主题
第 2 章 你的数字画像
本章导读:每天早晨你解锁手机的那一刻起,数据就在源源不断地产生——你几点醒来、去了哪里、和谁聊天、买了什么、看了哪些内容。这些数据被收集、汇总、分析,最终拼成一张关于"你"的数字画像。这张画像决定了你看到什么广告、被报出什么价格、能否贷到款、被推荐什么内容。理解这张画像是怎么拼出来的,你才知道该从哪里拆解它。本章是全书"数据认知"的基础,请结合第 1 章(法律权利)和第 3 章(威胁模型)一起读。
🟢 基础:你一天产生多少数据
绝大多数人严重低估了自己产生的数据量。研究估算,一个普通网民每天与数字服务交互产生的可记录数据条目以千计。让我们跟随一个普通人"小张"的一天,看看数据是怎么产生的:
- 07:00 闹钟响起:手机记录了你的睡眠时段(屏幕使用时间统计)、解锁时间、首次亮屏后第一个打开的是哪个 App。
- 07:15 洗漱:智能牙刷(若连接)记录使用时长;浴室的智能音箱记录你问的天气、播放的歌单。
- 07:30 出门通勤:手机定位持续记录你的轨迹(经纬度 + 时间戳);公交/地铁 App 记录上下车站点与换乘路径;共享单车记录起终点、骑行时长;导航 App 记录你搜索的目的地,即便最终没去。
- 08:00 早餐:扫码支付,交易金额、时间、地点、商户类别全部记录在案;若用会员卡,还关联了你的身份。
- 09:00–18:00 工作:办公软件记录你的在线时段、协作对象、文档访问记录;浏览器记录每一个搜索关键词和访问的页面;输入法可能上传你的输入习惯;邮件与即时通讯的元数据(谁发给谁、何时、多长)被服务端记录。
- 10:30 工间休息:刷几分钟短视频,每一条的停留时长、是否看完、是否点赞/评论/转发都被精确记录。
- 12:00 午餐:外卖 App 记录你的口味偏好、配送地址、消费水平、下单到送达的时长;堂食则可能被商家会员系统、店内 Wi-Fi 记录到店。
- 15:00 下午:网购 App 记录你浏览、收藏、加购、犹豫又退出的每一件商品;搜索框的每一次输入(包括打了又删的)都可能被记录。
- 19:00 下班:打车软件记录精确起终点、车型偏好、支付方式;运动健康 App 记录步数、心率、楼层(若开启);回家刷的门禁卡、车牌识别都各是一条记录。
- 21:00 休闲:短视频 App 记录你每一条内容的停留时长、点赞、划走速度;购物 App 记录浏览和收藏;游戏记录在线时长、消费。
- 23:00 睡前:智能音箱、手环记录你的指令和生理数据;最后一次锁屏时间被系统统计为"睡眠开始"的近似。
保守估计,一个普通智能手机用户每天产生数千条可关联到个人的数据记录。 这些数据分散在几十个 App 和服务中,单独看每一条都"无关紧要",但一旦被关联和汇总,就构成了一张精准的画像。
为了便于理解,可以把日常数据粗略分为四类:
| 数据类别 | 典型示例 | 主要用途 |
|---|---|---|
| 身份与标识数据 | 手机号、设备 ID、账号 | 跨平台关联、唯一识别 |
| 位置与轨迹数据 | GPS、Wi-Fi、基站、IP | 行动轨迹、地理偏好 |
| 行为与偏好数据 | 浏览、点击、停留、搜索 | 推荐算法、兴趣画像 |
| 交易与关系数据 | 支付、通讯录、社交互动 | 消费能力、社交圈分析 |
理解数据采集,还要区分两种途径:主动授权(你点了"同意"或开了某个权限,如定位、相机、通讯录)和被动采集(在你无感知的情况下自动发生,如设备指纹、App 在后台记录使用时长、网页上的统计脚本)。前者你可以通过权限管理控制,后者更隐蔽,也是后文"为什么关了权限仍可能被追踪"的根源。
📌 事实标注:上述场景为"一个典型用户的合理估算",用于帮助读者建立直观认知,不代表对任何特定 App 数据采集行为的认定。各 App 实际采集范围以其公布的《个人信息收集清单》和隐私政策为准。
画像能"精准"到什么程度
研究与实践表明,行为数据的预测能力远超直觉:
- 位置数据:行为数据研究中有一个常被引用的发现——仅需少量时空点(有研究称 4 个左右),就可能在多数情况下唯一识别一个人,因为每个人的"生活轨迹"(家、工作地、常去地点的组合)几乎独一无二。
- 社交关系:你和谁在同一时段反复出现在同一地点,足以推断你们的社交圈;通讯录授权则直接把你的关系网交了出去。
- 偏好预测:你对某类内容的停留时长、是否反复回看,比你自己的口头表述更能预测你的真实偏好。有公开研究在实验环境下表明,仅凭点赞行为就能以较高准确率推断出性别、性向、政治倾向、父母离异等敏感属性。
- 情绪与状态:深夜活跃时段、打字速度变化、搜索关键词,都可能被用于推断你的情绪和压力状态。
这就是为什么"我只是授权了一个定位权限"看似无害,但长期累积后,它可能比你自己更了解你的生活规律。画像的力量来自"长期 + 关联",而非单次采集。
🟡 进阶:画像如何被使用
收集数据不是目的,使用数据才是。你的画像主要在以下几个场景被使用,理解它们有助于你判断风险。
1. 推荐算法(信息流、商品推荐)
这是最常见、感知最强的用途。你看到的短视频、商品、新闻,都是算法基于你的画像筛选的结果。它的基本工作机制可以分为几类:
- 基于内容的推荐:你看过 A,算法就推和 A 相似的内容(标签匹配)。
- 协同过滤:和"行为像你"的一群人看过的内容,推给你("买了这个的人还买了")。
- 强化学习反馈:你的每一次停留、点赞、划走都是反馈,算法实时调整下一屏。
它的正面价值是"帮你从海量信息里找到感兴趣的内容,节省筛选成本",潜在问题在于:
- 信息茧房:长期只看到算法认为你"喜欢"的内容,可能让认知视野变窄,听不到不同声音。
- 精准诱导:在你情绪低落、判断力下降时推送特定内容(如深夜的冲动消费、悲伤时的特定信息),放大了被操纵的可能。
- 成瘾设计:无限下拉、即时奖励机制被刻意优化以延长你的停留时长,这对未成年人和自控力弱的人群影响尤其明显。
🟡 可操作:多数主流 App 在"设置—隐私"或"个性化"里提供"个性化推荐开关"和"兴趣标签管理";你可以定期清理兴趣标签、关闭部分个性化推荐以观察体验变化。具体路径见第 7 章。
2. 差异化定价("大数据杀熟")
这是公众最反感的画像用途之一:同样的商品或服务,不同用户看到不同价格。常见的怀疑场景包括:同一段网约车行程老用户比新用户贵、同一家酒店同一房型不同手机看到不同价、同一航班不同账号报价不同。需要说明的是,价格差异也可能来自动态库存、时段供需、优惠券差异等合理因素,并非全部属于违法差别定价。
个保法对这种行为有明确约束:通过自动化决策方式向个人进行信息推送、商业营销,应当同时提供不针对其个人特征的选项;自动化决策不得对个人在交易价格等交易条件上实行不合理的差别待遇(个保法第 24 条)。
也就是说,"大数据杀熟"中"不合理的差别定价"是法律所禁止的。如果你怀疑自己遭遇了差别定价:
- 🟡 可操作:在同一时间、同一商品上,与亲友(最好消费习惯、账号等级不同的人)比对价格;保留商品页截图、订单截图、支付金额截图作为证据;先通过平台客服反馈,无果后可通过 12315(市场监管)、12321(网络不良信息)等渠道投诉,或向消费者协会反映。第 16 章会详细讲维权路径与投诉话术。
3. 风控与信用评估
银行、保险、信贷机构会基于你的数据评估风险,决定是否给你授信、额度多少、费率高低。这部分关系到你的切身经济利益,务必重视:
- 征信报告:是个保法意义上的个人信息(且涉及金融),你有权定期查询。中国人民银行征信中心每年提供一定次数的免费查询,建议每年至少查一次,核对是否有错误记录或冒名贷款(第 13 章详解)。
- 多头借贷与消费习惯:部分互联网信贷产品会综合评估你的设备、消费、还款行为,这些评估通常不透明,拒贷理由也未必清晰。
- 自动化决策的拒绝:当机构基于自动化决策做出对你的权益有重大影响的决定(如拒绝贷款、降低额度),个保法第 24 条规定你有权要求其予以说明,并拒绝个人信息处理者仅通过自动化决策的方式做出决定(法律另有规定的除外)。实务中,这意味着你可以要求人工复核。
🟡 可操作:申请贷款被拒时,可向机构询问拒贷依据;若怀疑是自动化决策出错,可要求人工审核;定期查征信报告,发现异常及时提出异议。
4. 跨平台关联
不同 App 表面上是"独立"的,但你的画像可能被关联起来。常见的关联途径包括:
| 关联途径 | 说明 | 例子 |
|---|---|---|
| 同一手机号注册 | 手机号是最强的稳定标识 | 多个 App 用同一手机号,可被后台关联 |
| 同一设备标识符 | 设备 ID、IDFA、IMEI 等 | 同一台手机装了多个 App |
| 跨 App 跳转与深度链接 | 从 A App 点击跳到 B App 时携带标识 | 社交 App 点商品链接跳到电商 App |
| 共享 SDK 与第三方统计 | 同一统计/广告 SDK 把数据汇到同一方 | 多个 App 装了同一家广告 SDK |
| 登录态与账号体系 | 同一集团或合作方账号互通 | 集团内多个产品共享账号 |
| 通讯录上传 | 你授权通讯录,对方也授权,关系被拼出 | 朋友的通讯录里有你的号码 |
这就是为什么你刚在一个 App 聊到某商品,另一个 App 就推送了它的广告——并不一定是"偷听",更可能是跨平台关联 + 行为预测共同作用的结果。公众常怀疑的"App 偷听对话"在技术上并非完全不可能(麦克风权限确实存在),但学界与业界的多数分析认为,这种"巧合式推送"更常见的解释是:你之前已经留下了搜索、浏览、位置、社交关系等痕迹,算法据此预测出了你即将的需求。理解这一点,有助于把防护精力放在收益更高的地方——管理权限和标识符,而不是纠结于单一的麦克风开关。
6. 未成年人画像的特殊保护
个保法将不满十四周岁未成年人的个人信息列为敏感信息,处理需取得监护人同意(第 31 条);《未成年人网络保护条例》也对未成年人用户画像、推荐算法、消费等设有专门规定。这是因为未成年人的认知和自控能力尚在发展,对画像诱导(成瘾设计、不当内容、冲动消费)更为脆弱。家中有未成年读者的,建议额外关注:开启平台提供的"青少年模式";协助管理设备权限与支付密码;关注未成年人的使用时段与内容,而非单纯禁用。
🟡 可操作(降低关联度):见本书第 6 章(设备标识符重置)、第 7 章(SDK 与共享清单)、第 9 章(浏览器追踪防护)。核心思路是减少可关联的稳定标识,具体可做:定期重置广告标识符;非必要场景用网页版代替装 App;不同场景(工作、生活、购物)使用不同浏览器或不同账号;谨慎授权通讯录和定位。
5. 可携带权与画像的关系
个保法第 45 条规定了数据可携带权:符合条件时,你有权请求将个人信息转移至你指定的其他数据处理者。这条权利与画像的关系是双向的:
- 正面意义:它让你在理论上可以把自己的数据从一个平台"搬"到另一个平台,降低对单一平台的依赖,也为切换服务提供了法律依据。
- 现实局限:可携带权的落地仍在推进中,目前多数平台支持导出你自己的部分数据(如照片、通讯录、活动日志),但"转移到指定第三方"在实务上还面临格式、接口、成本的障碍。
🟡 可操作:定期使用平台提供的"导出我的数据"功能备份一份自己的画像数据(主流平台在"隐私设置"或"账号管理"里通常有入口),既是对自己数据的一份留底,也便于在发现画像错误时举证更正。
🔴 深度:画像的技术原理
要真正理解为什么画像如此强大、又如此难以完全规避,需要了解背后的技术原理。本节面向愿意深入的读者。
1. 设备指纹(Device Fingerprinting)
除了显而易见的标识符(如 IMEI、IDFA,见第 6 章),还有很多"隐性特征"组合起来能唯一识别一台设备。浏览器环境下常见的指纹维度包括:
| 指纹维度 | 示例取值 | 单独唯一性 |
|---|---|---|
| 屏幕分辨率与色深 | 1920×1080, 24bit | 低 |
| 系统与浏览器版本 | macOS 14.5, Chrome 125 | 低 |
| 字体列表 | 系统已装字体的集合 | 中 |
| 时区与语言 | Asia/Shanghai, zh-CN | 低 |
| Canvas / WebGL 指纹 | 显卡渲染的微小差异 | 高 |
| 传感器偏差 | 加速度计、陀螺仪的硬件偏差 | 高 |
| 音频指纹 | 声卡处理信号的细微差异 | 中高 |
这些特征单独看不唯一,组合后却可能高度唯一(总体信息熵可达数十比特,足以在全球网民中唯一识别),且不需要你授权任何权限就能采集——这就是为什么"关掉广告标识符"并不能完全切断追踪(详见第 9 章浏览器指纹)。移动端(原生 App)与网页端的指纹机制略有差异:网页端主要依赖浏览器暴露的 JavaScript 接口(Canvas、WebGL、字体枚举);原生 App 则可读到更底层的硬件信息(传感器、电池、系统属性)。这也是为什么"用网页版代替 App"能在一定程度上降低被追踪的强度(见第 9 章)。
2. 行为画像(Behavioral Profiling)
比"你是谁"更难规避的是"你做什么"。你的打字节奏、滑动习惯、使用时段、消费频次,本身就是一种"行为指纹"。具体的行为信号包括:
- 输入节奏:两次按键的间隔、退格频率,可用于识别用户(键击动力学)。
- 滑动与触控:滑动的起止位置、速度曲线、压力(支持的设备),可形成独特模式。
- 使用节律:每天活跃时段、App 切换顺序、停留分布。
- 消费周期:发薪日后的消费高峰、固定的订阅续费日。
这类数据通常在合法授权范围内(你同意了隐私政策),但它的预测能力很强,且很难通过单一开关关闭——因为它依附在你每一次正常操作上。
3. 关联与去匿名化的难度
匿名化(见第 1 章定义)在技术上是个很高的门槛。许多号称"匿名"的数据集,在引入辅助信息后仍可能被重新识别。学界与业界的几个经典观察:
- 仅对姓名、身份证号做"脱敏",保留住址、邮编、生日、性别等字段,组合后仍可能唯一定位到个人(准标识符问题)。
- 匿名化的位置数据集,叠加少量公开信息(如社交媒体打卡)后,可被重新关联到具体人。
- k-匿名、差分隐私等技术能显著提升重识别难度,但会不同程度损失数据可用性,实际部署需要权衡。
这也是为什么本书强调:对"已经泄露出去"的数据,不要抱有"反正它匿名了"的幻想(第 14 章数据泄露会展开)。
4. 公共管理领域的数据采集:现状与个人权利
在公共管理、社会治理、信用体系建设等领域,也存在以公共目的为基础的信息采集与使用。这部分本书采取中性的介绍立场:既说明其客观存在,也明确个人依法享有的权利。
- 机制层面:出于公共管理目的的数据采集,有其法律依据与制度设计(如相关法律、行政法规对特定信息登记、核验的规定)。其目的通常包括公共服务提供、社会管理、公共安全等。
- 你的权利:即便在公共目的的数据采集中,个保法对国家机关的处理活动也设有专章规范(第 33–37 条),个人依然享有知情、查询、更正、删除等权利;法律、行政法规规定应当保密或限制处理的情形除外。
- 合法边界:个人有权了解相关数据处理的依据和范围;如认为权利受损,可依法向有关主管部门反映、申诉。
本书对这一领域的讨论严格限定在"机制认知 + 法定权利 + 合法途径"范围内,不涉及、也不指导任何规避行为。普通公民在这一领域最务实的做法是:了解自己的权利、依法查询和更正、通过合法渠道反映问题。
把画像"拆"掉一点:普通人的可行策略
完全"隐身"既不可能,也不必要(见第 3 章威胁模型)。但你可以有意识地降低画像的精度和关联度。核心思路有三条:减少采集(关权限、删 App)、切断关联(重置标识符、分场景用不同身份)、行使权利(查、更正、投诉)。
| 策略 | 对应章节 | 难度 |
|---|---|---|
| 定期重置广告标识符,关闭个性化广告 | 第 6 章 | 🟢 |
| 关闭不必要的位置历史记录与后台定位 | 第 6 章 | 🟢 |
| 卸载不常用 App,改用网页版 | 第 7 章 | 🟢 |
| 减少 App 数量,限制后台采集 | 第 7 章 | 🟡 |
| 谨慎授权通讯录、相册、麦克风 | 第 6 章 | 🟡 |
| 分场景使用不同身份,降低跨平台关联 | 第 4、9 章 | 🟡 |
| 行使"不针对个人特征"的选项权利 | 本章 + 第 16 章 | 🟡 |
| 定期查征信、导出自己的画像数据 | 第 13 章 | 🟡 |
| 关闭/限制浏览器指纹追踪 | 第 9 章 | 🔴 |
核心理念:你不需要变成一个"查无此人",只需要让自己的画像精度变低、关联变弱,就能显著减少被精准操纵和差异化对待的可能。每多关一个权限、每多分一个身份,画像的清晰度就下降一分——这不需要技术高超,只需要养成习惯。
本章检查清单
- [ ] 我意识到自己每天产生的数据量远超想象,数据分散在几十个服务中
- [ ] 我理解画像的力量来自"长期 + 关联",而非单次采集
- [ ] 我知道四类基本数据(身份、位置、行为、交易)各自的主要用途
- [ ] 我知道个保法第 24 条禁止不合理的差别定价("大数据杀熟")
- [ ] 我知道面对重大自动化决策(如拒贷),有权要求说明、有权拒绝纯自动化决策
- [ ] 我知道个保法第 45 条规定了数据可携带权,可以导出自己的画像数据
- [ ] 我理解设备指纹、行为画像为何难以完全规避
- [ ] 我了解在公共管理数据采集中,个人依然享有法定权利
- [ ] 我知道"降低画像精度和关联度"是比"完全隐身"更现实的目标
延伸阅读
- 本章的"权利"部分以第 1 章的法律框架为依据,建议对照阅读。
- 想了解防护手段,请进入第 6 章(手机权限)和第 9 章(浏览器追踪)。
- 数据泄露后的应对见第 14 章,维权路径见第 16 章,征信问题见第 13 章。
⚠️ 本章对数据采集与画像机制的描述为一般性科普,旨在帮助读者建立认知,不代表对任何特定产品或主体的认定。涉及权利主张,请以法律条文和主管部门意见为准。
⬅ 上一章 第 1 章 隐私与法律框架 | ➡ 下一章 第 3 章 威胁模型入门