暂无
个人信息正在面临一种“合规难用、黑灰产偏爱”的两难局面:由于个人信息合规的复杂性,商业化开发对此颇为谨慎甚至“望而却步”;但同时,猖獗的数据黑市交易与始终在法律边缘试探的个人信息灰色产业,又似乎暗示了个人数据蕴藏着巨大价值。
正如火如荼建设的数据要素市场,始终给个人信息留有“一席之地”。不过,个人信息的保护与开发能否承担起市场期待,仍有许多问题留待回答。
手握67万亿条数据,“全广州家长都能找到”
“全广州的家长都能找到的。”一家“大数据营销”公司徐姓工作人员向南方财经全媒体记者口头承诺,可以通过分析母婴、亲子类的软件,得到宝爸宝妈的手机号码,然后逐一打电话向他们推销一款有接种年龄限制、需要自费的疫苗。获取一条手机电话需付1元,拨打电话需再付2元。
这属于该公司提供的“营销获客”服务。据介绍,该公司手握67万亿条数据,涵盖通信娱乐、位置轨迹、合作银行信贷、身份证、教育学历、邮政投递、驾驶证等,可以“全面覆盖To C销售机会”。
67万亿条数据来自哪里?该公司的介绍材料里,“SDK埋点数据、互联网数据、运营商数据、电商数据”为其主要的数据来源。当记者询问上述徐姓工作人员,这种以个人信息为基础进行的“大数据营销”是否合规时,对方表示,“只要我不把数据卖给你,就没事儿。”
恶意爬虫或未经许可买卖,均可涉罪
但是,真的“没事儿”吗?
事实上,从事“大数据营销”的机构不在少数。早在2019年,大数据营销公司“鹰眼智客”就被媒体发现通过网络爬虫技术采集数据,可以抓取任意网站或手机App访客的手机号。就在今年6月,上海警方披露侦破一起“提供非法数据爬取接口牟利700余万”的案件,犯罪嫌疑人将含有破解算法的接口提供给他人非法爬取数据。这些数据或被直接转卖获利,或被分析后用于复制有效的营销手段,或被用于精准定位潜在客户。
北京惠诚律师事务所律师张礼杰推测,“大数据营销”的数据来源可能有两种方式。第一种是网络爬虫,但由于包括手机号在内的用户注册信息等属于个人敏感信息,爬取这些数据很可能并未经过原网站或App的允许。这种情况则属于“恶意爬虫”,已经涉嫌触犯非法侵入计算机信息系统罪、侵犯公民个人信息罪。第二种是购买包含个人信息的数据包,在未经许可的情况下购买、使用公民个人信息,同样涉嫌触犯侵犯公民个人信息罪,按照规定非法获取普通身份信息达5000条以上的即可构罪。
警惕“大数据变黑灰产”
近年来,随着数据的赋能作用被愈发重视,大数据行业迎来发展热潮。然而,浪潮又起,新的黑灰产开始在潮涨起时再次汹涌生长。
一些曾经的黑灰产公司具备大量用户数据后,会“摇身一变”成大数据公司,包装出信贷风控、催收数据支撑、企业咨询等业务,向下游提供服务延伸“产业链”。
2021年,安徽警方查明,犯罪嫌疑人吴某等非法获取老年人个人信息200余万条,并成立健康咨询公司,定向骗取6万余名老年人1500余万元。2022年,四川警方破获“8.10”侵犯公民个人信息案,犯罪嫌疑人组建技术团伙利用技术手段非法获取公民个人信息1200万余条,以此开展助贷催收业务。同年,甘肃警方侦查查明,犯罪嫌疑人赖某等利用非法软件非法“爬取”手机用户通话记录、支付记录、通讯录等数据,综合形成用户风控报告,提供给“套路贷”机构。
不过,安恒信息高级副总裁、中央研究院院长王欣指出,“更需要警惕的是‘大数据公司’演变成黑灰产公司。”某些公司借助已充分发展的C端业务,收集大量用户信息,在未得到充分监管的情况下,通过贩卖自有数据进行获利。
通过非法贩卖“主动泄露”或恶意爬取“被动泄露”,数量庞大的个人信息正在被不法分子倒卖获利。安恒信息观测到,除了实时查询或隔天查询的数据接口外,大部分数据泄露都会一次性将核心数据要素全部暴露在互联网上兜售。多渠道的大批量个人信息泄露后,已经基本可以从生活方方面面刻画一个人的身份画像,使不法分子得以更为精准地筛选出受害者,获取大量资金,进而反哺数据泄露者,形成完整的黑灰产产业链。
灰色地带增多 大企业边界感正在被新业务蚕食
不仅仅是黑灰产的套路不断演进,一些大平台大公司在新业务新场景,特别是数据要素市场的激励下,正在跨越更多的灰色地带。
威胁猎人发布的《2022年数据资产泄露分析报告》中,当年数据泄露的主要原因中,“运营商通道泄露”占比第一,达到28%;其次分别为安全意识问题(23%)、内鬼泄露(18%)、黑客攻击泄露(18%)、第三方泄露(13%)。金融、物流、电商是泄露事件频发的三大行业;其中,信贷又因用户数据价值高、靠近交易环节,成为数据泄露的重灾区。这些数据通常会被用于精准营销或电信诈骗。
威胁猎人发布的《2022年数据资产泄露分析报告》
运营商通道泄露、内鬼泄露和金融行业的泄露通常交织发生。“黑猫投诉”平台上,有不少用户反映自己的个人信息被运营商的“内鬼”泄露,在自己不知情的情况下,被办理宽带、手机卡或增值业务;或是个人信息被泄露给信贷营销或催债机构,骚扰电话短信不断。
以一则关于“马上消费”平台的投诉为例。用户在该平台借款逾期并不再使用原手机号,经调解客服称“可以有钱了再还”,但调解后该平台仍然找到了用户的新手机号。
这与今年六月几乎被警方“一网打尽”的国内催收巨头——湖南永雄资产管理集团的操作手法如出一辙。在催收行业,这被称作“失联修复”。来自运营商内鬼泄露的数据是其中的关键一环。
据媒体报道,2019年6月,广州荔湾法院判决的一起利用运营商内部系统非法查询公民信息案,曾在永雄工作过的客服陶某,将公民手机号卖给多个债务催收员。2020年9月,贵州贞丰县法院一起涉及2万条公民信息买卖案中,永雄温州分公司员工万某为催讨债务,将21774条含有公民身份证和姓名的公民信息提供给兰某,兰某再从运营商员工刘某处购买这些身份名下的手机号码。每卖出一条手机号码。刘某可以收益1.5元到2元。
也有从“合法”渠道进行的失联修复。记者查询到,多家通信运营商及大数据公司都在其官网宣传失联修复业务,并承诺通过加密传输、虚拟号、第三方外呼等方式“保护客户隐私”。不过,张礼杰指出,这种所谓“合法”渠道,目前仍处在“灰色地带”。无论是向外提供真实号码还是虚拟号码,都是在处理个人信息。按照《个人信息保护法》的规定,除基于公共利益或履行法定职责之外,平台处理个人信息均应以取得个人同意为原则,否则即可能涉嫌违规。
今年1月,北京海淀区法院判决某银行信用卡中心未经同意利用张某未对外公开的手机号码催收其子的欠款,侵犯了张某的隐私权。法院认为,某银行对信息的使用超出了张某的授权范围,构成对张某个人信息权益和隐私权的侵害。
正规渠道交易遇冷,合规是难题
个人信息并不等同于个人隐私,也并非完全不能流通。合理发挥个人信息的价值,有利于提升社会治理和经济运行的效率。
2021年出台的《个人信息保护法》为个人信息处理确立了“告知-同意”“最小化”等基本原则,为个人信息的商业化提供一条“用户明示同意、企业处理使用”的路径。
2022年底发布的“数据二十条”(即《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》)提出建立公共数据、企业数据、个人数据分级分类确权授权制度,并对个人信息数据的授权、采集、托管、加工、使用、保护等指明发展方向。
理论上,在数据分级分类管理的机制下,通过创新技术、管理手段开发出的个人信息数据产品,可以合法合规地在数据交易平台进行交易。
然而,在实际流通中,个人信息数据产品却面临着遇冷的尴尬。在数据交易所等平台上,相比于公共数据、企业数据,基于个人数据的数据产品种类和交易额均十分有限,多集中在身份验证领域。
“如何合规使用”是一大难题。为了达到合规要求,开发一款个人信息数据产品首先需要获得用户授权,其次要通过匿名、去标识化等处理或隐私计算等技术手段,保障个人信息安全、人身权益不受侵犯。但多位业内人士反映,由于用户群体庞大,获取每位用户的授权同意成本巨大;匿名化、去标识化处理仍有争议,可能会使信息减损进而使数据价值大打折扣;隐私计算等技术手段同样面临成本过高的问题。
贵州数据宝网络科技有限公司董事长、华东江苏大数据交易中心总经理汤寒林观察到,单一个人的数据价值有限,需要汇聚成一定规模才有条件进行商业开发以获取利益。但目前合规获取个人数据的成本过高,投入产出不成比例,因此现阶段还未见有成熟的商业模式。
个人信息面临“两难”局面,缺少合法流通途径
个人信息面临的“两难”局面,正在浮现。
一方面,由于个人信息的敏感性以及伴随而来的强监管等原因,目前能够挖掘个人信息价值的商业模式并不多。
另一方面,个人信息的泄露、黑市交易如“野火烧不尽”,屡禁不止。有专家测算,我国数据黑市交易规模超千亿元。甚至数据交易面临的定价难题也在黑市中“迎刃而解”。
一般而言,规模越大的数据包,其中单条数据的价格就越便宜;而所需数据指向对象越精确,价格就越贵。前述可以找到“全广州家长”的“大数据营销”公司,每提供一个有效号码收费1元;多份判决文书也透露,上万量级的数据包,平均每条个人数据价格通常在几元或不到1元。包含一个特定公民的身份证号、手机号、银行卡号、网盾的“四件套”则可以被卖到数百元不等。
“需要通过法律、政策的严格执行来打击黑灰产。否则,如果合法合规行为的成本比黑灰产成本还高,就不占优势。”汤寒林说。
在实践中,对侵犯公民个人信息犯罪的执法正趋于严厉,侵犯计算机信息系统安全的网络犯罪被多条法律纳入规制。据最高人民检察院数据,2020年,全国检察机关起诉侵犯公民个人信息犯罪6000余人;2021年起诉人数攀升约50%至9800余人,2022年维持了这一水平。
华东政法大学教授、数据法律研究中心主任高富平分析,当前法律法规对个人信息处理者与个人之间的关系予以重点关注,但对处理者与其他处理者之间关系、也就是流通环节的关注并不多。换句话说,没有给个人信息的对外流通提供较合法路径。“合法通道不可行,也许是导致黑灰产流行的原因之一。”
探索保护与流通平衡,“受控去标识”或是出路
那么,要使个人信息合法合规、较低成本地进入数据要素市场,路在何方?
高富平指出,个人信息保护的关键是保护人格尊严自由平等,并不是要去限制数据的流通和价值的挖掘。“保护是手段,使用才是目的。”与控制个人信息的获取相比,更重要的是控制个人信息的使用。将流通利用风险控制在合理的范围内,构建安全可信的流通利用秩序,才可以更好地从实质上保护个人权益。
能够识别到个人,是个人信息的价值所在,也是风险所在。不过,能否识别到个人并不是“非黑即白”。高富平提出,“去标识符+识别控制”的受控去标识化制度可以为个人信息流通提供合法性基础。与去标识化不同的是,受控去标识化提出“间接标识符”允许商业使用也允许个人拒绝,并根据识别行为的风险来控制去标识程度。在这一机制下,各行业可以探索适合各自风险的、符合个人信息保护精神的个人信息流通利用方式。目前,该成果已形成上海市地方标准《数据去标识化共享指南》。
世界多国都在积极探索寻求个人信息保护与流通相平衡的“两全之策”。
欧盟《通用数据保护条例》(即GDPR)建立了数据泄露通知制度,以法律责任倒逼企业加强安全保障。欧洲、韩国等地逐渐兴起“个人信息可携带权”的讨论,引出一种“My Data模式”,将个人信息整合至My Data平台,个人用户可通过平台来对企业机构完成授权。在我国,今年4月,贵阳大数据交易所完成全国首笔个人数据合规流转场内交易。当前,这些模式、方法仍有诸多问题存在争议。
中国信息通信研究院互联网法律研究中心主任方禹曾于2020年撰文,将个人数据分为单一数据、统计数据、大数据三个层面。他认为,个人信息保护针对的是单一数据,而个人信息的流通价值,则体现在统计数据和大数据层面。这三个层面上面临的问题,存在很强的交织性。
协调这些交织性,成为发挥个人信息价值的关键。摸索多年后,仍有大片空白留待未来去填补。