数据隐私对立起来。欧盟的裁决有利于公民的数据隐私，但谷歌回应称将努力废除该法律。

大卫·巴克斯代尔是一位技术专家，但在这种情况下，他的行为显然不符合专业人士的行为。谷歌是一家具有变革意义的公司，为其客户创造了许多受欢迎的产品，但它同时也拥有相互竞争的利益。在本例中，巴克斯代尔先生和谷歌都没有履行其专业义务。实现专业精神的关键要素是道德。巴克斯代尔先生缺乏道德，而谷歌提高利润的压力要求他们重视技术专长和数据收集，而不是道德价值观，例如数据隐私。

1. ↑ ^{a b c d e f g h} 陈，A. (2010)。GCreep：谷歌工程师跟踪青少年，窥探聊天记录（更新）。 http://gawker.com/5637234/gcreep-google-engineer-stalked-teens-spied-on-chats
2. ↑ ^{a b} 匿名员工。(2013)，“谷歌网站可靠性工程师面试问题”。Glassdoor。网络。2015年4月29日。
3. ↑ ^{a b} “被遗忘权”。(2012)。欧洲委员会。http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_data_protection_en.pdf
4. ↑ 沃曼，M. (2012)。欧盟隐私法规受到“前所未有游说”的影响。 http://www.telegraph.co.uk/technology/news/9070019/EU-Privacy-regulations-subject-to-unprecedented-lobbying.html