Matrix 首页推荐 

Matrix 是少数派的写作社区，我们主张分享真实的产品体验，有实用价值的经验与思考。我们会不定期挑选 Matrix 最优质的文章，展示来自用户的最真实的体验和观点。 

文章代表作者个人观点，少数派仅对标题和排版略作修改。

在信息时代，谈论「隐私」，常常让人陷入一种无力感：

隐私保护年年说，但是我们的信息全世界早就知道了，电话推销的都能准确说出个人信息。

大数据时代 / 网络时代没有隐私。

你做什么人家都知道，没必要再费这些劲儿，没必要。

类似的说法屡见不鲜，它们正在逐渐影响我们的态度——我们不再主动防护隐私，而是开始形成一种「隐私已死」的悲观认知，接受一种「反正都这样」的麻木。的确，信息时代的隐私风险就好比工业时代的污染风险，无法彻底消除。但是正如环保不是要求我们回到前工业社会一样，隐私也不应该是一个非 0 即 1 的开关，我们应该认识到我们可以选择拥有多大程度的隐私。而我们可以拥有多大程度的隐私，取决于我们如何理解并行动。

在开始之前，有必要先澄清几个常被混淆的基本概念：

• 隐私：是指不愿为他人知晓的私密空间、私密活动、私密信息。隐私得到保护意味着，只有经过你允许的主体才能查看你愿意共享的那部分个人信息。
• 安全：在这里我们特指信息安全。是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。¹
• 匿名：是指个人信息经过处理无法识别特定自然人且不能复原的过程。²

这三者虽然相关，也涉及到一些重叠的领域，但并不等同。我也曾觉得这些名词定义晦涩难懂，但后来我发现，通过类比成线下生活中的一些案例来理解会好很多，我把它称为现实类比法。在本系列文章里，我会多次运用这个好用的方法。接下来，我将以四个常见认知误区来展开。

误区一：看到个性化内容说明自己被监控了

一个传播很广的话题就是「手机偷听」，相关方面其实有很多人从技术和成本层面解释了通过麦克风窃听并收集用户偏好既不可行也没必要。监管机构对此进行的调查也证实，对于大多数的主流 App，都不存在麦克风权限滥用的情况。总之，有必要再次阐明的是，在隐私保护法规日益完善的当下环境，看到精准的个性化内容，不等同于相关主体直接接触到了个人信息。

让我们先一步步剖本溯源，App 为什么要推送个性化内容呢？App 是要盈利的，那如何盈利呢？传统且常见的互联网公司的打法是「免费 + 广告」，用免费使用的模式吸引用户，有了用户流量后，从在 App 上投放广告的企业那儿收取广告费用。

比起向所有人统一投放广告，向感兴趣的人定向展示相应的广告，效果会好得多；广告效果越好，广告主就更愿意出钱投放，App 从中获得的收入也就越多。而个性化程度做得越好，广告效果就越好。

为了提高个性化程度，最直接的办法就是让用户直接说明：我是男性还是女性、年龄大致在哪个区间、平时更喜欢哪些内容（例如数码、母婴、游戏、财经）、有没有孩子、用的是高端手机还是入门机、喜欢网购什么品类、是否常看短视频或听播客、有没有健身、旅游、养宠物等行为偏好……

不过，这样子看起来像在让用户做调查表，用户大概率没有耐心勾选一份有着几千个标签选项的表。那就利用算法来自动打上标签好了，比如用户给 App 填写的数据就可以先扔给算法，打上一些标签进行初步的分类；用户点赞了某篇文章，App 把这篇文章的标签也给这名用户加上；用户付款了，App 会看看这个商品在我们的分类表中是属于哪一类的，把这个类别标签给用户加上……随着用户使用的不断深入，个性化推荐的内容也会越来越精准。

等等，那个人信息呢？嗯，好问题，我们的用户太多了，我好像不记得这位叫李大明还是李明的用户，到底是住在 X 市的 A 小区还是 B 小区了，也不记得买的到底是 C 品牌的登山鞋还是 D 品牌的登山鞋了……不过，管他呢，我们去弄清楚用户住 A 小区还是 B 小区、买 C 品牌登山鞋还是 D 的有什么意义呀？我们已经知道用户可能对登山鞋感兴趣，那我们就优先将登山鞋的广告推给他，嗯再看看有没有发往 X 市包邮的，优先推送。 

我们可以看到，平台对个人信息的贪婪并不是个人信息本身能让平台盈利，而是通过个人信息构建更精细的用户画像，利用画像来优化广告投放成效，从投放广告的企业那儿赚钱。

而出售个人信息是无可争议的侵犯公民隐私的违法犯罪行为，绝大多数合法经营的企业不会这样做，也没有必要。比起几毛一条的个人数据，为什么不多吸引一些企业来投广告呢？

换言之，获取用户画像就足够了，理论上没必要获取个人信息。但是从用户体验的角度出发，没有用户愿意一点开应用的第一件事就是做一份冗长的调查表，将几千个标签逐个检查、勾选。因此通过行为算法来判断不仅更高效，对于用户的体验也更好。

当然，并不是说隐私风险就和互联网平台方无关了。尽管平台方也好，广告投放者罢，对于用户个人信息本身都没有兴趣；但是由于平台要考虑用户体验，且用户喜欢便利，确确实实提供了个人信息，上传到了平台方服务器上。

如果平台方采取了安全可靠的数据保护措施，根据前文我们的定义：「实现隐私是指确保你的信息只能被你允许查看的人查看」，此时此刻我们的隐私并没有受到侵犯，因为只有我们允许的平台使用了我们允许用的信息。

但如果平台方的数据保护做得不够好，数据被窃取，那么此时此刻，这些个人信息便被没有授权的人看到或使用，此时此刻用户隐私便受到了侵犯。

也就是说平台对用户数据的保护十分重要，个人对此能做的事不多。但是我们可以减少给平台提供信息，减少信息授权，减少授予的手机权限、减少攻击面、选择可靠的大平台等等。但很可惜的是，很多人抱着「躺平」「嫌麻烦」的心态不愿意关注这些操作，相当于是把本就不多的能控制的东西弃之不顾。

小结：个性化推荐靠的是「画像」，而不是「偷听」。

误区二：在别处看到搜索过的东西说明被监控了

但你可能还会有疑问：「为什么我在一个平台上搜了个商品，另一个平台马上就给我推相关广告？这难道不是在监视我嘛？」说实话，对于大多数用户来说，其实不反感这种个性化的内容，只是反感由此产生的「被监视」的感觉。但如果我们类比一个线下的例子，或许会心安很多。

比如我习惯去同一家理发店约同一名理发师，由于之前我们进行过交流，理发师已经了解了我偏好的发型，在之后理发前就不需要过多赘述，理发师会默认按我的喜好去修剪。这就是一种个性化，但理发师其实并不知道我的姓名（填的化名），不知道我的住址，不知道我的身份号码等等。

在一些业内文章里，有人梳理过个性化让用户产生「被监控」感觉的原因：

• 即时性太强。比如用户刚刚在小红书搜索了火锅，在大众点评上立刻就能刷到火锅店推荐。
• 信息利用的颗粒度过细。比如在雾霾天看到电商 App 上关于空气净化器的推荐内容。
• 上下文定向广告禁止限制不足可能超出某些用户的预期。

我认为这里面的第一点其实和第三点反映的核心问题是一样的。对于第一点，我觉得关注的重点错了，关键并不是「时间」，而是「位置」，即第三点所述「上下文定向广告禁止限制不足可能超出某些用户的预期」。再次运用现实类比法，想象一下，你到一家某手机店购买了某品牌手机，店员顺便向你推荐了对应型号的手机壳膜。

这种情况对于大多数人而言可能不会感到太冒犯，不想加购直接拒绝就好。但是如果我们将买到的新手机揣进兜里，走出店门，没走几步就遇到了一名陌生人向你兜售同型号的手机壳膜，那你会不会觉得毛骨悚然、不寒而栗呢？天啊，太可怕了，这个人是不是一直在跟踪我的行程？

注意到了吗，这里的关键在于「跨主体」。在没走出店门前，店员如果向我推销对应型号的手机壳，我们不会觉得被跟踪。因为这发生在同一家店，我们在这名店员眼皮子底下买了这款手机，所以店员知道我买了新手机以及新手机的型号是再正常不过的事情。大多数人确实习惯买了手机之后再购买对应的手机壳膜，那店员看见你买了这款新手机，顺带推销一下对应的壳膜，也是再正常不过的事情。

而一个街上突然冒出来的陌生人，他怎么能知道我买了手机？他怎么能知道我买了这个品牌、这个型号的手机？显然，陌生人和店员是两个不同的主体，要么前者一直在偷偷跟踪我，要么是后者把我的信息共享给了前者，总之个人信息或根据个人信息构建的个人画像发生了跨主体共享。通过延迟推送相关内容并不能根本上解决这种被跟踪感，这相当于第二天你刚走出家门就看见推销手机壳膜的陌生人一样，只不过是延迟恐惧罢了。

对于第二点，信息利用颗粒度过细而言，我觉得这更多的是很多人对于隐私风险的认知与掌控不足。平台知道用户所处地区的天气状况，是因为通过GPS定位和IP地址了解了用户的位置。这种权限很可能就是用户在不知不觉中授权的，而且平台往往有十分正当而又贴心的理由，像是「授予定位权限，可以在下单时更快捷地输入收货地址哦」。

但在其隐私政策的某个位置里，平台会明确地写出会「利用……GPS（如有）信息，提供个性化的广告体验」。有点儿类似于打了个信息差，很多人只想到了给定位权限方便自己填写收货地址，并且也以为平台只是将其用来快捷地得到收货地址，没有意识到位置信息对于个性化广告的价值，也没有联想到会被用于日后的某一个雾霾天，恰到好处地给你推送空气净化器。

除此之外，还有很多零零碎碎的信息，比如 Wi-Fi 的 MAC 地址、蓝牙标识符、手机型号、运营商、陀螺仪、高度计等等，单独拿出来似乎想不出有什么用的信息，结合起来却可以把用户的画像描绘得越来越栩栩如生。当然，并不是说这是用户的错，软件方往往也不会将这些细致的权限每一个都单独提供「选择退出」的选项，也需要承担一定的责任。

小结：「跨主体」共享与拼接画像，才是被跟踪感的真正来源。

误区三：实名制就别想有什么隐私

说到「身份识别」，很多人会联想到「实名制」——但实名就意味着隐私消失了吗？没有。这种是典型的把「隐私」与「匿名」概念混淆的情况。「匿名」是指没有长期稳定的可用于识别的唯一身份。以线下场景的刷脸支付售货机为例，假设售货机只需要识别出「某张脸」即可，不进一步核实是否真人，对应的身份证信息等个人信息。这种情况下，我就算录入一个带着白色假面的面容，也可以完成刷脸支付。售货机完全不考虑是不是假面，也不考虑面具下的真实面容和真实身份是什么，仅仅是识别到了曾经录入过的「白色假面」的图像信息，就自动使用该「白色假面人」的账户付款。

下一次我可以不再使用白色假面，换一个新账户，录入蓝色的假面，再次付款。此时售货机不知道我使用了两次，只知道之前的「白色假面人」很久没来过消费了，倒是来了一名戴蓝色假面的「新用户」。此时就实现了「匿名」。

但在现实中，别人可能会仿造白色假面盗刷我的账户，出于安全考虑，此类涉及钱财交易的场景会要求进行实名（当然还有金融合规等其他原因，这里不加以展开），通过独特性很强的瞳孔特征，以及真人活体检测等手段来防止别人盗用面容。

此时就没有实现「匿名」。但同前面说的类似，售货机关注的是可以和其他人区分开的独特瞳孔特征，并无意使用面容照片本身。这种情况下，售货机知道这是一名独一无二的顾客，可以根据消费次数、购买历史记录来给我加标签，以及提供个性化服务。但只要售货机没有把我的独特面部信息或者面部照片共享出去，也没有被他人侵入系统盗取面容信息，那么还是满足隐私的定义的。

小结：实名并不等于隐私不存在了，关键要看个人信息是否只被获得授权的主体所使用，且被妥善保护。

误区四：隐私只有 0 和 1

很多人在见到信息泄露的事件后，会产生极端化的想法：要么完全透明、彻底躺平；要么彻底断网、与数字世界隔绝。这种思维背后，其实是把隐私看作「全无或全有」的开关。

你可能注意到，前文反复出现了类似的表述。我们为了让某网络平台提供相应服务，在该平台上登记了个人信息，但并不等同于整个互联网就都能看到、能使用你的个人信息。你的信息首先是进入对应平台的服务器中，但由于平台的数据安全保护措施的漏洞，平台以外的第三方非法获取到了平台服务器里保存的个人信息，也就是发生了数据泄露。当然，很多时候我们也称为「泄漏隐私」了，这种表述进一步混淆了隐私的概念。

实现隐私是指确保你的信息只能被你允许使用的人使用，好比是你可以自由选择朋友圈的信息「公开可见」还是「仅好友可见」，或是更精确地控制「谁可以看」「可以看的范围」等等。

不存在 0% 的隐私，因为我们不会不穿衣服，我们不会口无遮拦，我们不会把银行账密公开发到网上。我们不能因为别人开着燃油车而不是电动车就评价别人没有环保意识，我们也不能因为见到个人信息泄漏事件而彻底躺平，不再采取保护隐私的措施。「大数据时代没有隐私」的论调是站不住脚的。我们不能因为过去做得不够好而放弃继续努力。

小结：隐私不是全无或全有的开关，而是可以主动选择的一个舒适区。

结语

到这里，是时候再次对开头的问题作出回应了。环保意识之所以普及，不是因为某个个人的行动就能逆转气候变化，而是因为我们逐渐意识到自己的行为有意义，并且有责任这么做。隐私亦如此，我们无法确保 100% 的隐私，也不可能躲进没有网络的山洞里与现代生活脱节，但我们可以更了解隐私的运作逻辑，可以选择让渡多大程度的便利，换取多大程度的隐私，以达到让我们兼顾便利与隐私的舒适区。

通过增加对于隐私的理解与认知，我们更好的保护隐私。尽管作为个人，能做的似乎不多，但做了总比没有强。我们不是只能悲观躺平的透明人，而是可以主动调节自己隐私舒适区的行动者。悲观者所提的「隐私已死」，如今或许可以换一种说法——隐私，从认知开始重建。

在下一篇文章里，我会尝试搭建一个「隐私威胁模型」，针对常见的一些隐私威胁，提出一些可操作的增强隐私的方案。

> 关注 少数派小红书，感受精彩数字生活 🍃

> 实用、好用的 正版软件，少数派为你呈现 🚀

© 本文著作权归作者所有，并授权少数派独家使用，未经少数派许可，不得转载使用。