4.68亿个人信息泄露：失去隐私，我们就是在危险的裸泳

这两天在央视看到一则新闻：

“截至目前，警方共立案侦查侵犯公民个人信息案件29起，抓获犯罪嫌疑人288人，缴获公民个人信息4.68亿多条，涉案金额9400多万元。”

震惊之余，脊背发凉。

我们有太多公司，不知道数据使用规范，不清楚数据使用边界，不懂得保护用户隐私。有些公司甚至因为贩卖用户隐私发了财。但有些人却因为丢掉用户隐私丧了命。失去了隐私，我们在互联网的虚拟世界里，就是在危险的裸泳。

— 1—

除了被打击的这几家“科技公司”之外，最近还有一件事，引起轩然大波。上市公司“51信用卡”，被警方突击清查办公地点。警方通报：杭州警方对51信用卡委托外包催收公司涉嫌寻衅滋事等犯罪行为开展调查。51信用卡委托外包催收公司冒充国家机关、采取恐吓、滋扰等手段进行“暴力催收”，让人恐惧。警方重拳出击，侦办案件。但在“暴力催收”的背后，就意味着泄露用户的信息。否则没有用户信息，被委托的公司如何进行催收？根据网上传言，51信用卡还被某银行的技术监控发现，没有经过银行和用户的同意，就使用爬虫程序对银行用户的数据进行抓取。这就是在用户没有授权的情况下“违法”甚至“犯罪”抓取用户信息，然后进行营销。如果这是真的，这家公司就是随意爬取数据，泄露用户信息，让用户处于被电话骚扰甚至是暴力催收的风险中。怎么办？看到这则新闻，我倒吸一口凉气。

—

2

—

在51信用卡被警方突击清查之后，没过多久，我又在网上看见：

李小璐和PGone的视频被疯传。可能，很多人在这个平常的一天里，会把这个视频当作一次“吃瓜”，调侃几句明星的“娱乐新闻”，一扫而过。但在看到这个视频后，我真的感受到一丝恐惧，脊背发凉。因为据说视频是去年在抖音拍的，视频保存在草稿箱里，没有上传。没有上传的视频，是怎样外传，然后又被疯传的呢？

后来有人留言，说视频是抖音员工进入账户从后台直接下载下来的。

（图片来自网络）

抖音官方回应，传言不实。

我想我愿意相信抖音。我希望这不是真的。这当然不要是真的。否则公司可以随意进入用户账号，直接下载用户的隐私内容，这太可怕了。思细恐极。

— 3—

看完这几则事件，我也想起自己的一次经历。

2013年，我出国旅行。下飞机后，我打开谷歌地图查找我要住的酒店。

酒店我查到了。但同时，啪的一声出现一个弹窗。弹窗显示：今天12日。下午3点以后可以入住。住3晚。15日离店。

我很震惊：谷歌怎么知道的？

我只是想查酒店的地址，你怎么知道我住这个酒店？怎么知道我今天入住？怎么知道我何时退房？我又是倒吸一口凉气。它也很诚实地告诉我：我们扫描并分析了你所有邮件，看到一封酒店确认函。所以知道你住哪里、住多久。希望能恰如其分地提醒你，对你提供帮助。谷歌可能觉得这是便利，但我觉得这是隐私。谷歌“拆过”并且“看过”我的所有邮件，这也意味着，它知道我的银行账单、航班信息、酒店信息等等所有隐私数据。我信任谷歌。但是，难免心生恐惧。因为在互联网世界，我们如此透明，被别有用心之人发现，几乎无处躲藏。怎么办？万一呢？

— 4—

在生活中，我们可能不得不提供一些数据。而保护用户隐私，是企业最基本该做的事。我想，企业至少可以做三件事，来保护用户的数据。

至少，提高保护的概率吧。这三件事，也许都不难。很多公司只是不了解，或者没意识到。希望这三个基本做法和原则，能帮助一些公司，也帮助你更好地保护隐私。 — 第一，一定要获得用户授权许可。企业要有清晰的认知：数据的所有权，是用户的。用户的头像、昵称、身高体重、住在哪个酒店、坐过哪趟航班……所有数据，都是用户自己的。既然数据是用户的，那么想为用户提供服务，获得用户数据，就要申请授权。不能“诱导”，更不能“绑架”。我记得自己曾经打开一个网站，它希望我授权收集数据。我点击“不同意”。然后网站弹出来一个对话框：我们会好好保护你的数据的。你放心，你重选。这个网站给了用户一个没有的选择。这不是选择，这是强行告知。

如果坚持保护自己的隐私，我唯一的选择，就是选择不用。

— 5 —

第二，要注意二次使用（Secondary usage）的规范性。什么意思？用户对数据的授权不是无限的，一旦超出当时获得数据的使用目的和范围，简单来说就属于“二次使用”。比如我们去医院用电子挂号系统，医院就收集了我们的数据。但是之后我们往往会接到推销电话，问你要不要买奶粉、买尿片、买儿童教育课程。这可能就是医院把数据泄露给别人来用。也许医院觉得这些产品和服务对用户有价值（当然更多是明知故犯），但是，用户没有授权。用户只授权在挂号就诊服务时收集使用数据，没有允许医院对自己的数据进行“二次使用”。所以二次使用，同样需要明确告知用户，征询同意。即使同意，用户在任何时候，也有取消授权数据二次使用的权利。— 之前ZAO APP，就因为用户的隐私协议遭到口诛笔伐。除了把协议条款隐藏得很深，没有醒目标注之外，协议内容也引起巨大争议。（图片来自网络）在原来的用户协议中，出现一系列“全球范围”、“完全免费”、“不可撤销”、“永久”等字眼。这是把用户的安全和隐私，置于巨大风险中。如果ZAO“信息泄露”，会被坏人拿去犯罪；如果ZAO“图谋不轨”，用你的个人信息和肖像权从事黑产，后果同样不堪设想。这太离谱了。后来ZAO道歉并修改了用户协议，但这依然给所有企业和用户提了个醒：数据除了当时授权许可的用途之外，不能“二次使用”。隐私数据，永远都是用户的。谁来用，用在哪，什么时候用，永远都是用户的权利。

— 6—

第三，要保护用户的个人识别信息（PII——Personal Identification Information）。

什么是个人识别信息？就是通过这些数据，可以直接或者间接识别你是谁。比如姓名、地理位置、社会身份的相关信息等等。为什么说“个人识别信息”是绝对的隐私？

我在《5分钟商学院·实战篇》中举过一个例子：

一个人向某家机构借了一笔钱，他伪造了家庭住址等各种信息，只留下真实的手机号码。拿到钱后，注销了手机号，消失了。他以为自己万无一失。可突然有一天，他还是接到催债电话。他很惊讶，你是怎么找到我的？机构说，我们与某家移动数据公司“合作”，查到你注销的手机号码，在过去使用的两年间每天登陆了哪些基站，所以基本能分析你的生活规律。你白天去办公室。下午去接孩子放学。周末会去家附近的超市等等。有了这些数据，我们就匹配到跟你生活规律类似的号码，也就是你现在的手机号。请你还钱。

欠债还钱，天经地义。但问题是这家移动数据公司，怎么能同意通过出卖“个人识别信息”的方式和机构“合作”来帮助追债呢？这是违法，甚至犯罪。如果这个例子，变成坏人拿到这些信息呢？如果这个例子，不是“请你还钱”，而是“请交赎金”呢？所以，失去了隐私，我们在互联网的虚拟世界里，就是在裸泳。 —
那有一些数据，我在工作中必须用到，怎么办？我还在微软的时候，曾经要办一次大规模的活动，想给一些可能感兴趣用户发邮件，邀请他们参加。我去找市场部门协助，他们让我把邮件内容写好，告诉他们目标用户是谁，就可以了。我很诧异，难道不用把符合条件的用户的邮件地址给我吗？对不起，不能。市场部门的同事会选择已经授权并允许数据二次使用的目标用户，用专门的工具发送。如果告诉你邮件地址，你就掌握了用户的隐私数据。万一你去骚扰他们怎么办？不可以。邮件地址，你可用，但不可见。你永远都看不到这些隐私。可用，但不可见，是保护用户“个人识别信息”的重要逻辑。这也是很多公司管理上的巨大漏洞。很多公司，只把用户隐私数据保存在一张Excel表格里。这些隐私数据当然就容易被拷来拷去，最后在网上被卖来卖去。获利的，是那些贩卖数据的人；受伤的，是那些无辜的用户。

最后的话

所以，企业保护隐私数据有三个基本的逻辑：

1.一定要获得用户授权许可。2.要注意“二次使用”的规范性。3.保护用户的“个人识别信息”。授权不能“诱导”，更不能“绑架”。数据谁来用，用在哪，什么时候用，永远都是用户的权利。对于隐私，要谨慎，再谨慎。小心，再小心。那我们自己呢？作为个人，不要轻易提供数据。在必要的情况下，尽量和值得信赖的公司合作。不要为了一些小功能，在没听过的APP和网站上留下自己的隐私，留下被骚扰甚至被诈骗的风险。这篇文章，是写给每一位用户，希望能重视对隐私数据的保护，以防被滥用。这篇文章，更是写给所有企业、创业者和我自己，要对数据的拥有者，永远心怀尊重和敬畏。

-End-

原创： 刘润

作者简介：得到35W付费学员《5分钟商学院》主理人，海尔、百度等战略顾问；看清和看不清事物本质的人，命运注定截然不同，他每天都会将身边事物的洞察发在他的公众号“刘润”:runliu-pub上，也欢迎你免费关注这个洞察身边事物本质的号。

作者：刘润来源：刘润（ID：runliu-pub）