杂谈 | 如何保护网络个人隐私

在文章建立自己的信息系统(3):关联中，我们用下图来说明了人与人之间的关系会在不同的平台或者不同的数据上体现出来。

图中还有另一层意思——树干连接了不同的叶子，叶子代表不同的网站，而连接叶子的树干很可能就是你在所有或者大部分网站上用的是同一个ID，这个具有唯一识别性的ID可以是QQ号、邮箱、姓名、账号昵称、手机号等。所谓“撞库”的就是黑客拿到了①号网站的账号密码信息，然后用这些账号密码信息去尝试登陆②号网站，然后有的懒人真的就会把所有网站都设置的同样的账号和密码，看起来很省事，其实非常危险，尤其是现在很多网站都是用手机号来登陆的。

可能很多人会觉得这种泄露隐私的事情会离自己很远，其实相当常见，比如手机上可能会收到无良贷款小广告，微信有时候会遇到人加好友的时候直接说出你的名字，然后你问对方是谁，就杳无音讯了(一般加上了都是发广告的)——总之，如果没有拿到你的数据，他们不可能如此精准地找到你。

你没有注意到，不代表这个事情没有在你身上发生过。

暴露自己的同时，周围的人可能也跟着遭殃。
注：有人拿到了你的隐私信息，可能不是来骗你的，而是骗你的亲朋好友。

如何保护网络个人隐私、更安全地使用网络服务，以下是一些建议。

1. 保护自己的身份信息

带有真实姓名、身份证号、联系方式、居住地址的资料能销毁的就直接销毁(e.g.过期的租赁合同、快递单号、个人简历等)，能不传到网上就不要传。

注：如果要打码，建议敏感信息都打上码，身份证号如果只打几位是可以推算的，另外如果有二维码、条形码也要处理掉。

最直接能泄露身份信息的莫过于证件了，比如身份证、护照、户口簿、结婚证、和学业相关的证件、各类资格证书等都属于高度隐私的信息。其他登记了身份信息的介质同样有风险，例如：

票据，比如车票、登机牌、发票、购物小票、快递单等；
合同，比如劳动合同、租房合同；
医院就诊卡或者其他登记了个人信息的会员卡等；
个人简历，如果猎头没有合适的职位，不建议发简历给对方；

对于需要登记个人信息的场景要警惕一点，比如：

快递收件人可以不用真名，地址不用精确到XX楼YY号，可以填快递代收点或者快递柜；
访客登记的时候，如果不是严格要求(对方没有验证)，比如手写表格，可以用X先生/女士代替或者直接用假名，身份证号、手机号嘛，差不多也可以这样操作；
app拉新推广的时候通常会有注册送礼这样的活动，这个套路大概就和互联网金融行业有些搞野路子的人跑到乡下去用一桶油或者一袋米去换到全套的个人身份信息差不多，要知道，个人的隐私比那些廉价的礼品值钱多了；
除了注册登记外，问卷调查也可能涉及隐私，要注意规避；

2. 密码强度要够高相互独立

对于涉及资金安全、高度隐私信息的网站或者app一定要设强度高且相互独立的密码。建议设置高强度密码的网站示例如下：

购物平台，e.g. 淘宝、京东、唯品会等；
理财平台，e.g. 支付宝、银行app等；
社交平台，e.g. QQ、微信、微博等；
通信平台，e.g. 邮箱(尤其密保邮箱)、运营商app等；
资料备份平台，e.g. 云盘(百度云、坚果云、dropbox等)、云笔记(印象笔记、有道笔记等)；

强度高的密码：

密码中同时含有大小写字母、数字、特殊字符；
不要有123abc、qweasd、password、mypwd这样规律性太强的字符；
不要有个人姓名拼写、生日等隐私信息；

密码相互独立：

对于涉及资金安全和高度隐私的网络账户密码不要设置成一样的，被撞库是很危险的，除非你想让窃贼“用同一把钥匙打开所有的金库”；
很多人设置相同的密码是因为密码记不住，可以自己设置一套密码规则，比如“特殊前缀_网站标识_唯一字符串”；
对于敏感账户，建议定期修改密码(比如每半年)，更新密码体系(原来用过的不建议再用)；
对于电商平台通常会有“登陆密码”和“支付密码”之分，“支付密码”和资金交易直接相关，密码强度要够高(或者人脸识别、指纹支付这类生物密码也行)，且不建议和登陆密码一样。

保障资金安全，还建议设置“多账户体系”：

对于有大额存款账户的银行卡，除了该银行的app外，不要绑定其他平台进行支付，对于超过一定额度的支付或者转账需要硬件验证，比如U盾、动态密码设备等，这类卡平时放家里保险柜锁起就行，没事不要带出来；
对于日常会高频在线上支付的银行卡，则建议存放少量的资金，够日常使用就行；
及时处理工资卡的钱，要存多少？房贷车贷、生活费什么的，建议区分开，这不仅仅是为了财务管理，特定场景配特定的资金线路也能保证一定的安全；
如果一个绑定了银行卡的平台(比如理财平台或者电商网站)，如果很长时期内不打算再用这个网站或app了，记得要解绑；

3. 谨慎使用公用设备，及时清除自己的隐私记录

公用设备示例：办公电脑、网吧电脑、打印店电脑、公用手机、公共wifi等。首先，不建议在公用设备上进行资金操作(包括账户登录)，办公用的电脑风险没有那么大，其他设备则隐患重重；其次，要及时删除隐私信息，比如网站的浏览记录、打印的时候下载的文件或简历等、办公电脑中可能自己登录了在线笔记或者网盘、浏览器可能有自己保存的密码(一般不建议保存密码)等，要及时登出并清理，文件删除的话不是扔到回收站就行的哈(在回收站里还可以复原)，建议进行永久删除。
再者，公共wifi要慎用，尤其是那种密码公开的wifi网络，能不用就不要用，用的时候尽量不要登录资金账户或者资金操作。

4. 不要安装来路不明的app或破解软件

首先，来路不明的app很可能带来“惊喜大礼包”，比如病毒、木马、偷流量、乱扣费等，当然各种不胜其烦的广告肯定是少不了的；
其次，这些app不会对你的隐私负责，手机联系人、短信、照片什么的都可能窃取(能带走的统统打包打走，毕竟很快你就会发现这个app不对劲，然后要协作)；
破解软件同样无法保证上面两类事情不会发生，同时还存在法律风险，不建议使用。

所以，建议：

手机app尽量在手机自带的“应用商店”下载，或者使用腾讯手机管家内的“应用商店”，这些大的平台要靠谱得多；
防止隐私被滥用，用正规的app，不要给app过大的权限，比如访问通讯录、通话记录、短信记录等；
电脑装软件的时候尽量上官网下载安装包。如果不愿意付费，选择开源免费的软件比使用破解软件更安全；
电脑或者手机最好是安装靠谱的安全软件(有的手机会自带)，对于安全软件的报警一定要重视，“点击忽略并继续”好比是向魔鬼敞开大门，如果你不是专业的“捉鬼”人士，不要这么干。
如果手机是日常使用的话，不要root，有手机操作系统管着的时候对app的权限都有较安全的限制，root之后，指不定各路牛鬼蛇神会在你手机里干什么；

当然，这里不是说应用商店里下载到的“来路明”的app就没有问题。网络上被骗有3种典型原因：贪财、好色、同情心。有的app为了吸引用户或者骗流量，骚操作一大把，比如走路赚钱、看广告能抽奖、分享给好友可以得现金红包等等，总的套路就是——动动手指头就能“赚钱”(这可能么)，然后在活动页下方通常还会滚动播放一堆打了码的用户ID说他们已经拿到了钱(搞得跟真的似的)，真等你感觉达到了可以提现的金额门槛时，不好意思，活动计划有变，原来的提现门槛变高了(可能会胡乱给个理由，比如活动太火爆什么的)——先前付出的“沉没成本”让你觉得不能就这么算了，离真正拿到钱的小目标只差那么一点点，你觉得再加把力还是有希望的，于是继续当“免费劳力”，真到你悔悟之时，就会发现你在这个app上吃的是草(脏活累活)，而app在你身上挤出来了足够多的奶(有的是变现途径，反正钱不给你)——你被利用了。我们来看看这个过程中，会付出什么：

浪费了自己的时间，不断地刷app上的垃圾信息不会让你有半毛钱的开心；
可能中途为了提现你还绑定了银行卡，验证了四要素，你的隐私信息也被骗到了，回头这些数据很可能会被卖到黑市；
为了拿红包去拉人头，在朋友圈或者各种群里发邀请，要么就坑了其他和你一样想占小便宜而吃大亏的人，要么就是透支了自己的人际信用导致一大堆朋友将你拉黑屏蔽。

5. 警惕个人分享的信息会泄露隐私

比如晒照片，原始照片中的EXIF信息中可以解析出拍照的设备和地理位置信息等，有的社交网站在上传照片时并没有清除这些信息，所以存在隐患。此外，晒图打卡的时候定个位这种操作也是蛮常见的。

不过即使EXIF中的隐私信息去除了，也可能从照片解读出隐私信息。详情可以参考知乎回答：如何根据一张图片搜索到图中地点？

社交场景中，分享照片还不是隐私泄露最严重的。涉及到“个人资料”的填写才是重灾区，比如真实姓名、性别、联系方式、出生日期、个人履历、家庭地址等，这些资料在社交app上通常都是公开的，背后的风险相当高。注：其他个性化的信息同样有隐私风险，比如账号昵称、头像、发表的作品等，经过交叉分析也能定位到个人。

对于社交网站的信息，能不填就不填，能乱填也行，或者只提供模糊信息。注：也可以考虑虚拟身份或者账号隔离。虚拟身份是指，ID以网名出现，所有关于个人的资料都是假的(也可以是别人的，反正不是本人的)；账号隔离是指不同的网站用不同的ID或者唯一识别号，这样可以降低被撞库的风险，一个ID串联所有网站的信息还是挺吓人的。

6. 注意硬件设备安全

现在大家有很多信息都是存在手机上，手机的安全非常重要，手机厂家诸如苹果、华为等都有自家的专有账户，这些账户的权限非常高，可以用来同步联系人、照片等信息，还能进行设备定位、远程操作手机等，所以这类账号一定要格外注意安全防护，同时为了避免手机丢失造成的隐私泄露，在手机上不要存储密码明文以及其他高度隐私的信息。此外，手机或者个人电脑会更新换代。

处理旧设备需要注意：

备份旧设备的数据到新的设备或者安全的移动硬盘中；
清除旧设备的存储数据，最好是重装系统或恢复出厂设置，甚至硬盘格式化，对于手机而言，建议将存储卡取出销毁；
注意退出设备登陆的账户，比如Apple ID、华为账号等；
清除软件的使用记录，或者卸载非系统软件；

再补充几句。对于有的企业来说，看重的是通过对用户的数据进行挖掘使用产生商业价值，这个事情的ROI(投入产出比)是很高的，至于保护用户的数据，则可能是一件ROI很低或者很模糊的事情，企业就不愿意去加强这块的投入，后果就是，你会看到这样的新闻——“XX企业的客户资料泄露了XX万条”。

数据大规模泄露的3种常见情形(都是违法的)：

①黑客入侵了企业数据平台，或者利用爬虫去“盗窃”数据；

②企业有“内鬼”或者数据合作方悄悄地“倒卖”数据；

③平台倒闭，用户的数据没有合规处理，卖到黑市；

对于第③种，大家需要注意下，小网站或者app什么的技术往往不够成熟，数据管理也不太规范，上面说的3种情况是最容易发生在这种小公司身上的，所以如果要使用小平台提供的网站或者app，要慎重。

大平台有更多的资金去支持一些低投入产出比的业务，如果发生数据泄露，不论对其声誉还是对业务都有相当大的风险，基于这些“假设”来讲，大平台更有动力、资源去保护用户的数据，从数据安全来说，大平台比小平台要靠谱很多(不过风险仍然存在)。

如果您觉得文章有用，请转发给周围需要的朋友。