用户个人信息泄露:失去隐私,我们就是在危险的裸泳-凯发k8游戏

用户个人信息泄露:失去隐私,我们就是在危险的裸泳
作者:网易新闻 发布时间:2020-08-05

上周五,抖音、微信读书被判侵犯用户权益。

隐私泄露问题,一直是屡禁不绝。垃圾短信短信满天飞、用户信息被泄露、莫名其妙被自动关注等等,当我们在网上畅游时,无数双眼睛在暗处觊觎着我们的个人信息。

在互联网时代,我们前所未有的透明。

我曾写过一篇文章讨论个人信息隐私,今天再次与你分享,希望能引起你对隐私保护的重视。

本文首发于2019年。

这两天在央视看到一则新闻:

“截至目前,警方共立案侦查侵犯公民个人信息案件29起,抓获犯罪嫌疑人288人,缴获公民个人信息4.68亿多条,涉案金额9400多万元。”

震惊之余,脊背发凉。

我们有太多公司,不知道数据使用规范,不清楚数据使用边界,不懂得保护用户隐私。

有些公司甚至因为贩卖用户隐私发了财。但有些人却因为丢掉用户隐私丧了命。

失去了隐私,我们在互联网的虚拟世界里,就是在危险的裸泳。

— 1 —

除了被打击的这几家“科技公司”之外,最近还有一件事,引起轩然大波。

上市公司“51信用卡”,被警方突击清查办公地点。

警方通报:杭州警方对51信用卡委托外包催收公司涉嫌寻衅滋事等犯罪行为开展调查。

51信用卡委托外包催收公司冒充国家机关、采取恐吓、滋扰等手段进行“暴力催收”,让人恐惧。

警方重拳出击,侦办案件。

但在“暴力催收”的背后,就意味着泄露用户的信息。否则没有用户信息,被委托的公司如何进行催收?

根据网上传言,51信用卡还被某银行的技术监控发现,没有经过银行和用户的同意,就使用爬虫程序对银行用户的数据进行抓取。

这就是在用户没有授权的情况下“违法”甚至“犯罪”抓取用户信息,然后进行营销。

如果这是真的,这家公司就是随意爬取数据,泄露用户信息,让用户处于被电话骚扰甚至是暴力催收的风险中。

怎么办?

看到这则新闻,我倒吸一口凉气。

— 2—

在51信用卡被警方突击清查之后,没过多久,我又在网上看见:

李小璐和pgone的视频被疯传。

可能,很多人在这个平常的一天里,会把这个视频当作一次“吃瓜”,调侃几句明星的“娱乐新闻”,一扫而过。

但在看到这个视频后,我真的感受到一丝恐惧,脊背发凉。

因为据说视频是去年在抖音拍的,视频保存在草稿箱里,没有上传。

没有上传的视频,是怎样外传,然后又被疯传的呢?

后来有人留言,说视频是抖音员工进入账户从后台直接下载下来的。 

10 副本.jpg

(图片来自网络)

抖音官方回应,传言不实。

我想我愿意相信抖音。我希望这不是真的。这当然不要是真的。

否则公司可以随意进入用户账号,直接下载用户的隐私内容,这太可怕了。

思细恐极。

— 3 —

看完这几则事件,我也想起自己的一次经历。

2013年,我出国旅行。下飞机后,我打开谷歌地图查找我要住的酒店。

酒店我查到了。但同时,啪的一声出现一个弹窗。弹窗显示:今天12日。下午3点以后可以入住。住3晚。15日离店。

11 副本.jpg

我很震惊:谷歌怎么知道的?

我只是想查酒店的地址,你怎么知道我住这个酒店?怎么知道我今天入住?怎么知道我何时退房?

我又是倒吸一口凉气。

它也很诚实地告诉我:

我们扫描并分析了你所有邮件,看到一封酒店确认函。所以知道你住哪里、住多久。希望能恰如其分地提醒你,对你提供帮助。

谷歌可能觉得这是便利,但我觉得这是隐私。

谷歌“拆过”并且“看过”我的所有邮件,这也意味着,它知道我的银行账单、航班信息、酒店信息等等所有隐私数据。

我信任谷歌。

但是,难免心生恐惧。

因为在互联网世界,我们如此透明,被别有用心之人发现,几乎无处躲藏。

怎么办?

万一呢?

— 4 —

在生活中,我们可能不得不提供一些数据。而保护用户隐私,是企业最基本该做的事。我想,企业至少可以做三件事,来保护用户的数据。

至少,提高保护的概率吧。

这三件事,也许都不难。很多公司只是不了解,或者没意识到。希望这三个基本做法和原则,能帮助一些公司,也帮助你更好地保护隐私。

---

第一,一定要获得用户授权许可。

企业要有清晰的认知:数据的所有权,是用户的。

用户的头像、昵称、身高体重、住在哪个酒店、坐过哪趟航班……所有数据,都是用户自己的。

既然数据是用户的,那么想为用户提供服务,获得用户数据,就要申请授权。

不能“诱导”,更不能“绑架”。

我记得自己曾经打开一个网站,它希望我授权收集数据。

我点击“不同意”。

然后网站弹出来一个对话框:我们会好好保护你的数据的。你放心,你重选。

这个网站给了用户一个没有的选择。这不是选择,这是强行告知。

如果坚持保护自己的隐私,我唯一的选择,就是选择不用。

12 副本.jpg

— 5 —

第二,要注意二次使用(secondary usage)的规范性。

什么意思?

用户对数据的授权不是无限的,一旦超出当时获得数据的使用目的和范围,简单来说就属于“二次使用”。

比如我们去医院用电子挂号系统,医院就收集了我们的数据。

但是之后我们往往会接到推销电话,问你要不要买奶粉、买尿片、买儿童教育课程。

这可能就是医院把数据泄露给别人来用。也许医院觉得这些产品和服务对用户有价值(当然更多是明知故犯),但是,用户没有授权。

用户只授权在挂号就诊服务时收集使用数据,没有允许医院对自己的数据进行“二次使用”。

所以二次使用,同样需要明确告知用户,征询同意。

即使同意,用户在任何时候,也有取消授权数据二次使用的权利。

---

之前zao app,就因为用户的隐私协议遭到口诛笔伐。

除了把协议条款隐藏得很深,没有醒目标注之外,协议内容也引起巨大争议。

13 副本.jpg

(图片来自网络)

在原来的用户协议中,出现一系列“全球范围”、“完全免费”、“不可撤销”、“永久”等字眼。

这是把用户的安全和隐私,置于巨大风险中。

如果zao“信息泄露”,会被坏人拿去犯罪;如果zao“图谋不轨”,用你的个人信息和肖像权从事黑产,后果同样不堪设想。

这太离谱了。

后来zao道歉并修改了用户协议,但这依然给所有企业和用户提了个醒:

数据除了当时授权许可的用途之外,不能“二次使用”。

隐私数据,永远都是用户的。谁来用,用在哪,什么时候用,永远都是用户的权利。

— 6—

第三,要保护用户的个人识别信息(pii——personal identification information)。

什么是个人识别信息?

就是通过这些数据,可以直接或者间接识别你是谁。比如姓名、地理位置、社会身份的相关信息等等。

为什么说“个人识别信息”是绝对的隐私?

我在《5分钟商学院·实战篇》中举过一个例子:

一个人向某家机构借了一笔钱,他伪造了家庭住址等各种信息,只留下真实的手机号码。拿到钱后,注销了手机号,消失了。

他以为自己万无一失。可突然有一天,他还是接到催债电话。他很惊讶,你是怎么找到我的?

机构说,我们与某家移动数据公司“合作”,查到你注销的手机号码,在过去使用的两年间每天登陆了哪些基站,所以基本能分析你的生活规律。

你白天去办公室。下午去接孩子放学。周末会去家附近的超市等等。

有了这些数据,我们就匹配到跟你生活规律类似的号码,也就是你现在的手机号。

请你还钱。

欠债还钱,天经地义。但问题是这家移动数据公司,怎么能同意通过出卖“个人识别信息”的方式和机构“合作”来帮助追债呢?

这是违法,甚至犯罪。

如果这个例子,变成坏人拿到这些信息呢?

如果这个例子,不是“请你还钱”,而是“请交赎金”呢?

所以,失去了隐私,我们在互联网的虚拟世界里,就是在裸泳。

---

那有一些数据,我在工作中必须用到,怎么办?

我还在微软的时候,曾经要办一次大规模的活动,想给一些可能感兴趣用户发邮件,邀请他们参加。

我去找市场部门协助,他们让我把邮件内容写好,告诉他们目标用户是谁,就可以了。

我很诧异,难道不用把符合条件的用户的邮件地址给我吗?

对不起,不能。

市场部门的同事会选择已经授权并允许数据二次使用的目标用户,用专门的工具发送。

如果告诉你邮件地址,你就掌握了用户的隐私数据。万一你去骚扰他们怎么办?不可以。

邮件地址,你可用,但不可见。你永远都看不到这些隐私。

可用,但不可见,是保护用户“个人识别信息”的重要逻辑。

这也是很多公司管理上的巨大漏洞。很多公司,只把用户隐私数据保存在一张excel表格里。

这些隐私数据当然就容易被拷来拷去,最后在网上被卖来卖去。

获利的,是那些贩卖数据的人;受伤的,是那些无辜的用户。

最后的话

所以,企业保护隐私数据有三个基本的逻辑:

1.一定要获得用户授权许可。

2.要注意“二次使用”的规范性。

3.保护用户的“个人识别信息”。

授权不能“诱导”,更不能“绑架”。数据谁来用,用在哪,什么时候用,永远都是用户的权利。对于隐私,要谨慎,再谨慎。小心,再小心。

那我们自己呢?

作为个人,不要轻易提供数据。在必要的情况下,尽量和值得信赖的公司合作。不要为了一些小功能,在没听过的app和网站上留下自己的隐私,留下被骚扰甚至被诈骗的风险。

来源:

网站地图