4.68亿个人信息泄露：失去隐私，我们就是在危险的裸泳

希望每一位用户，不要轻易提供数据，能重视对隐私数据的保护，以防被滥用。

作者： 刘润 来源： 刘润（ID： runliu-pub）

这两天在央视看到一则新闻： “截至目前，警方共立案侦查侵犯公民个人信息案件29起，抓获犯罪嫌疑人288人，缴获公民个人信息4.68亿多条，涉案金额9400多万元。”

震惊之余，脊背发凉。

我们有太多公司，不知道数据使用规范，不清楚数据使用边界，不懂得保护用户隐私。

有些公司甚至因为贩卖用户隐私发了财。 但有些人却因为丢掉用户隐私丧了命。

失去了隐私，我们在互联网的虚拟世界里，就是在危险的裸泳。

除了被打击的这几家“科技公司”之外，最近还有一件事，引起轩然大波。

上市公司“51信用卡”，被警方突击清查办公地点。

警方通报： 杭州警方对51信用卡委托外包催收公司涉嫌寻衅滋事等犯罪行为开展调查。

51信用卡委托外包催收公司冒充国家机关、采取恐吓、滋扰等手段进行“暴力催收”，让人恐惧。

警方重拳出击，侦办案件。

但在“暴力催收”的背后，就意味着泄露用户的信息。 否则没有用户信息，被委托的公司如何进行催收？

根据网上传言，51信用卡还被某银行的技术监控发现，没有经过银行和用户的同意，就使用爬虫程序对银行用户的数据进行抓取。

这就是在用户没有授权的情况下“违法”甚至“犯罪”抓取用户信息，然后进行营销。

如果这是真的，这家公司就是随意爬取数据，泄露用户信息，让用户处于被电话骚扰甚至是暴力催收的风险中。

怎么办？

看到这则新闻，我倒吸一口凉气。

在51信用卡被警方突击清查之后，没过多久，我又在网上看见：

李小璐和PGone的视频被疯传。

可能，很多人在这个平常的一天里，会把这个视频当作一次“吃瓜”，调侃几句明星的“娱乐新闻”，一扫而过。

但在看到这个视频后，我真的感受到一丝恐惧，脊背发凉。

因为据说视频是去年在抖音拍的，视频保存在草稿箱里，没有上传。

没有上传的视频，是怎样外传，然后又被疯传的呢？

后来有人留言，说视频是抖音员工进入账户从后台直接下载下来的。

抖音官方回应，传言不实。

我想我愿意相信抖音。 我希望这不是真的。 这当然不要是真的。

否则公司可以随意进入用户账号，直接下载用户的隐私内容，这太可怕了。

思细恐极。

看完这几则事件，我也想起自己的一次经历。

2013年，我出国旅行。 下飞机后，我打开谷歌地图查找我要住的酒店。

酒店我查到了。 但同时，啪的一声出现一个弹窗。 弹窗显示： 今天12日。 下午3点以后可以入住。 住3晚。 15日离店。

我很震惊： 谷歌怎么知道的？

我只是想查酒店的地址，你怎么知道我住这个酒店？ 怎么知道我今天入住？ 怎么知道我何时退房？

我又是倒吸一口凉气。

它也很诚实地告诉我： 我们扫描并分析了你所有邮件，看到一封酒店确认函。 所以知道你住哪里、住多久。 希望能恰如其分地提醒你，对你提供帮助。

谷歌可能觉得这是便利，但我觉得这是隐私。

谷歌“拆过”并且“看过”我的所有邮件，这也意味着，它知道我的银行账单、航班信息、酒店信息等等所有隐私数据。

我信任谷歌。 但是，难免心生恐惧。

因为在互联网世界，我们如此透明，被别有用心之人发现，几乎无处躲藏。

怎么办？ 万一呢？

在生活中，我们可能不得不提供一些数据。 而保护用户隐私，是企业最基本该做的事。 我想，企业至少可以做三件事，来保护用户的数据。 至少，提高保护的概率吧。

这三件事，也许都不难。 很多公司只是不了解，或者没意识到。 希望这三个基本做法和原则，能帮助一些公司，也帮助你更好地保护隐私。

第一，一定要获得用户授权许可。

企业要有清晰的认知： 数据的所有权，是用户的。

用户的头像、昵称、身高体重、住在哪个酒店、坐过哪趟航班……所有数据，都是用户自己的。 既然数据是用户的，那么想为用户提供服务，获得用户数据，就要申请授权。

不能“诱导”，更不能“绑架”。

我记得自己曾经打开一个网站，它希望我授权收集数据。 我点击“不同意”。 然后网站弹出来一个对话框： 我们会好好保护你的数据的。 你放心，你重选。

这个网站给了用户一个没有的选择。 这不是选择，这是强行告知。 如果坚持保护自己的隐私，我唯一的选择，就是选择不用。

第二，要注意二次使用（Secondary usage）的规范性。

什么意思？

用户对数据的授权不是无限的，一旦超出当时获得数据的使用目的和范围，简单来说就属于“二次使用”。

比如我们去医院用电子挂号系统，医院就收集了我们的数据。

但是之后我们往往会接到推销电话，问你要不要买奶粉、买尿片、买儿童教育课程。

这可能就是医院把数据泄露给别人来用。 也许医院觉得这些产品和服务对用户有价值（当然更多是明知故犯），但是，用户没有授权。

用户只授权在挂号就诊服务时收集使用数据，没有允许医院对自己的数据进行“二次使用”。

所以二次使用，同样需要明确告知用户，征询同意。 即使同意，用户在任何时候，也有取消授权数据二次使用的权利。

之前ZAO APP，就因为用户的隐私协议遭到口诛笔伐。

除了把协议条款隐藏得很深，没有醒目标注之外，协议内容也引起巨大争议。

在原来的用户协议中，出现一系列“全球范围”、“完全免费”、“不可撤销”、“永久”等字眼。

这是把用户的安全和隐私，置于巨大风险中。

如果ZAO“信息泄露”，会被坏人拿去犯罪； 如果ZAO“图谋不轨”，用你的个人信息和肖像权从事黑产，后果同样不堪设想。

这太离谱了。

后来ZAO道歉并修改了用户协议，但这依然给所有企业和用户提了个醒： 数据除了当时授权许可的用途之外，不能“二次使用”。

隐私数据，永远都是用户的。谁来用，用在哪，什么时候用，永远都是用户的权利。

第三，要保护用户的个人识别信息（PII——Personal Identification Information）。

什么是个人识别信息？

就是通过这些数据，可以直接或者间接识别你是谁。 比如姓名、地理位置、社会身份的相关信息等等。

为什么说“个人识别信息”是绝对的隐私？

我在《5分钟商学院·实战篇》中举过一个例子：

一个人向某家机构借了一笔钱，他伪造了家庭住址等各种信息，只留下真实的手机号码。拿到钱后，注销了手机号，消失了。

他以为自己万无一失。可突然有一天，他还是接到催债电话。他很惊讶，你是怎么找到我的？

机构说，我们与某家移动数据公司“合作”，查到你注销的手机号码，在过去使用的两年间每天登陆了哪些基站，所以基本能分析你的生活规律。

你白天去办公室。下午去接孩子放学。周末会去家附近的超市等等。

有了这些数据，我们就匹配到跟你生活规律类似的号码，也就是你现在的手机号。

请你还钱。

欠债还钱，天经地义。 但问题是这家移动数据公司，怎么能同意通过出卖“个人识别信息”的方式和机构“合作”来帮助追债呢？

这是违法，甚至犯罪。

如果这个例子，变成坏人拿到这些信息呢？

如果这个例子，不是“请你还钱”，而是“请交赎金”呢？

所以，失去了隐私，我们在互联网的虚拟世界里，就是在裸泳。

那有一些数据，我在工作中必须用到，怎么办？

我还在微软的时候，曾经要办一次大规模的活动，想给一些可能感兴趣用户发邮件，邀请他们参加。

我去找市场部门协助，他们让我把邮件内容写好，告诉他们目标用户是谁，就可以了。

我很诧异，难道不用把符合条件的用户的邮件地址给我吗？

对不起，不能。

市场部门的同事会选择已经授权并允许数据二次使用的目标用户，用专门的工具发送。

如果告诉你邮件地址，你就掌握了用户的隐私数据。 万一你去骚扰他们怎么办？ 不可以。

邮件地址，你可用，但不可见。 你永远都看不到这些隐私。

可用，但不可见，是保护用户“个人识别信息”的重要逻辑。

这也是很多公司管理上的巨大漏洞。 很多公司，只把用户隐私数据保存在一张Excel表格里。

这些隐私数据当然就容易被拷来拷去，最后在网上被卖来卖去。

获利的，是那些贩卖数据的人；受伤的，是那些无辜的用户。

所以，企业保护隐私数据有三个基本的逻辑：

1.一定要获得用户授权许可。
2.要注意“二次使用”的规范性。
3.保护用户的“个人识别信息”。

授权不能“诱导”，更不能“绑架”。 数据谁来用，用在哪，什么时候用，永远都是用户的权利。 对于隐私，要谨慎，再谨慎。 小心，再小心。

那我们自己呢？

作为个人，不要轻易提供数据。 在必要的情况下，尽量和值得信赖的公司合作。 不要为了一些小功能，在没听过的APP和网站上留下自己的隐私，留下被骚扰甚至被诈骗的风险。

这篇文章，是写给每一位用户，希望能重视对隐私数据的保护，以防被滥用。更是写给所有企业、创业者和我自己，要对数据的拥有者，永远心怀尊重和敬畏。


（点击图片了 解详情） 咨询电话： 张老师 13691068085 微信：zal304904871

订阅咨询：国宏老师 010-88232893，微信：13611104780