Venmo隐私改革：从默认公开到仅好友可见意味着什么

从"默认公开"到"仅好友可见"：Venmo的隐私转向

Venmo，这款在美国广受欢迎的移动支付应用，正在测试一次重大的应用重新设计。在这次改版中，最引人注目的变化并非界面美化或功能增加，而是一项关乎用户隐私的根本性调整——新用户注册时，交易动态将默认设置为"仅好友可见"，而非此前的"公开"状态。

看似一个简单的默认设置切换，背后却折射出移动支付行业乃至整个科技行业在隐私保护理念上的深刻转变。

Venmo的"社交支付"基因与隐私争议

社交功能曾是核心卖点

Venmo自诞生之初就与众不同。Venmo隶属于PayPal旗下，于2009年由Andrew Kortina和Iqram Magdon-Ismail在宾夕法尼亚大学创立，最初是一款通过短信完成支付的工具。2013年被支付公司Braintree收购，同年Braintree又被PayPal以8亿美元收购，Venmo由此成为PayPal生态的重要组成部分。截至近年，Venmo的年交易总额已超过2500亿美元，活跃用户超过9000万，在美国P2P（个人对个人）支付市场中占据主导地位，与Zelle、Cash App形成三足鼎立的竞争格局。

与大多数支付工具不同，Venmo内置了一个类似社交媒体的"动态流"（feed），用户之间的转账记录——包括金额描述和emoji——会像社交媒体帖子一样出现在公开的时间线上。这种设计借鉴了Twitter和Facebook的信息流设计范式，将原本私密的金融交易行为转化为一种社交信号。用户在转账时可以附加文字描述和emoji表情，如"🍕周五聚餐AA"或"🏠房租"，这些信息会出现在好友甚至公开的时间线上。这种设计背后的产品逻辑是利用社交可见性降低支付的心理摩擦——当你看到朋友们都在使用Venmo分账时，你也更倾向于使用它，从而形成网络效应（network effect）。网络效应是指产品的价值随着用户数量增加而增加的现象，这也是Venmo能在竞争激烈的支付市场中脱颖而出的关键机制。这种设计让支付行为变得有趣且具有社交属性，也是Venmo在年轻用户群体中迅速走红的关键因素。

隐私问题长期被诟病

然而，这种"默认公开"的设计长期以来饱受隐私倡导者和安全研究人员的批评。用户的消费习惯、社交关系网络、甚至日常行踪都可能通过公开的交易记录被推断出来。过去几年中，已有多起案例表明，研究人员仅通过分析Venmo的公开数据，就能追踪到包括政治人物在内的特定用户的社交圈和活动模式。

这些风险并非理论推演。2019年，柏林隐私研究员Hang Do Thi Duc通过分析Venmo的公开API数据，下载了超过2亿条公开交易记录，并据此还原了多位用户的完整生活画像——包括他们的饮食习惯、社交圈子和出行规律。2021年，BuzzFeed News的记者仅用不到10分钟就找到了时任美国总统拜登的Venmo账户，并通过其好友列表映射出白宫高级官员的社交网络。这些事件引发了广泛的公众关注和国会议员的质询，直接加速了Venmo在隐私政策上的调整压力。

将金融交易信息默认暴露在公众视野中的做法，在隐私意识日益增强的今天显得越来越不合时宜。

默认设置的力量：为何这次改变意义重大

"默认值"决定了绝大多数用户的行为

行为经济学的研究反复证明，默认设置（default settings）对用户行为有着压倒性的影响。默认效应（Default Effect）是行为经济学中最具实践影响力的发现之一，由诺贝尔经济学奖得主Richard Thaler和法学家Cass Sunstein在其著作《助推》（Nudge）中系统阐述。经典案例是器官捐献：在采用"默认同意"（opt-out）制度的国家（如奥地利），器官捐献同意率高达99%以上；而在采用"默认不同意"（opt-in）制度的国家（如德国），同意率仅约12%。这一巨大差异并非源于文化或价值观的不同，而几乎完全由默认设置决定。在数字产品领域，研究表明超过90%的用户从不修改默认设置，这意味着产品设计者通过选择默认值，实质上在为绝大多数用户做出了决定。

此前，虽然Venmo允许用户手动将隐私设置调整为"仅好友可见"或"仅自己可见"，但由于默认值是"公开"，大量用户实际上一直在不知不觉中公开自己的交易信息。

将默认值从"公开"切换为"仅好友可见"，意味着隐私保护不再需要用户主动"opt-in"（选择加入），而是成为开箱即用的标准配置。这一改变将直接惠及所有新注册用户，从根本上减少无意间的隐私泄露。

科技行业的隐私优先设计趋势

这一变化也与更广泛的行业趋势相呼应。隐私优先设计（Privacy by Design）的概念最早由加拿大安大略省信息与隐私专员Ann Cavoukian在上世纪90年代提出，其核心原则包括：隐私保护应嵌入系统设计而非事后补救、默认设置应最大化隐私保护、以及数据收集应遵循最小必要原则。

这一理念在2018年欧盟《通用数据保护条例》（GDPR）生效后获得了法律强制力——GDPR第25条明确要求企业实施"数据保护设计和默认数据保护"（Data Protection by Design and by Default）。在美国，虽然尚无联邦层面的综合隐私立法，但加州的CCPA/CPRA、弗吉尼亚的VCDPA等州级隐私法律正在快速推进。苹果在2021年推出的App Tracking Transparency（ATT）框架要求应用在追踪用户数据前必须获得明确授权，这一举措导致Facebook母公司Meta当年广告收入损失约100亿美元，深刻改变了整个数字广告行业的运作方式。

越来越多的平台开始意识到，将隐私保护的责任完全推给用户并不合理，产品本身应当在设计层面就为用户提供充分的隐私保障。

仍需关注的几个问题

尽管这次改变值得肯定，但仍有几个问题值得持续关注：

• 存量用户怎么办？ 目前的信息显示，新的默认设置主要针对新用户的注册流程。对于已有的数千万存量用户，他们的隐私设置是否会被自动调整，还是仍需手动修改？
• 社交功能的未来走向：当交易动态不再默认公开，Venmo引以为傲的社交属性是否会被削弱？这对其产品定位和用户粘性会产生怎样的影响？值得注意的是，在美国P2P支付市场中，Venmo的主要竞争对手Zelle和Cash App在隐私设计上采取了截然不同的策略。Zelle由美国主要银行联合推出，直接嵌入银行应用中，从设计之初就不包含任何社交功能，交易完全私密。Square旗下的Cash App虽然也有一定的社交元素，但交易记录默认不公开。相比之下，Venmo长期以来是唯一一款将交易信息默认公开的主流支付应用。这种差异化定位在早期帮助Venmo建立了独特的品牌认知，但随着隐私意识的提升和监管环境的收紧，这一"特色"逐渐从竞争优势转变为合规风险和品牌负担。
• 历史数据的处理：过去多年积累的公开交易数据是否会被清理或限制访问？这些数据一旦被爬取和存档，即便修改设置也难以完全消除影响。这涉及"数据持久性"（data permanence）这一互联网时代的核心挑战。即便Venmo修改了默认设置甚至关闭了公开API，此前已被第三方爬取、存档的数据仍然存在于互联网的各个角落。互联网档案馆（Internet Archive）的Wayback Machine、学术研究数据集、以及各类数据经纪商都可能保存着这些历史记录。从技术角度看，一旦数据被公开发布并被第三方复制，原始平台几乎无法实现完全删除——这就是信息安全领域所说的"牙膏效应"：挤出来的牙膏无法塞回去。从法律角度看，GDPR赋予了欧洲用户"被遗忘权"（Right to Erasure），但在美国法律框架下，用户对已公开数据的追溯删除权利仍然有限且模糊。

写在最后

Venmo的这次隐私改革虽然来得有些迟，但方向无疑是正确的。在金融科技领域，用户的交易数据属于最敏感的个人信息之一，理应获得最高级别的隐私保护。将"仅好友可见"设为默认选项，是Venmo向"隐私优先"迈出的重要一步。

如果你是Venmo的老用户，现在就是一个好时机去检查并调整自己的隐私设置——打开Venmo，进入设置页面，将交易可见范围改为"仅好友可见"或"仅自己可见"。不要等待平台替你做决定。