窗外是深圳南山区凌晨三点的寂静,只有机箱风扇的低鸣在房间里回荡。屏幕上,刚刚跑完的Python脚本吐出了最后一行日志:“Crawling finished. Total records: 1,203,457。”一百二十万条数据,静静地躺在MySQL的临时表里。我32岁了,还在干这种“脏活累活”。
数据多到Excel打不开,这曾经是我梦寐以求的“甜蜜的负担”。可当它真的来了,带来的首先是脊背发凉。随手点开一条记录,姓名、手机号、微信号、甚至粗略的住址区域,一应俱全。这些字段在爬虫脚本里只是一个个XPath节点,是正则表达式匹配到的模式串,是JSON响应里的键值对。可当它们组合在一起,躺在我的数据库里,就成了一个个活生生的人。我知道这些数据的“价值”——在某个隐秘的论坛,这样的“一手料子”能标出让我心跳加速的价格。那是一个完全不同的世界,流量在那里被明码标价,隐私是流通最快的硬通货。
但我也知道另一条新闻,上个月某个同行因为类似的事情进去了。不是技术问题,是底线问题。
技术可以很“野”。为了绕过反爬,我写过模拟人类点击轨迹的脚本,研究过各种IP代理池的优劣,甚至折腾过浏览器指纹的伪装。这些是技术层面的攻防,是猫鼠游戏。但触及到数据本身,尤其是这些能直接定位到个人的敏感信息时,游戏的性质就变了。这不再是技术挑战,这是道德和法律的深渊。我盯着那一串串11位数字的手机号,它们不再是数据,而是一个个可能被骚扰、被骗、生活被打扰的普通人。我的键盘,不能成为黑产的帮凶。
所以,必须处理。不是简单的删除,那太浪费(这种念头闪过时,我自己都皱了下眉)。是脱敏。
我新建了一个表结构。原表里的`raw_phone`字段,经过一个简单的Python函数处理,变成了`phone_md5`。MD5,那个我用来做文件校验、做密码存储(虽然现在知道这也不安全)的哈希函数,第一次被我用来做数据脱敏。过程很简单:`hashlib.md5(phone.encode()).hexdigest()`。一串11位的数字,变成了一串32位的、不可逆的十六进制字符串。这意味着,从此在我的数据库里,再也没有一个真实的手机号。它们变成了一个个唯一的、匿名的标识符。我依然可以基于这个标识符做用户行为分析,做关联挖掘,但再也无法还原出那个数字,无法去拨打,无法去出售。
做这件事的时候,心情很复杂。一方面,觉得安心,像给危险的武器上了锁。另一方面,心底某个角落有个微弱的声音在嘀咕:你在亲手毁掉这些东西的“市场价值”。你知道的,哪怕只是哈希值,在某些场景下也有“碰撞”或关联分析的可能,但那需要极高的成本和意图,至少,我设置的这道屏障,拦住了绝大多数邪念,包括我自己可能在某个人困马乏、压力巨大的深夜会冒出的那一丝邪念。
这不仅仅是技术操作,这是一次划线。Flovico的底线,就在这个加班的深夜里,随着一行行`UPDATE`语句的执行,被清晰地刻了下来。数据可以挖掘,流量可以追逐,但所有动作必须建立在匿名化、聚合化的基础上。绝不存储明文敏感信息,绝不尝试还原个人身份,绝不触碰交易个人数据的灰色地带。
商业的逻辑是逐利的,这我懂。但有些钱,烫手,更烫心。我关掉了数据库客户端,窗外天色依然漆黑。但我知道,手里的数据“干净”了。它们依然有用,但已无害。这或许是一个数据爬虫手,能给自己保留的最后一点体面,和最基本的操守。
技术是刀,可以雕琢作品,也能伤人害己。今晚,我选择给它装上刀鞘。
