用戶、企業、政府,個人信息保護的三角拉鋸

日期:2019年4月11日 下午10:20

企業使用數據對三方都各有利弊,我們期待的是通過博弈達成多贏的均衡。

有一樣東西,你認為是你的,但卻不在你手中;有人利用它獲利,並且很多時候,獲利的直接對象是你,包括你很反感的時候。那這樣東西,還算你的嗎?

這樣東西,就是你的數據。幾十年來,互聯網的浪潮將越來越多的人卷入到線上,用戶數據的價值,逐漸被互聯網企業發現和挖掘,並作為極為重要的互聯網資産,成為互聯網企業跑馬圈地的對象。

隨著企業對數據的收集、分析和變現的能力不斷增強,用戶掌控自己信息的實際權利也在不斷下降。名義上的占有、使用、收益和處分,實際成為了紙面上的權利。通過一紙協議(准確的說是一個點擊),企業就可以成為權利的實際擁有者。

紀伯倫的詩歌《你的孩子不是你的孩子》中,將孩子稱作是被父母射出的箭,父母不該也不能去控制,而用戶的數據也仿佛如此。一旦提交後,就不再是自己的了,而是商業征服的彈藥。

利益帶來的數據饑渴

數據在不少企業眼中,就像閃爍著金光的寶藏,甚至是企業里的核心資産。比如個人簡曆,在線上只要幾分鍾就能填好,對絕大部分人來說,只會在找工作的時候用上一下,巧達科技卻將其做成了細水長流的生意。

2.2 億自然人的簡曆,累計總數 37 億份,還有超過 10 億份通訊錄,並且有著與此相關的社會關系、組織關系、家庭關系數據,以及外部獲取的超過千億條其他用戶數據,巧達科技在商務合作商業計劃書里,宣稱擁有中國最大的簡曆數據庫,超過 57% 中國人的信息都在其中。

簡曆包含了姓名、通訊方式、工作履曆等關鍵的個人隱私信息,通過與其他外部數據進行交互,可以得到極精准的用戶畫像,在教育培訓、保險、招聘等多個行業都有「用武之地」,近兩年巧達科技暴漲的年收入,就是對此的最好證明。

據燃財經報道,2016 年,巧達科技全年收入 1.2 億元,淨利潤 4800 萬元;2017 年,全年收入 4.11 億元,淨利潤 1.86 億元,淨利潤率超過 45%。但在取得大量利潤的同時,巧達科技也越過了法律許可的邊界,不久前,巧達科技公司被查封,全體員工被警方帶走,據猜測,可能與其未經授權獲取和使用簡曆、「販賣」簡曆信息等,涉嫌侵犯用戶隱私權、侵犯公民個人信息有關。

仟尋招聘(MoSeeker)是一家提供企業内部招聘系統(ATS)對接微信端解決方案的創業公司,曾獲得 Recruit(前途無憂的大股東)投資。仟尋的合夥人戴順認為,巧達科技稱其數據獲取于三個途徑:自有招聘網站、招聘工具産品和合法授權取得的第三方數據源。但其擁有的海量個人信息,實際難以通過合規的途徑獲得。另一方面,巧達對個人信息的利用方式也屬于侵權行為。「個人簡曆是赤裸裸的個人信息,從姓名年齡、聯系方式到住址,社會關系都包括在内,是需要認真保護的數據。」從巧達科技提供的産品來看,即使聲稱已經對數據進行脫敏,但實際依舊可以指向個人。

招聘業務同樣涉及大量個人用戶信息,但戴順表示仟尋從未與其他企業進行過數據共享方面的合作,即使是和同為 Recruit 投資的前途無憂,也沒有哪怕進行過類似的討論。「Recruit 主要看重的是我們的商業模式,而不是數據。」戴順說。而在他和前途無憂的交流中,對方曾經表示,前途無憂經常會面臨數據爬蟲的困擾,並不得不展開爬蟲與反爬蟲的技術拉鋸。在《網絡安全法》發布前,這樣的爬蟲軟件,在淘寶網上只要 700 塊就可以買到,而即使到現在,爬取數據的行為也難以根除。

對一名用戶來說,因為在某個網站曾經填寫過簡曆信息,就會在未來時不時收到針對性的營銷推薦乃至騷擾電話,絕對是意料之外的事情。戴順認為,企業使用個人信息數據,底線是要有一條合規的授權鏈,即,提前告知用戶並經過了用戶的授權。「商業的增長,不能將成本轉嫁給用戶。」戴順說。

但實際上,互聯網商業的擴張中,除了爬取其他企業的用戶數據外,企業將用戶提交的個人信息在市場倒賣,用以「創造更多的價值」的現象並不少見。互聯網金融領域尤其是重災區。打開 AppStore 搜索貸款,相關的貸款 APP 多如牛毛。其中為數不少並不實際放款,而是單純吸引流量,再導流至其他放貸平台並收取服務費或者提成,被稱為「貸款超市」。即使是有放貸業務的現金貸平台,對于部分被自身的風控體系排除在外的申請者,也不介意將這些數據轉手賣掉。由于貸款者對自身信息填寫得越詳細,越有可能獲得貸款,在多次轉手後,這些本該是高度隱私的個人信息,最終沒有任何隱私可言。

即使規模較大、業務正規的金融貸款公司,也不會拒絕來自這方面的補充。在某金融貸款公司負責渠道的何東(化名)介紹,許多來公司辦理貸款的人,都是通過中介的渠道。渠道商往往人數不多,業務水平也參差不齊,不少人甚至入行剛不久。他們會和需要貸款的客戶談服務費或中介費,由客戶支付,而正規的金融貸款公司負責批款放款。「我們會配合中介,有時候也會適當搞點活動給點返費。」

詳細的個人信息也是做好放貸風控的必備條件,何東說,他們對從渠道那里獲得的客戶有門檻要求,要具備一定的經濟基礎,基本都是有住房和正規穩定工作的,「但記者、律師是限制行業,條件再好也不做,雖然我們(業務)是正規的,但是中介不正規,怕曝光。」

互聯網的數據饑渴到底有多強烈呢?在賽門鐵克發布的 2018 年度《互聯網安全威脅報告》中,對安卓系統和 iOS 系統前 100 名熱門的免費應用進行分析,其中 45% 的安卓應用和 25% 的 iOS 應用都要求跟蹤位置的許可權限,除此之外,電話號碼、電子郵件、地址、攝像頭權限、錄音權限等,也都是 APP 希望獲取的信息,甚至一個手電筒照明的應用,也會要求位置、攝像頭、麥克風、相冊等權限。賽門鐵克華東及華南區技術經理王景普表示,這些獲取的數據可以拿來二次變現,無論是做商業報告、還是做客流量模型、投資決策等,都有用武之地,甚至可以影響國家政治。劍橋分析就是利用了 Facebook 影響美國大選而被判違反數據法律。

數據蘊含的商業價值,就是數據饑渴的源頭。

當生意遭遇法規和民意的夾擊

出于對利潤的追求,企業在利用數據的方向上漸行漸遠,在直面後知後覺的洶湧民意之前,法律法規使不少人第一次意識和觸摸到了,使用用戶數據的界限。在這方面,比起埋頭狂奔者,法務體系更全面的巨頭警覺性要更強。

螞蟻金服旗下産品芝麻信用分,覆蓋了轉賬支付、投資理財、購物、出行、住宿等數百種場景,是通過海量用戶數據打造出的個人信用産品。對許多風控體系建設不足的放貸平台來說,芝麻信用分可以補全甚至替代原有的風控體系,有的平台對 600 分以上(芝麻信用分 600~649 為良好)的用戶可以直接放款。

對芝麻信用來說,這同樣是一款可以帶來盈利的「付費産品」。在螞蟻金服官網查詢的《業務協作費公告(芝麻信用)2017 年 03 版》中說明,對與芝麻信用簽署了《芝麻信用服務合同》的客戶,芝麻信用提供了芝麻信用評分(「是指芝麻信用以分數形式對用戶信用狀況進行綜合反映的表達。」)等 6 種付費查詢,以芝麻信用評分為例,可以通過姓名和身份證號進行查詢,按有效查詢計費,標准價格為 1 元/次。

圖片來源:芝麻信用規則專區

為了擴大市場,2017 年 3 月,螞蟻金服曾經發起芝麻信用「信用+聯盟」免費計劃,允許「信用+聯盟」會員合作夥伴在 2017 年 3 月 16 日-2018 年 4 月 15 日之間免費調用芝麻信用産品。對調用其産品的合作夥伴,芝麻用戶在公告中要求其調用時要獲得用戶授權,對于出現無授權調用、用戶信息濫用,影響用戶隱私保護和信息安全的合作夥伴,將會停止合作。但僅在幾個月後,芝麻信用就更主動地要求調用芝麻信用産品的放貸平台,提供「放貸資質證明文件」等系列文件,並通知無法按時提供的平台,將在 2017 年 11 月 15 日終止合作。考慮彼時國内正在加強對金融亂象的整治工作,這對芝麻信用的決策無疑起到了影響。

相比有迹可循的法律法規,民衆隱私意識的不斷覺醒,以及對數據濫用累積的不滿,卻往往成為企業忽視的星星之火。2018 年 1 月 3 日,《中國消費者報》的一篇《小心!支付寶年度賬單可能讓你不知不覺簽了個服務協議》指出,在支付寶的年度賬單下方,以淺色調小字號出現了一行「我同意《芝麻服務協議》」,並已經默認勾選同意,如果沒有注意到,就會允許支付寶收集和授權用戶個人和在第三方保存的信息,引發了輿論關注。

圖片來源:視覺中國

值得注意的是該份協議很清晰地說明了個人信息的重要性和可能帶來的風險,不過考慮到這份協議的「隱秘性」,讓嚴肅缜密的協議行文頗具諷刺效果。

「二、服務規則

(一)您理解,為了給您提供客觀、科學、全面的信用管理及評價,以及其他本協議項下服務的需要,您授權我們可以從合法保存有您信息的第三方,收集及處理您的各類信息,同時為避免每次收集都需要經過您的反複確認而導致過程繁雜,或者因此給您帶來的不便,您同意第三方可直接向我們提供您的信息而不需要您再次授權。收集您的信息包括您的個人信息、行為信息、交易信息、資産信息、設備信息等。您已經認識到您(作為個人用戶)的收入、存款、有價證券、商業保險、不動産的信息和納稅數額信息對于您而言是相當私密而重要的。您同意我們向第三方收集並在適用的法律法規許可的範圍内向信息使用者依法提供這些信息時,您已經充分理解並知曉該等信息被提供和使用的風險。這些風險包括但不限于:納入這些信息對您的信用評級(評分)、信用報告等結果可能産生的不利影響,該等信息被本公司依法提供給第三方後被他人不當利用的風險,因您的信用狀況較好而造成您被第三方向您推銷産品或服務等打擾的風險。」

簡單地總結,就是會有相當比例的支付寶用戶,在實際不知情的情況下,「充分理解並知曉該等信息被提供和使用的風險」,並「自主同意提供」自己的信息,而即使信息被「依法提供」給第三方後被不當利用,對用戶利益造成損害,也同意支付寶「無須就此承擔責任或賠償」。

在大約 2500 字的《芝麻服務協議》中,有關數據授權的條款豐富又缜密:

「您(作為企業、事業單位等組織)理解並同意,您同意第三方查詢您的非貸款類及其他非涉及商業秘密信息時,我們可以直接向第三方提供您的相關信息。」

「您同意我們可將您的全部信息進行分析並將結果推送給我們的合作或服務的機構,考慮到該分析結果並不涉及您的具體信息或其他敏感信息,您同意上述分析結果的輸出無須另行獲得您的授權;」

「您可以向我們請求撤銷對第三方的信息查詢授權。但如果您和第三方的業務關系尚未終止,比如您在享受信用租車〔信用貸款、信用租房等服務期間,您同意第三方可在業務存續期間持續查詢您的信息,同時我們有權不支持您撤銷對相關第三方的信息査詢的授權,以及終止/關閉本服務。」

「您理解,如因您主動授權第三方査詢您的信息,從而導致第三方拒絕向您提供服務或做出了對您不利的決定時,考慮到該信息提供是由您自主同意提供的,您同意我們無須就此承擔責任或賠償。」

事件爆出後,對于支付寶的這一波操作算不算是侵權,在網絡上引發了廣泛的討論。在微博上,芝麻信用與支付寶也先後致歉。輿論尚未達成一致,相關政府機構先進行了蓋棺定論,據中國網信網報道,1 月 6 日,國家互聯網信息辦公室網絡安全協調局約談了支付寶(中國)網絡技術有限公司、芝麻信用管理有限公司的有關負責人,網絡安全協調局負責人指出,支付寶、芝麻信用收集使用個人信息的方式,不符合剛剛發布的《個人信息安全規範》國家標准的精神,違背了其前不久簽署的《個人信息保護倡議》的承諾。

新華網隨後報道,螞蟻金服首席隱私官聶正軍表示,螞蟻金服在事發第二天宣布設立專門的職能部門,負責用戶的個人信息保護,事業部負責人直接向公司總經理匯報,同時建立個人信息保護工作的考核評價體系,到崗到人的責任追究機制,並對支付寶平台進行專項整頓和全面排查。

支付寶的年度賬單中,「我同意《芝麻服務協議》」的字樣也隨之消失。

這一事件中,有幾個重要的節點:支付寶發布暗藏《芝麻服務協議》的年度賬單,《中國消費者報》報道《小心!支付寶年度賬單可能讓你不知不覺簽了個服務協議》,網絡上輿論沸騰,主管部門介入和螞蟻金服致歉與整改,其中輿論起到了關鍵性轉折的作用。

中國人沒有隱私意識,似乎是許多人的固有觀念。企業在討論和宣傳商業模式時,常常用國外市場來預測國内市場的發展。橫向來看,國内用戶的隱私意識或許還存在缺失;但縱向來看,發達國家對隱私數據的重視和保護,一定是我們的發展趨勢,不可能經濟文化水平都接近了,隱私保護意識卻在原地踏步。

民衆隱私意識的覺醒一部分來自教育,一部分來自教訓。法律法規的逐漸完善和媒體對隱私保護的宣傳,以及不斷被爆出的侵犯個人信息的事件,和自己日常受到騷擾電話的煩惱,對個人信息被泄露的恐慌,從理論到實踐都在推動這一進程。而民衆不斷累積的不滿,就像蓄洪池里的洪水,只是在等待一個宣泄的機會。

更早之前的 360 水滴攝像頭直播(現已關停),就是一次過界的商業試探;近期網絡上對網購、外賣 APP 是否通過監聽來推薦廣告的質疑,也體現了互聯網用戶對自己信息被竊取和利用的不安。企業如果沒有意識到這一點,而將用戶數據保護只看成應付檢查的工作,抱著「下民易虐」的心態,也許面臨的不只是輿論指責,還有主管部門的約談甚至制裁。

三方博弈

對用戶、企業和政府來說,企業使用數據對三方都各有利弊,並不存在某一方的「全輸」,我們期待的應該是通過博弈達成多贏的均衡。

對用戶來說,授權企業使用自己的個人信息存在風險,但授權帶來的便利性也是一目了然。小到《陰陽師》基于地理位置的幾個核心功能設計,騰訊《王者榮耀》《刺激戰場》可以導入微信好友增加遊戲社交樂趣,大到電商的智能推薦、到種類繁多的各項應用,互聯網企業能夠在競爭中脫穎而出,可以高效利用用戶信息來提供更好的用戶體驗是重要原因。隨著互聯網深入各行各業,金融、醫療、公共事務中數據的作用都越來越大,運用得當對用戶來說無疑將大幅度改善生活。

用戶數據可以為企業帶來的商業價值毋庸贅言,但如果不給企業以限制,他們無疑會任意開拓邊界,直至侵犯用戶的利益——只要利潤夠大,資本就會活躍乃至铤而走險,這在一個多世紀前就已經被印證。

在 2018 年 3 月,李彥宏「中國用戶願意用隱私換效率」的言論曾經引起網絡爭議以及指責,但也是少數互聯網商業領袖正面回應這一問題的記錄,完整的問答如下。

記者提問:「面對隱私等,中國醫療改革還需要能夠更加創新地利用這些數據,您對于這個數據怎麽看?」

李彥宏:「將各個數據來源放在一起,它的威力和能力將會呈現指數級上升,與此同時我們也非常重視隱私問題,以及包括數據的保護問題。在過去幾年當中,中國也越來越認識到這個問題,也一直在加強相關的法律法規的建設。在這一個過程當中,我想中國人更加開放,或者說對于這個隱私問題沒有那麽敏感。如果說他們願意用隱私換或者交換便捷性或者效率的話,很多情況他們是願意這麽做的。對于我們來說,我們當然要遵循一系列的原則,就是說如果我們認為用這一個數據會讓所有人受益,而且他也願意讓你使用這一個數據的話,我們會使用的。」

李彥宏的談話同樣提到了隱私和數據保護的問題,但之所以被吐槽,除了媒體存在一定誘導性的斷章取義引起誤解外,還有就是民衆感到自己「被代表」了,意見並沒有被尊重。決定數據是否有價值可以被使用的主動權被放在互聯網企業手中,而用戶是便利性的被動接收者——用戶對企業並沒有足夠的信任,並因此而不安,隨即將積累的不滿情緒宣泄。

實際上,在冷靜狀態下,公衆對個人信息保護和便利性的取舍並不極端,而是會理智地權衡。在不久前,諾頓委托獨立研究機構 The Harris Poll 對全球 16 個市場,超過 16000 名 18 歲以上個人用戶進行在線調查,發布了《2018 年諾頓網絡安全調查報告》。報告顯示,83% 的受訪者擔心他們的隱私安全(38% 強烈同意,46% 比較同意),但 61% 認為如果可以讓生活更加便利,他們願意犧牲一定的網絡隱私(11% 強烈同意,49% 比較同意),甚至 1/3 的受訪者表示,願意以一定的價格將個人信息出售給企業。其中中國大陸 1051 名受訪者對關注自己的個人信息安全,和願意用風險交換便利性的比例分別為 91% 和 62%,在 16 個國家和地區的排序中,這兩個比例分別是高(中國台灣 92%,墨西哥 91%,中國 91% 位居前三)和中等水平(新西蘭 75%,加拿大 70%,澳大利亞 68% 位居前三)

圖片來源:《2018 年諾頓網絡安全調查報告》

用戶是數據的直接提供者,但是面對有組織的龐然大物,個人是充滿漏洞而且無力的,即使憤怒也無法制衡,而當憤怒爆發時,又會陷入失控之中,如何在兩者之間進行權衡,讓用戶的利益不被侵犯,又讓企業能夠在合理合法的範疇之内利用數據來創造價值,以及為用戶提供便利呢?

這份責任需要政府來參與承擔。回到李彥宏的問答,記者所提到的醫療數據,就是在我國非常敏感的一類個人信息,使用和分享受到嚴格的法規限制。零氪大數據平台在兩年前曾經邀請全國幾十家三甲醫院的腫瘤科室將各自的腫瘤數據進行一次整合分析,以便進行學術研究,過程就極為曲折,需要醫生在各自的科室和醫院進行申請,保證數據完全脫敏,而且只能就此事項進行一次。如果政府主管部門可以針對性地建立完善的法律法規並嚴格執法,數據濫用的問題將大大緩解。

當然,這會是一個長期而複雜的問題,規範企業對數據使用,首先要保證公民的權益不被侵犯;其次,又要促進經濟的發展和社會整體效益的提升,給出商業創新的空間。這個界限,顯然不可能一次性界定清晰,也一定會隨著信息化、智能化的不斷發展而進行調整。

對此,世界各國和組織都曾給出自己的方案,比如 2018 年 5 月 25 日歐盟正式施行的《一般數據保護條例》(GDPR),被認為是最嚴格,也最受到關注的有關信息保護的法律。我國在 2017 年 6 月 1 日正式實施《網絡安全法》,其中有 11 條條款定義個人信息保護的保護規定,要求網絡運營者收集、使用個人信息時,要向用戶明示並取得同意,不得超範圍濫用個人信息,不得以非法方式獲取、提供和出售個人信息,個人有權要求網絡運營者刪除和更改其個人信息等。此外像《個人信息安全規範》等國家標准的發布,也為相應的立法奠定了基礎。

以發展的眼光來看,我國對個人隱私保護的力度不斷增強是大勢所趨,對許多實際存在「擦邊球」的企業來說,可能意味著商業利益受損,但對于重視用戶隱私的企業來說,卻是一種利好,意味著減少了不良競爭的壓力。

中國用戶的隱私意識也在不斷覺醒。《諾頓網絡安全報告》中數據顯示,85% 的中國受訪者比以往更關注自己的個人信息安全,90% 希望為之做些什麽,但 66% 的都不知道能怎麽做。從趨勢上來看,前兩個的比例將繼續增長,而隨著法規的完善和相關知識的普及,不知道怎樣維權的用戶比例將持續下降。越是倚重于用戶數據來創造價值的企業,就應該越清楚地認識到,用戶群體對個人信息保護態度正在發生的改變。

對企業來說,與其在擦邊球的路上漸行漸遠,更積極主動地去尋找解決方案和新的模式,融入和利用好新的規則,才能更好地立足未來。來自荷蘭阿姆斯特丹大學信息法教授、信息法研究所所長 Nico van Eijk 不久前就針對 GDPR 表示:「之前我們會說法律促進創新,實際上它創建的障礙使人們更加敏銳地去找更好的解決方案,所以我們認為他是促進而不是阻礙。GDPR 不是一個所謂的根本權利的工具和機制,它只是一個可能的法律,它可能被進行修改也可能被替代。」

例如 3 月 20 日,針對騰訊起訴抖音、多閃涉嫌違規使用用戶數據,天津市濱海新區人民法院裁定騰訊勝訴,要求抖音立即停止將微信和 QQ 授權登錄服務提供給多閃使用。多閃此前通過抖音獲得的微信、QQ 用戶頭像、昵稱也被勒令停用。

圖片來源:多閃小助手

騰訊在「頭騰大戰」這一回合的勝出,意味著騰訊對用戶數據保護的要求得到了法律的認可,也成為了用戶信息保護領域的一個標杆性案例。回想到 GDPR 實施前不久,騰訊 QQ 停止在歐洲服務,提早適應規則變化才是企業發展的必由之路。

參考文獻:

燃財經:「玩轉」8 億人數據的灰色生意:1 年淨賺 1.86 億

螞蟻金服官網:業務協作費公告(芝麻信用)2017 年 03 版

中國消費者報:小心!支付寶年度賬單可能讓你不知不覺簽了個服務協議

支付寶:芝麻服務協議

中國網信網:螞蟻金服反思支付寶賬單事件:將完善平台治理機制 避免類似事件再次發生

新華網:螞蟻金服反思支付寶賬單事件:將完善平台治理機制 避免類似事件再次發生

265G 新遊頻道,阿茲:陰陽師日服首日遇挫 遭遇日本用戶大範圍抵制

ISACA網絡安全實施框架指南

諾頓:諾頓網絡安全調查報告

360 法律研究院:國内外看 CCPA 與 GDPR 的對比

錢江晚報:315 過後,我們的隱私數據誰來保護

河北網信管理執法:天津法院裁定:抖音、多閃立即停止共享微信用戶信息等行為

責任編輯:克里斯

更多精彩內容,請登陸
財華香港網 (https://www.finet.hk)
現代電視 (http://www.fintv.com)

極客公園

用極客視角,追蹤你最不可錯過的科技圈。有快聞、也有洞見;有腦洞、也有思考。

相關文章

4月11日
讓車燈「說話」,汽車的下一個交互入口?
4月10日
Google Cloud 下一站,不是技術升級而是戰略轉變
4月10日
傳華為將向蘋果出售 5G 芯片;京東宣布實施核心高管輪崗計劃;小米去年賺 134 億,雷軍年薪百億 | 極客早知道
4月9日
如何在一周内收獲 GitHub 的 5000 顆星?
4月9日
尋找 AI 醫療商業元年
4月9日
拼多多否認蘋果停供,補貼無上限;抖音音樂授權即將到期;故宮博物院院長單霁翔退休 | 極客早知道
4月8日
商業火箭發射一場兼顧技術、市場和情懷的持久戰
4月8日
Lark 上線,字節跳動 toB 行軍圖成型
4月7日
産品太多?Google 打了個響指〡清明特輯
4月3日
《黑客帝國》上映二十年了,我們仍在不斷逃避現實