吴雨欣
在这个所谓的DT(数据科技)时代,数据的价值正在为人所知,由此而来的个人信息泄露事件也层出不穷。然而,当人们将矛头指向黑客入侵系统漏洞、撞库拖库等,却忽略了掌握数据源的互联网企业。
《IT时报》记者在调查中发现,数据价值虽已传递到产业链的各个环节,但数据交易市场仍处于初期粗放阶段;各行业对数据的开放雷声大、雨点小,企业私下出售、交换数据等行为司空见惯,而当企业被合并、兼并或是破产、资产出售时,把用户数据随之转卖已在行业中形成默契。
在大数据时代,你的数据或许不再属于你。
大多数网站可以转让你的信息
“几乎每个互联网公司都在想办法获取数据,哪怕是非法手段,有数据才会有风投,继而研究自己的生态系统。如果公司倒闭了,最值钱的数据自然会被转卖或用于二次创业,不卖难道留着做纪念?”林明(化名)是一家金融公司的IT人员,很多网站加密后的数据在这些技术咖眼里依然是“一丝不挂”,有加密算法,就有解密算法,投资不高的加密系统很容易被有心人攻破。
“一方面,软件开发商、硬件设备商等过度搜集个人用户信息有明显趋势,一些厂商强行扫描获取用户信息并提供给第三方的现象很普遍;另一方面,开发应用场景需要多个数据源进行关联合作,在这个过程中,个人信息被使用不可避免。”中关村大数据联盟数据交换标准委员会主任、亚信数据云平台部副总经理武源文告诉《IT时报》记者,在搜集或使用个人数据前,厂商需得到授权。
《纽约时报》去年对排名前100位网站所做的分析表明,有85家网站的《隐私条款》中带有这样一条内容“如果我们的服务或资产的部分或全部所有权或控制权发生改变,我们可能会将你的信息转给新的所有者。”
那么,中国的网站关于信息的条款是如何规定的呢?记者查看了多个知名网站在注册时需要用户同意的协议,情况也大抵相似。比如注册淘宝时,被要求同意《淘宝平台服务协议》及补充协议《法律声明及隐私权政策》,在阿里巴巴批发平台的《隐私声明》中则提及“您同意并授权阿里巴巴将您的个人信息传递给您同时接受其他服务的阿里巴巴关联公司或其他组织,或从为您提供其他服务的阿里巴巴关联公司或其他组织获取您的个人信息。” 婚恋网站百合网对“隐私保护”表述则是“百合网保留在网站所有权转移的情况下转移使用者个人资料归属的权利,例如被收购或者与其它公司合并时。”这些个人资料包括了姓名、性别、年龄、出生日期等个人识别资料和职业、收入状况、婚姻状况、兴趣爱好等个人背景。
事实上,许多用户注册网站或App时,会一扫而过甚至忽略《服务协议》或《隐私声明》的具体内容,并不知道自己的个人信息可能被共享或转卖。根据《中国青年报》社会调查中心的调查显示,用手机安装、打开第三方应用程序时,仅28.9%的受访者会仔细查看授权列表,52.4%的受访者会大概看一眼,17.1%的受访者基本不看。
商业机构间的数据共享是否被过度使用?
“信息有没有用是衡量数据价值的标准,我们掌握了用户注册时的手机号、登录密码、银行卡等信息,但公司想知道的是用户使用平台的频率、忠诚度、平均一月能投资多少钱,第三方支付对银行卡及交易信息更感兴趣。” 林明告诉《IT时报》记者,利用数据变现时,有的公司可能只卖了用户的身份证号或手机号,另一家卖了用户的网银账户或支付宝账户,当信息被关联起来,风险也会随之而来。此外,信息的利用率也令人咂舌,当一个所谓的淘宝登录信息无法匹配时,利用者可以尝试着去匹配支付宝账户、邮箱登录,甚至去尝试登录其他电商或购物网站。
“企业之间通过战略合作达成点对点资源共享的情况比较多,直接拿硬盘去拷贝原始数据的情况也存在,但企业一般不会这么做,用户敏感信息大范围泄露对企业的打击是致命的。”武源文说。在他看来,不泄露用户隐私的前提下,数据的流通可以推动各项成果在各行业的深层次应用。
在中国,第三方移动数据服务平台TalkingData的数据覆盖了包含手机、手环的28亿智能设备和10万款应用,每天要上传10TB的数据,600多个新增的标签。“我们覆盖的App里有90%是客户嵌入了SDK为我们提供数据。”TalkingData首席金融行业专家鲍忠铁说,TalkingData能接触客户上传的设备信息、位置信息及App活跃情况,敏感的个人信息依然存储在应用开发商手中。鲍忠铁认为,个人信息的使用情况分两种,一种能识别身份的敏感信息,经用户同意,可用于合法的商业用途,但不可转让;另一种是经特殊处理的标签、统计信息,可作为商品输出。比如,一些计划发白金信用卡的银行会采取数据输入的方式与航空公司合作,如果用户在一年内三次飞国外,并坐的是头等舱,就可以给他白金信用卡。
“用户去贷款、住旅店、办签证可用芝麻信用做个人信用评测,在你授权的前提下,芝麻信用调用你的信息给了为你提供服务的商户、服务商或者是金融机构,是不侵犯隐私的。但若你的隐私数据没有得到你的授权,被别人卖掉是严重的侵犯个人隐私。” 鲍忠铁说。但事实上,用户无法界定授权后自己的个人信息是否会在商业数据共享中被过度使用。
利益的趋势导致企业对数据的需求旺盛,许多数据交易只能在灰色地带摸索前进。鲍忠铁透露,一些做征信的金融企业,从运营商或银行购买清洗、脱敏数据后,依然会从黑市上买原始数据做补充。
尚不健全的交易市场
今年,国家大数据战略正式纳入“十三五”规划,规划中提到要把大数据作为基础性战略资源,全面实施促进大数据发展行动,加快推动数据资源共享开放和开发应用,助力产业转型升级和社会治理创新。去年,随着贵阳大数据交易所及长江大数据交易所的成立,全国各地已成立了多家大数据交易中心。
“交易所充当的是中介性质,是数据的中转站,撮合双方交易。” 贵阳大数据交易所执行总裁王叁寿告诉《IT时报》记者,平台上的交易是清洗、建模分析的数据结果,涉及隐私、安全的信息会被抹除掉。
长江大数据交易所对平台上的数据准入要求也十分严格,虽然可接触到政府部门开放的部分基础数据,交易所依然是清洗、脱敏后才会投入使用。长江大数据交易所执行总裁李晖向《IT时报》记者表示,大数据交易市场还处于初期阶段,不是标准化商品,没有统一的规范标准,数据价格由买卖双方协商定价。目前,交易所除撮合交易外,更希望推动行业的进步,渐渐取代地下数据交易市场。
“说要资源共享,共同开发利用,实际上大数据发展雷声大,落地应用却很少,各个行业还在探索,对于数据的开放、流通、交易都很谨慎,迫切需要成立市场监管组织。” 武源文说。他建议,数据交易一方面应明确划定的底线,明确定义不能交易的情形,各行业不能交易的数据内容;另一方面应引入数据交易登记机制,并推动数据交易标准的建立和逐步完善。
延伸阅读
数据所有权属于谁?
到底什么数据可以交易,什么内容会触碰红线?在业界亦有争论。
王叁寿认为,数据交易存在的障碍源于数据公司不确定数据到底属不属于它,比如用户在淘宝上的购物数据属于平台还是个人?这很难界定,如果属于个人,阿里巴巴等企业利用数据建立起的生态、开发的数据产品,用户也应享有收益权。王叁寿向《IT时报》记者透露,如果个人在网络上的数据属于个人资产,贵阳大数据交易所将会成立个人数据银行,帮助个人与数据机构谈判。未来,一旦个人数据被确定属于个人资产,将会打破数据机构的生态格局。
武源文则向《IT时报》记者表示,用户虽在注册时使用了个人信息,但互联网公司亦耗费人力、物力、财力搭建IT系统,向用户提供服务,个人信息已与服务信息关联在一起,很难界定数据的使用权及所有权到底归谁。鲍忠铁则认为用户只是信息的产生者,平台上沉淀信息的所有权应归平台所有,但平台在使用时有保护个人隐私的义务。
对此,知名IT与知识产权律师赵占领表示:“个人信息所有权问题尚存在争议,难以理清权力边界。如果个人数据归企业及个人共有,在用户授权企业免费使用数据的前提下,并不涉及用户收益问题。但企业若要收集或转卖用户个人隐私信息必须经过用户同意,这种同意不仅仅是通过注册账号时用户协议的默认勾选方式,还应该单独明确地提示给用户,让用户做出同意与否的主动选择。只是企业一般会在用户协议中含糊处理,比如文字措辞并非转卖,而是与关联公司、关联机构共享信息。”
据了解,根据《全国人大常委会关于加强网络信息保护的决定》,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。《电信和互联网用户个人信息保护规定》则根据《全国人大常委会关于加强网络信息保护的决定》对“公民个人电子信息”做了界定,明确信息收集过程中能够识别用户的信息以及用户使用服务的信息,包括用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
另据媒体报道,5月7日,全国信息安全标准化技术委员会秘书长高林透露,信息数据采集方面的标准“已经在报批过程中”,为企业行为标明底线,但不具有强制性。
(实习生黄碧滢对本文亦有贡献)
济宁互联网