01
2017年10月,5個中國移動成都分公司旗下公司的80後員工,以1毛、6分、1分一條不等的價格,彼此倒賣客戶信息,最多的一次,交易了243萬條,其中的94萬多條賣給了一個做移動外呼業務的公司。終了,幾人被判了三年到五年不等有期徒刑。
這種監守自盜的故事,幾乎成為個人信息保護口號下的一大病症。這幾日,我連日受推銷電話騷擾,一琢磨,八成因為前日註冊某招聘網站提交了手機號,至於怎麼泄露的,我想,要麼被爬蟲,要麼被倒賣了吧。
大約從2004年開始,中國的網絡實名制註冊和個人信息網絡化開始形成確切的數據流,但個人信息保護的相關法律政策並未緊跟而上,少得可憐。2013年,數據產業風雲鵲起,個人信息買賣、非法爬蟲數據幾乎讓大數據公司賺得盆滿缽滿。一直到2017年中,《網絡安全法》的實施,在法律上終結了這種行為的可操作性。
20年來,數據的產生幾乎是爆炸性的,個人信息夾帶著行為數據噴涌而出,DC名為《數據時代2025》的報告顯示,全球每年產生的數據將從2018年的33ZB增長到2025年的175ZB(1ZB相當於1.1萬億GB)。對一個人的畫像越來越容易,只要通過對個人微信、QQ或Facebook上好友推文數據進行分析而無需查看個人用戶數據,即可對個人信息的精準推測。
對個人信息和數據掌控著的,往往是大機構,從支付到電信、物流、住宿、電商等行業,高頻、大規模的用戶行為沉澱了海量數據,這些領域的機構,也是數據泄露的重災區。
中國網際網路協會2015年發布的數據報告顯示,78.2%的網民個人身份信息被泄露過,包括網民的姓名、學歷、家庭住址、身份證號及工作單位等;63.4%的網民個人網上活動信息被泄露過,包括通話記錄、網購記錄、網站瀏覽痕跡、IP位址、軟體使用痕跡及地理位置等。
2018年,Facebook、攜程、圓通、順豐、華住等企業機構都發生過用戶個人信息及數據泄露事件。這年11月,萬豪集團旗下喜達屋酒店預訂系統遭入侵,多達5億曾在喜達屋系統預訂酒店的客戶個人信息被泄露。
只要有利可圖,倒賣和非法爬蟲之事並不會停止。
02
2018年底,一份854GB大小、2.02億中國求職者的簡歷信息MongoDB資料庫在無人看管的情況下「裸奔」了一個星期,直到曝光之日才被下線。期間至少十幾個IP在脫機之前訪問了資料庫。
這份資料庫包含了個人全名家庭住址,手機號碼,電子郵件,婚姻狀況,子女數量,政治關係,身高,體重,駕駛執照,識字水平,薪水期望、教育背景、工作經驗等。
那一個星期里,這些數據就像一個未上鎖的檔案箱,放在大街上任人翻閱。
傳言這些數據來自中國的幾家大型招聘網站,但未被承認。
大公司保護我們的個人信息與數據安全,從來不是一件靠譜的事情。
近幾年以來,社交平台FaceBook、美國徵信巨頭Equifax、出行公司Uber、京東商城等大公司都發生過大規模數據泄露事件。如果說數據泄露大部分是因為黑客攻擊或漏洞被攻擊,那麼內鬼倒賣機構數據,幾乎是制度的原罪。
2017年,中國建設銀行江陰市雲亭支行主管陳某通過中國建設銀行新一代查詢系統,查詢公民在該行的開戶資料、綁定手機號碼、銀行卡餘額等信息達四十餘條,再以每條250元左右的價格分六次賣給他人,獲利6000元多。
黑客與網際網路公司的數據安全之間,幾乎是道高一尺、魔高一丈的較量,前者是刺客,也是後者防火牆的達摩克斯之劍;而內鬼利用職務之便倒賣數據,則是制度和內控漏洞之殤。
同一年,受聘於江蘇省鎮江市公安局新區分局巡特警大隊內勤(文職)的90後青年唐某,利用職務之便,查詢公安內網的全國人口信息庫和全國機動車、駕駛人資源信息庫,拿到約11300餘條公民的個人戶籍、車輛信息,賣了十萬餘元。
內鬼賣數據,也是監管套利的典型。2017年6月,《網絡安全法》開始實施後,打擊犯罪提上日程,犯罪者的面目逐漸暴露。
這一月之後,中國裁判文書網上的侵犯公民個人信息的刑事案件開始陡增,並不是犯罪多了起來,而是清算開始了。
03
2018年3月至4月期間,大數據公司中數智匯的一個魏姓員工,短短一個月內,以「網絡爬蟲」程序爬取了329.6萬條公民姓名和電話號碼的工商個體戶和單位資料進行販賣,後被判處有期徒刑四年。
爬蟲的商業化需求,幾乎隨著P2P網貸和現金貸的興起而泛濫,2013年之後,大數據產業興起,現金貸、P2P網貸言必稱大數據風控,而這些數據,許多來自非法爬蟲與倒賣。
2017年,家住長沙的中國工商銀行長沙市匯通支行信貸中心員工田某,以每條30元的價格,為3名小貸公司業務經理、1名諾遠普惠經理查詢公民個人徵信記錄,最終,涉案的幾人被判一年至五年不等有期徒刑。
第三方數據公司的出現,迅速喂飽了消費金融、P2P甚至銀行金融機構的風控需求,並激活了獲客、營銷的能力。2015年前後,爬蟲和數據買賣是許多大數據公司的主要數據來源。第三方數據公司和網際網路金融這對共榮共生的野蠻兄弟,一起吸著窗口期的紅利。
現金貸、P2P吃著這些帶血的饅頭,也是睜一隻眼閉一隻眼。
如果細究一下就會發現,整個網際網路金融的無序發展,帶來了上下游產業的黑產泛濫,第三方數據公司以數據買賣、非法爬蟲為它獲客、營銷和風控提供滋養,暴力催收為它斷後,而詐騙混雜其中,這幾兄弟沆瀣一氣,將過去幾年內的金融科技創新熬成了一鍋漿糊。
這些爬蟲和倒賣的背後,還催收了如大數據殺熟、過度營銷等現象。你我今日泄露的個人信息,明天就會變為垃圾簡訊和詐騙電話的的狂轟亂炸。
2016年8月,即將邁入大學校園的18歲山東徐姓女孩,拿著家裡東拼西湊的9900元學費,憧憬著大學生涯的無限可能,卻被一個冒充教育局、以獎學金作為誘餌的詐騙電話騙去,報案後不幸心臟驟停離世。
大數據時代,我們之所以越來越怕,是技術放大了個人信息泄露的風險,網際網路上,個人面對機構,被描述地越來越立體化,越來越裸體化。
04
2017年5月,英國《經濟學人》雜誌發表文章,將數據比作「未來的石油」。
如今面臨著最基本的一個問題:數據出自於你我,為何成了他人的石油?數據確權一事在近幾年裡被提出,就是「產權」與「所有權」問題。
我們在這篇文章里列舉的案例,法院都以侵犯公民個人信息罪判刑,但並未對數據確權有過明確的表述,到底侵犯了誰的數據?這些數據的產權屬於誰?在《民法總則》中,對數據權的定性懸而未決,謹慎而籠統地表述為「法律對數據、網絡虛擬財產的保護有規定的,依照其規定」以及「自然人的個人信息受法律保護」。
這種數據權的不確定,也體現對犯罪者的審判上,當企業里的個人侵犯公民個人信息時,究竟是誰在犯罪?
自稱數據第一股的北京「數據堂」,2014年掛牌新三板。2017年7月山東公安上門時,這家公司日均傳輸公民個人信息1億3000萬餘條,累計傳輸數據壓縮後約為4000G。數據堂案件一審判決時,數據堂營運長柴銀輝、營銷產品部副總裁胡曉敏都被判有期徒刑三年,兩人都不服,以「數據堂公司系單位犯罪」理由提起上訴,終被駁回。依據來自《最高人民法院關於審理單位犯罪案件具體應用法律有關問題的解釋》第二條,「個人為進行違法犯罪活動而設立的公司、企業、事業單位實施犯罪的,或者公司、企業、事業單位設立後,以實施犯罪為主要活動的,不以單位犯罪論處。」
之後,「數據堂」正常運行。這存在一個很難的局面,犯罪的個人會被持續打擊,但獲利的公司仍會存在。
世界前十大網際網路公司中,谷歌、Facebook和騰訊,都是經營數據的公司,其目的主要是營利。在數據的產生過程中,企業和個人投入了資本與勞動力,在數據未能確權的情況下,它們更多的是一種資源再分配和風險再配置的問題,當我們提供個人信息交換服務便利,資源的分配達成,而當數據泄露時,遭殃的卻是個人,風險配置的天平,明顯傾斜向個人一方。
如今看來,數據確權,更多地讓步於難以定性的權屬和網際網路產業的發展。
05
當數據風險不可避免存在,我們能不能選擇被遺忘?
2010年3月,西班牙人Costeja Gonzalez向西班牙資料保護局提出一項申請:命令西班牙媒體《先鋒報》關於他的報道移除或更改;命令谷歌移除或者隱藏指向《先鋒報》的相關連結。
事情緣起於1998年,《先鋒報》刊登了岡薩雷斯因無力償還債務而遭拍賣物業的公告,當其債務還清後,他希望媒體和谷歌刪除這些可能帶有誤導性的負面信息。
2010年7月,西班牙資料保護局批准了岡薩雷斯對谷歌的申請,駁回了對《先鋒報》的申請。
四年後,歐盟最高法院於2014年5月裁定,允許用戶從搜尋引擎結果頁面中刪除自己的名字或者相關歷史事件,即所謂"被遺忘的權利"。
2018年,歐盟《一般數據保護條例》(GDPR)》出台。GDPR規定,數據主體有要求數據控制者刪除與其相關的個人數據及避免其數據被傳播的權利。它的一大特徵是,用戶對自己數據擁有自主控制權,從產生到攜帶轉移、刪除,和司法救濟等一系列的程序中,法律都給予了支持。GDPR從法律層面正式確立「被遺忘權」。
金融層面,GDPR讓歐盟的用戶,在法理上有權控制自己的帳戶,而不是被銀行機構控制著。對包括銀行業在內網絡安全、數字經濟提出了嚴格的監管和禁區。
在美國,「被遺忘權」一直被否定,個人信息可以被收集和處理,除非法律特別禁止,美國因為憲法第一修正案確立了言論自由和出版自由,認為「被遺忘權」與之相衝突而一直持反對態度。而歐盟則將隱私視為公民理應享有的基本人權。
這種情況導致了歐洲和日本的網際網路發展緩慢,而美國和中國的網際網路產業發展迅速。
問題是,我們是要的歐盟GDPR,無視利益集團、犧牲科技革新和網際網路產業發展的速度,將科技進步控制在可理解的天花板里,還是贊成美國,個人隱私一定程度上讓步於數據收集、處理帶來的便利化,讓網際網路產業快速發展?
更悲哀的是,「被遺忘」已幾無可能,在強大的監控者和AI技術面前,描繪一個人的立體畫像越來越容易。
舟車往來、書信有無的日子已經過去,個人不可藏匿,只見裸露。
轉自公號:新金融洛書
著作權歸作者所有,本站根據CC0協議授權轉發
商業轉載請聯繫作者獲得授權,非商業轉載請註明出處
聯繫:[運營的小事]編輯