如果你认为法规会保护你的隐私，那你就错了。事实上，它们可能会让事情变得更糟，尤其是当它们从你的隐私仅由其他方提供这一假设开始时，而这些其他方中的大多数都有动机侵犯你的隐私。

欧盟的 GDPR（通用数据保护条例） 是事情可能变得更糟的例证 A。自从 GDPR 去年五月全面生效以来，几乎所有网络上的公司实体都发布了“cookie 通知”，要求接受条款和隐私政策，这些条款和政策允许他们继续侵犯你的隐私，通过收集、共享、拍卖和以其他方式使用你的个人数据以及关于你的数据。

对于那些从事数据收集业务的网站和服务（几乎占据了整个商业网络），这些通知提供了一种一键式方法，使其在遵守 GDPR 字面意义的同时，违反其精神。

由此产生的摩擦也带来了巨大的商业机会。要了解有多大，请在 Google 上 搜索 GDPR+合规性。你会得到 1.9 亿个结果（上下浮动几千万）。*

这些结果都不是为你准备的，即使你才是 GDPR 应该保护的人。你看，对于 GDPR 来说，你只是一个“数据主体”，而不是互联网通过设计支持的技术、社会和经济生态系统中独立且功能齐全的参与者。围绕你的数据的所有隐私保护都成了其他方的负担。

或者至少这是几乎所有立法者、监管官僚、律师和服务提供商都遵循的解释。（一个例外是 Elizabeth Renieris @hackylawyer。她的 帖子合集 是关于 GDPR 和许多其他方面的必读资料。）那些销售 GDPR 合规性服务的公司也是如此，它们构成了 1.9 亿个 GDPR+合规性搜索结果的大部分。

这些服务的客户包括地球上几乎所有收集个人数据的网站和服务。这些实体没有经济动机停止以通常的方式收集、共享和销售个人数据，除了担心 GDPR 可能会真正被执行，但到目前为止（少数 例外），GDPR 尚未被执行。（参见 没有执行，GDPR 就是失败。）

更糟糕的是，用于“管理”你暴露于数据收集者的工具完全由你访问的网站和你参与的服务提供。他们提供的“选择”（如果他们提供任何选择的话）是 1) 默认同意他们为所欲为，以及 2) 一个迷宫般的菜单，里面充满了复选框和切换开关，用于“控制”你暴露于来自你从未听说过的各方的未知威胁，而且无法记录你的选择或监控效果。

因此，让我们先探讨一下一个网站的展示方式，然后深入了解它的含义以及为什么重要。

我们的例子是 https://www.mirror.co.uk。如果你还没有点击过该网站，你会看到一个 cookie 通知，上面写着：

我们使用 cookie 来帮助我们的网站工作，了解它的使用方式，并定制在我们网站上展示的广告。通过点击下面的“接受”，你同意我们这样做。你可以在我们的 cookie 通知中阅读更多内容。或者，如果你不同意，你可以点击下面的“管理”来访问其他选择。

他们没有提到“定制广告”实际上意味着这样的事情

我们打开你的浏览器，使其受到来自在线广告业务中无数方的跟踪信标的侵扰，以及可能与这些方合作的其他未知事物（无法得知，即使可以得知，我们也不会提供），以便这些方及其“合作伙伴”可以使用这些信标像跟踪被标记的动物一样跟踪你的一举一动，并将你的活动报告回一个庞大的市场，在那里，关于你的个人数据被共享、买卖，其中大部分是实时的，据说是为了让你在从一个网站到另一个网站、从一个服务到另一个服务时，你的眼球会被“相关”或“基于兴趣”的广告击中。虽然我们确信存在不良的附带影响（例如欺诈和恶意软件），但我们并不关心这些，因为我们的业务就是仅仅为了点击或“展示次数”而获得报酬，无论你是否印象深刻——而你不会印象深刻的可能性平均来说是肯定的。

好的，现在点击“管理”按钮。

会弹出一个矩形框，上面写着“在这里你可以控制 cookie，包括用于广告的 cookie，使用下面的按钮。即使你关闭了广告相关的 cookie，你仍然会在我们的网站上看到广告，因为它们帮助我们为其提供资金。然而，这些广告对你来说只是不那么相关。你可以在我们网站上的 Cookie 通知中了解更多关于 cookie 的信息。”

在该文本下方，左列是六个“数据收集目的”，所有目的都默认带有小复选标记为“开启”（尽管只显示了其中五个，给人一种只有这五个目的的印象）。右列名为“我们的合作伙伴”，显示了前五个，实际上总共有 259 家公司，几乎所有公司都不是世界或业务之外的任何人所熟知的品牌（而且可能在业务内部也不广为人知）。所有公司都用小复选标记标记为“开启”。以下是该列表，仅到字母 A

• 1020, Inc. dba Placecast 和 Ericsson Emodo
• 1plusX AG
• 2KDirect, Inc. (dba iPromote)
• 33Across
• 7Hops.com Inc. (ZergNet)
• A Million Ads Limited
• A.Mob
• Accorp Sp. z o.o.
• Active Agent AG
• ad6media
• ADARA MEDIA UNLIMITED
• AdClear GmbH
• Adello Group AG
• Adelphic LLC
• Adform A/S
• Adikteev
• ADITION technologies AG
• Adkernel LLC
• Adloox SA
• ADMAN – Phaistos Networks, S.A.
• ADman Interactive SL
• AdMaxim Inc.
• Admedo Ltd
• admetrics GmbH
• Admotion SRL
• Adobe Advertising Cloud
• AdRoll Inc
• adrule mobile GmbH
• AdSpirit GmbH
• adsquare GmbH
• Adssets AB
• AdTheorent, Inc
• AdTiming Technology Company Limited
• ADUX
• advanced store GmbH
• ADventori SAS
• Adverline
• ADYOULIKE SA
• Aerserv LLC
• affilinet
• Amobee, Inc.
• AntVoice
• Apester Ltd
• AppNexus Inc.
• ARMIS SAS
• Audiens S.r.l.
• Avid Media Ltd
• Avocet Systems Limited

如果你费心去“管理”这些，你有什么记录——或者所有其他第三方集合的记录，你已经同意让他们跟踪你？记住，在每个有第三方跟踪你的网站上，都有不同的第三方集合，以及不同的用户界面，每个用户界面都由其他第三方提供。

发现和管理你肚子里的寄生虫可能比管理你浏览器中的 cookie 更容易。

认为我夸大其词？仅仅在我一个浏览器（我不得不深入挖掘才能找到）中的长长的 cookie 列表就以这个列表开头

• 1rx.io
• 247-inc.net
• 2mdn.net
• 33across.com
• 360yield.com
• 3lift.com
• 4finance.com

在数百个其他 cookie 之后，我的 cookie 列表以

• zencdn.net
• zoom.us
• zopim.com

我知道 zoom 是什么。其余的对我来说都是谜。

要查看第一个 1rx.io，我必须深入到首选项目录的地下室（在 Chrome 中是 chrome://settings/cookies/detail?site=1rx.io），在那里我发现它本地存储的数据是这样的

_rxuuid

名称
_rxuuid
内容
%7B%22rx_uuid%22%3A%22RX-2b58f1b1-96a4-4e1d-9de8-3cb1ca4175b0%22%2C%22nxtrdr%22%3Afalse%7D
域名
.1rx.io
路径
/
发送对象
任何类型的连接
脚本可访问
否 (HttpOnly)
创建于
2018 年 12 月 12 日星期三凌晨 4:48:53
过期于
2019 年 12 月 12 日星期四凌晨 4:48:53

我是一个有点技术的人，但至少一半的东西对我来说毫无意义。

至于“管理”这些，我在该页面上的唯一选择是“全部删除”。这是否意味着仅删除该页面上的所有 cookie，还是删除所有位置的所有 cookie？我如何记住我删除了它？

显然，对于任何人来说，以任何有意义的方式“管理”这是不可能的。

我们也无法在网站和服务端修复它，无论这些网站和服务多么关心（大多数都不关心）“客户旅程”、“客户体验”或他们本周从营销人员那里购买的任何其他废话。

即使在 CRM（客户关系管理） 领域内，CRM 公司的 B2B 客户也使用一个云和一套工具，为用户和客户创建尽可能多的不同“体验”，部署这些工具的公司越多，从他们的角度管理客户关系的公司就越多。我们这边没有相应的工具。（尽管正在进行一些工作。参见 此处。）

因此，数字世界仍然是我们没有通用或标准方法来扩展我们在所有网站和服务中的隐私和数据使用工具、选择或体验的世界。如果我们想要真正的在线隐私，这就是我们需要的。

我们需要开始的简单之处在于：隐私是私人的，这意味着我们为自己创造的东西（在自然世界中，我们用衣服和住所来做到这一点，而这两者在数字世界中都缺乏等价物）。

我们需要明确的是，隐私不是隐私政策和服务条款的恩赐，这些政策和服务条款因公司而异，我们都无法真正控制——尤其是当整个行业都致力于使这些公司变得不可信任时，即使它们完全符合隐私法。

Devon Loffreto（他创造了 自**主身份 这一术语，我们将在即将出版的《Linux Journal》中探讨他的出色工作）用简单的极客术语提出了这个问题：我们需要对我们的生活拥有根权限。话题标签：#OwnRoot。

只有通过拥有根权限，我们才能增强个人方面的自主权。我们在标准和协议中拥有完美的基础，这些标准和协议为我们带来了互联网、Web、电子邮件，但其他方面却很少。我们也需要在这里拥有根权限。很快就需要。

我们（我和几位同事）创建了 Customer Commons，作为一个个人可以作为第一方提出的 条款 的场所，只需指向这些条款即可，就像可以指向 Creative Commons 的许可一样。网站和服务可以同意这些条款，双方都可以保留记录并遵循审计跟踪。

并且有一些好的迹象表明这将发生。例如，IEEE 去年与 Customer Commons 联系，建议我们建立一个机器可读个人隐私条款工作组。它被称为 P7012。如果你想加入，请加入。

除非我们为自己的在线生活 #OwnRoot，否则隐私将仍然是众多侵犯者空洞的承诺。

还有一件事。如果我们愿意，我们可以利用 GDPR。这是因为 GDPR 第 4 条 将数据控制者定义为“自然人或法人、公共机构、机构或其他机构，其单独或与他人共同决定个人数据处理的目的和方式……”这意味着我们每个人都可以成为自己的数据控制者。大多数处理 GDPR 的律师都不同意这一点。他们认为，个人数据主体始终需要受托人或某种中介：个人的代理人，但不是具有自主权的个人。然而，简单的事实是，我们应该对我们的在线生活拥有根权限，这意味着我们应该对我们的数据暴露以及如何使用我们的数据和关于我们的数据拥有一定程度的控制——就像我们控制或调节我们在物理世界中的隐私一样。更多关于这一切的内容将在即将发布的帖子中介绍。

本文的 原始版本 发布在 Private Internet Access 博客 上。Private Internet Access 和 Linux Journal 均为 London Trust Media 的控股公司。另请查看 隐私宣言，网址为 ProjectVRM wiki。我维护它并欢迎错误修复。它也是新的，所以请温柔一点。:-)

*那是 2018 年末。到 2019 年 6 月中旬，数量增加了一倍多：达到 3.88 亿个结果。