商业洞察 丨作者 / 刘润 整理 / 蕉皮
这是刘润公众号的第640篇原创文章
这两天在央视看到一则新闻:
“截至目前,警方共立案侦查侵犯公民个人信息案件29起,抓获犯罪嫌疑人288人,缴获公民个人信息4.68亿多条,涉案金额9400多万元。”
震惊之余,脊背发凉。
我们有太多公司,不知道数据使用规范,不清楚数据使用边界,不懂得保护用户隐私。
有些公司甚至因为贩卖用户隐私发了财。但有些人却因为丢掉用户隐私丧了命。
失去了隐私,我们在互联网的虚拟世界里,就是在危险的裸泳。
— 1 —
除了被打击的这几家“科技公司”之外,最近还有一件事,引起轩然大波。
上市公司“51信用卡”,被警方突击清查办公地点。
警方通报:杭州警方对51信用卡委托外包催收公司涉嫌寻衅滋事等犯罪行为开展调查。
51信用卡委托外包催收公司冒充国家机关、采取恐吓、滋扰等手段进行“暴力催收”,让人恐惧。
警方重拳出击,侦办案件。
但在“暴力催收”的背后,就意味着泄露用户的信息。否则没有用户信息,被委托的公司如何进行催收?
根据网上传言,51信用卡还被某银行的技术监控发现,没有经过银行和用户的同意,就使用爬虫程序对银行用户的数据进行抓取。
这就是在用户没有授权的情况下“违法”甚至“犯罪”抓取用户信息,然后进行营销。
如果这是真的,这家公司就是随意爬取数据,泄露用户信息,让用户处于被电话骚扰甚至是暴力催收的风险中。
怎么办?
看到这则新闻,我倒吸一口凉气。
— 2 —
在51信用卡被警方突击清查之后,没过多久,我又在网上看见:
李小璐和PGone的视频被疯传。
可能,很多人在这个平常的一天里,会把这个视频当作一次“吃瓜”,调侃几句明星的“娱乐新闻”,一扫而过。
但在看到这个视频后,我真的感受到一丝恐惧,脊背发凉。
因为据说视频是去年在抖音拍的,视频保存在草稿箱里,没有上传。
没有上传的视频,是怎样外传,然后又被疯传的呢?
后来有人留言,说视频是抖音员工进入账户从后台直接下载下来的。
(图片来自网络)
抖音官方回应,传言不实。
我想我愿意相信抖音。我希望这不是真的。这当然不要是真的。
否则公司可以随意进入用户账号,直接下载用户的隐私内容,这太可怕了。
思细恐极。
— 3 —
看完这几则事件,我也想起自己的一次经历。
2013年,我出国旅行。下飞机后,我打开谷歌地图查找我要住的酒店。
酒店我查到了。但同时,啪的一声出现一个弹窗。弹窗显示:今天12日。下午3点以后可以入住。住3晚。15日离店。
我很震惊:谷歌怎么知道的?
我只是想查酒店的地址,你怎么知道我住这个酒店?怎么知道我今天入住?怎么知道我何时退房?
我又是倒吸一口凉气。
它也很诚实地告诉我:
我们扫描并分析了你所有邮件,看到一封酒店确认函。所以知道你住哪里、住多久。希望能恰如其分地提醒你,对你提供帮助。
谷歌可能觉得这是便利,但我觉得这是隐私。
谷歌“拆过”并且“看过”我的所有邮件,这也意味着,它知道我的银行账单、航班信息、酒店信息等等所有隐私数据。
我信任谷歌。
但是,难免心生恐惧。
因为在互联网世界,我们如此透明,被别有用心之人发现,几乎无处躲藏。
怎么办?
万一呢?
— 4 —
在生活中,我们可能不得不提供一些数据。而保护用户隐私,是企业最基本该做的事。我想,企业至少可以做三件事,来保护用户的数据。
至少,提高保护的概率吧。
这三件事,也许都不难。很多公司只是不了解,或者没意识到。希望这三个基本做法和原则,能帮助一些公司,也帮助你更好地保护隐私。
---
第一,一定要获得用户授权许可。
企业要有清晰的认知:数据的所有权,是用户的。
用户的头像、昵称、身高体重、住在哪个酒店、坐过哪趟航班……所有数据,都是用户自己的。
既然数据是用户的,那么想为用户提供服务,获得用户数据,就要申请授权。
不能“诱导”,更不能“绑架”。
我记得自己曾经打开一个网站,它希望我授权收集数据。
我点击“不同意”。
然后网站弹出来一个对话框:我们会好好保护你的数据的。你放心,你重选。
这个网站给了用户一个没有的选择。这不是选择,这是强行告知。
如果坚持保护自己的隐私,我唯一的选择,就是选择不用。
— 5 —
第二,要注意二次使用(Secondary usage)的规范性。
什么意思?
用户对数据的授权不是无限的,一旦超出当时获得数据的使用目的和范围,简单来说就属于“二次使用”。
比如我们去医院用电子挂号系统,医院就收集了我们的数据。
但是之后我们往往会接到推销电话,问你要不要买奶粉、买尿片、买儿童教育课程。
这可能就是医院把数据泄露给别人来用。也许医院觉得这些产品和服务对用户有价值(当然更多是明知故犯),但是,用户没有授权。
用户只授权在挂号就诊服务时收集使用数据,没有允许医院对自己的数据进行“二次使用”。
所以二次使用,同样需要明确告知用户,征询同意。
即使同意,用户在任何时候,也有取消授权数据二次使用的权利。
---
之前ZAO APP,就因为用户的隐私协议遭到口诛笔伐。
除了把协议条款隐藏得很深,没有醒目标注之外,协议内容也引起巨大争议。
(图片来自网络)
在原来的用户协议中,出现一系列“全球范围”、“完全免费”、“不可撤销”、“永久”等字眼。
这是把用户的安全和隐私,置于巨大风险中。
如果ZAO“信息泄露”,会被坏人拿去犯罪;如果ZAO“图谋不轨”,用你的个人信息和肖像权从事黑产,后果同样不堪设想。
这太离谱了。
后来ZAO道歉并修改了用户协议,但这依然给所有企业和用户提了个醒:
数据除了当时授权许可的用途之外,不能“二次使用”。
隐私数据,永远都是用户的。谁来用,用在哪,什么时候用,永远都是用户的权利。
— 6 —
第三,要保护用户的个人识别信息(PII——Personal Identification Information)。
什么是个人识别信息?
就是通过这些数据,可以直接或者间接识别你是谁。比如姓名、地理位置、社会身份的相关信息等等。
为什么说“个人识别信息”是绝对的隐私?
我在《5分钟商学院·实战篇》中举过一个例子:
一个人向某家机构借了一笔钱,他伪造了家庭住址等各种信息,只留下真实的手机号码。拿到钱后,注销了手机号,消失了。
他以为自己万无一失。可突然有一天,他还是接到催债电话。他很惊讶,你是怎么找到我的?
机构说,我们与某家移动数据公司“合作”,查到你注销的手机号码,在过去使用的两年间每天登陆了哪些基站,所以基本能分析你的生活规律。
你白天去办公室。下午去接孩子放学。周末会去家附近的超市等等。
有了这些数据,我们就匹配到跟你生活规律类似的号码,也就是你现在的手机号。
请你还钱。
欠债还钱,天经地义。但问题是这家移动数据公司,怎么能同意通过出卖“个人识别信息”的方式和机构“合作”来帮助追债呢?
这是违法,甚至犯罪。
如果这个例子,变成坏人拿到这些信息呢?
如果这个例子,不是“请你还钱”,而是“请交赎金”呢?
所以,失去了隐私,我们在互联网的虚拟世界里,就是在裸泳。
---
那有一些数据,我在工作中必须用到,怎么办?
我还在微软的时候,曾经要办一次大规模的活动,想给一些可能感兴趣用户发邮件,邀请他们参加。
我去找市场部门协助,他们让我把邮件内容写好,告诉他们目标用户是谁,就可以了。
我很诧异,难道不用把符合条件的用户的邮件地址给我吗?
对不起,不能。
市场部门的同事会选择已经授权并允许数据二次使用的目标用户,用专门的工具发送。
如果告诉你邮件地址,你就掌握了用户的隐私数据。万一你去骚扰他们怎么办?不可以。
邮件地址,你可用,但不可见。你永远都看不到这些隐私。
可用,但不可见,是保护用户“个人识别信息”的重要逻辑。
这也是很多公司管理上的巨大漏洞。很多公司,只把用户隐私数据保存在一张Excel表格里。
这些隐私数据当然就容易被拷来拷去,最后在网上被卖来卖去。
获利的,是那些贩卖数据的人;受伤的,是那些无辜的用户。
最后的话
所以,企业保护隐私数据有三个基本的逻辑:
1.一定要获得用户授权许可。
2.要注意“二次使用”的规范性。
3.保护用户的“个人识别信息”。
授权不能“诱导”,更不能“绑架”。数据谁来用,用在哪,什么时候用,永远都是用户的权利。对于隐私,要谨慎,再谨慎。小心,再小心。
那我们自己呢?
作为个人,不要轻易提供数据。在必要的情况下,尽量和值得信赖的公司合作。不要为了一些小功能,在没听过的APP和网站上留下自己的隐私,留下被骚扰甚至被诈骗的风险。
这篇文章,是写给每一位用户,希望能重视对隐私数据的保护,以防被滥用。
这篇文章,更是写给所有企业、创业者和我自己,要对数据的拥有者,永远心怀尊重和敬畏。