到目前为止，大部分互联网巨头的收入都是来自从传统媒介上抢过来的广告收益。在Google上搜索东京+旅游，下一秒你看到的页面山就会出现东京酒店的广告——用户隐私数据早已成为IT公司招徕广告的金字招牌。对于互联网上的隐私数据，人们已经通过维基解密和棱镜门事件有所警惕。但是，作为新兴的媒介，人们对于VR和AR方面的隐私还没有太多概念。具有法律背景的投资人Sarah Downey近日撰文，表达了对VR技术中隐私政策的关切，她认为VR中的私人数据的流向，很可能导致VR成为未来最可怕的监听设备。

隐私保障了真实的言论自由

Sarah Downey认为隐私政策是自由言论表达的基石，为了保证美国宪法第一修正案所带来的言论自由，人们必须借助第四修正案来保护自己的隐私。Downey认为，目前人们在网上的数据，已经能够影响到人们的现实生活（想想那些被人肉攻击的人们），而网络暴力所带来的后果，则会影响到人们在现实世界中对自己观点的真实表达。

大型网络科技公司如谷歌和Facebook的广告收入模式，都依赖于将用户的线上行为和真实生活连接起来，形成一个综合档案，这个档案最终能够跟踪到用户的所有行为。当搜索历史已经能够成为儿童监护案件的证据，一个错误的微博能够使得用户被公司开除，一个这样的网络环境已经确立，在这个环境中用户分享的内容不再是转瞬即逝的，而是永久面向公众的。

这样一个网络环境带来的影响令人毛骨悚然，它将催生出一个“限制真实表达的面具”。对于真实表达的腐蚀，已经催生出一个陈腐的令人讨厌的Facebook环境，Downey警告人们，同样的道理，随着面部识别和增强现实技术的推广，用户的隐私数据也将被散布到其现实生活中。而一旦人们在公共场所失去匿名性，最终社交可能会落得跟《黑镜》第三季的第一集一样，全靠星级评价交往。

分享隐私数据削弱了第四修正案权利

Downey认为美国宪法第四修正案建立在对于人们对于隐私的明智的期望，也就意味着用户对于移动设备和网络的使用，对宪法有着真实的法律层面的影响。当用户分享越来越多的隐私数据的时候，对于宪法的主观解读也随之进化。如果我们能大胆的用第三方公司分享自己的数据，那可能代表这些数据并不隐私，而完全有可能被用到法庭上。

创造统一的超级用户档案

用户的隐私数据分为多个等级，所以谷歌和Facebook能够收集到用户大量的行为历史，前提是只要他们不分享用户的个人身份信息（PII personally identifiable information）。谷歌和Facebook可以将这些用户行为数据匿名化，并将其交给广告商——通过对用户所有网上行为的监视，网络公司建立了一个成功的商业模式。

谷歌最近尝试将用户在DoubleClick上的所有浏览历史，与用户的个人账户连接起来；Facebook从外部公司购买金融和房贷信息，将这些信息与用户的网页浏览和社交互动联系起来。

用户在VR中分享的私密数据

对于VR技术来说，Oculus的隐私政策表明他们将记录“用户在使用VR头显时候的身体运动和空间信息”。这些还只是VR头显中的头部和手部追踪技术带来的，但如果这些数据和用户消费的VR内容联系起来，那么你所看向的方向，以及那部分内容都将被永久的记录下来，传输到Facebook，成为你“脸书综合档案”的一部分。

截至目前，以上任何数据都还没有被确切判断其是否为“个人身份信息”（PII），而VR公司和开发者可以想存储什么就存储什么，想存储多久就存储多久。而当之后眼球追踪技术和面部识别、乃至EEG脑电波扫描技术成熟后，VR公司就能记录下用户的眼球动作、凝视、步态、手/头动作、说话模式、情感状态等真正的私密数据。EEG脑电波技术成熟后，VR公司就能了解到用户的意图、目的、最终甚至能记录下用户的想法。

今天我们对于头部和手部数据的看法和用法，很可能决定了未来上面这些真正的隐私数据被使用的方式。

VR生物数据还不算个人隐私

目前已经有一些已知的生物数据能够确定用户的身份，例如面部特征、指纹、手部数据、视网膜、瞳孔、步态、签名、血管形状、DNA以及打字节奏等等。现在，你的步态、声音、视网膜或者瞳孔能够被眼球追踪摄像头纪录下来，作为辨识用户身份的数据。同时，结合你的步态、手部和头部动作，使用特定的机器算法，同样可能将你的身份和这些数据联系起来，确定你的真实身份。这也意味着，目前VR公司纪录的数据，很可能在日后能够成为确定你身份，而这些隐私数据是有被进行特殊保护的权利的。

EEG方面的专家曾经透露，脑电波数据是一种特殊的“指纹”，不可能被完全“匿名化”，能够凭借其锁定一个人的身份。而如何避免让用户的头部和手部运动数据成为身份判定工具的方法，Downey认为最合适的方法是从一开始就不要记录这些数据。

VR公司对隐私数据保护不太上心

目前网络公司对于用户献上行为广告投放还是有自律规则的，这些规则将能够帮助联邦交易委员会监管网络公司对于个人隐私数据的使用。但截至目前，没有一个VR大厂主动的教育或者告知用户，自家产品究竟记录了用户的什么数据。

标榜不作恶的谷歌对于传统业务有比较详细的隐私政策，用户可以登录网站选择允许Google记录的数据（例如引擎和谷歌助手）。而关于VR他们并没有给出明确说法。至于Facebook，公司给用户说明了提供广告的相关说明，但并没有表明收集了用户什么数据。HTC就稍微有点尴尬了，公司的隐私政策信息从2014年9月开始就停止了更新，那时候Vive还没推出，就更别提VR方面的隐私政策了。类似的，Valve和三星同样没有明确的VR隐私政策。

Oculus是唯一一家证明自己确实有收集VR用户数据的公司，其他那些公司要么是并没有收集数据，要么是根本没那个闲心说明这件事儿，IN2认为很大情况是后者。

Oculus小胳膊拧不过Facebook大腿

去年有一个事件，用户发现Oculus应用在后台向Facebook传送大量数据，此事闹大以至于O记后来澄清，搜集用户数据是为了改进整个平台的体验感，并提高游戏的舒适性和可玩性。至于数据，Oculus表示并没有和Facebook分享数据，不过是目前：

Facebook为Oculus的母公司，并且很多基础设施服务都是由Facebook提供，但是Oculus并没有和Facebook分享用户数据，Oculus现在没有广告，也并没有提供数据给Facebook来进行广告投放——不过并不排除未来会有这方面的考虑。

O记说这番话的时候已经是去年了，现在Facebook是否已经开始使用这些数据了，谁也不知道。

明眼人都能看出来，随着帕胖的“流放”、Brendan Iribe和Nate Mitchell分流至“PCVR”，在去年OC3大会上进行主题演讲的马克·扎克伯格已经基本表明了“干爹”Facebook加强了对Oculus的控制。随着O记独立性的丧失，很容易联想到Oculus用户的隐私数据将会源源不断的奔流到Facebook的后台中。

现在这些数据还只是头部和手部动作，随着眼球追踪和面部识别技术的成熟，用户更多更私密的数据也可能被这个IT大鳄所垄断。Oculus公司的隐私政策已经打下了一个很好的基础，让Facebook能够合法的获得用户的数据，而随着VR技术在人们生活中越来越重要，这些数据也变得更为关键。

VR能否成为用户隐私的最后堡垒？

随着VR和AR技术的发展，线上数据和线下生活的结合，将会降低人们的隐私感。不过Downey对于VR成为人们隐私的最后堡垒还是抱有希望，前提是VR公司能够将隐私政策放在心上。

Downey建议VR应用及硬件公司应该将收集的数据量压缩至最小，同时建议用户在付费时使用比特币等加密货币，而非传统账户，减少与自己真实身份的联系。最后，不要采用社交网站账户通用登陆的方式，以免真实身份被永久记录下来。

政府对于VR公司的隐私疑问

2016年11月，美国参议院曾经对虚拟和增强现实举行了听证会，并问询了一些与隐私相关的重要问题：

使用VR技术，什么信息被追踪、纪录并永久保存了？

这些信息的保存是否在个人隐私信息保护下进行的？

使用机器学习来通过物理的匿名数据判定用户的真实身份，有多大可能性？

为什么隐私政策没有说明哪些信息被记录了，如果没有记录，公司是否能公开证明没有记录这些信息？

有没有提供给用户选择不被追踪和纪录的方法？

有没有任何方法，能够保证眼球追踪摄像头不被用来记录能够辨别用户身份的瞳孔和虹膜信息？

我们在VR社交中的语音聊天是否被记录了？

VR公司是否能证明用户在VR中的私人文本信息不被追踪和记录，或者说所有信息都是默认被记录的？

是否有方法能够保证VR中的行为不与用户真实身份联系起来，以保证第四修正案权利？

应该如何教育并规定VR开发者，让他们了解在其开发的VR体验中出现并被记录的私人隐私数据，是和开发者有很大责任的？

后记：更多传感器 更多老大哥

前一阵有消息说Facebook正在试验，将进行VR社交的实验者的脑电波记录下来进行分析。在移动设备主流的当下，用户还知道关闭部分应用的定位追踪功能来避免骚扰。未来眼球追踪和面部识别等技术的成熟，会使得VR和AR设备中加入更多的传感器和摄像头，在方便用户生活的同时，也将记录更多用户的私人信息。

想象有一天，你在家正戴着VR头显玩游戏，被警·察叔叔上门请喝茶，原因是用VR头显看春晚VR直播的时候，竟然在大大发表演讲的时候笑了，而在看主旋律小品的时候嘴角耷拉着很不开心。你戴的不是VR头显，是一头老大哥啊。

来源：IN2