[转载]匿名性是更好还是更坏--Matt Bishop

斌头注：此文源自Matt Bishop的教材《计算机安全学》（2005年，电子工业出版社）的第14章。

匿名性是更好还是更坏

匿名性为人们提供一种免于将其身份与特定数据进行关联的保护。这是人们所期望的吗？

回答这个问题最简单的方法就是要知道提供匿名性的目的是什么？匿名是一种动力，因为它可使人们发表言论而不惧报复。人们甚至可以在遭到质疑时否认曾经发表的言论，如果有真的匿名性，则这种否认将不可证伪。

匿名使得人们可以通过暗示制定论战的方针。Alexander Hamilton、James Madison和John Jay精心地选用了“Publius”这个名字来隐藏他们作为Federalist Papers的作者的身份。除了隐藏作者身份，选用“Publius”作笔名还因为在古罗马Publius被视为统治者的典范。这个笔名暗示作者支持负责任的政治哲学与法律。然而，在Federalist Papers中的讨论只专注于内容，而不涉及作者的个性认识。

匿名使得敢于直言者得到相当可观的保护。对当权者的批评通常引致怨恨，即使这些批评是正确的，当权者还要因此而提出诉讼。伽利略因传播地球环绕太阳转的理论而遭到宗教裁判所的起诉[464]。Ernest Fitzgerald因对美国空军C-54大型运输机的研发成本大大超支的事实进行了曝光而被革职。在若干次庭审胜利后，他才被官复原职。与之相比，在水门事件中与通讯员Bernstein和Woodward交谈的匿名资料提供者就是另一番局面了。通讯员将匿名资料（特别是一个名为“Deep Throat”的人提供的资料）与公共记录结合分析，从而揭露了某种行为模式，最终导致尼克松总统遭到弹劾并辞职，也导致了多名政府官员遭到犯罪起诉并被定罪。这些资料提供者不会遭到起诉，因为没有人知道他们的身份（在本书写作时，“Deep Throat”的身份还没有暴露）[85,86]。

匿名性是好还是坏取决于你是站在被攻击的当权者的立场，或者当权者的攻击者的立场来看。在很多国家，质疑权威被视为大受欢迎且有益于社会的举动，在这种情况下，对匿名性的需求比匿名性所带来的问题更为重要，特别是在当权者将要反击批评者时。在一些国家，当权者被认为经验更丰富、学识更渊博，其行为更为值得信赖且有益于社会。在这种社会里，匿名批评将被认为是在破坏社会稳定、敌视社会的良好次序。读者需自己决定匿名性在如何影响自身所处的社会。

正如匿名性是攻击当权者的工具，当权者也可使用匿名性攻击其对手。佛朗滋.卡夫卡的名著《审判》就描述了一场被告不知道法官（匿名）的审判，被视为存在主义文学的经典。然而，正如很多不同国家的持不同政见者所共知，匿名法官并非总是虚构。在美国，在Martin Dies和Joseph McCarthy当政时期，匿名原告剥夺了很多人的生计，很多情况下，甚至是他们的生命（可参考文献Donner[308]和Nizer[778]）。

当然，匿名性也保护隐私。从这个角度来审视社会，可以发现社会的方方面面都在收集我们的信息。杂货铺记录我们购买的商品，书店记录我们购买的书籍，而图书馆记录我们所阅读的书。单独的每一条记录看上去并不重要，但是一旦将这些记录联系起来，所得结论的完整性将颇为惊人。信用局在某种程度上已经这样做了，他们通过不同的信用渠道获取信息，并将所得信息合成单独的信用报告，报告包括个人收入、贷款和周期性信用账号，比如信用卡。

这将为个人带来三方面的风险。首先，不正确的数据解释将带来不正确的结论。例如，假设某人浏览Web站点寻找一种处方麻醉药的信息。据此得出结论说此人出于非法的目的，在寻找获得或制造毒品的信息，但这样的结论往往是错误的。这个人也许是个高中生，他在完成老师布置的一份有关危险药品的报告。这个人也可以是一名医生，他为了医治病人，在寻找这种药品的疗效信息。甚至更简单，这个人就是个好奇鬼。没有足够的信息可以得出其中任意一种结论。

其次，错误信息将导致巨大的伤害。最好的例子就是现在不断增加的普通案例：身份盗窃，即某人通过使用假的驾驶执照、社会保险卡，或者护照等来替代某人以获得另一个人名下的信用[271]。信用局将这些假信息混合到真人的记录里，当身份窃贼不履行责任时，受害者不得不出来澄清自己。

第三，在许多社会中与生俱来的隐私权被Warren和Brandeis称为“不受干涉的权利，是最广泛的权利，文明人最重视的权利”[1034]。匿名性提供了一种防护罩，在其之后人们能做自己的事情而不受干涉。没有中央权利机构或分支权利机构可以将匿名实体的信息与一个单独个体关联起来。没有匿名权，个人隐私的保护就成为问题。没有隐私，变态色魔就可以定位目标，并骚扰他们，实际上，在一个案例中，一个色魔确实谋杀了一名女演员。使用Web的时候，人们有时不得不接收Cookie，但是Cookie可被用于构造出浏览者的概况。以此为目的而使用Cookie的组织通常采用一种称为“选择－输出”（opt-out）的方法，即用户必须明确要求不能被收集信息，而不是使用“选择-输入”（opt-in）方法，即用户必须明确地对要被收集的信息给出许可。但如果这个用户是匿名的，就不能重构出有意义的概况信息。而且，所收集到的信息与信用记录或其他数据银行中的信息也不匹配。防止其他人在没有你的许可下收集你的信息是一个隐私权的例子。

使用匿名性保护个人隐私也有缺点。Jeremy Bentham的“圆形监狱”引入一种概念，使用永久的、完整的监视系统来防止犯罪、保护公民。政府必须能及时发现即将发生的犯罪并加以干预，或者证实已经发生的犯罪行为并采取行动抓捕犯罪者，这是一个有吸引力的观点，因为它给公民以安全感。但是很多人，包括美利坚合众国建国之父也认为这样要付出的代价太高了。本杰明.富兰克林写道“不惜牺牲基本自由以图苟安之人,既不配获得自由,也不配获得安全。”[62]。

也许惟一可以得出的结论是，正如所有的自由与权力，匿名性既可用于善举也可用于犯罪。要保有匿名的权利就必须审慎地使用这种权利。