商業洞察 丨作者 / 劉潤 整理 / 蕉皮

這是劉潤公眾號的第640篇原創文章

這兩天在央視看到一則新聞：

「截至目前，警方共立案偵查侵犯公民個人信息案件29起，抓獲犯罪嫌疑人288人，繳獲公民個人信息4.68億多條，涉案金額9400多萬元。」

震驚之餘，脊背發涼。

我們有太多公司，不知道數據使用規範，不清楚數據使用邊界，不懂得保護用戶隱私。

有些公司甚至因為販賣用戶隱私發了財。但有些人卻因為丟掉用戶隱私喪了命。

失去了隱私，我們在網際網路的虛擬世界裡，就是在危險的裸泳。

— 1 —

除了被打擊的這幾家「科技公司」之外，最近還有一件事，引起軒然大波。

上市公司「51信用卡」，被警方突擊清查辦公地點。

警方通報：杭州警方對51信用卡委託外包催收公司涉嫌尋釁滋事等犯罪行為開展調查。

51信用卡委託外包催收公司冒充國家機關、採取恐嚇、滋擾等手段進行「暴力催收」，讓人恐懼。

警方重拳出擊，偵辦案件。

但在「暴力催收」的背後，就意味著泄露用戶的信息。否則沒有用戶信息，被委託的公司如何進行催收？

根據網上傳言，51信用卡還被某銀行的技術監控發現，沒有經過銀行和用戶的同意，就使用爬蟲程序對銀行用戶的數據進行抓取。

這就是在用戶沒有授權的情況下「違法」甚至「犯罪」抓取用戶信息，然後進行營銷。

如果這是真的，這家公司就是隨意爬取數據，泄露用戶信息，讓用戶處於被電話騷擾甚至是暴力催收的風險中。

怎麼辦？

看到這則新聞，我倒吸一口涼氣。

— 2 —

在51信用卡被警方突擊清查之後，沒過多久，我又在網上看見：

李小璐和PGone的視頻被瘋傳。

可能，很多人在這個平常的一天裡，會把這個視頻當作一次「吃瓜」，調侃幾句明星的「娛樂新聞」，一掃而過。

但在看到這個視頻後，我真的感受到一絲恐懼，脊背發涼。

因為據說視頻是去年在抖音拍的，視頻保存在草稿箱裡，沒有上傳。

沒有上傳的視頻，是怎樣外傳，然後又被瘋傳的呢？

後來有人留言，說視頻是抖音員工進入帳戶從後台直接下載下來的。

抖音官方回應，傳言不實。

我想我願意相信抖音。我希望這不是真的。這當然不要是真的。

否則公司可以隨意進入用戶帳號，直接下載用戶的隱私內容，這太可怕了。

思細恐極。

— 3 —

看完這幾則事件，我也想起自己的一次經歷。

2013年，我出國旅行。下飛機後，我打開谷歌地圖查找我要住的酒店。

酒店我查到了。但同時，啪的一聲出現一個彈窗。彈窗顯示：今天12日。下午3點以後可以入住。住3晚。15日離店。

我很震驚：谷歌怎麼知道的？

我只是想查酒店的地址，你怎麼知道我住這個酒店？怎麼知道我今天入住？怎麼知道我何時退房？

我又是倒吸一口涼氣。

它也很誠實地告訴我：

我們掃描並分析了你所有郵件，看到一封酒店確認函。所以知道你住哪裡、住多久。希望能恰如其分地提醒你，對你提供幫助。

谷歌可能覺得這是便利，但我覺得這是隱私。

谷歌「拆過」並且「看過」我的所有郵件，這也意味著，它知道我的銀行帳單、航班信息、酒店信息等等所有隱私數據。

我信任谷歌。

但是，難免心生恐懼。

因為在網際網路世界，我們如此透明，被別有用心之人發現，幾乎無處躲藏。

怎麼辦？

萬一呢？

— 4 —

在生活中，我們可能不得不提供一些數據。而保護用戶隱私，是企業最基本該做的事。我想，企業至少可以做三件事，來保護用戶的數據。

至少，提高保護的機率吧。

這三件事，也許都不難。很多公司只是不了解，或者沒意識到。希望這三個基本做法和原則，能幫助一些公司，也幫助你更好地保護隱私。

---

第一，一定要獲得用戶授權許可。

企業要有清晰的認知：數據的所有權，是用戶的。

用戶的頭像、暱稱、身高體重、住在哪個酒店、坐過哪趟航班……所有數據，都是用戶自己的。

既然數據是用戶的，那麼想為用戶提供服務，獲得用戶數據，就要申請授權。

不能「誘導」，更不能「綁架」。

我記得自己曾經打開一個網站，它希望我授權收集數據。

我點擊「不同意」。

然後網站彈出來一個對話框：我們會好好保護你的數據的。你放心，你重選。

這個網站給了用戶一個沒有的選擇。這不是選擇，這是強行告知。

如果堅持保護自己的隱私，我唯一的選擇，就是選擇不用。

— 5 —

第二，要注意二次使用（Secondary usage）的規範性。

什麼意思？

用戶對數據的授權不是無限的，一旦超出當時獲得數據的使用目的和範圍，簡單來說就屬於「二次使用」。

比如我們去醫院用電子挂號系統，醫院就收集了我們的數據。

但是之後我們往往會接到推銷電話，問你要不要買奶粉、買尿片、買兒童教育課程。

這可能就是醫院把數據泄露給別人來用。也許醫院覺得這些產品和服務對用戶有價值（當然更多是明知故犯），但是，用戶沒有授權。

用戶只授權在挂號就診服務時收集使用數據，沒有允許醫院對自己的數據進行「二次使用」。

所以二次使用，同樣需要明確告知用戶，徵詢同意。

即使同意，用戶在任何時候，也有取消授權數據二次使用的權利。

---

之前ZAO APP，就因為用戶的隱私協議遭到口誅筆伐。

除了把協議條款隱藏得很深，沒有醒目標註之外，協議內容也引起巨大爭議。

在原來的用戶協議中，出現一系列「全球範圍」、「完全免費」、「不可撤銷」、「永久」等字眼。

這是把用戶的安全和隱私，置於巨大風險中。

如果ZAO「信息泄露」，會被壞人拿去犯罪；如果ZAO「圖謀不軌」，用你的個人信息和肖像權從事黑產，後果同樣不堪設想。

這太離譜了。

後來ZAO道歉並修改了用戶協議，但這依然給所有企業和用戶提了個醒：

數據除了當時授權許可的用途之外，不能「二次使用」。

隱私數據，永遠都是用戶的。誰來用，用在哪，什麼時候用，永遠都是用戶的權利。

— 6 —

第三，要保護用戶的個人識別信息（PII——Personal Identification Information）。

什麼是個人識別信息？

就是通過這些數據，可以直接或者間接識別你是誰。比如姓名、地理位置、社會身份的相關信息等等。

為什麼說「個人識別信息」是絕對的隱私？

我在《5分鐘商學院·實戰篇》中舉過一個例子：

一個人向某家機構借了一筆錢，他偽造了家庭住址等各種信息，只留下真實的手機號碼。拿到錢後，註銷了手機號，消失了。

他以為自己萬無一失。可突然有一天，他還是接到催債電話。他很驚訝，你是怎麼找到我的？

機構說，我們與某家移動數據公司「合作」，查到你註銷的手機號碼，在過去使用的兩年間每天登陸了哪些基站，所以基本能分析你的生活規律。

你白天去辦公室。下午去接孩子放學。周末會去家附近的超市等等。

有了這些數據，我們就匹配到跟你生活規律類似的號碼，也就是你現在的手機號。

請你還錢。

欠債還錢，天經地義。但問題是這家移動數據公司，怎麼能同意通過出賣「個人識別信息」的方式和機構「合作」來幫助追債呢？

這是違法，甚至犯罪。

如果這個例子，變成壞人拿到這些信息呢？

如果這個例子，不是「請你還錢」，而是「請交贖金」呢？

所以，失去了隱私，我們在網際網路的虛擬世界裡，就是在裸泳。

---

那有一些數據，我在工作中必須用到，怎麼辦？

我還在微軟的時候，曾經要辦一次大規模的活動，想給一些可能感興趣用戶發郵件，邀請他們參加。

我去找市場部門協助，他們讓我把郵件內容寫好，告訴他們目標用戶是誰，就可以了。

我很詫異，難道不用把符合條件的用戶的郵件地址給我嗎？

對不起，不能。

市場部門的同事會選擇已經授權並允許數據二次使用的目標用戶，用專門的工具發送。

如果告訴你郵件地址，你就掌握了用戶的隱私數據。萬一你去騷擾他們怎麼辦？不可以。

郵件地址，你可用，但不可見。你永遠都看不到這些隱私。

可用，但不可見，是保護用戶「個人識別信息」的重要邏輯。

這也是很多公司管理上的巨大漏洞。很多公司，只把用戶隱私數據保存在一張Excel表格里。

這些隱私數據當然就容易被拷來拷去，最後在網上被賣來賣去。

獲利的，是那些販賣數據的人；受傷的，是那些無辜的用戶。

最後的話

所以，企業保護隱私數據有三個基本的邏輯：

1.一定要獲得用戶授權許可。

2.要注意「二次使用」的規範性。

3.保護用戶的「個人識別信息」。

授權不能「誘導」，更不能「綁架」。數據誰來用，用在哪，什麼時候用，永遠都是用戶的權利。對於隱私，要謹慎，再謹慎。小心，再小心。

那我們自己呢？

作為個人，不要輕易提供數據。在必要的情況下，儘量和值得信賴的公司合作。不要為了一些小功能，在沒聽過的APP和網站上留下自己的隱私，留下被騷擾甚至被詐騙的風險。

這篇文章，是寫給每一位用戶，希望能重視對隱私數據的保護，以防被濫用。

這篇文章，更是寫給所有企業、創業者和我自己，要對數據的擁有者，永遠心懷尊重和敬畏。

-End-