昨天我差点把自己卖了。就为了领一杯免费的奶茶。
事情是这样的,商场门口有个小摊,扫码关注公众号就送奶茶券。我掏出手机扫了码,点了个关注,对方又说要授权获取我的昵称、头像和手机号才能领券。我当时想,一杯奶茶而已,给就给吧。结果点完授权,手机立马收到一条验证码短信。我还没反应过来,对方又弹出一个对话框:“请输入短信验证码完成注册。”
我愣住了。一杯奶茶,至于要搞得这么复杂吗?我赶紧退了出来。回家路上越想越后怕——要是刚才手快把验证码填进去,对方就能拿我的手机号去注册各种账号,甚至可能把我的微信绑到别的设备上。这种事不是没发生过,去年我同事就这么丢了个微信号,找回来花了一个星期,还搭进去一堆证明材料。
今天就想聊聊数据隐私这件事。它不是那种“只有程序员才需要关心”的冷门话题,它跟你每天点的外卖、刷的短视频、用的导航软件都有关。
先说个简单的比喻。你的手机数据就像你住的那栋楼。楼里有你家,有邻居家,有物业办公室。你每天进出小区,保安认得你的脸,快递员知道你家门牌号,外卖小哥知道你爱吃哪家螺蛳粉。这些信息分散在不同人手里,单独看都没什么大问题。但如果有一天,有人把这些信息全部汇总到一张表上——你的住址、你的作息时间、你常点的外卖、你爱买的东西、你晚上几点关灯——那你在这个人面前就跟没穿衣服一样。
AI干的事,本质上就是把这张表格做得更细、更全、更准。它不是靠一个保安或者一个快递员来收集信息,而是靠成千上万个你在网上留下的痕迹——你搜索过什么、你点赞过什么、你在哪家APP上停留了多久、你输入法里最近常用的词汇是什么。这些数据被喂给AI模型,模型就能推断出你的年龄、收入、健康状况、甚至政治倾向。
我有个朋友在互联网公司做推荐算法,他跟我说过一件事。他们公司有个模型,训练用的数据包括用户的地理位置、WiFi名称、甚至充电时的电池温度。你可能会问,电池温度跟推荐有什么关系?答案是:没什么关系,但模型能从这些看似无关的数据里找出规律。比如,晚上十一点还在充电的用户,大概率是单身独居的年轻人,因为他们不需要跟别人抢充电器,充电时间也更长。这个规律一被发现,模型就能针对这类用户推游戏广告、推深夜外卖券、推交友软件。
听着有点瘆人对吧?更瘆人的是,这些数据一旦泄露,你根本控制不了它会流到哪里。2023年有家叫“23andMe”的基因检测公司被黑了,690万用户的基因数据被盗。基因数据是什么?那是你祖上三代的长相、疾病风险、人种来源。黑客把这些数据挂到暗网上卖,标价按人头算,一个人大概1到10美元。你想想,花10美元就能知道你某个亲戚有没有遗传病风险,这种信息要是被保险公司拿到了,他们完全有可能提高你的保费。
你可能觉得,我又不是大人物,没人会专门来偷我的数据。这话对也不对。大规模的隐私泄露往往不是针对你个人的,而是“顺手牵羊”。比如你注册了一个健身APP,填了身高体重和家庭住址,结果这个APP的服务器被拖库了,黑客手里就多了一份带着位置信息的健康数据。然后黑客把这些数据打包卖给推销减肥产品的公司,你接下来半年就会收到各种莫名其妙的电话和短信。
我中过一次招。几年前我在一个二手交易平台上卖旧手机,填了IMEI码。那个平台后来被曝出数据泄露,没过多久我就收到一条短信,内容是我那台旧手机的IMEI码,再加上一句话:“你手机可能有安全隐患,点击链接查一下。”我当时差点就点了,幸亏手快先看了一眼链接地址——根本不是官方网址,就是个钓鱼网站。要是真点了,手机里存的所有聊天记录、照片、银行卡信息全得完蛋。
那普通人到底能怎么办?总不能把手机扔了不用吧。
我试过一些土办法,有用,但也没那么神。比如,我把自己常用的APP权限全部检查了一遍。iOS系统里有个“隐私报告”功能,可以看到过去七天里哪个APP在后台访问了我的位置、麦克风、摄像头。结果吓我一跳——某个修图软件在我睡觉的时候访问了三十多次位置。我直接卸了。安卓也有类似功能,在设置里搜“权限管理”,能看到每个APP的敏感权限使用记录。
另一个我坚持做的是“假身份注册”。不是所有APP都需要你填真实姓名和生日。我注册那些不重要的APP时,统一用一个虚构的名字和临时邮箱。临时邮箱推荐用“10分钟邮箱”(10minutemail.com),注册完验证一下,之后就不管了。这样就算数据泄露,泄露的也是我的假信息。
还有一点很多人忽略——别随便授权“使用微信登录”。每次点那个绿色的按钮确实方便,但它意味着你把微信头像、昵称、地区、甚至手机号都送给了对方。我现在的做法是:能手机号注册就手机号注册,能邮箱注册就邮箱注册,不到万不得已不用第三方账号登录。虽然麻烦一点,但至少每个APP只知道我的一部分信息,拼不成完整的画像。
最后说一个我自己踩过的坑。去年我装了一个开源的AI聊天软件,叫ChatGLM的本地版,想着在自己电脑上跑,数据不外传,应该很安全。结果装完发现,这个软件默认会在你输入指令的时候,把部分数据上传到服务器做模型优化。我是在看日志文件的时候发现的——那个文件里清清楚楚写着“upload_to_server: true”。我赶紧改成false,但已经晚了,我之前问过的几个问题已经传上去了。所以用任何AI工具,不管是电脑上还是手机上,都去设置里翻一翻,看看有没有“数据共享”、“模型优化”、“用户体验改进”之类的开关,能关就关。
数据隐私这件事,没有一劳永逸的解法。你永远没办法让所有公司都守规矩,也防不住所有的黑客。但你至少可以做到一点——别让自己成为最容易下手的那个人。就像你出门不会把家门钥匙挂在门上一样,你在网上也别把个人信息随手丢出去。
说回那杯奶茶。后来我换了一个方法,去另一家店直接买了一杯,付了12块钱。喝得挺踏实,至少不用拿自己的手机号去换。