# 16 | 隐私与个性化：不要骗我

    你好，我是Rocky。

今天我们来聊聊如何在设计中考虑人的隐私与个性化。

![](https://static001.geekbang.org/resource/image/14/bd/14aa1dabaeed58943a1886f5380862bd.png?wh=1920*876)

让我先来解释一下为什么把这两个概念放在一起。你可以先看看上面这个隐私和个性化之间的关系图。

个性化有两种，一种是用户主动的个性化，一种是用户被动的个性化。

对于主动的个性化来说，比如自己设计一个社交app的形象、选择自己喜欢的主题风格的手机皮肤、搭建个人的主页或者博客、选择自己喜欢的铃音等等，主动的个性化都是用户主动希望别人了解到自己。

被动的个性化是指在数字产品中通过数据挖掘进行用户画像，从而针对性地进行推荐、广告营销、他人窥探等服务。但被动的个性化不可避免地会侵犯用户的隐私，如何平衡个性化和隐私就变得非常关键。

**个性化对隐私的侵犯敏感程度和用户对品牌信赖程度成反比。**

如果信任度不够，用户对获取数据的行为就会非常敏感。即便这些数据最终是用于个性化，也会被用户解读为对隐私的窥探，并担心产品会拿自己的隐私数据干一些坏事，进而引发用户的负面情绪，甚至导致用户流失。

而对于信任度足够的产品，用户就是这种反应：“我其实一点儿都不担心，毕竟不是犯罪分子，也没做过什么坏事。不做亏心事不拍鬼敲门，何况我还用隐私换来好多的便利呢！”

在许多情况下，如果一项业务建立在误导用户、利用数据的基础上，那它就会被用户鄙视（即便这项业务曾经有很高的信任度，也会消失）。脸书Facebook曾被曝泄露了5.33亿用户的信息，扎克伯格还被叫到国会问询，用户对脸书的信任降至冰点。截止今日，仍有大量的用户退出脸书，而转向其他的社交平台。

虽说窥探他人隐私是人的天性，但早在1948年联合国的《世界人权宣言》中，隐私权就被认定为一项基本人权了。隐私权源于人安全感的营造，源于自我保护的心理，源于人与人的社交距离。

如果说早在1948年隐私就需要保护了，那现在当然更加需要。毕竟，我们正处于一个可以被如此精确窥视的时代，我们可能一生都会活在数字监视之中。几乎数字世界所有的交流、互动行为和个人数据都会以这样或那样的方式被人看到。

甚至我们自己也一直随身携带着小型的跟踪设备——只是我们不称其为跟踪设备，而叫它智能手机。

从社会学上来分析，信任和信用是一切良性社会构建的基础之一。我国的法律要求上网实名制，作为拥有用户数据的产品侧人员，我们就是站在强势的一方。相应地，尊重和保护隐私的担子就会很重。

那么如何在设计中做到保护用户的隐私呢？

## 安全认证的正确动作

保护隐私数据的前提是要有安全的机制。在用户界面上，能验证用户身份的有三种要素：用户知道的、用户持有的以及用户固有的。密码是用户设置，肯定是用户知道的；手机是用户的私人随身设备，属于用户持有的；用户的生物信息比如指纹、人脸，这都是用户固有的。安全级别越高，需要的要素组合越多。

### 用户知道的

任何隐私的泄露，总是从脆弱的密码开始的。所以如果你要让用户以正确的姿势输入密码，这里面就有4点注意事项：

1.  如果应用安全级别足够重要，则必须有密码强度的提醒。

![](https://static001.geekbang.org/resource/image/8c/74/8c3c85899da12002e0fff8daea46a574.jpg?wh=550*533)

2.  如果你希望用户输入密码的复杂度提升，请给予进一步清晰的输入建议。比如下面的密码输入，清晰给出了必须同时有大写和小写字母、必须包含特殊字符、必须含数字等等。而且只有用户输入达到要求后，对应的条件才会挑勾变色，来引导用户输入符合要求的密码。

![](https://static001.geekbang.org/resource/image/54/44/5401867fc169b6yy9e9e23f5284c1744.jpg?wh=1603*1211)

3.  要给用户在注册时看到密码输入的机会。当用户输入复杂密码时，特别是用户以移动终端软键盘方式触屏输入时，误触输错的概率会提升，所以必须要让用户知道自己输入的密码是什么。下图的小眼睛就是让用户在输入密码时，可以选择是否同时看到输入内容的提示。

![](https://static001.geekbang.org/resource/image/a0/fd/a0bb24908df3a3ce1de3a1424dda13fd.png?wh=891*146)

4.  不要向用户索取不必要的隐私信息，避免引发用户的警觉。在前面的输入密码部分，某些应用还会要求用户进一步输入一些安全问题。通常这些问题有3个，用于你遗忘密码后在找回密码时作为安全问题回答（比如用户的出生地、初恋的名字、宠物的名字等等）。但请记住，你要的越多，就要承担替用户保存这些隐私数据更大的安全责任。

### 用户持有的

用户持有认证是用户随身带的一个认证途径，这种认证一般有两种方式。

一种方式是用户倾向于信任手机中已经认证过的某些常用App。比如微信、支付宝。用户会直接关联某些日常使用的权威社交账号的登陆和注册。

另一种方式就是手机短信验证。用户会信任运营商的短信通道，认为这个更安全。出于安全原因考虑，短信验证都在几十秒内完成输入。由于验证码通知短信在手机上弹窗呈现的时候，只会展示第一行的内容，如果要提升用户验证码的输入效率，需要在短信通知的最开始就把验证码体现出来，你可以参见下图。

![](https://static001.geekbang.org/resource/image/ee/cb/ee4ebf62dc46295524c10974f89f5dcb.png?wh=1920*1657)

这两种持有认证方式其实都是把将有效性、安全性的问题交给权威第三方，免去了很多麻烦。同时这样做还能减少用户的记忆负荷，不必在不同的App里设置并记忆各种复杂的密码。

### 用户固有的

用户固有的生物信息鉴权是最不需要记忆负担的。但是在体验上，还是需要注意在生物信息鉴权采集数据的依赖过程中，不要忘记对锁屏密码鉴权的强化记忆（具体的内容你可以再回顾一下[13讲](https://time.geekbang.org/column/article/353442)），要充分认识到人的思维缺陷。

帮助用户进行安全认证仅仅是重视用户隐私安全的第一步，接下来就是去对待用户的隐私数据了。

## 不要索取不必要的隐私数据

用户在交互过程中会产生很多行为轨迹数据，这些数据严格说都是用户的隐私数据。所有对用户隐私数据的采集都需要经过用户的允许才行。其中包括硬件数据采集权限的申请、用户业务数据的收集申请以及获取隐私数据之后的处理。

### 权限申请

我们移动设备中的隐私数据很多，应用需要获取对设备数据的采集权限才能触碰到。这些权限包括存储、通讯录、麦克风、地理位置、健身运动、通话记录、相机图库等等。很多app必须获取某些权限才能正常提供服务，但绝对不是全部权限。

尽管很多用户在面对权限要求的时候，一般直接点击“总是允许”。不过一旦用户发现某个应用申请了其并未对外展示的某些权限，用户一定会猜测这个应用是不是在偷偷获取隐私数据，进而产生认知偏见。

在减少这种认知偏见的做法里，iOS要比Android更胜一筹。

在Android中所有的系统授权弹窗都是不能添加说明的，而iOS在请求授权弹窗内可以添加简单的说明。这些说明提供了动机，增加了用户的知情权，在解除用户顾虑的同时强调了价值交换。你可以具体参考下图。

![](https://static001.geekbang.org/resource/image/3f/dc/3f2486yy7f7b98e19d688de4eb4f0bdc.png?wh=820*796)

用户对一个陌生应用的信任感其实是很低的。如果这个陌生应用一次要很多权限并且缺乏关联场景，用户的信任感还会进一步下降。

正确的要权限姿势，一定是用户使用到了相关的功能，强烈感知到这个功能和这个权限的关联性。比如用户不知道一个应用为什么要用到相机，但是当用户使用扫一扫触发授权弹窗的那一刻，用户的信任度是最高的。你可以对比一下下图的左右两半部分，明显右半边会更好。

![](https://static001.geekbang.org/resource/image/d1/96/d1ff1db8c55f48aa20d83fd0137c0096.jpg?wh=1080*1073)

当然在用户的心中，对于哪些应用应该有哪些权限是有预判的。比如地图应用一定会需要位置权限、拍照类App一定会用到拍照权限、社交或在线多媒体应用一定要用到网络权限等等。这些应用如果一开始就用预授权，用户也完全可以接受。

但即便是如此，如何最小化使用权限仍然有很多改进空间。比如是否需要精准定位，是不是可以模糊定位替代？允许使用相机和保存相册，但是否允许读取相册其他照片？在允许使用麦克风时，是否应该在应用调用麦克风权限时给予清晰的视觉提醒，让用户知道后台麦克风在录制中？是否可以根据场景来对权限进行约束？

![](https://static001.geekbang.org/resource/image/0e/5c/0ef2386c7289c354ae409d8e4d07d05c.jpg?wh=1800*598)

### 最小化用户数据收集

即便获取了权限，有些对业务并没有直接贡献的信息，或者并不适合于当前业务使用场景的信息，就不应该过多收集。下图是两个应用的隐私数据获取声明，左半部分是脸书旗下的WhatsApp，右半部分是Signal。

![](https://static001.geekbang.org/resource/image/c7/14/c7ee6ea2627130cb2b143a77849a4214.jpg?wh=1200*3353)

尽管两家公司都提供加密信息，都是将你的信息编码打乱只有收件人才能破译，都依赖于你的电话号码来创建账户和接收信息。但从上面的隐私声明我们很明显能够看出，两家对隐私的策略完全不同。左边是强调要获取哪些个人数据，能拿多少就拿多少。而右边获取的隐私数据极为有限，拿到了还会做匿名化或脱敏处理。

Google Map的街景模糊处理技术也是一个非常棒的设计。不仅在StreetView 3D街景展示中能自动模糊人脸和车牌，而且还设计了一个隐私申报的接口，如果用户申报，甚至可以对整个房屋、车体、甚至身体做模糊处理。

![](https://static001.geekbang.org/resource/image/14/51/14e90350737551288906yy30df404a51.jpg?wh=1022*1175)

### 当用户退出，不要保留其隐私数据

用户始终拥有自己信息的绝对归属权利。如果用户选择不继续使用一个产品，那么也有权删除所有这个产品曾经收集到的自己个人隐私数据。

Line这款聊天软件提供了彻底的账号删除功能，并详细阐述了删除后的后果。参见下图：

![](https://static001.geekbang.org/resource/image/02/8c/02052b83ff5447a29cff72261a80538c.png?wh=1663*2759)

## 不要暴露用户的隐私

前面讲了在获取用户隐私数据时需要注意的细节。接下来我们来看看在个性化运用中，如何使用这些隐私数据在做到不暴露用户隐私的基础上，更好地为用户服务。

比如应用已经获取了用户的手机号，那么这个号码要不要保护呢？某些快递公司直接把用户的名字和手机号印刷在快递物品的外包装上，任何人都可以看得到。这就是粗暴的泄露用户隐私的做法。

Uber作为海外常见的一个打车软件，在避免用户隐私暴露方面做得很好。Uber司机接到你之前，不知道你的姓名、头像、性别，甚至你的目的地都是未知的。Uber仅会显示乘客的评分和当前的位置，司机和用户之间的沟通通过临时号码相互匿名联系。

![](https://static001.geekbang.org/resource/image/52/5e/5283c4e91cb8347d314fb70bbfbecd5e.gif?wh=269*545)

我们在给用户个性化推荐的时候，有时应用会关联用户的朋友信息并给予推荐。但是应用是如何界定朋友的呢？凡是加过微信好友的就是朋友吗？很多人的微信通讯录中有数千名“好友”，你希望自己的隐私信息被所有好友看到吗？

微信的隐私管理里“不让他（她）看”或者“不看他（她）”，如果我们是在一个有上千好友的通讯录上去手工管理，这个功能就是一个鸡肋设计了。

![](https://static001.geekbang.org/resource/image/85/78/853190b907b3ayy6f08e715930e8d578.jpg?wh=590*1278)

在微信读书里，一个用户是否愿意自己的阅读信息或者点赞信息被所有的朋友圈好友看到？下图我用框图框起来的信息，左边的“朋友看过”还稍好些，没有暴露具体的朋友细节。但是右边的点赞，就是非常具体的朋友信息露出了。不加审慎处理，这里面就会产生很大的隐私泄露隐患。

![](https://static001.geekbang.org/resource/image/01/25/01677441c3aa8df680238e388d672025.jpg?wh=1920*2061)

微信阅读给以上个性化推荐都加入了隐私保护开关，但仍然是默认用户同意打开的状况。

## 让用户有权去控制隐私的披露程度

除了正确对待用户的隐私数据外，对隐私的控制权也是用户安全感的重要保障。有的用户会觉得去除某一应用的某个权限，不会影响部分功能的使用。

比如用户已经下载了离线地图，他会觉得没有网络连接应该也可以使用。如果一个用户用相机仅仅是拍照不录像，他会觉得麦克风权限可以取消掉。那我们就要允许用户反悔，去设计反悔机制。

如果我们以允许反悔的标准来看，下面这个例子并不是一个好的设计。在相机里面，麦克风被强制定义为一个基本权限，如果被取消，相机应用完全打不开。

![](https://static001.geekbang.org/resource/image/32/4a/325f5dacb5c9c1c20987ec8b453e764a.jpg?wh=1785*1278)

回想一下我们之前谈过语音交互的唤醒词。唤醒词很重要的功能之一就是告知用户在你未唤醒我之前，所有你说的话，我都不会录音存储，更不会上传云。这其实也是一种用户主动控制隐私的设计。

## 总结

讲到这里今天的内容也就基本结束了。最后我来给你总结一下今天讲的要点。

个性化有主动和被动之分。其中被动的个性化业务存在隐私泄露的风险。

用户对个性化隐私泄露的侵犯敏感程度和用户对品牌的信赖程度成反比。隐私权作为一项基本人权，如果你在做数字产品侧，一定要有主动保护隐私的责任意识。

验证用户身份有三种要素：用户知道的，用户持有的，以及用户固有的。安全级别越高，需要的要素组合越多。

某些不必要的数据或者敏感数据，要在收集到的第一时间进行脱敏和匿名化处理。同时要实现全生命周期的隐私保护，如果用户退出账号，要给用户删除所有个人数据的选择。

在个性化业务推荐过程中，在保证业务可以正常进行的前提下，要最大程度保护用户的手机号、姓名、性别、头像等等隐私信息，不要把用户隐私保护的责任甩给用户自己去解决。要允许用户去控制隐私的披露程度和权限的授予程度，允许用户反悔。

## 作业

最后，我给你留了一个小作业。你觉得在个性化推荐中还有哪些点可以优化，从而更好地保护用户隐私呢？你在生活中有没有遇到过隐私被泄露的事？