上周寫了篇文章，談的是芝麻信用在采集客戶信息時，可能給客戶帶來風險，并提醒客戶關注個人隱私的安全保密。

沒想到，引起了軒然大波。（相關文章：《在互聯網征信服務的誘導下，你或許正在主動交出自己的隱私》

文章刊出后，芝麻信用的人積極尋求溝通和解釋，以及刪帖，但我的態度比較強硬，于是芝麻信用只好寫了一份《關于芝麻信用采集用戶話費賬單信息報道的情況說明》（以下簡稱"情況說明"）。

這則情況說明,確實讓我更加了解了芝麻信用的情況，以及他們對安全問題的理解；也更堅定了我寫這篇"續集"的決心。

一、對情況說明的解讀

雙方的分歧

這份情況說明首先將我的文章定性為"不實報道"，說我傳播的觀點是"芝麻信用保存用戶電信賬戶和密碼，在用戶不知情的情況下，登陸用戶電信運營商賬戶采集用戶信息。"

可事實上，我的文章通篇里沒有一個地方說芝麻信用"保存客戶密碼"，我是在談客服密碼泄露的風險問題："通過客服密碼可以進行業務查詢和部分業務受理，客服密碼泄露可能會印發客戶隱私信息的泄露，甚至更大的風險。"

所以，我說的是獲取客服密碼之后，可以在用戶不知情的情況下獲取客戶個人隱私信息；而芝麻信用的說法是：我們并沒有在用戶不知道的情況下查詢客戶個人信息。

雙方的觀點，并不矛盾。為啥芝麻信用覺得我的描述"不實"呢？

信息采集的合法性

情況說明里談到：根據國務院印發的《促進大數據發展行動綱要》，要大力推動政府信息系統和公共數據互聯開放共享，推進數據資源向社會開放。并且說"我們采集用戶話費賬單信息與國家推進的政府和公共數據開放共享的政策相符。"

我的乖乖，看起來是我的思想和行為與政府的政策和導向不一致了？

細一想，不對啊，行動綱要談的是政府信息系統和公共數據，客戶的話費賬單什么時候成了公共數據了？

更何況，對于這種涉及廣大民生的問題，即使是支持發展，也離不開必要的規范與監管。

徐玉玉事件發生后，社會各界就對個人隱私保護和信息安全方面有更多的關注和討論。

本周，全國人大常委更會發布了《中華人民共和國網絡安全法》，在第四章"網絡信息安全"中，不僅強調網絡運營商對其收集的用戶信息嚴格保密，還定義了信息的收集、使用、管理等方面的權力、義務和責任。

雖然它要等到2017年6月1日起才開始執行，但國家對于信息安全進行嚴格管理的態度已經非常明確，相關企業必須規范自己的行為，維護客戶和社會對于行業的信任。

關于數立信息和芝麻信用

按照情況說明所介紹，杭州數立信息技術有限公司（簡稱數立信息）是芝麻信用的信息采集服務提供商。

我搜了一下這家公司的網站介紹，看到了下圖：

再看看芝麻信用"信用管理"里提示：添加個人信息，讓芝麻信用為你更全面的評估，可補充的信息包括公積金、學歷學籍、賬單等，而這與數立信息的平臺產品相似度非常高。

為了進一步了解情況，我在數立信息注冊了賬號，申請使用，提示信息說會和我聯系。截止目前，沒有人和我聯系。

上周，芝麻信用的人還主動與我聯系，解釋他們在安全方面的情況，強調征信業務的管理機構在芝麻信用設點檢查，還說芝麻信用對數立信息的管理也是非常嚴格的，甚至是每一行代碼都要檢查。越這樣解釋，我就越覺得有問題：監管機構管芝麻信用，芝麻信用管數立信息，是不是有哪兒不對勁？

既然用戶的數據是數立信息采集的，為什么監管機構管理的對象只是芝麻信用而不含數立信息？芝麻信用里涉及信息采集的鏈接直接跳轉到數立信息的平臺，數立信息采集完信息之后又直接將數據傳給芝麻信用，而且芝麻信用對數立信息的管理這么嚴格規范，兩家公司的關系如此親密無間，可為什么這是兩家公司，而不是一家？

為避免更多的"不實報道"，我這里不做臆斷，只把基本情況整理出來，大家自己評判。

二、如何正確地收集信息

上周文章發出后，也有不少讀者對芝麻信用表示支持。

他們的核心觀點是：如果芝麻信用作為第三方能夠為客戶提供信用擔保和證明，這也是一種進步，畢竟現在我們相互之間太缺乏信任了。

其實，我也是征信等大數據業務的積極支持者和推動者。在我看來，只有合理合規合法地收集、使用信息，做好對客戶隱私的保護和安全防范，從長遠來看，才會推動大數據產業的健康良性發展。

那么，什么是規范的征信服務？恰好，本周我體驗了一次。

我在建行辦理某項業務，由于歷史久遠，我的原始憑證又有缺失，銀行系統里沒有相關信息，因此需要查詢征信系統的數據。建行的客戶經理讓我填寫一張授權協議，授權建行操作查詢我的征信記錄，查詢的單據上明確寫著查詢方是建行，后面加密的一串字符代表查詢者的具體ID。

這種查詢模式，就是規范的。

我去建行辦業務，授權給建設銀行做查詢，由建設銀行查詢征信中心數據，查詢的操作者是建行。

那么，我們對照看一下芝麻信用的案例：客戶在芝麻信用里補充自己的信息，然后芝麻信用授權給數立信息；然后數立信息以客戶的身份向運營商提出查詢請求，在運營商的系統里看起來，這是一次常規的客戶訪問，查詢者是客戶本人。

看出差別了吧。

我理解規范的流程，應該是這樣的：芝麻信用得到客戶的授權，向運營商提出查詢相關信息的申請；運營商征詢用戶是否授權，在得到用戶確認后，為芝麻信用提供信息查詢服務。

這種方式下，運營商可以確認這次查詢是芝麻信用發起，并且得到用戶授權的，這才算是對用戶的信息安全盡責。

用戶的原始賬單信息由運營商保管，運營商有義務為客戶的信息安全負責，制定相關的規則和流程。因此，當看到有人以客戶的身份和名義查詢，運營商當然要核查處理。

否則，運營商也會違法。

要知道，《網絡安全法》第四章第四十二條可是這樣規定的：

"網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。"