Skip to content

第 12 章 物理世界的隐私

本章导读:很多人花大量精力设密码、装杀毒、关权限,却忘了隐私还有一道墙叫"物理边界"。一张没撕的快递单、一张没标注用途的身份证复印件、一只对准邻居门口的智能门铃、一段不知不觉上传云端的家庭对话——它们泄露的信息,往往比 App 后台偷采的更直接、更难以撤回。读完本章,你将在三类物理场景中建立可操作的习惯与设置:纸质载体(单据、复印件、证件)、家用智能硬件(摄像头、门锁、音箱、记录仪)、公共空间的识别技术(人脸、RFID、蓝牙信标)。本章面对的威胁主体以"⑤ 物理接触者"和"② 过度收集的商业产品"为主(见第 3 章威胁模型),全部建议在《个人信息保护法》(以下简称"个保法")框架内展开。


🟢 基础:纸质载体上的个人信息

电子化时代,纸质载体依然是最常被忽视的泄露口。它的特点是一旦离开你手,就难以撤回,且不需要任何技术手段就能被利用。本节是人人可做、零成本的入门防护。

1. 快递单、外卖单、购物小票

信息含量:一张标准快递面单通常包含收件人姓名、手机号、详细地址;外卖单在此基础上还有点餐偏好、消费金额、下单时间;超市购物小票则记录了商品清单、支付卡尾号、会员账号。这些信息拼起来,足以描绘出一个人的生活节奏与消费画像。

电子面单的现状:近年来主流快递公司已普遍推行"隐私面单",对手机号中间四位做打码处理(部分还需通过App扫码解密)。这是个保法"最小必要原则"(第6条)在物流行业的落地。但姓名、地址、二维码通常仍以明文呈现,不能因此掉以轻心。

处理方法(按可操作性排序):

  1. 涂抹关键信息:用专用隐私涂抹印章(网购十几元一个,覆盖后无法透光透影)盖住姓名、电话、地址。普通黑色记号笔在强光下仍可辨识,效果不如专用印章。
  2. 撕碎处理:沿面单边缘将关键信息区撕成多片,分别丢弃到不同垃圾袋。有碎纸机的家庭可直接碎掉。
  3. 使用驿站/快递柜:把送货地址设为小区快递柜或附近驿站,减少面单上的门牌号暴露。这同时降低了"⑤ 物理接触者"借快递面单确认你作息的风险。
  4. 小票不要随手丢:购物小票、银行回执、ATM 凭条不要丢弃在商户垃圾桶,带回家统一撕碎。

法律依据:你有权要求电商平台和物流公司说明面单信息的留存期限(查询权、解释说明权),也有权在订单完成后要求删除收件信息(删除权,个保法第47条)。主流电商App在"我的—地址管理"中可手动清除历史地址。

2. 纸质证件复印件的标注用途

身份证复印件在中国日常生活(租房、办卡、入职、住酒店)中几乎必交。它一旦被留存,等于把你的姓名、身份证号、照片、住址一并交出。个保法第6条要求处理者遵循最小必要原则,但你作为信息主体,也可以主动加一层"使用范围限定"。

标准做法:在复印件空白处(不遮挡核心信息)用蓝色或黑色笔书写一行用途声明,例如:

本复印件仅供办理 XX 银行 XX 业务使用,他用无效。再次复印无效。

书写时让文字部分压在身份证图案上(但不要遮住关键字),可以有效防止再次扫描复制。声明应包含三个要素:用途、日期、无效声明

其他纸质证件:护照、驾驶证、户口本、社保卡的复印件同理。租房合同里附带的身份证复印件,要在合同解除后要求房东销毁或归还(属删除权范畴)。

面对不明机构时的判断:小型中介、地推摊位、街边商户索要身份证复印件时,先问三个问题——

  • 用途是什么?(对应告知义务)
  • 保留多久?(对应存储期限)
  • 是否必要?(对应最小必要原则)

答不上来或回答含糊时,可以拒绝。这一原则也适用于第 15 章讨论的各类社会工程场景。

3. 公共场合的摄像头与拍照意识

中国城市的公共空间摄像头密度较高(具体数字无权威公开统计,标"待复核"),按来源大致可分为三类:公共安全摄像头(由政府部门设置,用于交通、治安)、商户自有摄像头(店铺收银、商场内部)、个人摄像头(门铃、车载、家用)。这三类的法律属性与你的权利不同。

你的意识与做法:

  • 输入密码时遮挡:在ATM、收银台、公共WiFi登录界面输入密码时,用手或身体遮挡键盘。这是挡住"⑤ 物理接触者"肩窥(shoulder surfing)和上方摄像头的低成本做法。
  • 公共场合不报敏感信息:在咖啡厅、地铁、公交上打电话时,不要大声报出身份证号、银行卡号、验证码。这是最低成本的物理隔离。
  • 不擅自拍摄他人:《民法典》第1019条规定,未经肖像权人同意,不得制作、使用、公开其肖像(法律另有规定的除外)。在公共场合拍摄他人特写并发布到社交平台,可能侵犯肖像权与隐私权。
  • 被陌生人拍摄时的应对:可以礼貌询问用途并要求删除;若对方拒绝且涉及侵权,可保留证据并向平台投诉或报警。
  • 儿童保护:不要在社交平台长期"晒娃"暴露孩子学校、住址、日常作息。第17章会专门讨论未成年人信息保护。

📌 事实标注:中国现行法律并未在公共场所摄像头设置上给公民直接的"同意权"(与App授权不同),但《民法典》隐私权条款、《个人信息保护法》对公共场所图像采集的"维护公共安全所必需"原则(第26条)作了限定——图像采集用于维护公共安全以外目的的,应当取得个人单独同意。理解这一点,有助于你识别哪些场景下对方应当取得你的同意。


🟡 进阶:家用智能硬件的数据风险与设置

智能摄像头、门锁、音箱、记录仪在带来便利的同时,本质上是把你家物理空间里的影像、声音、行为数据,持续转换为可存储、可传输、可分析的数字信息。一旦购买并联网,它就从一件"家电"变成了一台个人信息处理设备——其厂商即"个人信息处理者"(见第1章定义)。本节给出主流品类的设置指引。

1. 智能摄像头:数据风险与安全设置

智能摄像头是家用设备中风险面最广的一类。历史上有过厂商云端数据库未授权访问导致大量家庭画面外泄的事件(具体案例数字待复核),也有用户使用默认弱口令被陌生人登录的常见情况。

风险来源:

  • 云端存储:摄像头画面默认上传到厂商云,云账号一旦失守或厂商策略宽松,画面可被他人查看。
  • 默认密码:出厂密码若未修改,等于不上锁。
  • 公网远程访问:开启 P2P/远程查看功能后,摄像头对外暴露面增加。
  • 固件漏洞:老旧固件存在已知缺陷时,可能被批量扫描利用(机制层面,本书不展开手段)。

安全设置清单(以主流品牌App为例,界面名称大同小异):

  1. 第一时间改密码:首次使用时,把默认密码改成16位以上、含大小写+数字+符号的独立密码(参考第5章密码规范)。启用双因子认证(2FA)——绑定手机或邮箱验证码。
  2. 关闭公网远程访问(若不需要):只在同一WiFi下查看的家庭,可在路由器或摄像头App中关闭"外网访问""P2P"。
  3. 优先本地存储:使用 SD 卡或 NAS 本地录像,关闭"自动上传云端"选项。云端付费套餐按需开通,不要默认勾选。
  4. 关闭麦克风(非必要时):画面够用就不录音,降低敏感度。
  5. 物理遮挡:长期不在家时,把摄像头转向墙壁或用遮挡片盖住镜头——这是"⑤ 物理接触者"也无法绕过的物理隔离。
  6. 固件保持更新:打开"自动更新固件"开关。厂商修复漏洞的主要途径就是固件升级。
  7. 选购时查隐私政策:买前在厂商官网找"隐私政策",重点看数据存储地、留存期限、是否与第三方共享。无法找到隐私政策的品牌要谨慎。

2. 智能门锁:生物识别与远程开锁

智能门锁通常支持密码、指纹、人脸、IC卡、App远程、钥匙等多种开锁方式。其中指纹、人脸属于敏感个人信息(个保法第28条),授权与存储方式值得仔细甄别。

关键设置:

  1. 生物识别数据的存储位置:优先选择本地存储(指纹/人脸模板只存在门锁内部芯片,不上传云端)的产品。厂商隐私政策应明确这一点。
  2. 开启开锁记录:让门锁记录每次开锁的时间、方式、用户。定期(如每月)在App里查阅开锁历史,发现异常立即排查。
  3. 临时密码功能:对家政、访客使用一次性或时段限定的临时密码,不要把主密码告诉他人
  4. 远程开锁权限:除非确实需要,关闭 App 远程开锁功能。远程开锁一旦被滥用,等于把门禁交给了云端账号安全。
  5. 保留应急钥匙:生物识别与电子系统都有失灵的可能,应急钥匙放在信任的亲属处,不要锁在门外的"假石头"里。
  6. 关注儿童与老人:儿童指纹发育不全、老人指纹磨损,可能导致误识别或锁外。这一群体的开锁方案要单独考虑。

3. 智能音箱与语音助手

智能音箱(带语音助手的音箱、智能屏)的工作机制是:持续监听唤醒词,识别到唤醒词后才将后续语音上传云端处理。理论上非唤醒时段不上传,但误唤醒(以为你在叫它)是真实存在的——一段家庭对话可能被录下来传到云端。

风险点:

  • 历史录音:云端长期保存你的语音指令和误唤醒片段。
  • 声纹:用于个性化识别的声纹特征属于敏感个人信息。
  • "改进服务"数据共享:部分厂商默认勾选"用我的语音数据帮助改进产品",这意味着你的录音可能被用于模型训练甚至人工抽检。

设置建议:

  1. 查看并删除历史录音:在厂商App(如"我的—语音记录—活动记录")中查阅、导出或一键清除历史录音。建议每月清理一次。
  2. 关闭"改进服务"数据上传:在隐私设置里关闭"语音数据用于改进""允许人工抽检"等选项。这是合法行使"撤回同意"权(个保法第15条)的具体形式。
  3. 慎用声纹功能:如果厂商支持"声纹识别个性化服务",评估必要性。声纹与人脸一样不可更改,一旦泄露终身受影响。
  4. 敏感时段物理断电:在卧室、书房进行敏感通话时,给音箱断电。物理断电是最彻底的隔离。
  5. 唤醒灵敏度调节:把唤醒灵敏度调到中或低,减少误唤醒。

4. 家庭监控的隐私边界

家庭监控设备同时涉及你自己家成员的隐私邻里、客人的肖像权。这不是单纯的技术问题,而是边界与同意问题。

室内向:

  • 不安装在卧室、卫生间、更衣区:即使是为了"看护老人",也应尊重被看护者的隐私,选择公共区域(客厅、走廊)并告知当事人。
  • 客人到访:家里有客人、家政、维修人员时,提前告知"客厅有摄像头"并关闭非必要区域的录像。这是基本的知情尊重。
  • 未成年人房间:第17章详细讨论,儿童房监控应获得适龄儿童的知情,且仅在必要时开启。

室外向(门铃摄像头、门口枪机):

  • 镜头避开邻居家门和公共通道:民法典相邻关系原则,以及对他人肖像权、隐私权的尊重。调整角度让画面只覆盖自家门口。
  • 避免录音:室外录音涉及他人对话隐私,关闭录音功能可降低纠纷风险。
  • 数据存储周期:在App中设置"自动覆盖"(7天/14天/30天),不要无期限保存。

5. 车载设备与行车记录仪

行车记录仪:

  • 录音功能:行车记录仪的麦克风会录下车内对话。与家人、同事的私密谈话、商务讨论都会被保存。非必要时关闭录音。
  • 循环覆盖周期:设置 3–7 天循环覆盖,避免长期保存大量素材。
  • 事故素材及时导出后清除:仅保留必要的证据片段。
  • 拍摄范围:记录仪拍下的他人车牌、路人面部属于他人个人信息,公开发布(如发到短视频平台打码不彻底)可能侵犯他人权益。

车载联网(T-Box/车机系统):

  • 现代智能汽车持续上报位置轨迹、车速、驾驶行为、车内对话(若有语音助手)。这些数据属于行踪轨迹,即敏感个人信息。
  • 查看厂商隐私政策:购车时要求销售当面打开"隐私声明",了解上报哪些数据、存多久、是否与保险公司或第三方共享。
  • 关闭非必要数据上报:车机系统设置里通常有"匿名上报""帮助改进产品"等开关,按需关闭。
  • 车内摄像头(驾驶员监测):用于疲劳/分心检测,数据原则上应本地处理、即时丢弃,不上云。隐私政策应说明这一点。

🔴 深度:识别技术与本地/云端边界

本节面向有一定技术基础的读者,从机制层面理解物理世界中几类识别技术的原理,以及它们在个保法下的权利边界。本章对人脸识别部分的叙述严格遵循"机制 + 法定权利 + 合法注意事项"三层结构(见本章导读与第2章"公共数据采集"的中性写法),不涉及任何规避手段。

1. 人脸识别的技术机制与个人权利边界

(1) 技术机制(客观陈述)

人脸识别系统的工作流程通常分为四步:

  1. 人脸检测:从图像或视频流中定位出人脸区域。
  2. 特征提取:通过深度学习模型,把人脸转换为一个高维特征向量(embedding,通常为128维或512维浮点数)。这一步是"不可逆"的——无法从向量直接还原出原图,但向量本身可用于比对。
  3. 比对:把提取的特征向量与数据库中的模板向量计算相似度(常用余弦距离或欧氏距离)。
    • 1:1 核验(是谁声称是谁):核对你的脸与身份证照片是否一致。
    • 1:N 检索(在库里找你是谁):把你的人脸与数据库中所有人的模板逐一比对,返回最相似的若干候选。
  4. 活体检测:防备用照片、视频、面具欺骗系统。常见有**2D(眨眼/转头/动作指令)、3D(结构光深度)、红外(热成像)**等几种,精度依次升高。

准确率受光照、角度、遮挡、年龄变化、双胞胎等因素影响,任何系统都存在误识率(FAR)与拒识率(FRR)的权衡。这是中性技术事实。

(2) 个保法下的法定权利

人脸属于敏感个人信息。个保法第28条明确将"生物识别"列入敏感个人信息,其处理必须满足:特定的目的、充分的必要性、严格保护措施,并取得单独同意(第29条)。这意味着:

  • 单独同意权:不能把人脸授权塞进冗长的隐私政策让你一键全勾,必须就人脸识别单独取得你的同意。
  • 非必要不强制:第26条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,并设置显著提示。商业场景(如会员识别、门禁)不具备公共安全属性,应以你自愿选择为前提。
  • 替代方式请求权:虽然法律未明文写"必须提供替代方式",但司法实践已形成明确导向——最高人民法院 2021 年发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》明确,物业服务企业等不得强制将人脸识别作为出入小区唯一验证方式,业主有权要求提供替代性验证方式。这一裁判精神同样适用于其他类似商业场景。
  • 查询、更正、删除、撤回同意权:你对存储在某处理者处的人脸模板,享有与对其他个人信息相同的八项权利(见第1章)。尤其重要的是撤回同意权:授权后你可以在App或客服渠道撤回,处理者应停止处理并删除。
  • 未成年人特别保护:14岁以下未成年人的人脸信息,处理者必须取得监护人同意

(3) 合法注意事项与设置

  • 遇到"强制刷脸"时:可明确要求提供替代方式(密码、刷卡、身份证核验)。对方拒绝时,可保留证据,向网信部门或12315、12345投诉。
  • App/小程序索要人脸权限时:认真看授权弹窗写的目的。如果是"解锁App""个性化推荐"等非必要功能,可以拒绝。拒绝通常不影响基础服务(个保法第16条)。
  • 关注隐私政策的关键字段:存储期限(应明确,不应"永久")、是否与第三方共享、数据存储地。
  • 重要场景与次要场景的区分:政务、银行、边检等场景下的人脸核验有公共管理与金融安全的必要性,适度接受是合理的;便利店会员、健身房门禁、售楼处看房等非必要场景,谨慎授权。
  • 定期行使权利:每半年到一年,对你授权过人脸的处理者做一次盘点,行使查询权(查存了什么)、必要时行使删除权。
  • 谨慎授权儿童人脸:学校、培训机构索要儿童人脸时,监护人应阅读单独同意书,确认目的、期限、删除安排。

⚖️ 中性说明:本节仅介绍技术机制、个人在个保法下的法定权利,以及合法的注意事项。本节不对任何特定主体(政府部门、商业机构、具体厂商)作定性评价,也不教任何规避识别的手段。

2. RFID 与蓝牙信标的定位机制

(1) 机制

物理世界中,除摄像头外,还有两类"无感识别"技术值得了解:

  • RFID(射频识别):常见于非接触式 IC 卡(门禁卡、公交卡、部分银行卡)、二代居民身份证芯片、电子护照。RFID 芯片被动响应附近读卡器的射频信号,不需要内置电源。只要物理距离够近(几厘米到几米),就可以被读取
  • 蓝牙信标(BLE Beacon):商场、博物馆、机场部署的低功耗蓝牙发射器,与手机App配合用于室内定位、精准推送优惠。手机蓝牙开启时,会被信标识别并关联位置。
  • UWB(超宽带):新款手机、汽车数字钥匙使用,定位精度可达厘米级。

这些技术的共同点是:不主动联网,但可被附近的读卡器/接收器扫描,从而把"你的某件物品/你的手机出现在某处"这一事实记录下来。

(2) 风险与合法防御

  • RFID 屏蔽卡套/钱包:针对非接触式 IC 卡、电子护照,使用内衬金属屏蔽层的卡套,可防止近距离被扫描。二代身份证、护照建议使用。
  • 蓝牙管理:非使用时段关闭手机蓝牙;关闭系统设置中"附近设备""快速交互"等不必要权限(见第6、7章手机权限设置)。
  • App 与信标的关联:商场App索要"位置始终允许"时,谨慎授权。 indoor 定位功能可以拒绝,不影响基础购物功能。
  • 数字车钥匙:了解车钥匙与车辆的配对机制,丢失手机时及时在车机系统中注销。

📌 本节描述的是机制与影响,不涉及任何复制卡片、读取他人证件的具体方法。本书止于"知道它在工作,知道如何合法降低暴露"。

3. 智能设备的本地数据与云同步

智能设备的数据存储通常有**本地(设备内 Flash、SD 卡、NAS)云端(厂商服务器)**两条路径,二者风险面不同。

本地数据的风险:

  • 二手转让未擦除:旧手机、旧摄像头、旧路由器、旧车机若不彻底清除数据就转手,新主人可能恢复出大量个人数据。这是"⑤ 物理接触者"通过合法二手渠道获取数据的典型路径。
  • 物理被盗:设备被偷后,若未开启全盘加密,存储芯片被拆下读取是可行的(机制层面)。

云端数据的风险:

  • 厂商策略宽松:留存期限过长、与第三方共享、用于训练模型。
  • 厂商数据泄露:历史上有过智能家居厂商云端数据外泄事件(具体数字待复核)。
  • 跨境存储:若厂商服务器在境外,你的数据可能涉及跨境提供规则(个保法第38–39条,见第1章),你的法定权利行使难度增加。

合法防御:

  1. 转让前的彻底擦除:
    • 手机/平板:执行"恢复出厂设置"后,再填充一次无关数据(如大容量视频)再恢复出厂,覆盖原闪存残留。部分品牌有"安全擦除"选项。
    • 摄像头/记录仪:取出 SD 卡,物理销毁(剪碎或打孔)。
    • 路由器:恢复出厂并清空配置,改掉管理密码。
    • 电脑/笔记本:使用全盘加密(BitLocker/FileVault)后再恢复出厂,或使用专业擦除工具(如 DBAN)。
  2. 选购时关注厂商政策:
    • 优先选择数据存储地在中国境内的产品(厂商隐私政策应说明)。
    • 关注厂商是否提供端到端加密(E2EE)选项——开启后即使厂商也无法读取你的数据。
  3. 定期行使权利:每年对智能设备厂商做一次"权利盘点",行使查询权(查存了什么)、删除权(删除历史数据)、撤回同意权(关闭非必要数据上传)。
  4. 关注安全公告:订阅或定期查看厂商官网的安全公告,发生数据泄露事件时及时改密码、撤销该厂商授权。

本章检查清单

读完本章,请逐项自检:

纸质载体:

  • [ ] 我家附近有涂抹笔或碎纸机,快递单关键信息在丢弃前已被处理
  • [ ] 我提交身份证复印件时会手写"仅供 XX 使用,他用无效"
  • [ ] 我在公共场合输入密码时会遮挡,不大声报出敏感信息

家用智能硬件:

  • [ ] 我的智能摄像头已修改默认密码、开启 2FA,并关闭了非必要的公网访问
  • [ ] 我的智能门锁生物识别数据为本地存储,我定期查看开锁记录
  • [ ] 我的智能音箱已删除历史录音、关闭"改进服务"数据上传
  • [ ] 我的家庭监控镜头不覆盖邻居门口和公共通道,室内监控告知当事人
  • [ ] 我的行车记录仪已关闭非必要录音,设置循环覆盖

识别技术与数据同步:

  • [ ] 我能陈述人脸识别的基本机制(检测—提取—比对—活体)
  • [ ] 我知道人脸属于敏感个人信息,需要单独同意,我可以要求替代方式
  • [ ] 我使用 RFID 屏蔽卡套保护关键证件
  • [ ] 转让旧设备前我会执行彻底擦除或物理销毁存储介质
  • [ ] 我每年对智能设备厂商做一次权利盘点

延伸阅读与参考来源

  • 《中华人民共和国个人信息保护法》(2021-11-01 施行)第6、15、16、26、28、29、38、39、47 条——以国家法律法规数据库 flk.npc.gov.cn 为准
  • 《中华人民共和国民法典》第1019 条(肖像权)、第1032–1034 条(隐私权与个人信息)
  • 最高人民法院《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》(2021-08-01 施行)
  • GB/T 35273《信息安全技术 个人信息安全规范》
  • 本书第 1 章 隐私与法律框架(术语与八项权利口径)
  • 本书第 3 章 威胁模型入门("⑤ 物理接触者"威胁主体)
  • 本书第 6、7 章 手机系统与 App 权限(智能设备的权限分支)
  • 本书第 17 章 未成年人保护(家庭监控的儿童视角)

⚠️ 本书引用的法律条款编号、施行日期以国家法律法规数据库官方文本为准;如遇法律修订,以最新文本为准。本章对识别技术的描述止于机制与影响,不涉及任何规避手段。本书内容仅作防御科普,不构成法律建议;部分设置可能影响 App 或设备的某些功能,请读者自行评估。


⬅ 上一章 第 11 章 理解网络访问控制 | ➡ 下一章 第 13 章 金融与支付安全

本书仅作防御科普,不构成法律建议。部分设置可能影响 App 正常功能,请自行评估。