App找你要权限，能给吗？

你担心过被人肉搜索吗？

随着互联网技术的发展，曾经看来与普通人毫不相干的“人肉搜索”，门槛日渐降低，似乎任何人都可以用各自的手段对任意对象进行查询挖掘，信息完善的速度之快，超乎想象。

疫情期间的江苏常州法庭，一位女速记员因为“长得漂亮”意外走红网络，而后被人们掘地三尺挖出全部资料，包括本人和家人的身份资料、网络账号和网络言论，私生活完全泄密。

人肉搜索的暴力背后，更不消提及在数字经济时代的个人隐私，被不良商家视为可以倒卖的对象和牟取暴利的黑色产业早已不是什么怪事。

毕竟，作为现代人，想不被收集信息都难。

“电子商务服务收集的用户个人信息敏感程度普遍较高。”中国信息通信研究院2020年3月发布的《“互联网+行业”个人信息保护研究报告（2020年）》指出，无论是通用的商品与服务，还是特别类型商品与服务，电子商务因为涉及交易和物流等必要环节，均可能需要收集“用户账户资金、交易订单、身份证件信息、家庭住址”等个人敏感信息。

当然，和新兴其他社会问题一样，个人隐私保护也很快引起了民众的广泛关注。尤其是在疫情这样的特殊时期，疫情电信大数据分析模型的应用，在为智慧城市治理和抗疫带来了便利，提高了效率，改善了生活质量。

然而，这些技术的存在与发展依赖于大规模的详细个人数据，收集和共享这些数据的过程则引发了人们对于个人隐私泄漏的担忧。

孙汝亮丨作者

放大灯团队 | 策划

1

人们对于隐私的担忧首先来自于信息的不对称。

当下社会对于数字技术的使用让人们能够时刻都能感知到自己的数据正在被收集和使用，然而再加上技术的可解释性到人都能理解的状态，基于这样的不对称，人们也就自然而然地形成了对于数据隐私的担忧。

“数据被黑产倒卖这种细思极恐的事，老百姓现实生活中是有切实体感的，大家都会担心自己也可能会成为被害人中的一员。这种怕成为被害者的焦虑也是大家谈论隐私的最初动因。”蚂蚁集团首席隐私官聂正军告诉放大灯团队（ID：guokr233）。

随着技术的发展，隐私的概念也在变化，但很多人对于隐私的认知还停留在过去、在一种非理性的阶段：比如在生活中很多人总是会把隐私和个人信息混为一谈，认为只要是我的个人信息都是我的隐私，认为当下就是“用隐私换取便利”的时代。

的确，生活中似乎充满着“用隐私换便利”的例子。以网约车为例，上述《“互联网+行业”个人信息保护研究报告（2020年）》中指出：

为满足运营网约车的基本要求，网约车在提供服务过程中需要获取个人身份以进行实名制认证和安全保护，需要获取位置以提供叫车服务，需要获取支付信息以完成订单支付。衍生出的常去地点、轨迹信息、出行偏好属于相对敏感的个人信息，且在用户使用服务过程中需要持续获取“位置”等信息以提供必要的行程计费和安全保障等基础服务。

这难道还不是用“隐私换便利”吗？刚刚出炉的《民法典》已经从法律层面回答了把这个问题：不能简单的把个人信息等同于个人隐私。

2020年5月28日，十三届全国人大三次会议表决通过的《民法典》在人格权编中设“隐私权和个人信息保护”专章强化个人隐私权的保护，并对“隐私”和“个人信息权益”进行了明确区分。

“《民法典》做出的区分，反映了个人信息在个人利益和公共利益上面其实是有明确价值取向的。在享受服务的过程中提供必要且合理的个人信息，和牺牲自己的隐私为代价换取服务不是一码事。”在法务合规领域积累了近20年经验的聂正军解读道。

那么隐私和个人信息到底有何区别和联系？“简单概括来说，《民法典》规定并不是所有的个人信息都是隐私，个人信息里面的一部分可能会是隐私；同时，也不是所有的隐私都是个人信息。”

聂正军指出，《民法典》中界定的的隐私由私密空间、私密活动和私密信息三部分构成，其中私密信息的部分可能跟个人信息相关；个人信息则相对广泛，能够单独或者与其他信息结合识别特定个人的身份或者反映特定个人的活动情况的各种信息都叫个人信息，比如说像电话、手机号、地理位置信息等等。

其中，个人信息又分为个人敏感信息和非个人敏感信息。一旦泄露就可能危害个人的人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇的信息叫敏感信息，而敏感信息也是最有可能和私密信息之间在某些范围里面重合的。

不只是民间分不清“隐私”与“个人信息”，在《民法典》出台前，法院对个人信息民事权益的法律属性也存在一定的争议，有的法院认为个人信息权益属于隐私权，有的法院认为属于名誉权，有的则直接表述为个人信息权益。

事实上，针对近年来大众对隐私问题的担忧，世界各国已经纷纷开始出台相关的隐私法案，比如欧洲《通用数据保护条例》（General Data Protection Regulation，GDPR），美国《加州消费者隐私法案》（California Consumer Privacy Act，CCPA）等，要求在使用、分享、传播这些数据之前，需要对数据进行匿名化处理，或是只公开完整数据集的一小部分样本。

据统计，截至目前全球已经有一百多个国家已经或者是正在制定专门的隐私法，中国也不例外。值得指出的是，尽管很多人都认为中国的隐私保护是滞后于全球的，但中国的起步并不晚。

“民法典对个人信息权益保护和隐私权的清晰界定，有助于大众对于隐私问题的讨论逐渐回归理性，这是我国在隐私保护立法层面的最新进展之一。我们作为企业，在保护用户隐私、帮助用户提升隐私意识方面也在一直努力着。”聂正军说。

2

“中国公司在全球化的过程中，经常遇到隐私风险的挑战，也经常被贴上中国企业贴上不注重隐私保护的标签，但其实无论是隐私保护意识还是自律行动上，中国公司的隐私保护能力并不落后，甚至部分企业是超前的。不仅如此，中国的消费者对于隐私保护的关注，并不亚于海外的消费者。”聂正军认为。

中国其实早在2012年12月28日就开始施行了《关于加强网络信息保护的决定》，首次以法律的形式明确规定保护公民个人身份和涉及公民个人隐私的电子信息，并要求监管部门采取措施，防止信息的非法获取、出售及其他违法行为。

4年后的2016年11月7日，全国人大常委会通过了《网络安全法》，将个人信息保护纳入网络安全保护的范畴，《网络安全法》第四章“网络信息安全”也被称为“个人信息保护专章”。《网络安全法》确立了个人信息收集使用的基本原则。具体体现在五个方面:

1.合法正当原则，网络运营者收集使用个人信息必须出于正当目的，采用合法形式；

2.知情同意原则，要求网络运营者公开隐私规则，获得用户同意；

3.目的限制原则，网络运营者不得超范围收集、不得违法和违约收集；

4.安全保密原则，网络运营者不得泄露毁损个人信息，要采取预防措施、补救措施防止个人信息事故；

5.删除改正原则，网络运营者应当应个人要求删除违法、违约信息、改正有误信息。

这其中已经涵盖了如今所有关于隐私数据方面的原则，可以说当今中国包括《民法典》在内的所有隐私相关的法律、规则和标准都在根据这些原则下不断的丰富和细化出来的。

“对于公司来说，我认为这些原则概括起来就是一句话：一切不以给用户提供价值为目的的数据采集、数据分享都是危险的，是耍流氓。”为了帮助帮助用户提升隐私保护意识，聂正军做过支付宝客服、也上过直播，他喜欢用比喻的手法，把晦涩的法条转化为普通用户也很容易理解的语言。

“我们过去打击的那些大数据黑产其实都是在做数据的搬运工——把A地方拿到的数据卖给B的搬运工，他们从来不是说基于要给用户提供服务、提供价值而产生数据，这和正常的数据应用是有本质区别的。健康的模式是因为要给用户提供服务，在提供服务的过程中自然而然地会产生需要的用户数据，而不是意欲收集乃至售卖用户数据。”

事实上，这个原则也与近年来手机厂商与软件公司的隐私保护理念接近——采集信息按需授权，并明确告知。

主流操作系统上，谷歌在Android 11新增了关于位置、麦克风和摄像头的一次性权限许可。苹果在iOS 14新增了剪贴板访问提示、相册读取范围管控、麦克风和摄像头调用提示、模糊定位、App跟踪管控等隐私保护的措施。

国内厂商方面，小米的MIUI 12推出照明弹、拦截网和隐匿面具：应用行为记录将记录App的一切敏感行为，完全禁止后台使用相机、后台唤醒，并提供空白通行证，解决“不给权限不让用”问题，只提供虚拟的身份ID给应用。

在蚂蚁集团，聂正军所在的隐私办独立于业务部门之外，向董事会汇报，审核所有涉及到个人信息方面新产品正是聂正军所在部门的职责所在。

每当有新产品送到隐私办，聂正军总会向产品经理抛出“灵魂四问”：

你的产品给用户创造什么价值？

实现这个价值为什么需要收集这些信息？

如果用户质疑产品在处理信息的合理性，你会如何解释？

如果你或你的家人使用这款产品，会有什么感受？

聂正军觉得，在回答这四个问题的过程中，产品经理往往会对产品的隐私设计产生更高的追求。

“对于我来讲，做隐私保护绝对不仅仅是为了符合法律和监管的要求。”他告诉放大灯团队（ID：guokr233），“我们的目标是要让用户能够在使用我们产品的过程中，有好的隐私被保护的体验，隐私保护能力也是企业核心竞争力。”

3

近期，很多国人对于隐私问题的感知都来自疫情下的大数据防疫服务。

无所不在的健康码在公共场所管理中发挥了防疫的巨大作用，同时也难免有人担心自己的隐私安全。

同样的问题在国外也存在。据《环球时报》报道，疫情期间，一些美国民众发现自己的智能手机中多了一款名为“Contact Tracing”（接触者追踪）的软件。

该软件由谷歌和苹果联手推出，能够在用户与新冠病毒肺炎感染者有接触时发出通知，而且加入的人越多，对病毒的追踪效果越好。

美国《外交杂志》最近援引哈佛大学国际事务教授斯蒂芬·沃尔特的话说，在后疫情时代，隐私问题将日益凸显，比如，在许多国家，人们旅行时要习惯接受体温测试甚至咽拭子取样，要习惯摄像头，要习惯地理位置留下记录，而有些时候，此类信息的使用并不总限于公共卫生事务。

为此，很多美国民众群情激愤，甚至表现出对于个人隐私数据泄漏的恐慌和焦虑。

但从技术角度，民众但这种对隐私数据的采集和合理的应用其实和隐私数据被侵害是两码事：一方面，授权采集，不意味着随时采集；另一方面，合规的数据采集者所处理的往往也是数据特征而不是数据本身，所以不会存在隐私泄漏问题。

类似的由于对技术原理的陌生所导致的担忧在国内也存在。

“一个误解是，当用户在App上面剪切了一段文字，他可能会认为，有我剪切板权限的App都会“知道”我剪切的内容到底是什么并把这个信息给拿走。”聂正军说。

但实际上并非如此，举个例子，假如用户从微信聊天记录复制了一个火星文字一般的支付宝口令，然后打开支付宝App，那么首先是由手机端App本地去识别这个内容到底是不是一个口令、符合不符合特有的格式或者是规则。

只有在符合的情况下，云端才会读取和响应；如果不符合，云端就不会去读取用户剪切的具体内容。这一拨操作只是为了方便用户实现通过微信等通讯工具分享口令，实现领红包或者分享领优惠券这样的功能。

为了让普通人也能更好的理解技术背后的原理，并了解更多保护隐私安全的方法，支付宝、阿里公益和果壳将共同举办一些隐私安全科普活动，同时也邀请一些权威的平台，从各个角度和公众分享隐私安全相关的知识。

“我们希望让大家能够增进对隐私保护相关知识的了解，少一些焦虑，多一些思考。“聂正军对放大灯团队（ID：guokr233）表示。

最后，作为普通用户在使用互联网产品过程中，要如何保护自己的隐私呢？

聂正军给出了以下几点建议：

谨慎授权，互联网产品申请用户授权的环节，仔细关注需要的具体数据内容，并根据场景判断是否是获得服务所必须的信息，确保最小化授权。

提高安全意识，警惕仿冒网站和恶意程序。

谨慎点击陌生链接，不要随便输入账号密码及其他个人信息。

不在社交平台上过多暴露个人信息。

不同网站使用不同的复杂密码，同时不要通过任何明文方式记录账号密码信息。

谨慎对待涉及填写个人信息的问卷和网页，不要随意填写。

遇到“熟人”索要个人信息的，应通过当面或视频、电话等方式核实身份，不要轻易提供。