App找你要權限，能給嗎？_風聞

你擔心過被人肉搜索嗎？

隨着互聯網技術的發展，曾經看來與普通人毫不相干的“人肉搜索”，門檻日漸降低，似乎任何人都可以用各自的手段對任意對象進行查詢挖掘，信息完善的速度之快，超乎想象。

疫情期間的江蘇常州法庭，一位女速記員因為“長得漂亮”意外走紅網絡，而後被人們掘地三尺挖出全部資料，包括本人和家人的身份資料、網絡賬號和網絡言論，私生活完全泄密。

人肉搜索的暴力背後，更不消提及在數字經濟時代的個人隱私，被不良商家視為可以倒賣的對象和牟取暴利的黑色產業早已不是什麼怪事。

畢竟，作為現代人，想不被收集信息都難。

“電子商務服務收集的用户個人信息敏感程度普遍較高。”中國信息通信研究院2020年3月發佈的《“互聯網+行業”個人信息保護研究報告（2020年）》指出，無論是通用的商品與服務，還是特別類型商品與服務，電子商務因為涉及交易和物流等必要環節，均可能需要收集“用户賬户資金、交易訂單、身份證件信息、家庭住址”等個人敏感信息。

當然，和新興其他社會問題一樣，個人隱私保護也很快引起了民眾的廣泛關注。尤其是在疫情這樣的特殊時期，疫情電信大數據分析模型的應用，在為智慧城市治理和抗疫帶來了便利，提高了效率，改善了生活質量。

然而，這些技術的存在與發展依賴於大規模的詳細個人數據，收集和共享這些數據的過程則引發了人們對於個人隱私泄漏的擔憂。

孫汝亮丨作者

放大燈團隊 | 策劃

1

人們對於隱私的擔憂首先來自於信息的不對稱。

當下社會對於數字技術的使用讓人們能夠時刻都能感知到自己的數據正在被收集和使用，然而再加上技術的可解釋性到人都能理解的狀態，基於這樣的不對稱，人們也就自然而然地形成了對於數據隱私的擔憂。

“數據被黑產倒賣這種細思極恐的事，老百姓現實生活中是有切實體感的，大家都會擔心自己也可能會成為被害人中的一員。這種怕成為被害者的焦慮也是大家談論隱私的最初動因。”螞蟻集團首席隱私官聶正軍告訴放大燈團隊（ID：guokr233）。

隨着技術的發展，隱私的概念也在變化，但很多人對於隱私的認知還停留在過去、在一種非理性的階段：比如在生活中很多人總是會把隱私和個人信息混為一談，認為只要是我的個人信息都是我的隱私，認為當下就是“用隱私換取便利”的時代。

的確，生活中似乎充滿着“用隱私換便利”的例子。以網約車為例，上述《“互聯網+行業”個人信息保護研究報告（2020年）》中指出：

為滿足運營網約車的基本要求，網約車在提供服務過程中需要獲取個人身份以進行實名制認證和安全保護，需要獲取位置以提供叫車服務，需要獲取支付信息以完成訂單支付。衍生出的常去地點、軌跡信息、出行偏好屬於相對敏感的個人信息，且在用户使用服務過程中需要持續獲取“位置”等信息以提供必要的行程計費和安全保障等基礎服務。

這難道還不是用“隱私換便利”嗎？剛剛出爐的《民法典》已經從法律層面回答了把這個問題：不能簡單的把個人信息等同於個人隱私。

2020年5月28日，十三屆全國人大三次會議表決通過的《民法典》在人格權編中設“隱私權和個人信息保護”專章強化個人隱私權的保護，並對“隱私”和“個人信息權益”進行了明確區分。

“《民法典》做出的區分，反映了個人信息在個人利益和公共利益上面其實是有明確價值取向的。在享受服務的過程中提供必要且合理的個人信息，和犧牲自己的隱私為代價換取服務不是一碼事。”在法務合規領域積累了近20年經驗的聶正軍解讀道。

那麼隱私和個人信息到底有何區別和聯繫？“簡單概括來説，《民法典》規定並不是所有的個人信息都是隱私，個人信息裏面的一部分可能會是隱私；同時，也不是所有的隱私都是個人信息。”

聶正軍指出，《民法典》中界定的的隱私由私密空間、私密活動和私密信息三部分構成，其中私密信息的部分可能跟個人信息相關；個人信息則相對廣泛，能夠單獨或者與其他信息結合識別特定個人的身份或者反映特定個人的活動情況的各種信息都叫個人信息，比如説像電話、手機號、地理位置信息等等。

其中，個人信息又分為個人敏感信息和非個人敏感信息**。**一旦泄露就可能危害個人的人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇的信息叫敏感信息，而敏感信息也是最有可能和私密信息之間在某些範圍裏面重合的。

不只是民間分不清“隱私”與“個人信息”，在《民法典》出台前，法院對個人信息民事權益的法律屬性也存在一定的爭議，有的法院認為個人信息權益屬於隱私權，有的法院認為屬於名譽權，有的則直接表述為個人信息權益。

事實上，針對近年來大眾對隱私問題的擔憂，世界各國已經紛紛開始出台相關的隱私法案，比如歐洲《通用數據保護條例》（General Data Protection Regulation，GDPR），美國《加州消費者隱私法案》（California Consumer Privacy Act，CCPA）等，要求在使用、分享、傳播這些數據之前，需要對數據進行匿名化處理，或是隻公開完整數據集的一小部分樣本。

據統計，截至目前全球已經有一百多個國家已經或者是正在制定專門的隱私法，中國也不例外。值得指出的是，儘管很多人都認為中國的隱私保護是滯後於全球的，但中國的起步並不晚。

“民法典對個人信息權益保護和隱私權的清晰界定，有助於大眾對於隱私問題的討論逐漸迴歸理性，這是我國在隱私保護立法層面的最新進展之一。我們作為企業，在保護用户隱私、幫助用户提升隱私意識方面也在一直努力着。”聶正軍説。

2

“中國公司在全球化的過程中，經常遇到隱私風險的挑戰，也經常被貼上中國企業貼上不注重隱私保護的標籤，但其實無論是隱私保護意識還是自律行動上，中國公司的隱私保護能力並不落後，甚至部分企業是超前的。不僅如此，中國的消費者對於隱私保護的關注，並不亞於海外的消費者。”聶正軍認為。

中國其實早在2012年12月28日就開始施行了《關於加強網絡信息保護的決定》，首次以法律的形式明確規定保護公民個人身份和涉及公民個人隱私的電子信息，並要求監管部門採取措施，防止信息的非法獲取、出售及其他違法行為。

4年後的2016年11月7日，全國人大常委會通過了《網絡安全法》，將個人信息保護納入網絡安全保護的範疇，《網絡安全法》第四章“網絡信息安全”也被稱為“個人信息保護專章”。《網絡安全法》確立了個人信息收集使用的基本原則。具體體現在五個方面:

1.合法正當原則，網絡運營者收集使用個人信息必須出於正當目的，採用合法形式；

2.知情同意原則，要求網絡運營者公開隱私規則，獲得用户同意；

3.目的限制原則，網絡運營者不得超範圍收集、不得違法和違約收集；

4.安全保密原則，網絡運營者不得泄露毀損個人信息，要採取預防措施、補救措施防止個人信息事故；

5.刪除改正原則，網絡運營者應當應個人要求刪除違法、違約信息、改正有誤信息。

這其中已經涵蓋了如今所有關於隱私數據方面的原則，可以説當今中國包括《民法典》在內的所有隱私相關的法律、規則和標準都在根據這些原則下不斷的豐富和細化出來的。

“對於公司來説，我認為這些原則概括起來就是一句話：一切不以給用户提供價值為目的的數據採集、數據分享都是危險的，是耍流氓。”為了幫助幫助用户提升隱私保護意識，聶正軍做過支付寶客服、也上過直播，他喜歡用比喻的手法，把晦澀的法條轉化為普通用户也很容易理解的語言**。**

“我們過去打擊的那些大數據黑產其實都是在做數據的搬運工——把A地方拿到的數據賣給B的搬運工，他們從來不是説基於要給用户提供服務、提供價值而產生數據，這和正常的數據應用是有本質區別的。健康的模式是因為要給用户提供服務，在提供服務的過程中自然而然地會產生需要的用户數據，而不是意欲收集乃至售賣用户數據。”

事實上，這個原則也與近年來手機廠商與軟件公司的隱私保護理念接近——採集信息按需授權，並明確告知。

主流操作系統上，谷歌在Android 11新增了關於位置、麥克風和攝像頭的一次性權限許可。蘋果在iOS 14新增了剪貼板訪問提示、相冊讀取範圍管控、麥克風和攝像頭調用提示、模糊定位、App跟蹤管控等隱私保護的措施。

國內廠商方面，小米的MIUI 12推出照明彈、攔截網和隱匿面具：應用行為記錄將記錄App的一切敏感行為，完全禁止後台使用相機、後台喚醒，並提供空白通行證，解決“不給權限不讓用”問題，只提供虛擬的身份ID給應用。

在螞蟻集團，聶正軍所在的隱私辦獨立於業務部門之外，向董事會彙報，審核所有涉及到個人信息方面新產品正是聶正軍所在部門的職責所在。

每當有新產品送到隱私辦，聶正軍總會向產品經理拋出“靈魂四問”：

你的產品給用户創造什麼價值？

實現這個價值為什麼需要收集這些信息？

如果用户質疑產品在處理信息的合理性，你會如何解釋？

如果你或你的家人使用這款產品，會有什麼感受？

聶正軍覺得，在回答這四個問題的過程中，產品經理往往會對產品的隱私設計產生更高的追求。

“對於我來講，做隱私保護絕對不僅僅是為了符合法律和監管的要求。”他告訴放大燈團隊（ID：guokr233），“我們的目標是要讓用户能夠在使用我們產品的過程中，有好的隱私被保護的體驗，隱私保護能力也是企業核心競爭力。”

3

近期，很多國人對於隱私問題的感知都來自疫情下的大數據防疫服務。

無所不在的健康碼在公共場所管理中發揮了防疫的巨大作用，同時也難免有人擔心自己的隱私安全。

同樣的問題在國外也存在。據《環球時報》報道，疫情期間，一些美國民眾發現自己的智能手機中多了一款名為“Contact Tracing”（接觸者追蹤）的軟件。

該軟件由谷歌和蘋果聯手推出，能夠在用户與新冠病毒肺炎感染者有接觸時發出通知，而且加入的人越多，對病毒的追蹤效果越好。

美國《外交雜誌》最近援引哈佛大學國際事務教授斯蒂芬·沃爾特的話説，在後疫情時代，隱私問題將日益凸顯，比如，在許多國家，人們旅行時要習慣接受體温測試甚至咽拭子取樣，要習慣攝像頭，要習慣地理位置留下記錄，而有些時候，此類信息的使用並不總限於公共衞生事務。

為此，很多美國民眾羣情激憤，甚至表現出對於個人隱私數據泄漏的恐慌和焦慮。

但從技術角度，民眾但這種對隱私數據的採集和合理的應用其實和隱私數據被侵害是兩碼事：一方面，授權採集，不意味着隨時採集；另一方面，合規的數據採集者所處理的往往也是數據特徵而不是數據本身，所以不會存在隱私泄漏問題。

類似的由於對技術原理的陌生所導致的擔憂在國內也存在。

“一個誤解是，當用户在App上面剪切了一段文字，他可能會認為，有我剪切板權限的App都會“知道”我剪切的內容到底是什麼並把這個信息給拿走。”聶正軍説。

但實際上並非如此，舉個例子，假如用户從微信聊天記錄複製了一個火星文字一般的支付寶口令，然後打開支付寶App，那麼首先是由手機端App本地去識別這個內容到底是不是一個口令、符合不符合特有的格式或者是規則。

只有在符合的情況下，雲端才會讀取和響應；如果不符合，雲端就不會去讀取用户剪切的具體內容。這一撥操作只是為了方便用户實現通過微信等通訊工具分享口令，實現領紅包或者分享領優惠券這樣的功能。

為了讓普通人也能更好的理解技術背後的原理，並瞭解更多保護隱私安全的方法，支付寶、阿里公益和果殼將共同舉辦一些隱私安全科普活動，同時也邀請一些權威的平台，從各個角度和公眾分享隱私安全相關的知識。

“我們希望讓大家能夠增進對隱私保護相關知識的瞭解，少一些焦慮，多一些思考。“聶正軍對放大燈團隊（ID：guokr233）表示。

最後，作為普通用户在使用互聯網產品過程中，要如何保護自己的隱私呢？

聶正軍給出了以下幾點建議：

謹慎授權，互聯網產品申請用户授權的環節，仔細關注需要的具體數據內容，並根據場景判斷是否是獲得服務所必須的信息，確保最小化授權。

提高安全意識，警惕仿冒網站和惡意程序。

謹慎點擊陌生鏈接，不要隨便輸入賬號密碼及其他個人信息。

不在社交平台上過多暴露個人信息。

不同網站使用不同的複雜密碼，同時不要通過任何明文方式記錄賬號密碼信息。

謹慎對待涉及填寫個人信息的問卷和網頁，不要隨意填寫。

遇到“熟人”索要個人信息的，應通過當面或視頻、電話等方式核實身份，不要輕易提供。