为了提升服务质量,本次通话将会被录音。
每一个拨打过企业客服的人,想必对于这句话都耳熟能详。但「如果不同意录音,请按 1」这句,你只会从苹果客服中听到。
在 iOS 17 琳琅满目的一众新功能里,隐私的升级常常被人忽略,但在苹果内部,它是被奉为圭臬不可撼动的信条。
在今年秋季发布会结束后,我与苹果公司软件工程高级副总裁 Craig Federighi 进行了一个简短的对话。尽管主题围绕隐私和安全,但话题涉及之广却在意料之外。
Craig 聚焦于软件工程开发工作,但他认为,安全绝不仅仅关乎软件层面。
只有通过在每个层面上以一种综合的方式解决问题,从芯片一直到软件,你才能制造出市场上最安全的产品。
苹果设立了一只专门负责隐私和安全的团队,Craig 说团队从设计之初就会围绕隐私和安全,而不是等一切就绪最后才去添加。因为很多隐私问题的重点,是硬件工程师和软件工程师无法单独解决的。
比如说最早的 TouchID,通过指纹识别为 iPhone 构筑了第一层的防护。事实上,所有指纹识别的信息,只是存储在 SoC 芯片上一个子系统上。
这种方式被 Craig 称为「安全隔区」,通过组件化的方式将安全的各个子系统区隔出来,分别在硬件和软件上进行单独的隔离,即使攻击者能够攻破其中一个层级,也无法进入其他层级。
这就好比一个拥有层层防护的银行,你必须首先乘坐电梯下到地下 100 层,经过重重隔离,才有办法进入金库里。
与其他巨头兴大兴土木建设数据中心不同,苹果倾向于将技术部署在本地,优先调用本地芯片的算力解决。
效率和成本自然是一方面,但安全是更重要的考量。
比如今年大火的 ChatGPT,几乎吃掉了微软 Azure 云计算中心的算力资源,因为全球数以亿计的问题,都要经过网络服务器的传输和推演。
安全这件事,如果你只能信任一个人,那唯有自己,而不是标榜安全却在冗长的用户协议里留有后门的商业公司。
「你对 Siri 说的话,其实跟你的 Apple ID 没有关联」,隐私团队告诉我,音频永远不会离开设备(Audio never leaves device),当用户启用 Siri 的时候,设备系统会产生一个随机的身份识别码,单独进行管理,所有的指令都只是运行在设备端。
同理,这也可以解释:为什么当你拿到一台新 iPhone,总要重新录入一遍指纹或者面部信息。
这种坚持也反哺在苹果造芯事业上,近两年 A 系列、M 系列芯片,Neural Engine 与 CPU、GPU 一样,也被视为最重要的升级。
仍然有一些信息是不可或缺的,苹果会遵循「数据最小化」的原则。
比如当用户进行搜索地理位置时,地图 app 会采用一种「模糊处理」的方式:24 小时后,用户搜索的精确地点会模糊为一个大致区域。
早些年,苹果还引入了一种名叫「差分隐私」(Differential Privacy)的算法保障安全。这种算法会把个人隐私数据打乱,然后与其他数百万的数据混合在一起,即便是苹果自己也无法从中得出针对特定个人的数据,但这些整体的数据却可以帮助苹果找出最受欢迎的表情符号、最佳的快速输入建议。
Craig 说,时至今日,iOS 是唯一一个从未发生过大规模恶意软件攻击的系统。
Craig 说,苹果不会因为体验而让用户让渡隐私,反之也不会为了安全设置重重障碍。因此,团队采用了各种方式,让安全防护隐于无形。
就像你的汽车上的安全气囊一样,你可能不知道它们是如何工作的,你甚至不知道它们的存在,但它们就在那里保护着你。我觉得这就是最最好的安全。
如今的互联网巨头的商业模式基本上建立在利益交换的基础上:你交出个人信息,换取个性化服务。那些在你知情不知情下收集的隐私信息,一方面让商业公司预测到你未来的行为,同时也让你成为精准广告的投递对象。
人类简史的作者赫拉利这样形容隐私的丧失:
这就像非洲和美洲的原住民,不经意间就把整个国家卖给了欧洲某国,换来各种颜色的珠子和廉价饰品。
几年前,Cambridge Analytica 丑闻,把忽略「隐私」带来的恶果赤裸裸地摆在世人面前:任何一家拥有亿万量级用户的公司,如果数据被滥用,它的力量足以影响世界格局。
计算机科学家亚隆·兰尼尔(Jaron Lanier)把技术和算法的负面归咎于免费的商业模式。
当计算机变得越加聪明、算法更加精准,一切都是为了让你看更多广告而运作的时候,一切似乎都乱套了,我不称他们为社交网络了,我现在称它们为行为改造帝国。
同为巨头科技公司,苹果的特立独行,归根结底在于它是一家依托于硬件销售的公司,它的上帝是普罗大众的消费者,而不是广告商。
但做好安全,并不来自口号和标榜,它关乎软硬结合的艺术,关乎核心元器件和操作系统的把控力,更关乎对于技术背后人性的理解。
