拒绝数据采集，是在保护隐私还是在放弃安全？

把城市想象成一台巨大的“感知机器”：路口的摄像头像眼睛，停车场的车牌识别像神经元，手机里的App像触手。你会把自己的脉搏交给它吗？拒绝数据采集，真的是向安全挥手告别，还是在为自由留一盏灯？答案远比“二选一”更聪明。在长滩的“数据漫步”里，居民对车牌识别的反应最真实：脑子里抗拒，身体却诚实——方便真香。有人说机场能拒绝刷脸照样登机，可城市里想不被采集几乎无路可走。这不是情绪化的反对，而是“选择权”的匮乏。一次市政网络被攻破，更让人意识到：数据泄露也会伤害安全。网络安全与人身安全，并不在对立面。法律早已给出边界与方法。我国个人信息保护法确立了“目的正当、最小必要、公开透明”的底线；在公共场景，2025年施行的公共视频图像条例把“谁能装、装在哪、为何装”说得很清楚：只为公共安全，必须有显著提示，采集范围要最小化，并且卫生间、更衣室、客房等区域绝对禁止。欧洲更进一步，对公共场所的实时远程人脸识别基本说“不”，因为那会把匿名的自由“吓跑”。规制逻辑很一致：不是不要技术，而是拒绝失控的技术。那么，什么时候“拒绝”是明智的？当采集与你获得的公共安全好处不成比例；当存在更低侵扰的替代方案却被忽略；当用途模糊、留存过长、缺乏退出与删除机制；当采集升级成高风险（例如远程人脸识别）却没有充分的必要性与监督。此时说“不”，是在保护隐私，也是在防止系统性风险——因为一旦集中数据库被攻破，受伤的是每个人。又在什么时候“参与”更有价值？极端天气的应急调度、交通拥堵的实时疏导、燃气与桥梁的生命线预警，这些多依赖统计化、去标识化的数据流。它们并不需要知道“你是谁”，只需要知道“哪里有风险”。若系统以边缘计算就地处理、只上传必要指标、快速删除原始数据，风险就能被压到可接受水平，换来的是看得见的公共安全收益。判断的“标尺”其实很清楚，也很实用：目的具体可解释吗？是否为达成目的所必需？有没有更低侵扰的替代？对个人的合理隐私期待是否被过度突破？是否设置了清晰的告知、选择退出、删除与追责机制？把这五个问题当作心里的“合法利益评估”，你就不会被“安全”口号带节奏。选择权必须被设计出来，而不是口头承诺。长滩团队正把这一点做成工具：借助隐私工程，让居民在App里行使删除、拒绝持续收集等权利。机场能给“刷脸可选”，城市也该给停车、Wi‑Fi、政务App同等的“可选与可撤回”。真正的安全，应该是“可验证的安全”，而不是“相信我”。技术也有“温柔用法”。把识别放在终端本地做，上传前做脱敏与差分隐私；只保留事件级摘要，不留可复原的原始影像；设置最短留存期限与默认到期删除；对敏感区域物理遮挡；把用途限定在公共安全，不搞二次商业化；引入独立审计、事中备案、事后追责。这些工程化的细节，能把“要安全”与“要隐私”从对撞，变成对齐。对市民，有三点小建议：看到摄像头与App标识，养成扫码看“为什么采、采多少、留多久、如何退出”的习惯；能开“本地处理/最小权限”就不开“云端全量”；用过公共服务，记得行使删除与拒绝持续收集的权利。对运营方与城市治理者，更应把“必要性评估、影响评估、最小化设计、明示退出、独立监督、泄露通报”做成流程化的常态，而非公关话术。所以，拒绝数据采集，不是拒绝安全；盲目采集，也不等于获得安全。隐私是自由的缓冲区，安全是信任的共同体。最好的城市，不是装满摄像头的城市，而是让居民敢于在阳光下说“我同意”，也能在任何时刻说“我不同意”的城市。与其在“隐私”与“安全”间被迫二选一，不如共同追求第三条路：可选择、可撤回、可追责的安全。哲学上，这叫把“技术的权力”还原为“公民的权利”；生活里，它只是你轻轻点下的那个“退出收集”按钮。

当城市AI为救灾向你索要数据，你给还是不给？

警报声大作，暴雨将至，你手机里的“城市应急AI”突然弹窗：为优化救援，请共享你的实时位置、摄像头画面与健康信息。此刻你会点“允许”，还是“拒绝”？这不是科幻——它正在发生，也确实能救命，但代价与界限，值得我们清醒地权衡。先说“给”的理由。AI在应急中的价值不是口号，它已让防灾救灾从经验走向数据。城市级仿真平台已能在五分钟内完成千万级网格的一小时降雨模拟，速度较传统工具提升十倍以上，意味着更快的排涝调度与疏散路线。行业大模型把分散在法规、预案、传感器、视频里的信息织成“情报网”，模型准确率从74%提升到89%，某些系统已累计识别上万起安全隐患。天津等地正用“数字人+智能体”覆盖防汛、林火、地震、危化全链条，救援队在复杂灾情下实现任务规划、知识检索与路径优化的分钟级闭环。在真切的生死考题前，数据的及时抵达，可能就是生命的边界。再说“不给”的底气。便利与隐私的矛盾从来都在街角：车牌免缴费的舒畅背后，是可被追溯的出行轨迹；公共Wi‑Fi的免费背后，现实中城市官网曾遭攻击，居民因此对“连不连”心有余悸。更有平台在用户不知情时通过像素追踪采集敏感健康数据，法院认定其“高度冒犯”。换言之，不透明与“默认收集”并非小事，它们让“为了公共安全”的名义走向失范。那我该怎么选？答案不是简单的“给”或“不给”，而是“有条件地给”。应急是正当目的，但必须有清晰的边界：只为救灾、只收必要、只在当下、事后删除、全程可追溯。我们的法律与最佳实践已给出路标——突发公共卫生应对结束后应及时删除所处理的个人信息；居民对本地应用享有查询、删除与停止收集的权利；可信数据空间强调可控共享、可核验的访问与全链路审计。这些不是技术细节，是你我“敢给”的前提。把这套边界具体化，才是可执行的日常选择。当警报已至、生命攸关时，分享必要的实时位置与求助信息，多半应果断“允许”；当是演练或一般治理场景，便应主动把数据粒度“粗化”，例如只交付模糊位置或延迟上报，不开启持续摄像、不上传与健康无关的敏感信息。看一眼应用是否提供隐私标签与QR说明，是否支持一键撤回与“仅限本次/仅限应急时段”的授权。如果没有透明说明、无法选择退出、也没有事件后的自动删除承诺，那就不要交出持续定位、面部特征、健康状态等高敏数据。安全性也要“抬头看路”。避免在公共Wi‑Fi上直传敏感信息，确认传输加密、设备有二次验证。若系统采用可信数据空间、边缘计算与最小化采集，并承诺在事件后销毁数据，你的风险会显著下降；若平台历史上发生过泄露却缺乏整改与外部评估，即便目的合理，也应谨慎压缩数据范围，或等待线下求助渠道。城市也该先“自证其名”。让居民像在机场那样拥有明确的“可选通道”，在路侧设备、停车系统、摄像头旁张贴清晰的隐私标签与二维码说明，建立一键行使权利的应用入口，默认采用最小化与匿名化，并对算法与数据流进行第三方审计。有了透明、可控与可追责的制度与技术，公众的“给”，才不会变成一次不可逆的让渡。别忘了，数据的力量不仅在危机中。当系统用多源数据提前识别堤防风险、优化物资储备、改善演练效率，真正的“救命”往往发生在洪峰到来之前。而尊重与选择，是这种力量持久运转的能源。所以，当城市AI向你索要数据时，请先问三个问题：是否只为应急、是否仅收必要、是否事后可删？若三者皆是，大可“给且只给够”；若任一为否，就用更小、更短、更匿名的方式守住你的边界。我们追求的，不是“要数据才能安全”，而是“在尊重中变得更安全”。当城市学会先给出信任的机制，市民才会放心给出关键的数据；当每一次“允许”都有明确的来处与归处，我们就不必在生命与隐私之间做零和博弈。最终，智慧城市的成熟，不在于它知道我们多少，而在于它何时选择不再记得。

抛开效率，一座“慢一点”的智慧城市长啥样？

想象一座城市，科技不再催促你“快一点”，而是温柔地提醒你“先深呼吸”。路灯会在你经过时微微亮起，河岸的风把智能传感器隐藏在花草间，AI不是操控一切的“指挥官”，而是你生活里的“智能规划助手”——帮你留出散步的余白、发呆的角落、与人相遇的机会。这，就是一座“慢一点”的智慧城市。它的底层逻辑从“以人为中心”走向“以人性为中心”。技术退到幕布后，城市把注意力交还给人的情感、关系与尊严。治理不靠单向度的“算法决策”，而是鼓励共创：社区议事里有居民、企业、设计师与数据工程师同桌对话；参与式、包容式、系统式设计成为常态，城市的每次更新都像一次精心的“微缝合”，而不是粗暴重写。出门，慢行优先。江畔是一条28公里的慢行生态长廊，人们跑步、骑行、遛狗，安全与舒适被精心校准；山城步道在城市半山腰蜿蜒，把公园、学校、社区与地铁站串联成柔性的网络，沿线的老街巷因人气回流冒出咖啡馆与独立书店。十几分钟生活圈里，红绿灯会为行人多等几秒，AI按时段与人流“温和优化”信号配时，避免把路权交给潜在的极端效率。公共空间里，文化不是被屏幕“轰炸”，而是被温柔放大。历史街区做“绣花式”微更新，保留城墙、仓库与河埠头的肌理；博物馆提供可选的XR导览，虚拟讲解员随叫随到，但永远不打断你的凝望。城市大屏不作为广告“巨幕”，而是关键时才亮起：暴雨预警、空气质量、滨水活动的实时信息一屏掌握，平时则让景观与天空说话。健康服务像水电一样无感却可靠。可穿戴设备与家庭监测仪愿者自愿接入，城市级健康看板以匿名化与差分隐私聚合700余家医疗机构的趋势数据，用以指导社区慢病干预、热浪下的关怀点位布置；医生与管理者通过联邦学习在不搬走原始数据的前提下完成模型训练，市民得到的是更早一步、更少打扰的帮助。数据治理上，这座城市有“慢数据”的自觉。每个会采集数据的设备旁都有醒目的隐私标识与二维码，扫码即可看见“采什么、为何采、存多久、怎么退出”，多语种友好，老幼皆可读懂。你可以像在机场拒绝人脸识别那样，选择不被采集、或一键要求删除历史数据。更进一步，数据尽量在端侧处理，边缘计算承担大部分“就地分析”，避免个人信息涌向云端；跨域分析依赖隐私计算与加密协同，让“数据可用不可见”。城市还建有“市民数据授权中心”，任何机构调用你的数据，都必须按次实名授权，并把收益的一部分返还给你，让“数据作为要素”的价值回到市民手中。这种信任不是凭空出现的。过去的网络攻击与隐私风波提醒了城市：便利与安全的拉扯，必须以选择权来化解。有人喜欢无感通过的车牌识别，有人宁愿取票排队；有人乐于连接公共Wi‑Fi，有人坚持流量独立。智慧城市不做“二选一”的强迫题，而是把选项真正摆在你面前，并承担起“谁收集谁保护”的责任。安全与韧性也在“悄悄发生”。管网、桥梁、隧道、边坡与易涝点布满传感器，AI对异常振动、渗漏与水位进行早发现、早处置；极端天气来临前，城市大模型已完成情景推演与资源预置，社区收到的是清晰、分层、不制造恐慌的提示。真正的聪明，是在你还未察觉前把风险化小，把焦虑挡在门外。经济与服务层面，城市把效率留给系统，把体面留给人。即时零售与智能调度让物资更准时，但街头也有“司机之家”“骑手驿站”的热水与充电；远程办公与混合空间为数字游民提供山海之间的稳定带宽与舒适工位；政府用“数据券、模型券”降低创新门槛，让中小团队也能用得起算力与算法。如果你在这座城度过一天，可能这样展开：清晨沿绿道慢跑，路旁的空气监测把最清新的路线推送到你的手机；午后路过一台新装的传感器，你扫了二维码，决定只允许它记录匿名的人流统计；傍晚的社区共创会上，你与设计师讨论口袋公园的照明怎么“亮到刚好”；夜色里，河岸灯光自动降到柔和阈值，城市把星空尽量还给你。慢，不是反技术，而是让技术学会“分寸”。一座“慢一点”的智慧城市，衡量的不再是秒与帧，而是停下脚步的勇气、彼此信任的厚度、与世界温柔相处的能力。真正的进步，或许不是让人跑得更快，而是让每一次停留都更有意义。当算法愿意后退一步，城市与人，才能向前半步。

我在公共场所的数据，究竟属于我还是“大家”？

抬头看，那盏路灯不仅在照亮你，还可能在“看见”你；抬脚走，地面的停车感应和门口的车牌识别，已经记住了你的到来与离开。公共空间像一座巨大的“数据珊瑚礁”，你的每一次连接、停留和支付，都会留下一点点“数据珊瑚粉”。问题来了：这些碎片究竟是你的，还是“大家”的？在法律和技术现实里，个人数据很少以“所有权”被界定，而是以“控制权”和“使用权”来管理。换句话说，你对与你有关的可识别信息拥有一系列权利，但并不等同于把数据当作一把可以随意买卖的“钥匙”。在加州，这些权利由隐私法赋能：你可以要求企业告知收集了什么、为何收集、保存多久；可以要求删除、纠正，或拒绝被“出售/共享”；对敏感信息（位置、精确地理、身份证号等）你还有“限制使用”的权利。注意，这些权利主要约束企业，公共机构往往适用另一套法规与公共记录制度，逻辑不是“把数据给大家”，而是“为了公共任务在必要范围内使用”。走进城市，你会遇见一整套“看不见的基础设施”：公共Wi‑Fi热点、摄像头、智能水表、停车机、车牌识别。许多居民对这种“无感数据采集”既爱又怕——爱的是效率、便捷和更好的服务，怕的是越存越多、越连越广，一旦泄露后果难控。长期做“数据走读”的研究者发现，机场的人脸识别你还能当场说“我拒绝”，但城市里的传感器和平台很少提供真正的“退出键”。这不是你“没有权利”，而是当前的城市技术与治理设计，常常把公共利益的正当性（治安、交通、能源调度）摆在前列，却忘了为个人提供可操作的选择和“最小够用”的边界。那公共空间里产生的数据，能不能算“大家的”？从专业治理的角度，更准确的说法是“公共目的下的合规处理”。以智慧城市为例，数据被用来优化红绿灯时序、监测空气质量、安排应急响应、做洪涝预警，这些都属于明确的公共任务与公共利益范畴，前提是透明、可追责和风险可控。合规意味着有张贴的隐私告知、清晰的留存期限、严格的访问权限、必要性评估，以及对外开放时的匿名化与再识别风险防护。把“公共目的”简单理解成“人人可取用”是误解：真正成熟的做法是受控共享、可溯源的“数据空间”或“数据信任”，强调可验证的权限、用途限定与撤销机制，而不是把你的数据变成无主公地。你依然有可落实的抓手。面对与城市绑定的商业应用（比如停车或出行App），你可以行使加州隐私权利，请求删除历史数据、拒绝继续收集、限制敏感信息用途；加州还在推进数据经纪商的一站式删除通道，未来发起一次请求即可要求大批数据中介删除与你相关的信息。对公共机构，虽然不直接适用商业隐私法，但你可以要求查阅政策、留存期与共享对象，参与听证与政策评估，推动“隐私标签”“数据最小化”和“默认保护”写入城市项目。遇到公共Wi‑Fi，不要自动连接，关闭设备的随机广播与自动发现，用端到端加密工具防止同网窃听，别把登录凭证和支付行为裸奔交给陌生热点。更重要的是，开始“看见”数据的来路与去路。停车库的车牌识别为何启用？保存多久？是否与执法或商业方共享？是否有匿名的统计替代？城市的摄像头是否提供了反向查询和申诉通道？有没有对老年人、移民等脆弱群体的额外防护？当我们提出这些问题，城市才会从“技术可行”走向“权利可信”。所以，答案既不是“完全属于我”，也不是“归大家随意处置”。在公共空间，你的数据原则上归你“掌控”，但在经法律授权、目的正当、边界清晰的前提下，可以被用于公共利益；而管理者必须用透明度、最小化、期限与问责来换取这份授权。城市是一部共同书写的手稿，你的每一笔都是个人的故事，也是集体的地图。真正成熟的智慧城市，不是让个人让渡权利换取效率，而是让技术为权利让路、让制度为信任兜底。也许下一次你走过那盏路灯，会顺手扫一下它的隐私标签——当市民开始发问，城市才会开始回答；当每一次“看见”都能带来一次选择，我们才真正拥有了属于自己的城市与数据。

给你一个数据“删除键”，就能夺回数字自由吗？

想象一下，你的手机上多了一个大大的“删除键”，轻轻一按，所有被追踪、被画像、被共享的个人数据瞬间蒸发。听起来像数字解放日？现实更复杂：删除键很有用，但它不是魔法棒。在加州长滩，研究者带着居民做“数据漫步”，抬头是摄像头，脚下有智能水表，停车场入口扫过车牌，路边还有能上网的公共 Wi‑Fi。大家一边扫码查看张贴的隐私标签，一边直面一个尴尬事实：城市会告知你在收集数据，却很少给你拒绝的按钮。有人感慨，在机场还可以拒绝人脸识别照样登机，可城市里的很多场景，根本没有不被采集的数据路径。2023 年的一次市政网络攻击，又把“公共 Wi‑Fi 安不安全”推上心头。这些真实场景提醒我们：删，是权利；不被迫收集、能选择，是自由。删除权能做什么？它能实打实减少你的暴露面。加州法律赋予居民访问和删除个人信息、拒绝“出售/共享”的权利，违规会被罚款，数据泄露还有民事索赔。长滩团队正把这些权利做成“可点的按钮”——适配一款应用，让居民直接要求停车 App 删除历史数据并阻止未来收集。把权利做成工具，会发生改变：企业必须建立响应机制、完善安全流程、更新隐私政策，这些都会回到你身上成为更少的骚扰、更小的泄露面、更透明的说明。但靠“删除”一招制胜，为什么不现实？因为数据像影子，会复制、备份、衍生。你删掉原始记录，系统里可能还留有日志、在统计报表里形成了汇总数据，甚至被用于训练模型、得出了对你的“推断画像”。深度模型还有“反推出训练样本”的风险，说明删原始表并不等于抹去在模型中的痕迹。更大的问题在环境：物联网设备无处不在，很多城市服务默认即采集；有时删除了也无法正常使用服务，变相把人“锁定”在同意轨道上。数字市场的结构让平台通过“代码和条款”掌握事实上的排他控制，用户常常只有“同意或退出”的假选择。所以，真正的数字自由，更像一个组合拳：删除权只是刹车，方向盘是选择权、访问权、可携带权和透明度。世界各地的制度正在往“反向赋权”演化：用户不仅能删，还是数据的使用调度者。你可以调取和复制自己的数据，把它转移给另一个服务商，逼迫平台支持可转换和互操作，避免被一家锁死。对于不必要的采集，服务提供者应提供“不交也能用”的替代路径，有判例已经确认，强迫提交画像信息却不给其他登录方式，属于侵害个人信息权益。城市层面，也在实践“看得见的告知”：长滩贴出的多语种隐私标签、可扫码的设备说明，都是把信息不对称翻译成你能读懂、能行动的透明度。还有一条被反复讨论的路，是“集体治理”。当个人授权变成疲劳，数据信托这类机制让受托人代表群体谈判、监督采集与使用，把“独行的你”升级为“有代理、有谈判力的我们”。而在制度端，推动公平、合理、非歧视的数据访问规则，限制霸王条款，要求关键“守门人”在一定条件下开放数据访问，可以一手促竞争、一手促隐私。城市的新一代数字化转型也越来越强调“以人为本”的安全与可选择：统一架构、明示感知设备、内置隐私保护、对高风险应用做影响评估，把退出与最小化写进公共采购和运维标准。你能做什么，从今天开始就有效？把“删除”用起来，同时也用“访问与转移”改变谈判位置；要求不必要信息的替代路径；优先选择支持数据导出和互操作的服务；在社区里推动传感器登记与标识；在城市参与中为“可选择、可解释、可问责”发声。技术侧，拥抱边缘计算、差分隐私、最小化采集，把“少而必要”变成默认。回到开头的问题：给你一个数据“删除键”，就能夺回数字自由吗？它能止血，却不能治病。自由不是遗忘，而是可控；不是一次性清空，而是持续的选择与监督。当我们把删除键和选择权、访问权、可携带权、透明度、集体治理绑在一起，数字生活才开始由你掌舵。真正的自由，是你能随时说“不要”，也能自如地说“换一家”，更能安心地说“为什么”。

新知 - 大圆镜｜城市数据“漫游”指南：在智能世界中，如何找回你的数据自主权？

对抗知识焦虑，从看懂这条开始

App 下载

序章：看不见的城市

清晨，智能音箱唤醒你，播报着由云端算法精准预测的天气。你走出家门，交通摄像头和传感器构成的网络早已规划好最通畅的路线，实时推送到你的手机。午餐时，你用面部识别轻松支付，傍晚在共享单车上结束一天的通勤。城市生活从未如此便捷，仿佛有一只无形而智慧的手，在悄无声息中为你打理好一切。

但这只“手”的触角，正是由无数条数据流编织而成。你的出行轨迹、消费习惯、健康状况，甚至是不经意间连接的公共Wi-Fi，都化作了数据洪流，汇入城市的“大脑”。我们享受着数据带来的便利，却很少有机会停下来问一句：这些关于我的数据，它们是谁？它们在哪？它们将被如何使用？我们似乎成了自己数字倒影的陌生人，生活在一个由我们的数据构建，却不为我们所知的透明城市之中。

一场揭示真相的“数据漫步”

在美国加州长滩市的街头，一场特殊的“城市漫步”正在进行。带领者不是导游，而是加州州立大学的教授格温·谢弗（Gwen Shaffer）。她所指引的“景点”，并非历史建筑或自然风光，而是街角闪烁的监控摄像头、公园里的公共Wi--Fi路由器、智能水表和停车场的自助缴费机。

自2021年起，谢弗教授便开始组织这场名为“数据漫步”（Data Walks）的活动。她的团队在这些设备上贴上了带有二维码的隐私标签，市民用手机扫描，就能立刻了解这个设备在收集什么数据、作何用途。这不仅是一次科普，更是一场关于知情权的社会实验。

漫步中的发现充满了矛盾与张力。在市属停车库，自动车牌识别器让停车两小时内的车主可以“无感”离场，一位参与者赞叹道：“这太方便了，节省了好多时间！”然而，当谢弗教授追问他们对隐私泄露的看法时，同样的参与者又会流露出不安。这种“理智上厌恶隐私侵犯，情感上又迷恋便利”的纠结，精准地描绘了现代市民在数据时代的普遍心态。

更深层次的问题在于选择权的缺失。一位参与者敏锐地指出：“当我去机场时，我可以选择不使用面部扫描，依然能登上飞机。但在城市里，如果我不想自己的数据被收集，似乎没有任何替代选项。”

2023年11月，长滩市遭遇的一场网络攻击，更是将这种潜在的忧虑变成了现实的恐惧。在之后几乎每一次焦点小组讨论中，市民都会主动提及此事。“在城市网站被黑客攻击后，我绝对不会再连接公共Wi-Fi了。”一位市民的这句话，道出了公众对数据安全信任的脆弱性。

谢弗教授的“数据漫步”就像一根探针，刺破了智慧城市高效运转的表象，揭示出其底层一个关键的结构性缺陷：城市或许会披露它们如何收集数据，但极少提供“退出”的路径。市民，作为数据的生产者，却被剥夺了对自己数据最基本的控制权。

从“看见”到“掌控”：数字工具赋能知情与自主

“看见”是改变的第一步，而真正的赋权则需要工具。谢弗教授的团队并未止步于揭示问题，他们正与隐私工程领域的顶尖学府——卡内基梅隆大学合作，开发一款名为“物联网助手”（IoT Assistant）的应用程序。

这款App的目标，是将在“数据漫步”中被动实现的“知情权”，转化为市民可以主动行使的“自主权”。它将成为一个数字权利的控制中心，让市民能够依据《加州消费者隐私法案》（CCPA）等法律，向城市的数据收集方发出指令。比如，你可以通过App对某个停车应用说：“请删除所有已经收集的关于我的数据，并且未来不要再收集。”

这标志着一种重要的范式转变：从过去只能被动接受冗长难懂的隐私条款，到现在拥有一个可以一键“发号施令”的工具。它让抽象的法律权利，变得具体、可用，将数据的主权从城市管理者和科技公司手中，部分交还给市民自己。

这种赋权工具的背后，是全球范围内对“数据主权”理念的日益重视。数据主权，简而言之，就是数字数据应当受到其所在国家的法律和治理体系的约束，而对于个人而言，则意味着对自身数据拥有最终的控制力。无论是欧盟的《通用数据保护条例》（GDPR），还是中国的《个人信息保护法》，都在法律层面上确认了公民的这项权利。而“物联网助手”这样的应用，正是将法律条文转化为现实生产力的关键桥梁。

隐形之盾：让数据“可用而不可见”的密码

要实现数据的价值，又要保护个人隐私，这听起来像是一个“不可能三角”。然而，一种被称为“隐私计算”的技术集群，正在尝试解开这个难题。它的核心理念，是让数据在加密或隔离的状态下完成计算和分析，从而实现“可用而不可见”。

想象一下，有一个绝对安全的“保险箱”（可信执行环境TEE），数据被放进去后，只有授权的算法可以进入操作，外界无法窥探箱内分毫，连操作系统本身都无法访问。或者，将一份机密文件撕成碎片，分给不同的人（多方安全计算MPC），每个人都只能看到无意义的片段，但他们可以通过一种特殊的密码学协议协同工作，最终得出关于整份文件的结论，却谁也无法拼凑出原文。

**联邦学习（Federated Learning）**则是另一种巧妙的模式。它不再要求“数据集中”，而是让“模型跑腿”。例如，多家医院希望联合训练一个更精准的AI诊断模型，但又不能直接共享包含患者隐私的病历数据。通过联邦学习，AI模型可以分别到各家医院的本地服务器上进行“学习”，然后只将学到的“知识”（模型参数更新）带回中央服务器进行整合，原始数据始终保留在医院内部。这就好比一群学生在各自的教室里学习，最后只把笔记交给老师汇总，而不用暴露自己的课本。

这些技术共同构建了一面“隐形之盾”，它使得智慧城市在利用海量数据优化交通、提升公共服务时，不再必须以牺牲市民隐私为代价。数据可以在一个可信、安全的环境中流通和融合，释放其作为“新石油”的巨大潜能，同时为每个人的数字身份加上一把坚固的锁。

中国语境下的司法实践：法律之盾的铸就

当技术提供可能性时，法律则划定底线。在中国，随着智慧城市建设的深入，围绕数据的法律纠纷正以前所未有的速度增长。据统计，2024年全国法院一审审结的涉数据类案件数量，已是2021年的两倍。

面对这一新趋势，中国的司法系统正在积极构建保护数据权益的法律之盾。最高人民法院首次发布的“数据权益司法保护”专题指导性案例，便是一个里程碑式的信号。这些案例如同司法罗盘，为纷繁复杂的数据争议指明了方向。

例如，在“罗某诉某科技有限公司案”（指导性案例265号）中，法院明确指出，一款App在收集用于“用户画像”的个人信息时，如果这些信息并非提供其核心服务所“必需”，那么就不能强制用户提供，并且必须提供一个不提交这些信息也能登录的替代选项。这一判决，实质上是对“一揽子授权”和“强制同意”等行业潜规则的有力回击，捍卫了用户的**“最小必要”原则和选择权**。

这些案例不仅处理企业间的数据不正当竞争，也深入到市民个人信息保护的细微之处，它们共同传递出一个清晰的信号：数据不是可以被肆意攫取的无主之物。无论是企业投入大量成本形成的数据产品，还是每个市民的个人信息，都受到法律的保护。“谁投入，谁受益”、“我的数据我做主”正从口号，一步步落实为可执行的司法规则。

人民城市：数据治理的终极价值

技术和法律，最终都要服务于城市的核心——人。2025年的中央城市工作会议明确提出了“人民城市”理念，强调智慧城市的建设，最终目标是服务于人，而非技术炫技或单纯追求效率。

这意味着，数据治理不能仅仅是自上而下的管理和控制，更需要自下而上的参与和监督。像北京的“接诉即办”改革，依托12345市民服务热线，将海量民生诉求数据化，通过智能分析反向驱动城市治理的优化，实现了从“被动响应”到“未诉先办”的转变。上海推进的“一网通办”和“一网统管”，则致力于打破部门间的“数据孤岛”，让“数据多跑路，群众少跑腿”。

这些实践的核心，都是将市民从被动的“数据生产者”和“服务消费者”，转变为主动的“治理参与者”和“城市共建者”。通过搭建便捷的参与平台、建立有效的反馈机制、健全公众全过程参与制度，城市的数据治理才能真正体现“人民性”。

挑战与未来：通往数据自主权的漫漫长路

通往真正的数据自主权，道路依然漫长且充满挑战。

首先是技术的鸿沟。物联网设备标准不一、数据格式五花八门，为统一的数据管理和隐私保护带来了巨大障碍。同时，隐私计算等前沿技术虽然前景广阔，但其性能开销和部署复杂性仍需不断优化。

其次是法律的完善。尽管已有长足进步，但数据产权的归属、收益的分配、跨境数据的流动规则等，仍有大量法律空白需要填补和细化。

最后，也是最根本的，是人的数字素养。在一个日益复杂的数字世界里，如何提升全体市民的数据安全意识和自我保护能力，弥合不同群体间的“数字鸿沟”，确保每个人都能平等、有效地行使其数据权利，是一个深刻的社会命题。

然而，正如格温·谢弗教授的“数据漫步”所启示的，改变始于行走，始于看见，始于提问。当越来越多的市民开始留意街角的摄像头，当法律为我们的数据权利筑起坚实的围栏，当科技赋予我们易于使用的掌控工具，一个真正以人为本、透明可信的智慧城市，便不再是遥远的愿景。

在这场伟大的城市数字化转型中，我们每个人既是数据的源头，也应是数据的主人。找回数据的知情权与自主权，不仅是保护个人隐私的需要，更是重塑我们与城市、与技术、与未来关系的基石。这不仅是一场技术的革命，更是一场深刻的公民权利实践。