奇趣闻 > 数码科技 > \

用户、企业、政府,个人信息保护的三角拉锯

原标题:用户、企业、政府,个人信息保护的三角拉锯

有一样东西,你认为是你的,但却不在你手中;有人利用它获利,并且很多时候,获利的直接对象是你,包括你很反感的时候。那这样东西,还算你的吗?

这样东西,就是你的数据。几十年来,互联网的浪潮将越来越多的人卷入到线上,用户数据的价值,逐渐被互联网企业发现和挖掘,并作为极为重要的互联网资产,成为互联网企业跑马圈地的对象。

随着企业对数据的收集、分析和变现的能力不断增强,用户掌控自己信息的实际权利也在不断下降。名义上的占有、使用、收益和处分,实际成为了纸面上的权利。通过一纸协议(准确的说是一个点击),企业就可以成为权利的实际拥有者。

纪伯伦的诗歌《你的孩子不是你的孩子》中,将孩子称作是被父母射出的箭,父母不该也不能去控制,而用户的数据也仿佛如此。一旦提交后,就不再是自己的了,而是商业征服的弹药。

利益带来的数据饥渴

数据在不少企业眼中,就像闪烁着金光的宝藏,甚至是企业里的核心资产。比如个人简历,在线上只要几分钟就能填好,对绝大部分人来说,只会在找工作的时候用上一下,巧达科技却将其做成了细水长流的生意。

2.2 亿自然人的简历,累计总数 37 亿份,还有超过 10 亿份通讯录,并且有着与此相关的社会关系、组织关系、家庭关系数据,以及外部获取的超过千亿条其他用户数据,巧达科技在商务合作商业计划书里,宣称拥有中国最大的简历数据库,超过 57% 中国人的信息都在其中。

简历包含了姓名、通讯方式、工作履历等关键的个人隐私信息,通过与其他外部数据进行交互,可以得到极精准的用户画像,在教育培训、保险、招聘等多个行业都有「用武之地」,近两年巧达科技暴涨的年收入,就是对此的最好证明。

据燃财经报道,2016 年,巧达科技全年收入 1.2 亿元,净利润 4800 万元;2017 年,全年收入 4.11 亿元,净利润 1.86 亿元,净利润率超过 45%。但在取得大量利润的同时,巧达科技也越过了法律许可的边界,不久前,巧达科技公司被查封,全体员工被警方带走,据猜测,可能与其未经授权获取和使用简历、「贩卖」简历信息等,涉嫌侵犯用户隐私权、侵犯公民个人信息有关。

仟寻招聘(MoSeeker)是一家提供企业内部招聘系统(ATS)对接微信端解决方案的创业公司,曾获得 Recruit(前途无忧的大股东)投资。仟寻的合伙人戴顺认为,巧达科技称其数据获取于三个途径:自有招聘网站、招聘工具产品和合法授权取得的第三方数据源。但其拥有的海量个人信息,实际难以通过合规的途径获得。另一方面,巧达对个人信息的利用方式也属于侵权行为。「个人简历是赤裸裸的个人信息,从姓名年龄、联系方式到住址,社会关系都包括在内,是需要认真保护的数据。」从巧达科技提供的产品来看,即使声称已经对数据进行脱敏,但实际依旧可以指向个人。

招聘业务同样涉及大量个人用户信息,但戴顺表示仟寻从未与其他企业进行过数据共享方面的合作,即使是和同为 Recruit 投资的前途无忧,也没有哪怕进行过类似的讨论。「Recruit 主要看重的是我们的商业模式,而不是数据。」戴顺说。而在他和前途无忧的交流中,对方曾经表示,前途无忧经常会面临数据爬虫的困扰,并不得不展开爬虫与反爬虫的技术拉锯。在《网络安全法》发布前,这样的爬虫软件,在淘宝网上只要 700 块就可以买到,而即使到现在,爬取数据的行为也难以根除。

对一名用户来说,因为在某个网站曾经填写过简历信息,就会在未来时不时收到针对性的营销推荐乃至骚扰电话,绝对是意料之外的事情。戴顺认为,企业使用个人信息数据,底线是要有一条合规的授权链,即,提前告知用户并经过了用户的授权。「商业的增长,不能将成本转嫁给用户。」戴顺说。

但实际上,互联网商业的扩张中,除了爬取其他企业的用户数据外,企业将用户提交的个人信息在市场倒卖,用以「创造更多的价值」的现象并不少见。互联网金融领域尤其是重灾区。打开 AppStore 搜索贷款,相关的贷款 APP 多如牛毛。其中为数不少并不实际放款,而是单纯吸引流量,再导流至其他放贷平台并收取服务费或者提成,被称为「贷款超市」。即使是有放贷业务的现金贷平台,对于部分被自身的风控体系排除在外的申请者,也不介意将这些数据转手卖掉。由于贷款者对自身信息填写得越详细,越有可能获得贷款,在多次转手后,这些本该是高度隐私的个人信息,最终没有任何隐私可言。

即使规模较大、业务正规的金融贷款公司,也不会拒绝来自这方面的补充。在某金融贷款公司负责渠道的何东(化名)介绍,许多来公司办理贷款的人,都是通过中介的渠道。渠道商往往人数不多,业务水平也参差不齐,不少人甚至入行刚不久。他们会和需要贷款的客户谈服务费或中介费,由客户支付,而正规的金融贷款公司负责批款放款。「我们会配合中介,有时候也会适当搞点活动给点返费。」

详细的个人信息也是做好放贷风控的必备条件,何东说,他们对从渠道那里获得的客户有门槛要求,要具备一定的经济基础,基本都是有住房和正规稳定工作的,「但记者、律师是限制行业,条件再好也不做,虽然我们(业务)是正规的,但是中介不正规,怕曝光。」

互联网的数据饥渴到底有多强烈呢?在赛门铁克发布的 2018 年度《互联网安全威胁报告》中,对安卓系统和 iOS 系统前 100 名热门的免费应用进行分析,其中 45% 的安卓应用和 25% 的 iOS 应用都要求跟踪位置的许可权限,除此之外,电话号码、电子邮件、地址、摄像头权限、录音权限等,也都是 APP 希望获取的信息,甚至一个手电筒照明的应用,也会要求位置、摄像头、麦克风、相册等权限。赛门铁克华东及华南区技术经理王景普表示,这些获取的数据可以拿来二次变现,无论是做商业报告、还是做客流量模型、投资决策等,都有用武之地,甚至可以影响国家政治。剑桥分析就是利用了 Facebook 影响美国大选而被判违反数据法律。

数据蕴含的商业价值,就是数据饥渴的源头。

当生意遭遇法规和民意的夹击

出于对利润的追求,企业在利用数据的方向上渐行渐远,在直面后知后觉的汹涌民意之前,法律法规使不少人第一次意识和触摸到了,使用用户数据的界限。在这方面,比起埋头狂奔者,法务体系更全面的巨头警觉性要更强。

蚂蚁金服旗下产品芝麻信用分,覆盖了转账支付、投资理财、购物、出行、住宿等数百种场景,是通过海量用户数据打造出的个人信用产品。对许多风控体系建设不足的放贷平台来说,芝麻信用分可以补全甚至替代原有的风控体系,有的平台对 600 分以上(芝麻信用分 600~649 为良好)的用户可以直接放款。

对芝麻信用来说,这同样是一款可以带来盈利的「付费产品」。在蚂蚁金服官网查询的《业务协作费公告(芝麻信用)2017 年 03 版》中说明,对与芝麻信用签署了《芝麻信用服务合同》的客户,芝麻信用提供了芝麻信用评分(「是指芝麻信用以分数形式对用户信用状况进行综合反映的表达。」)等 6 种付费查询,以芝麻信用评分为例,可以通过姓名和身份证号进行查询,按有效查询计费,标准价格为 1 元/次。

图片来源:芝麻信用规则专区

为了扩大市场,2017 年 3 月,蚂蚁金服曾经发起芝麻信用「信用+联盟」免费计划,允许「信用+联盟」会员合作伙伴在 2017 年 3 月 16 日-2018 年 4 月 15 日之间免费调用芝麻信用产品。对调用其产品的合作伙伴,芝麻用户在公告中要求其调用时要获得用户授权,对于出现无授权调用、用户信息滥用,影响用户隐私保护和信息安全的合作伙伴,将会停止合作。但仅在几个月后,芝麻信用就更主动地要求调用芝麻信用产品的放贷平台,提供「放贷资质证明文件」等系列文件,并通知无法按时提供的平台,将在 2017 年 11 月 15 日终止合作。考虑彼时国内正在加强对金融乱象的整治工作,这对芝麻信用的决策无疑起到了影响。

相比有迹可循的法律法规,民众隐私意识的不断觉醒,以及对数据滥用累积的不满,却往往成为企业忽视的星星之火。2018 年 1 月 3 日,《中国消费者报》的一篇《小心!支付宝年度账单可能让你不知不觉签了个服务协议》指出,在支付宝的年度账单下方,以浅色调小字号出现了一行「我同意《芝麻服务协议》」,并已经默认勾选同意,如果没有注意到,就会允许支付宝收集和授权用户个人和在第三方保存的信息,引发了舆论关注。

图片来源:视觉中国

值得注意的是该份协议很清晰地说明了个人信息的重要性和可能带来的风险,不过考虑到这份协议的「隐秘性」,让严肃缜密的协议行文颇具讽刺效果。

「二、服务规则

(一)您理解,为了给您提供客观、科学、全面的信用管理及评价,以及其他本协议项下服务的需要,您授权我们可以从合法保存有您信息的第三方,收集及处理您的各类信息,同时为避免每次收集都需要经过您的反复确认而导致过程繁杂,或者因此给您带来的不便,您同意第三方可直接向我们提供您的信息而不需要您再次授权。收集您的信息包括您的个人信息、行为信息、交易信息、资产信息、设备信息等。您已经认识到您(作为个人用户)的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息对于您而言是相当私密而重要的。您同意我们向第三方收集并在适用的法律法规许可的范围内向信息使用者依法提供这些信息时,您已经充分理解并知晓该等信息被提供和使用的风险。这些风险包括但不限于:纳入这些信息对您的信用评级(评分)、信用报告等结果可能产生的不利影响,该等信息被本公司依法提供给第三方后被他人不当利用的风险,因您的信用状况较好而造成您被第三方向您推销产品或服务等打扰的风险。」

简单地总结,就是会有相当比例的支付宝用户,在实际不知情的情况下,「充分理解并知晓该等信息被提供和使用的风险」,并「自主同意提供」自己的信息,而即使信息被「依法提供」给第三方后被不当利用,对用户利益造成损害,也同意支付宝「无须就此承担责任或赔偿」。

在大约 2500 字的《芝麻服务协议》中,有关数据授权的条款丰富又缜密:

「您(作为企业、事业单位等组织)理解并同意,您同意第三方查询您的非贷款类及其他非涉及商业秘密信息时,我们可以直接向第三方提供您的相关信息。」

「您同意我们可将您的全部信息进行分析并将结果推送给我们的合作或服务的机构,考虑到该分析结果并不涉及您的具体信息或其他敏感信息,您同意上述分析结果的输出无须另行获得您的授权;」

「您可以向我们请求撤销对第三方的信息查询授权。但如果您和第三方的业务关系尚未终止,比如您在享受信用租车〔信用贷款、信用租房等服务期间,您同意第三方可在业务存续期间持续查询您的信息,同时我们有权不支持您撤销对相关第三方的信息査询的授权,以及终止/关闭本服务。」

「您理解,如因您主动授权第三方査询您的信息,从而导致第三方拒绝向您提供服务或做出了对您不利的决定时,考虑到该信息提供是由您自主同意提供的,您同意我们无须就此承担责任或赔偿。」

事件爆出后,对于支付宝的这一波操作算不算是侵权,在网络上引发了广泛的讨论。在微博上,芝麻信用与支付宝也先后致歉。舆论尚未达成一致,相关政府机构先进行了盖棺定论,据中国网信网报道,1 月 6 日,国家互联网信息办公室网络安全协调局约谈了支付宝(中国)网络技术有限公司、芝麻信用管理有限公司的有关负责人,网络安全协调局负责人指出,支付宝、芝麻信用收集使用个人信息的方式,不符合刚刚发布的《个人信息安全规范》国家标准的精神,违背了其前不久签署的《个人信息保护倡议》的承诺。

新华网随后报道,蚂蚁金服首席隐私官聂正军表示,蚂蚁金服在事发第二天宣布设立专门的职能部门,负责用户的个人信息保护,事业部负责人直接向公司总经理汇报,同时建立个人信息保护工作的考核评价体系,到岗到人的责任追究机制,并对支付宝平台进行专项整顿和全面排查。

支付宝的年度账单中,「我同意《芝麻服务协议》」的字样也随之消失。

这一事件中,有几个重要的节点:支付宝发布暗藏《芝麻服务协议》的年度账单,《中国消费者报》报道《小心!支付宝年度账单可能让你不知不觉签了个服务协议》,网络上舆论沸腾,主管部门介入和蚂蚁金服致歉与整改,其中舆论起到了关键性转折的作用。

中国人没有隐私意识,似乎是许多人的固有观念。企业在讨论和宣传商业模式时,常常用国外市场来预测国内市场的发展。横向来看,国内用户的隐私意识或许还存在缺失;但纵向来看,发达国家对隐私数据的重视和保护,一定是我们的发展趋势,不可能经济文化水平都接近了,隐私保护意识却在原地踏步。

民众隐私意识的觉醒一部分来自教育,一部分来自教训。法律法规的逐渐完善和媒体对隐私保护的宣传,以及不断被爆出的侵犯个人信息的事件,和自己日常受到骚扰电话的烦恼,对个人信息被泄露的恐慌,从理论到实践都在推动这一进程。而民众不断累积的不满,就像蓄洪池里的洪水,只是在等待一个宣泄的机会。

更早之前的 360 水滴摄像头直播(现已关停),就是一次过界的商业试探;近期网络上对网购、外卖 APP 是否通过监听来推荐广告的质疑,也体现了互联网用户对自己信息被窃取和利用的不安。企业如果没有意识到这一点,而将用户数据保护只看成应付检查的工作,抱着「下民易虐」的心态,也许面临的不只是舆论指责,还有主管部门的约谈甚至制裁。

三方博弈

对用户、企业和政府来说,企业使用数据对三方都各有利弊,并不存在某一方的「全输」,我们期待的应该是通过博弈达成多赢的均衡。

对用户来说,授权企业使用自己的个人信息存在风险,但授权带来的便利性也是一目了然。小到《阴阳师》基于地理位置的几个核心功能设计,腾讯《王者荣耀》《刺激战场》可以导入微信好友增加游戏社交乐趣,大到电商的智能推荐、到种类繁多的各项应用,互联网企业能够在竞争中脱颖而出,可以高效利用用户信息来提供更好的用户体验是重要原因。随着互联网深入各行各业,金融、医疗、公共事务中数据的作用都越来越大,运用得当对用户来说无疑将大幅度改善生活。

用户数据可以为企业带来的商业价值毋庸赘言,但如果不给企业以限制,他们无疑会任意开拓边界,直至侵犯用户的利益——只要利润够大,资本就会活跃乃至铤而走险,这在一个多世纪前就已经被印证。

在 2018 年 3 月,李彦宏「中国用户愿意用隐私换效率」的言论曾经引起网络争议以及指责,但也是少数互联网商业领袖正面回应这一问题的记录,完整的问答如下。

记者提问:「面对隐私等,中国医疗改革还需要能够更加创新地利用这些数据,您对于这个数据怎么看?」

李彦宏:「将各个数据来源放在一起,它的威力和能力将会呈现指数级上升,与此同时我们也非常重视隐私问题,以及包括数据的保护问题。在过去几年当中,中国也越来越认识到这个问题,也一直在加强相关的法律法规的建设。在这一个过程当中,我想中国人更加开放,或者说对于这个隐私问题没有那么敏感。如果说他们愿意用隐私换或者交换便捷性或者效率的话,很多情况他们是愿意这么做的。对于我们来说,我们当然要遵循一系列的原则,就是说如果我们认为用这一个数据会让所有人受益,而且他也愿意让你使用这一个数据的话,我们会使用的。」

李彦宏的谈话同样提到了隐私和数据保护的问题,但之所以被吐槽,除了媒体存在一定诱导性的断章取义引起误解外,还有就是民众感到自己「被代表」了,意见并没有被尊重。决定数据是否有价值可以被使用的主动权被放在互联网企业手中,而用户是便利性的被动接收者——用户对企业并没有足够的信任,并因此而不安,随即将积累的不满情绪宣泄。

实际上,在冷静状态下,公众对个人信息保护和便利性的取舍并不极端,而是会理智地权衡。在不久前,诺顿委托独立研究机构 The Harris Poll 对全球 16 个市场,超过 16000 名 18 岁以上个人用户进行在线调查,发布了《2018 年诺顿网络安全调查报告》。报告显示,83% 的受访者担心他们的隐私安全(38% 强烈同意,46% 比较同意),但 61% 认为如果可以让生活更加便利,他们愿意牺牲一定的网络隐私(11% 强烈同意,49% 比较同意),甚至 1/3 的受访者表示,愿意以一定的价格将个人信息出售给企业。其中中国大陆 1051 名受访者对关注自己的个人信息安全,和愿意用风险交换便利性的比例分别为 91% 和 62%,在 16 个国家和地区的排序中,这两个比例分别是高(中国台湾 92%,墨西哥 91%,中国 91% 位居前三)和中等水平(新西兰 75%,加拿大 70%,澳大利亚 68% 位居前三)

图片来源:《2018 年诺顿网络安全调查报告》

用户是数据的直接提供者,但是面对有组织的庞然大物,个人是充满漏洞而且无力的,即使愤怒也无法制衡,而当愤怒爆发时,又会陷入失控之中,如何在两者之间进行权衡,让用户的利益不被侵犯,又让企业能够在合理合法的范畴之内利用数据来创造价值,以及为用户提供便利呢?

这份责任需要政府来参与承担。回到李彦宏的问答,记者所提到的医疗数据,就是在我国非常敏感的一类个人信息,使用和分享受到严格的法规限制。零氪大数据平台在两年前曾经邀请全国几十家三甲医院的肿瘤科室将各自的肿瘤数据进行一次整合分析,以便进行学术研究,过程就极为曲折,需要医生在各自的科室和医院进行申请,保证数据完全脱敏,而且只能就此事项进行一次。如果政府主管部门可以针对性地建立完善的法律法规并严格执法,数据滥用的问题将大大缓解。

当然,这会是一个长期而复杂的问题,规范企业对数据使用,首先要保证公民的权益不被侵犯;其次,又要促进经济的发展和社会整体效益的提升,给出商业创新的空间。这个界限,显然不可能一次性界定清晰,也一定会随着信息化、智能化的不断发展而进行调整。

对此,世界各国和组织都曾给出自己的方案,比如 2018 年 5 月 25 日欧盟正式施行的《一般数据保护条例》(GDPR),被认为是最严格,也最受到关注的有关信息保护的法律。我国在 2017 年 6 月 1 日正式实施《网络安全法》,其中有 11 条条款定义个人信息保护的保护规定,要求网络运营者收集、使用个人信息时,要向用户明示并取得同意,不得超范围滥用个人信息,不得以非法方式获取、提供和出售个人信息,个人有权要求网络运营者删除和更改其个人信息等。此外像《个人信息安全规范》等国家标准的发布,也为相应的立法奠定了基础。

以发展的眼光来看,我国对个人隐私保护的力度不断增强是大势所趋,对许多实际存在「擦边球」的企业来说,可能意味着商业利益受损,但对于重视用户隐私的企业来说,却是一种利好,意味着减少了不良竞争的压力。

中国用户的隐私意识也在不断觉醒。《诺顿网络安全报告》中数据显示,85% 的中国受访者比以往更关注自己的个人信息安全,90% 希望为之做些什么,但 66% 的都不知道能怎么做。从趋势上来看,前两个的比例将继续增长,而随着法规的完善和相关知识的普及,不知道怎样维权的用户比例将持续下降。越是倚重于用户数据来创造价值的企业,就应该越清楚地认识到,用户群体对个人信息保护态度正在发生的改变。

对企业来说,与其在擦边球的路上渐行渐远,更积极主动地去寻找解决方案和新的模式,融入和利用好新的规则,才能更好地立足未来。来自荷兰阿姆斯特丹大学信息法教授、信息法研究所所长 Nico van Eijk 不久前就针对 GDPR 表示:「之前我们会说法律促进创新,实际上它创建的障碍使人们更加敏锐地去找更好的解决方案,所以我们认为他是促进而不是阻碍。GDPR 不是一个所谓的根本权利的工具和机制,它只是一个可能的法律,它可能被进行修改也可能被替代。」

例如 3 月 20 日,针对腾讯起诉抖音、多闪涉嫌违规使用用户数据,天津市滨海新区人民法院裁定腾讯胜诉,要求抖音立即停止将微信和 QQ 授权登录服务提供给多闪使用。多闪此前通过抖音获得的微信、QQ 用户头像、昵称也被勒令停用。

图片来源:多闪小助手

腾讯在「头腾大战」这一回合的胜出,意味着腾讯对用户数据保护的要求得到了法律的认可,也成为了用户信息保护领域的一个标杆性案例。回想到 GDPR 实施前不久,腾讯 QQ 停止在欧洲服务,提早适应规则变化才是企业发展的必由之路。

参考文献:

燃财经:「玩转」8 亿人数据的灰色生意:1 年净赚 1.86 亿

蚂蚁金服官网:业务协作费公告(芝麻信用)2017 年 03 版

中国消费者报:小心!支付宝年度账单可能让你不知不觉签了个服务协议

支付宝:芝麻服务协议

中国网信网:蚂蚁金服反思支付宝账单事件:将完善平台治理机制 避免类似事件再次发生

新华网:蚂蚁金服反思支付宝账单事件:将完善平台治理机制 避免类似事件再次发生

265G 新游频道,阿兹:阴阳师日服首日遇挫 遭遇日本用户大范围抵制

ISACA网络安全实施框架指南

诺顿:诺顿网络安全调查报告

360 法律研究院:国内外看 CCPA 与 GDPR 的对比

钱江晚报:315 过后,我们的隐私数据谁来保护

河北网信管理执法:天津法院裁定:抖音、多闪立即停止共享微信用户信息等行为

显示全文

相关文章