数据隐私指南：保护、权利与最佳实践

要点： 您的个人数据面临恶意软件、网络钓鱼、社交工程和网络攻击的持续威胁。强密码、隐私保护工具和加密流量的VPN构成了在线保护信息的核心防御。

数据隐私已成为数字生活中最重要的话题之一。每次在线购买、搜索查询和社交媒体发布都会生成个人数据，公司会收集、存储和共享这些数据。对许多人来说，问题很简单：谁控制我的信息，我如何保护它的安全？

风险是真实的。网络罪犯使用复杂的方法来窃取个人数据，即使是合法公司有时也会处理不当。但也有好消息。数十个国家现在都有强有力的隐私法律，并且有实用工具可帮助您控制信息。本指南涵盖对您个人数据的具体威胁、为保护您的权利而设计的法律，以及您可以采取的具体步骤来防护您的在线信息。

注意： 本指南从消费者角度重点关注个人数据隐私。如果您正在寻找有关组织合规框架、企业数据处理义务或企业GDPR实施的信息，请访问我们的数据保护指南。

什么是数据隐私？

数据隐私是指您控制如何收集、使用、存储和共享您个人信息的权利。个人数据包括任何可以直接或间接识别您的信息：您的姓名、电子邮件地址、电话号码、物理地址、浏览历史记录、购买记录、位置数据，甚至是指纹等生物识别信息。

在实际应用中，数据隐私回答三个问题：

• 谁收集您的数据？ 网站、应用程序、广告商、互联网服务提供商 (ISP) 和政府机构都会收集个人信息。
• 他们用它做什么？ 常见用途包括定向广告、分析、产品改进，在某些情况下还会将数据出售给第三方。
• 您有什么控制权？ 隐私法律和工具使您能够查看、修改、删除和限制对您数据的访问。

根据电子前沿基金会 (EFF) 的说法，公司收集的内容与用户对该收集的理解之间的差距仍然是数字隐私中最大的挑战之一。数据隐私与数据保护不同，后者涉及企业必须遵循的组织和法律框架。数据隐私关乎您的个人权利和选择。

对您个人信息的威胁

网络罪犯采用多种技术来访问个人数据。了解每种威胁的工作方式是防范威胁的第一步。

社交工程

社交工程是一类攻击，其中犯罪分子操纵人们泄露机密信息。这些攻击不是利用软件漏洞，而是利用人类心理。

工作原理： 攻击者可能冒充银行代表、发送虚假慈善呼吁或创建紧急情况（例如声称您的账户已被侵犯），以压迫您分享密码、账户号码或验证码。

现实世界的例子： 2020年，攻击者使用基于电话的社交工程说服员工提供内部工具的访问权限，导致Twitter遭遇重大数据泄露。攻击者随后劫持了包括巴拉克·奥巴马和埃隆·马斯克在内的高知名度账户，以宣传加密货币诈骗。

防护方法： 通过官方渠道直接联系组织来验证任何意外的个人信息请求。永远不要与首先联系您的任何人分享密码或一次性代码。

恶意软件

恶意软件是设计用来渗透设备、窃取数据、加密文件以勒索或在未经同意的情况下监视用户活动的恶意软件。

工作原理： 恶意软件通常通过电子邮件附件、受感染的网站或被污染的下载传播。安装后，它可以记录击键以获取密码、加密您的文件并索要付款（勒索软件）、激活您的摄像头或麦克风，或窃取敏感文档。

现实世界的例子： 2017年的WannaCry勒索软件攻击影响了150个国家的超过20万台计算机，加密了用户的文件并索要比特币付款。医院、企业和政府机构都受到了影响。

防护方法： 保持您的操作系统和软件更新，避免点击来自未知发件人的链接或附件，并使用有信誉的防病毒软件。我们的专门指南详细介绍了恶意软件类型和防护措施。

鱼叉式网络钓鱼

虽然标准网络钓鱼撒大网，但鱼叉式网络钓鱼使用攻击者已收集的个人信息来针对特定个人。

工作原理： 攻击者通过社交媒体、公开记录或之前的数据泄露来研究您。然后，他们会制作高度个性化的信息，通常看似来自同事、上司或受信任服务，以诱骗您点击恶意链接或提供敏感数据。

现实世界的例子： Barracuda Networks 2023年的报告发现，鱼叉式网络钓鱼仅占所有电子邮件攻击的不到0.1%，但要对66%的数据泄露负责。个性化使这些攻击远比通用网络钓鱼更有效。

防护方法： 对任何请求立即采取行动的电子邮件保持怀疑，即使看似来自您认识的人。通过单独的通信渠道验证请求。阅读我们关于网络钓鱼攻击的详细指南，了解更多防护策略。

网络攻击

咖啡馆、机场和酒店中的公共Wi-Fi网络很方便，但本质上不安全。同一网络上的攻击者可以拦截未加密的数据传输。

工作原理： 在中间人 (MITM) 攻击中，黑客将自己置于您的设备和Wi-Fi路由器之间。然后他们可以监视您的浏览活动、获取登录凭据，甚至将恶意内容注入您访问的网站。

现实世界的例子： 安全研究人员已证实，模仿合法网络的恶意热点（称为”邪恶双胞胎”攻击）仍然是公共场所最常见的威胁之一。NIST隐私框架概述了对抗这些攻击的技术控制。

防护方法： 避免在公共Wi-Fi上访问银行或敏感账户。使用VPN加密您的连接，并确保网站在输入任何个人信息之前使用HTTPS。

物联网 (IoT) 漏洞

智能家居设备、可穿戴设备、旧手机和互联网设备通常具有薄弱的安全默认设置并很少接收软件更新。

工作原理： 许多IoT设备附带用户从未更改的默认密码。这些设备通常缺乏加密，可能以纯文本形式传输数据。攻击者可以利用这些弱点来访问您的家庭网络和存储在互联网设备上的任何数据。

现实世界的例子： 2019年，研究人员发现某些智能门铃以纯文本形式传输Wi-Fi密码，允许范围内的任何人捕获网络凭据。

防护方法： 设置后立即更改所有互联网设备上的默认密码。定期检查固件更新并禁用您不使用的功能，例如远程访问。

社交媒体利用

社交媒体平台收集大量用户数据，您自愿分享的信息可能被攻击者武器化。

工作原理： 攻击者抓取公开资料以收集个人详情，用于社交工程或鱼叉式网络钓鱼活动。平台本身收集行为数据，包括您的喜欢、分享、位置签到和浏览模式，用于定向广告。社交媒体公司的数据泄露可能会将这些信息暴露给犯罪分子。

现实世界的例子： 2018年剑桥分析公司丑闻揭露，大约8700万Facebook用户的数据在未经同意的情况下被收集，并用于政治广告。

防护方法： 审核每个平台上的隐私设置。限制公开资料上显示的个人信息，并对来自未知账户的连接请求保持谨慎。

深度伪造和合成媒体

人工智能的进步使创建可以伤害声誉或助长欺诈的令人信服的假图像、音频和视频成为可能。

工作原理： AI工具可以使用一个人的声音、脸部或写作风格样本生成逼真的合成媒体。犯罪分子将深度伪造用于模仿、勒索、虚假信息宣传和财务欺诈，例如语音克隆诈骗。

现实世界的例子： 2024年，一名跨国公司财务员工在与看似公司首席财务官的视频通话后转移了2500万美元。整个通话都是深度伪造。

防护方法： 对涉及财务交易的任何不寻常的视频或音频请求保持谨慎。通过既定渠道验证意外通信。使用多因素身份验证，使语音或视频单独不能授权敏感操作。

什么数据可能被针对？

网络罪犯根据其目标针对不同类型的个人信息。常见目标包括姓名、地址、电话号码、社会安全号码、财务账户详情、医疗记录和登录凭据。以下是攻击者通常对被盗数据的处理方式：

身份盗窃

犯罪分子使用被盗的个人信息来冒充受害者。他们可能开设信用账户、提交虚假税务申报、获取医疗服务或以他人名义犯罪。根据联邦贸易委员会，美国人在2023年报告因欺诈造成的损失超过100亿美元。了解身份盗窃如何运作以及如何保护自己。

人肉搜索

人肉搜索涉及在未经同意的情况下公开发布某人的私人信息。这可能包括家庭地址、电话号码、工作地点详情和家庭信息。受害者可能面临骚扰、威胁或身体危险。

在暗网上出售

被盗数据经常在暗网市场上出售。社会安全号码的价格可能低至1美元，而完整的身份包（姓名、地址、社会安全号码、银行详情）可以获取30美元或更多。医疗记录特别有价值，通常每条记录价格为250美元或更多。

财务利用

攻击者使用被盗的信用卡号码、银行账户凭据和个人详情进行未授权购买、转移资金或以受害者名义申请贷款。

勒索和敲诈

敏感个人数据，包括私人照片、信息或浏览历史，可用于威胁受害者进行付款。勒索软件攻击加密文件并索要释放文件的付款。

个人利用

被盗数据使跟踪、骚扰和模仿成为可能。犯罪分子可能使用个人信息来跟踪受害者的位置、联系其家人或雇主，或以受害者身份犯罪。

数据隐私法律下的消费者权利

数据隐私法律建立了管理组织如何收集、存储、处理和共享个人信息的规则。这些法律还定义了您作为个人的权利，并为违规设定了处罚。

为什么隐私法律很重要

数字数据收集的快速增长造成了对法律保护的紧迫需求。数据隐私法律发挥多个关键功能：

• 保护个人免受其个人信息的未授权使用
• 授予特定权利，包括访问、更正和删除您的数据的能力
• 要求透明度，组织必须公开其如何处理数据
• 强制数据泄露通知，以便个人可以采取保护措施
• 规定处罚以激励合规

NIST隐私框架提供了许多组织与这些法律要求一并使用的额外指导。

法规	地区	生效日期	最高处罚
GDPR	欧盟	2018年5月25日	€2000万或全球收入的4%
CCPA	美国加州	2020年1月1日	每次事件$2,500–$7,500
PDPA	新加坡	2014年7月2日	新加坡元100万
LGPD	巴西	2020年8月15日	巴西收入的2%，上限为5000万雷亚尔
PIPEDA	加拿大	2000年4月13日	由隐私专员决定
各州法律	美国（新泽西州、新罕布什尔州、蒙大拿州、佛罗里达州、德克萨斯州、俄勒冈州）	2024–2025	因州而异

通用数据保护条例 (GDPR)

• 地区： 欧盟 (EU)
• 生效日期： 2018年5月25日

关键条款

• 同意： 在处理个人数据之前需要获得明确的同意。完整的法律文本可在 gdpr-info.eu 上获得。

• 数据主体权利： 授予访问、更正、删除和限制个人数据处理的权利。
• 数据泄露通知： 组织必须在72小时内报告数据泄露。
• 处罚： 最高€2000万或年度全球收入的4%，以较高者为准。

加州消费者隐私法案 (CCPA)

• 地区： 美国加州
• 生效日期： 2020年1月1日

关键条款

• 了解权利： 消费者可以请求有关其个人信息如何被收集、使用和共享的详情。
• 删除权利： 消费者可以请求删除其个人信息。
• 选择退出权利： 消费者可以选择退出其个人数据的出售。
• 处罚： 罚款范围从$2,500到$7,500每次违规。

个人数据保护法案 (PDPA) — 新加坡

• 地区： 新加坡
• 生效日期： 2014年7月2日

关键条款

• 同意： 在收集、使用或披露个人数据之前需要获得组织的同意。
• 访问和更正： 授予个人访问和更正其个人信息的权利。
• 数据安全： 组织必须实施合理的安全安排来保护个人数据。
• 处罚： 罚款最高新加坡元100万。

巴西通用数据保护法 (LGPD)

• 地区： 巴西
• 生效日期： 2020年8月15日

关键条款

• 同意： 数据处理需要明确和明确的同意。
• 数据主体权利： 提供访问、编辑、删除和迁移个人信息的权利。
• 数据保护官： 组织必须任命数据保护官。
• 处罚： 公司在巴西收入的最高2%，每次违规上限为5000万雷亚尔。

个人信息保护和电子文件法案 (PIPEDA) — 加拿大

• 地区： 加拿大
• 生效日期： 2000年4月13日（随后进行了多次修订）

关键条款

• 同意： 要求组织在数据收集和使用前获得有意义的同意。
• 访问和更正： 授予个人访问和更正其个人信息的权利。
• 数据安全： 组织必须用适当的保护措施保护个人数据。
• 处罚： 由隐私专员办公室决定。

美国新州隐私法律

• 州： 各种州，包括新泽西州、新罕布什尔州、蒙大拿州、佛罗里达州、德克萨斯州和俄勒冈州
• 生效日期： 2024年和2025年的各种日期

关键条款

• 同意： 在数据处理前获得同意的类似要求。
• 数据主体权利： 访问、编辑、删除和选择退出数据处理的权利。
• 数据安全： 保护个人数据和进行数据保护评估的要求。
• 处罚： 因州而异，包括由州当局实施的罚款和执法行动。

保护您个人信息的方法

威胁是真实的，防御也是真实的。以下是保护您在线个人数据的具体、可行步骤。

使用隐私友好型浏览器

标准浏览器收集大量用户数据。隐私保护型替代品（如Brave、启用严格跟踪保护的Firefox和Tor浏览器）默认阻止跟踪器和广告。Brave会自动阻止超过15种类型的跟踪器，而Tor通过多个加密节点路由流量以防止监视。

限制数据共享

您在线分享的每一条个人信息都会增加您的暴露风险。避免在公开资料上发布您的全名、家庭地址、电话号码或工作场所。查看您授予应用程序的权限，并在不需要时撤销对您的联系人、位置和摄像头的访问。

加密云存储

如果在云中存储文件，请使用提供端到端加密的服务，例如Tresorit或Proton Drive。对于现有的云存储账户（Google Drive、Dropbox），请在上传前使用Cryptomator等工具在本地加密敏感文件。

使用设备查找器

在所有设备上启用查找我的设备 (Android) 或查找我的iPhone (iOS)。如果设备丢失或被盗，这些工具可让您远程锁定设备并在其落入坏人之手前擦除所有个人数据。

查看应用程序权限

许多应用程序请求访问您的摄像头、麦克风、联系人和位置数据，远超其运行所需的范围。在iOS和Android上，查看设备设置中的应用程序权限，并撤销任何看起来不必要的权限。特别注意请求在后台运行时访问麦克风或摄像头的应用程序。

安装广告拦截器

浏览器扩展（如uBlock Origin）阻止跟踪脚本、侵入性广告和已知恶意软件域。广告拦截器减少了第三方可以收集有关您浏览行为的数据量，并且还可以提高页面加载速度。

使用隐私保护消息应用

标准SMS消息未加密。Signal等应用程序默认对所有消息、语音通话和视频通话使用端到端加密。这意味着即使应用程序提供商也无法读取您的对话。

使用安全电子邮件服务

ProtonMail和Tutanota等电子邮件提供商提供端到端加密，不同于标准Gmail或Outlook账户，提供商在技术上可以访问消息内容。

创建强大的独特密码

2024年最常用的密码仍然是”123456”。使用密码管理器为每个账户生成和存储独特密码。强密码至少为16个字符，包括大写字母、小写字母、数字和符号。在支持它的每个账户上启用多因素身份验证 (MFA)。

使用应用程序锁

许多智能手机提供用单独的PIN、模式或生物识别扫描来锁定单个应用程序的能力。如果有人访问您的设备，这会增加第二层保护。

定期清除您的浏览数据

定期清除您的浏览历史、cookie和缓存数据。这会删除存储的跟踪数据并减少访问您的设备的任何人可用的信息。大多数浏览器允许您通过设置自动化此过程。

禁用第三方cookie

现代浏览器（包括Chrome、Firefox和Safari）允许您阻止第三方cookie，这些cookie主要用于跟踪您在不同网站上的活动。禁用它们显著减少了跨网站跟踪。检查您的浏览器隐私设置来配置这一点。

启用”禁止跟踪”请求

虽然并非所有网站都遵守”禁止跟踪” (DNT) 请求，但在浏览器中启用此设置可表明您不希望被跟踪。将其与在移动设备上禁用不必要的位置和通知权限结合。

隔离在线活动

对不同的活动使用单独的浏览器或浏览器资料。在一个资料中保留个人浏览，在另一个资料中进行工作或购物。这可以防止跟踪网络建立您的在线行为的完整图片。

保护您的IoT设备

设置后立即更改每个互联网设备上的默认密码。每月检查一次固件更新。禁用您不使用的远程访问功能，并考虑将IoT设备放在与主要设备分离的Wi-Fi网络上。

使用加密工具保护您的连接

加密是保护传输中个人数据的最有效的技术防御。多个工具协同工作来保护您的在线活动的不同方面。

虚拟专用网络 (VPN)

VPN加密您的设备和VPN服务器之间的所有互联网流量，防止您的ISP、网络管理员和公共Wi-Fi上的攻击者监视您的活动。VPN还掩盖您的IP地址，使网站和广告商更难追踪您的位置。

在选择VPN时，优先考虑具有经过验证的无日志政策、强大的加密标准 (AES-256) 和广泛服务器网络的提供商。在我们的VPN评论页面上根据速度、安全性和隐私功能比较顶级提供商。

NordVPN 是个人隐私的顶级选项之一。它使用AES-256加密，已通过其无日志政策的多次独立审计，并通过其威胁保护功能提供内置的恶意软件和广告拦截。NordVPN支持最多10个同时设备连接，在111个国家维护超过6,400台服务器。

加密DNS

标准DNS查询以纯文本形式发送，允许您的ISP查看您访问的每个网站。通过Cloudflare (1.1.1.1) 或Quad9等提供商切换到加密DNS（HTTPS上的DNS或TLS上的DNS）可以防止这种监视。

HTTPS无处不在

在输入个人信息之前，始终验证网站是否使用HTTPS。现代浏览器在加密连接的地址栏中显示一个锁定图标。HTTPS无处不在扩展（现在内置于许多浏览器中）在可用时自动将连接升级到HTTPS。

私密浏览器和搜索引擎

将您的VPN与隐私保护浏览器（如Brave或Firefox）以及不跟踪搜索查询的搜索引擎（如DuckDuckGo）结合。这种分层方法提供的隐私强度明显高于任何单一工具。

常见问题

数据隐私和数据保护之间的区别是什么？

数据隐私关注您控制如何收集和使用您个人信息的个人权利。数据保护是指企业实施的组织框架、技术保护措施和法律合规措施，以保护个人数据。两个概念都相关，但服务于不同的受众。

哪项隐私法律适用于我？

适用的法律取决于您的位置和处理您的数据的公司的位置。欧盟居民受GDPR保护，加州居民受CCPA保护，加拿大人受PIPEDA保护。许多公司在全球应用最严格的适用标准，这意味着即使在欧盟外，您也可能受益于GDPR保护。

VPN能完全保护我的个人数据吗？

VPN加密您的互联网流量并隐藏您的IP地址，这可以防止网络监视和ISP跟踪。但是，VPN无法防止网络钓鱼电子邮件、您下载的恶意软件或您在网站和社交媒体上自愿分享的信息。VPN是更广泛隐私策略中的一个重要层面。

如果我的个人数据在数据泄露中被暴露该怎么办？

立即更改任何受影响账户的密码，以及使用相同密码的任何其他账户的密码。启用多因素身份验证，监控您的财务账户是否存在未授权活动，并考虑与主要信用局联系以设置欺诈警报或信用冻结。如果您在美国，请向FTC报告身份盗窃。

关键要点

在当今的数字环境中，个人数据隐私不是可选的。每个在线操作都会生成可能被收集、共享、出售或被盗的数据。威胁是具体的且有充分文件记录的，从网络钓鱼和恶意软件到社交工程和IoT漏洞。

防御同样具体。由密码管理器管理的强大独特密码消除了最常见的攻击向量。VPN加密您的流量并防止网络监视。隐私保护浏览器和加密消息应用程序减少了可供跟踪器和攻击者使用的数据。而GDPR和CCPA等数据隐私法律赋予您控制信息的法律权利。

最有效的方法是结合多个层面：限制您分享的内容，加密您传输的内容，保护您存储的内容，并随时了解不断变化的威胁。没有单一的工具能提供完整的保护，但这些措施共同显著降低您的风险。采取一个步骤，无论是审核您的应用程序权限、启用多因素身份验证还是设置VPN，并从那里开始构建。