在這個所謂的DT(數據科技)時代,數據的價值正在為人所知,由此而來的個人信息泄露事件也層出不窮。然而,當人們將矛頭指向黑客入侵系統漏洞、撞庫拖庫等,卻忽略了掌握數據源的互聯網企業。
記者調查:諸多網站默認可以轉讓你的信息個人數據至今無法確權
在這個所謂的DT(數據科技)時代,數據的價值正在為人所知,由此而來的個人信息泄露事件也層出不窮。然而,當人們將矛頭指向黑客入侵系統漏洞、撞庫拖庫等,卻忽略了掌握數據源的互聯網企業。
《IT時報》記者在調查中發現,數據價值雖已傳遞到產業鏈的各個環節,但數據交易市場仍處于初期粗放階段;各行業對數據的開放雷聲大、雨點小,企業私下出售、交換數據等行為司空見慣,而當企業被合并、兼并或是破產、資產出售時,把用戶數據隨之轉賣已在行業中形成默契。
在大數據時代,你的數據或許不再屬于你。
大多數網站可以轉讓你的信息
“幾乎每個互聯網公司都在想辦法獲取數據,哪怕是非法手段,有數據才會有風投,繼而研究自己的生態系統。如果公司倒閉了,最值錢的數據自然會被轉賣或用于二次創業,不賣難道留著做紀念?”林明(化名)是一家金融公司的IT人員,很多網站加密后的數據在這些技術咖眼里依然是“一絲不掛”,有加密算法,就有解密算法,投資不高的加密系統很容易被有心人攻破。
“一方面,軟件開發商、硬件設備商等過度搜集個人用戶信息有明顯趨勢,一些廠商強行掃描獲取用戶信息并提供給第三方的現象很普遍;另一方面,開發應用場景需要多個數據源進行關聯合作,在這個過程中,個人信息被使用不可避免。”中關村大數據聯盟數據交換標準委員會主任、亞信數據云平臺部副總經理武源文告訴《IT時報》記者,在搜集或使用個人數據前,廠商需得到授權。
《紐約時報》去年對排名前100位網站所做的分析表明,有85家網站的《隱私條款》中帶有這樣一條內容“如果我們的服務或資產的部分或全部所有權或控制權發生改變,我們可能會將你的信息轉給新的所有者。”
那么,中國的網站關于信息的條款是如何規定的呢?記者查看了多個知名網站在注冊時需要用戶同意的協議,情況也大抵相似。比如注冊淘寶時,被要求同意《淘寶平臺服務協議》及補充協議《法律聲明及隱私權政策》,在阿里巴巴批發平臺的《隱私聲明》中則提及“您同意并授權阿里巴巴將您的個人信息傳遞給您同時接受其他服務的阿里巴巴關聯公司或其他組織,或從為您提供其他服務的阿里巴巴關聯公司或其他組織獲取您的個人信息。” 婚戀網站百合網對“隱私保護”表述則是“百合網保留在網站所有權轉移的情況下轉移使用者個人資料歸屬的權利,例如被收購或者與其它公司合并時。”這些個人資料包括了姓名、性別、年齡、出生日期等個人識別資料和職業、收入狀況、婚姻狀況、興趣愛好等個人背景。
事實上,許多用戶注冊網站或App時,會一掃而過甚至忽略《服務協議》或《隱私聲明》的具體內容,并不知道自己的個人信息可能被共享或轉賣。根據《中國青年報》社會調查中心的調查顯示,用手機安裝、打開第三方應用程序時,僅28.9%的受訪者會仔細查看授權列表,52.4%的受訪者會大概看一眼,17.1%的受訪者基本不看。
商業機構間的數據共享是否被過度使用?
“信息有沒有用是衡量數據價值的標準,我們掌握了用戶注冊時的手機號、登錄密碼、銀行卡等信息,但公司想知道的是用戶使用平臺的頻率、忠誠度、平均一月能投資多少錢,第三方支付對銀行卡及交易信息更感興趣。” 林明告訴《IT時報》記者,利用數據變現時,有的公司可能只賣了用戶的身份證號或手機號,另一家賣了用戶的網銀賬戶或支付寶賬戶,當信息被關聯起來,風險也會隨之而來。此外,信息的利用率也令人咂舌,當一個所謂的淘寶登錄信息無法匹配時,利用者可以嘗試著去匹配支付寶賬戶、郵箱登錄,甚至去嘗試登錄其他電商或購物網站。
“企業之間通過戰略合作達成點對點資源共享的情況比較多,直接拿硬盤去拷貝原始數據的情況也存在,但企業一般不會這么做,用戶敏感信息大范圍泄露對企業的打擊是致命的。”武源文說。在他看來,不泄露用戶隱私的前提下,數據的流通可以推動各項成果在各行業的深層次應用。
在中國,第三方移動數據服務平臺TalkingData的數據覆蓋了包含手機、手環的28億智能設備和10萬款應用,每天要上傳10TB的數據,600多個新增的標簽。“我們覆蓋的App里有90%是客戶嵌入了SDK為我們提供數據。”TalkingData首席金融行業專家鮑忠鐵說,TalkingData能接觸客戶上傳的設備信息、位置信息及App活躍情況,敏感的個人信息依然存儲在應用開發商手中。鮑忠鐵認為,個人信息的使用情況分兩種,一種能識別身份的敏感信息,經用戶同意,可用于合法的商業用途,但不可轉讓;另一種是經特殊處理的標簽、統計信息,可作為商品輸出。比如,一些計劃發白金信用卡的銀行會采取數據輸入的方式與航空公司合作,如果用戶在一年內三次飛國外,并坐的是頭等艙,就可以給他白金信用卡。
“用戶去貸款、住旅店、辦簽證可用芝麻信用做個人信用評測,在你授權的前提下,芝麻信用調用你的信息給了為你提供服務的商戶、服務商或者是金融機構,是不侵犯隱私的。但若你的隱私數據沒有得到你的授權,被別人賣掉是嚴重的侵犯個人隱私。” 鮑忠鐵說。但事實上,用戶無法界定授權后自己的個人信息是否會在商業數據共享中被過度使用。
利益的趨勢導致企業對數據的需求旺盛,許多數據交易只能在灰色地帶摸索前進。鮑忠鐵透露,一些做征信的金融企業,從運營商或銀行購買清洗、脫敏數據后,依然會從黑市上買原始數據做補充。
尚不健全的交易市場
今年,國家大數據戰略正式納入“十三五”規劃,規劃中提到要把大數據作為基礎性戰略資源,全面實施促進大數據發展行動,加快推動數據資源共享開放和開發應用,助力產業轉型升級和社會治理創新。去年,隨著貴陽大數據交易所及長江大數據交易所的成立,全國各地已成立了多家大數據交易中心。
“交易所充當的是中介性質,是數據的中轉站,撮合雙方交易。” 貴陽大數據交易所執行總裁王叁壽告訴《IT時報》記者,平臺上的交易是清洗、建模分析的數據結果,涉及隱私、安全的信息會被抹除掉。
長江大數據交易所對平臺上的數據準入要求也十分嚴格,雖然可接觸到政府部門開放的部分基礎數據,交易所依然是清洗、脫敏后才會投入使用。長江大數據交易所執行總裁李暉向《IT時報》記者表示,大數據交易市場還處于初期階段,不是標準化商品,沒有統一的規范標準,數據價格由買賣雙方協商定價。目前,交易所除撮合交易外,更希望推動行業的進步,漸漸取代地下數據交易市場。
“說要資源共享,共同開發利用,實際上大數據發展雷聲大,落地應用卻很少,各個行業還在探索,對于數據的開放、流通、交易都很謹慎,迫切需要成立市場監管組織。” 武源文說。他建議,數據交易一方面應明確劃定的底線,明確定義不能交易的情形,各行業不能交易的數據內容;另一方面應引入數據交易登記機制,并推動數據交易標準的建立和逐步完善。
延伸閱讀
數據所有權屬于誰?
到底什么數據可以交易,什么內容會觸碰紅線?在業界亦有爭論。
王叁壽認為,數據交易存在的障礙源于數據公司不確定數據到底屬不屬于它,比如用戶在淘寶上的購物數據屬于平臺還是個人?這很難界定,如果屬于個人,阿里巴巴等企業利用數據建立起的生態、開發的數據產品,用戶也應享有收益權。王叁壽向《IT時報》記者透露,如果個人在網絡上的數據屬于個人資產,貴陽大數據交易所將會成立個人數據銀行,幫助個人與數據機構談判。未來,一旦個人數據被確定屬于個人資產,將會打破數據機構的生態格局。
武源文則向《IT時報》記者表示,用戶雖在注冊時使用了個人信息,但互聯網公司亦耗費人力、物力、財力搭建IT系統,向用戶提供服務,個人信息已與服務信息關聯在一起,很難界定數據的使用權及所有權到底歸誰。鮑忠鐵則認為用戶只是信息的產生者,平臺上沉淀信息的所有權應歸平臺所有,但平臺在使用時有保護個人隱私的義務。
對此,知名IT與知識產權律師趙占領表示:“個人信息所有權問題尚存在爭議,難以理清權力邊界。如果個人數據歸企業及個人共有,在用戶授權企業免費使用數據的前提下,并不涉及用戶收益問題。但企業若要收集或轉賣用戶個人隱私信息必須經過用戶同意,這種同意不僅僅是通過注冊賬號時用戶協議的默認勾選方式,還應該單獨明確地提示給用戶,讓用戶做出同意與否的主動選擇。只是企業一般會在用戶協議中含糊處理,比如文字措辭并非轉賣,而是與關聯公司、關聯機構共享信息。”
據了解,根據《全國人大常委會關于加強網絡信息保護的決定》,國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。《電信和互聯網用戶個人信息保護規定》則根據《全國人大常委會關于加強網絡信息保護的決定》對“公民個人電子信息”做了界定,明確信息收集過程中能夠識別用戶的信息以及用戶使用服務的信息,包括用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息。
另據媒體報道,5月7日,全國信息安全標準化技術委員會秘書長高林透露,信息數據采集方面的標準“已經在報批過程中”,為企業行為標明底線,但不具有強制性。
京公網安備 11010502049343號