来源：竞争情报应用 | 作者：付亮

Facebook隐私门，实际过程非常简单。通过一款名为“this is your digital life”的心理测试应用程序，Cambridge Analytica不仅从接受科根性格测试的用户处收集信息，还获得了他们Facebook好友的资料。《纽约时报》和《伦敦观察员》上周六的报道称，Cambridge Analytica从2014年开始通过欺骗用户和Facebook的方式收集数据，总共获得了5000万Facebook用户的个人数据。Cambridge Analytica的数据不仅影响了美国大选，还参与了美国和英国的几十场政治活动，包括英国退欧公投，以及参议员泰德·科鲁兹2016年的初选。

可以说，此事件之所以引起全球强烈的反应，不是因为泄密，而是因为干扰了政治。

Cambridge Analytica自称主要为政界人士和企业客户提供消费者研究、定向广告和其他与数据有关的服务。该公司网站显示，它在纽约、华盛顿、伦敦、巴西和马来西亚等地有5个办事处。该公司称说，它可以挖掘消费者和选民的心理特征，然后用这个“秘密武器”来影响消费者和选民的意愿，这比传统广告更加有效。

根据我多年的网络信息研究经验，该公司实际提供的是一个用户心理、行为调查服务，并基于其分析结果，通过广告、新媒体传播等方式引导舆情朝对自己有利的方向发展（对，你说的很对，国内的一些舆情公司就做这个）。究竟起到了多大的作用，还很难说，不过就像国内的一些市场营销公司一样，好的案例都是自己策划的。

国内一些号称大数据广告投放的服务也做类似的事，例如，你在某电商网站浏览了某商品，结果发现你去其他网站时，其页面中的广告也都成了该商品的广告，这其实也是一个数据搜集、分析、采取对策的过程。其中有没有偷取用户隐私的行为，可能有，也可能没有。

回到Facebook泄露隐私事件，Facebook怎么泄露用户信息的？简单说，就是Facebook用户在参加某些活动（如调查等）时，向这些活动公开了自己的好友信息。我几年前就见过一款微博粉丝分析工具，它直接索取你的用户名和密码，并以你的名义登陆，自然你的所有信息都提供给了它（现在微博增加了非常用设备确认）。微信上也有人传播一个工具，说是可以看到谁拉黑了你，同样要求获得你的用户信息，它得出的结果是不是准确不知道，但它对你的信息一览无余。

我们有时会收到这样的短信或网络信息，“你的好友XXX邀请你加入YYY应用”，“你的XXX个好友已经在ZZZ”，猜猜它们怎么获得了您的资料的呢？

看看我的一个手机上应用权限管理的截图：

27个应用可以“访问联系人”，其中11个应用可以“写/删除联系人”，20个应用可以通过你的手机“发送短信”。

2018年1月2日，苏省消保委对百度“手机百度”“百度浏览器”两款手机App涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼，南京市中级人民法院正式立案。后鉴于“百度对上述问题整改到位”，江苏省消保委于日前决定撤回起诉。该撤诉申请已于3月12日获南京市中级人民法院裁定，准予江苏省消保委撤回起诉。可两周后的3月26日中国高层发展论坛上，百度CEO李彦宏的“隐私论”论再度引发大家对隐私的关注。

（图转自“北京日报公道”）

好像是为了回应李彦宏的说法，两天后——

28日，央视《经济半小时》栏目播出《偷密码的“万能钥匙”》，曝光了两款分别叫作“WiFi万能钥匙”和“WiFi钥匙”的免费软件。记者使用上述手机APP，在北京和上海展开了一系列测试，无论是普通居民小区、商业机构，还是政府机关、金融机构，都能顺利拿到设置密码，并实现连接，甚至能查阅到后台数据信息，等等。偷密码、侵犯隐私、重大安全隐患等的分析、评论大量出现。

实际是WiFi钥匙这样的工具，本来就是WiFi共享的，你在用别人家的WiFi的同时，你的WiFi也共享给了别人。只不过，有的程序的共享是默认的。

至于有人说，这样会盗密码，偷窃机密资料。其实，WiFi本身都是不安全，通过WiFi上网就不应该传机密信息。密码例外，如果一个应用的密码，通过WiFi就可以窃取，那这个应用本身的安全就做得不够好，密码应该是加密存储和传播的。

以上三个案例，实际包含一个问题，如何界定隐私的边界，如何判定侵权。在不少官方宣传上，都能看到一个人的姓名、身份证号、手机号、银行卡号是机密信息，实际这本来就是误解。除了银行卡号是半公开信息外，姓名、身份证号、手机号都是公开信息，有很多种渠道都可以获得。因此，如果仅凭姓名、身份证号、手机号、银行卡号，就可以修改银行卡密码，可以从银行卡盗走资金，那肯定是哪个地方的安全流量有明显的漏洞（很低限额的小额支付除外，为了便利，小额支付的安全性可以弱一些）。

而通话记录、短信内容、联系人、聊天记录等都属于用户的隐私。对于隐私信息的使用原则应该是：①使用需经过许可，②最小限度使用，不得用于无直接关系的其他地方，③不得存储，④不能向第三方共享（除非经过特别许可，格式条款不行），且应⑤保证整个使用流程的信息安全。