小刘是个跑步爱好者,每天下班跑五公里,坚持了快一年。他在运动App上注册了账号,每次跑完步都会把路线图同步上去。App会生成一张漂亮的运动轨迹卡片,上面有配速、里程、消耗的卡路里,还有一张地图上画出来的跑步路线——从起点跑到终点,红色的线一路连过去。小刘觉得这种分享很有成就感,也方便记录自己的运动成果。他的App账号设置为公开可见,任何人都能查看他的运动记录。他心想跑步路线嘛,又不是什么隐私,能看到就跑呗。他完全没意识到,自己每天都在同一条路线上跑,起点是他住的小区门口,终点也一样。他每次发出来的轨迹图都是一条固定的红线——从A点到B点再回到A点。而A点的位置,有任何人拿着地图看一眼就能确定一个大概范围。然后更让人不安的事情发生了。一个和他素不相识的网友在他的运动记录下面留言,问他"你是不是住在XX小区"。小刘犯嘀咕了,心想这人怎么知道的。他翻了翻自己分享的内容,没有发过地址照片,也没有提到过小区名字。但他再去仔细看那条跑步路线图——起点的位置在地图上虽然没有直接显示门牌号,但从卫星图上看,起点正对着一个小区的大门。只要对照着城市地图,任何一个人都能认出那个小区的名字。更糟糕的是,他还在App里记录了一条通勤跑——从家跑到公司。那个路线直接把他的工作地点也暴露了。起点是他家楼下,终点是他公司楼下。两个最敏感的地址全部被公开在了运动轨迹上。他的粉丝——大部分是同样热爱跑步的人——本来只是讨论配速和装备,但渐渐地有人开始把注意力放在他跑步的线路上。有个人甚至把他的跑步路线图下载下来,叠加到城市街道地图上,把他每天跑过的小区、商场、路口一个一个标出来。小刘终于意识到问题的严重性,赶紧把账号改为私密,已经发出来的历史记录也一条一条地删了。但问题在于,他的数据已经被别人保存过了。
这个泄密链条的关键是运动App设计中的"公开分享"功能与地理位置数据的冲突。第一步是轨迹图的定位信息。运动App生成的跑步路线图使用高精度地图,起点和终点标注得非常清晰。很多人分享轨迹图的时候觉得自己只是发了一条跑步路线,但实际上地图上那个起点圆点,在大比例尺下可以看到一个小区的出口、一栋楼的入口、甚至一个单元门的正对方向。当这条路线每天都从同一个位置开始,那个位置的"可识别性"就大大提高了。第二步是公开数据的长期积累。小刘跑了快一年,App上可能积累了三百多天的运动记录。这些记录全部公开可见的话,任何人都能看到他每天的出发时间、跑步时长、路线选择、节奏变化。通过分析这些数据,可以判断他的作息规律——比如他通常傍晚跑步,说明这个时间段他有空;他从不在某几天跑步,可能那几天要加班;他周末的跑步路线有时候会变,可能是去了别的区域活动。这些信息交叉起来,就是他生活规律的一份完整报告。第三步是公司地址的无意暴露。很多人跑步的时候把起点设在家,把终点设在公司作为通勤跑。这种记录看起来是运动数据,实际上就是一张详尽的"家到公司"导航图。两个最核心的地点被同时公开。第四步是地理位置的二次挖掘。运动App的用户如果知道了一个人的跑步路线,就可以结合公开地图服务做更精细的定位。比如把红色的轨迹线对应到具体的街道名称、交叉路口、甚至楼栋编号。再配合该用户在其他社交平台上的碎片信息,就能完整还原出他的活动范围。
爱好变成隐私出口,这个事在运动圈子里其实很常见。给喜欢在运动App上分享轨迹的朋友几条实在的建议。第一,把运动App的账号设置为私密账号。大多数运动App都支持这个设置。设置为私密后,只有你允许的人才能看到你的运动记录。既然是自己记录运动成果,不需要给全互联网的人看。第二,如果确实想分享,可以设置一个"家"和"公司"的模糊区域。很多运动App有隐私设置,可以指定一个半径范围作为"隐藏区域",在这个区域内运动开始和结束的位置不会被精确显示。用这个功能把家门口和公司门口圈起来。第三,不要每天都从同一个精确起点开始记录。可以往前走一段路再开始跑步,让路线图上多一个缓冲段。或者偶尔换一条路线跑,让自己的运动模式不那么容易被预测。第四,定期检查自己的运动App历史记录,把带有明显位置特征的旧记录删除或者设为隐私。互联网是有记忆的,就算你现在的设置改了,曾经公开过的数据可能已经被截图保存了。运动是私人的事,记录也是。分享给志同道合的人可以,但不需要分享给全世界。
