數據黑洞：你的「秘密」無所遁形

理性·建設性

一場全球性的數字經濟的競爭正在展開。中國已在一些領域擁有了全球性企業，很多都產生在以數據為基礎的領域，很多人說，中國的這些產業之所以發展快，一個原因是沒有那麼嚴格的隱私保護規定。

這是一場名為「秘密」的藝術展覽。

展覽的內容正是34.6萬武漢市民的個人信息。這些信息加入特殊藥水列印、塗改，在特殊紫外線照射下顯影，在日光燈下將看不見，信息之詳盡，令人不寒而慄：「譚*，女，28歲，電話號碼：*；家庭住址：武昌和平大道融僑華府*，開紅色寶馬車，車牌號*；發動機號*，

2018年3月1日上午11:06在淘寶網購買了嬰兒用品三件套、尿不濕一箱、奶粉三盒；

2018年3月2日下午13:23在淘寶網購買了一件女士外套、高跟鞋一雙；

2018年3月4日下午20:00在淘寶網購買了《兒童教育》、《父母與孩子的關係》書籍。

……

「數據化時代與每個公民之間的倫理關係、邊界在哪裡？」4月4日，在接受媒體採訪時，鄧玉峰說。為了舉辦這次展覽，這位皮膚黝黑的青年藝術家花了大半年時間，從黑市購買了34.6萬人的個人信息。

一周後，在大洋彼岸的美國，Facebook創始人兼CEO扎克伯格因數據泄露正在接受美國國會的質詢。「你們的用戶協議糟透了！」4月10日，在針對Facebook用戶數據泄漏事件的聽證會上，參議員John　Kenndy對扎克伯格提出了質詢，他希望能夠給用戶更多控制自己數據的權利。

一場全球性的數字經濟的競爭正在展開。中國已在一些領域擁有了全球性企業，很多都產生在以數據為基礎的領域，很多人說，中國的這些產業之所以發展快，一個原因是沒有那麼嚴格的隱私保護規定。

找不到的隱私條款

「有病吧！」

在那場「秘密」的展覽當日，志願者們按照展覽上的電話號碼給市民發送信息，稱藝術家鄧玉峰從黑市購買了他們的個人信息，邀請他們前來觀看時，得到了以上回復。

用戶數據是互聯網公司運營非常重要的一部分，這部分的信息獲取都是免費的，使用它的APP，就會要求用戶填寫一些資料，或者APP主動收集很多人的信息，「這個過程很多用戶都是無意識的，但這就會變成互聯網企業很重要的資產。」南都個人信息保護研究中心負責人娜迪婭告訴記者，而資產本身是具有流動性的，會牽扯到共享、轉讓等環節，在這個過程中就有可能會被泄漏。「道高一尺，魔高一丈。」大數據安全公司瀚思科技CEO高瀚昭如是說。有一回，他們給一家大型企業做安全監測，發現一個來自該企業某代理商的慢速爬蟲在竊取其訂單日誌等用戶信息。類似的案例發生過不止一次，「相當多的數據泄漏都是內部人員的泄密，其中實習和外包人員泄密居多。」據調查，全球光2017年上半年泄露或被盜的數據就有19億條，超過了2016年全年被盜數據的總量。

安全的威脅不僅來自於售賣者，還有收集數據的平台。「很多時候我們是無可奈何，其實沒有多少人希望在網上成為一個透明人，一個人所有需求、缺陷被各種app掌握，是件可怕的事情，但是註冊時強制要輸入這些信息，用戶只好被迫接受，而非主動願意。」在展覽上，一名志願者對媒體說。

APP就像身邊一個個黑洞，將用戶的信息儘可能吸納進去。按照中國的《網路安全法》，用戶對自己的信息享有知情權、選擇權、刪除權和更正權。而目前，鮮有企業能完全做到。「我們可能不定時將您的個人資料及其他信息分享和揭露給第三方」；「我們出於商業目的，將您的信息與他人分享或出售、出租」；

「基本上，任何事情都可能發生，我們是不會負責的。」

這些都是蔣琳和她的同事們在去年開始，對1550個APP進行測評時遇到的隱私保護條款。其中，最後一條來自一個名為「果庫」的消費指南類APP，該款APP默認讀取了用戶的聯繫人信息、撥打電話、錄音等敏感許可權，而這句用淺灰色標註在協議最下方的話，一年後的今天仍赫然出現在其用戶使用協議中。

作為南都個人信息保護研究中心的調查員，蔣琳說，「根據去年的調查，真正能夠達標的企業極少，」透明度達到較高級別以上的只有不到10%，測評的APP里80%以上都「不及格」。

「你們為什麼會知道我的手機號？」

這是一名視頻網站員工給用戶打電話進行產品調研時曾被問到的問題。公司在開發新的產品時，都會進行用戶調研，該員工稱，註冊網站會員時，需要輸入手機號以獲取驗證碼，因此網站能夠獲得用戶的手機號，供他們進行用戶調研。

這樣的場景同樣出現在幾個視頻APP中，當記者打開愛奇藝APP，註冊頁面要求用戶輸入手機號方能登錄，下面有一行小字「我已閱讀並同意《愛奇藝用戶服務協議》」並默認勾選。儘管在華為手機安卓系統的應用市場上顯示檢測出其包括「讀取聯繫人數據」、「直接撥打電話」、「錄音」等功能，但在《用戶協議》中，並未明確告知用戶該APP都讀取了哪些許可權並作何用途。

優酷手機APP，則僅在首次進入頁面時有顯示「讀取手機和電話許可權，是為了提供保障賬號數據安全，提供更懂你的內容推薦」，此外，在APP上，記者找不到查看用戶協議和隱私政策的入口。

「如果您不同意本《隱私政策》的內容，將導致本軟體及服務無法正常運行……當您使用『今日頭條』軟體及相關服務時，則表示您同意且完全理解本《隱私條政策》的全部內容。』」這是號稱基於數據挖掘推薦引擎的「今日頭條」APP《隱私政策》內容。該APP僅在首次進入頁面時，提示是否允許應用讀取存儲許可權和位置許可權，並在用戶登錄頁面，以默認勾選的方式註明「我同意並閱讀『用戶協議』和『隱私條款』」。

「這裡面有一些技術上的問題，有一些情況是，由於終端或系統設置的問題，有些許可權是被捆綁在一起的，因功能需要開啟某項許可權的時候，另外幾項許可權也被自動打開，但企業可能也不會使用到這幾項許可權。」何延哲說，在一些情況下，企業方也未解釋清楚，「用戶如果存疑，可以打申訴電話詢問客服，而不是單純地猜測。」

記者發現，無論是支付寶、滴滴、淘寶網還是高德地圖，在共享用戶和個人信息條款中都提到了一些可能不經過用戶同意的例外情況，其中包括學術研究、為了提高服務質量、授權第三方合作夥伴等。「個人信息的收集和處理過程應該經過信息主體的同意。目前已經生效的法律並未規定『學術研究、合法的新聞報道、徵信的信息』可以不通過用戶就能公開，所以這一條款不合規。」鄧學平對記者說。鄧學平是京衡律師集團上海事務所合伙人律師，他曾是一位資深的檢察官。

《個人信息保護法》（草案）第22條、第37條有如下表述：「學術研究有必要且無害於信息主體重大利益的，可以處理和利用個人信息，但研究人員或機構應當採取必要的保密措施，且不得超出特定目的」，鄧學平稱：「這並非正式立法，目前尚不具備法律效力。」

「出於社會公共利益目的的學術研究一般不會對具體的個人權益造成侵害，如果事事都同意，對個人的打擾可能太頻繁，很難操作。當然研究本身也需要非常謹慎，需要做好個人信息的去標識化工作，可以評估研究過程對個人的影響，有些情形可能需要向主管部門披露，得到批准。」中國電子技術標準化研究院何延哲博士說，他更傾向於，學術研究機構應該更重視將個人信息保護好，管理好，而不是糾結於徵得用戶同意。

商業利益

「如何維持一個免費的商業模式？」參議員Orrin Hatch問扎克伯格。「我們賣廣告。」

「是不是得給你錢，才能保住我自己的信息？」另一位參議員Bill Nelson追問。「這不是出售個人隱私，而是一種廣告投放策略。」扎克伯格回答。

在大洋此岸，依託大數據的商業模式同樣熱門。

「我們會通過使用收集的信息的數據，向您提供更加相關的廣告以替代普遍投放的廣告。」「為了讓您有更好的體驗、改善我們的服務或您同意的其他用途，在符合相關法律法規的前提下，我們可能將通過某一項服務所收集的信息數據，以彙集信息數據或者個性化的方式，用於我們的其他服務。」

這是今日頭條隱私政策中的內容。今日頭條創始人、CEO張一鳴曾表示，今日頭條是一個資訊分發平台，文字、圖片、視頻，甚至問答、直播等各種形式的資訊內容都可以通過今日頭條的推薦系統找到對它感興趣的用戶，當然廣告也可以精準推薦，「比如，家庭主婦會收到家常食譜的信息，體育愛好者會看到足球比賽推送。」

3月29日，這家聲稱利用大數據進行用戶行為畫像，實現精準推送的公司因「在二三線城市的APP界面刊登虛假廣告，明著合法，暗中違規二次跳轉廣告頁面」而遭曝光。

但產業發展確實需要數據。阿里巴巴集團董事局主席馬雲不止一次提到，互聯網的技術革命，未來的三十年才是真正的巨大機會所在，「數據將成為核心的資源」。

企業們需要的數據不局限於我們目前經常討論的網購、電話號碼等等數據。「過去一年，我們用戶檢測量從去年的3萬，增長到現在的16萬，同比增長了5倍多，這是今天中國最大的消費級基因檢測資料庫。」4月10日，在23魔方第四代基因檢測產品的發布會上，CEO周坤宣布了這所公司目前累積的用戶數據。Wegene的創始人陳剛也表示，「Wegene的下一個目標是將解讀的結果更加豐富、準確」。這些都依賴於足夠多的數據。

這些邊界在不斷擴展中的數據以及日益擴大的商業應用，會帶來嚴重的倫理問題。一個人的生物特徵是非常重要的數據。當一家保險公司能夠預測到你即將有大病的時候，他還會接受你的投保嗎？「但在中國，總體來說會把科學發展放在這些不太確定的道德顧慮之前。」李開復此前曾表示。人工智慧、大數據領域是他所創辦的創新工場重點投資的領域。

「從我們對敏感許可權獲取的測評結果來看，幾乎沒有任何一家企業遵守了『最小必要』原則。」蔣琳說，「很多企業常見的做法是能收集多少就收集多少，不要白不要，因為可能現在不用，但未來或許會用到」。

而如果APP讀取了位置許可權、結合時間、照片等信息，就能刻畫出用戶的日常行為，中國科學院計算技術研究所大安全方向總師、中國科學院計算所研究員、科研處副處長王元卓告訴記者。「現如今，個人隱私主要以數據、信息的方式存儲，其產生、傳播和使用都變得網路化、商業化。然而，我們的立法和執法顯然還沒有完全跟上這樣的變化。」鄧學平表示，這導致的現實困境是，公民個人信息保護更多的依賴像阿里、騰訊這樣的互聯網巨頭的道德自覺。

監管選擇題

「在大數據時代，一部分人以技術的名義公然踐踏公眾的基本權利，可是社會法律和管理機構卻跟不上趟。」一位藝術評論家在看了鄧玉峰的展覽時發了如上朋友圈。

已正式生效的《網路安全法》對個人信息保護做出規定，明確了對個人信息收集、使用及保護的要求，並規定了個人對其個人信息進行更正或刪除的權利。

2018年1月，國家標準《信息安全技術 個人信息安全規範》（以下簡稱「規範」）發布全文，進一步對個人信息的收集、保存、使用、委託處理、共享、轉讓和公開披露做了規定，對個人信息和個人敏感信息作了定義。這項國家標準被視為《網路安全法》的重要參考，「國家標準的發布目的，就是為了指導企業在國家法律框架下，更好地將個人信息保護工作落到實處，也就是給出了經廣泛討論和認可的最佳實踐。」何延哲說。

從2016年國家標準《信息安全技術 個人信息安全規範》立項之後，何延哲的職業生涯就與信息安全更加緊密地結合在一起，他發的朋友圈裡幾乎都是與信息安全相關的話題。

何延哲也是該國家標準的起草人之一，他一方面希望能夠化解民眾對企業的誤解，「用戶如果存疑，可以打上面的申訴電話，而不是單純猜測。」一面希望能使所有企業重視起用戶的隱私保護，「如果隱私條款中沒有申訴電話，表明他們不夠規範」。

在標準制定中，進行多方面的參考、權衡，是他們面臨的不小難題。這項國家標準從2016年開始立項，經歷廣泛的討論和修訂，例如對個人信息、個人敏感信息的界定，徵得同意的方式，共享轉讓環節的規定等等進行多次的徵求意見。

這項標準在制定期間參照了《網路安全法》等一系列中國在個人信息保護方面提出要求的法律法規，也參考了歐盟的《一般數據保護條例》，即GDPR、ISO29000系列等國際範圍內的個人信息保護法律法規及標準，同時，從國內主要存在的個人信息保護現狀和問題出發制定標準，更側重標準的實用性。

2017年7月至9月，在中央網信辦、工信部、公安部和國家標準委等四部門指導下，信安標委組織了對10款常用APP隱私條款的評審工作，這些APP也陸續修訂完善了隱私政策，給用戶更多的隱私相關的提示和選擇，也上線了註銷賬戶功能。「隱私政策雖不是個人信息保護的全部，但是企業展示個人信息保護措施的窗口，通過評審，能提升了企業的責任感，提升了全社會的隱私保護意識，是一個正向的引導和推動作用。」何延哲看來，隱私條款制定起來並不容易，需要結合產品特點長期優化，「有些APP涉及的功能太多了，所以我們希望他們能夠區分核心功能和附加功能。核心功能用戶肯定要同意，不然不能用。附加功能是可以讓用戶選擇的。」

此外，何時需「明示同意」，何時需「授權同意」，也經過多次討論，最終確定，對個人敏感信息，要求明示同意，對於非敏感信息則是「授權同意」。《網路安全法》起草人之一、北京大學互聯網發展研究中心高級顧問洪延青在一次公開場合解釋道，目前承認「授權同意」，是希望互聯網企業做到明示同意，但如果現實大量的場景做不到明示同意的話，還是需要用到授權同意的。「從這一點上我們的標準實際上比歐盟松得多，跟相對寬鬆的美國相對是看齊的。」

去年夏天的那場測評，何延哲和他的同事們協助那10款APP的企業進行隱私條款的修改。

雖然隨著大數據發展，對於隱私保護的重視不斷加強，但關於個人隱私保護的侵權訴訟案件卻不多。「最大的問題就是因為我們國家現在還沒有一個關於個人信息保護相關的專門立法。」中國首席數據官聯盟專家組成員，法律顧問，觀韜中茂（上海）律師事務所合伙人王渝偉說，儘管對於個人信息保護的細則規定得相對來說非常全面了，但由於只是一個推薦性的國家標準的規範，並不具有直接的強制執行力。

「在個人信息保護方面，《網路安全法》仍然是大而化之，缺乏對個人信息從收集、存儲、使用、救濟等全流程的保障機制。」在鄧學平看來，雖然很多立法都有保護公民個人信息的立場宣示，但在具體的保護方式、保護手段方面卻往往付之闕如，相關職能部門更是鮮少主動執法。

這種「大而化之」的做法，也並非沒有理由。

何延哲稱，個人信息保護領域的很多問題尚未有定論，比如個人信息的權屬問題、關於徵得同意的方式方法問題等等，最好是能夠在專門的個人信息保護法中明確。同時，正是因為這些爭議，也造成了立法本身的難度增加。「對於立法而言，只能將其中的部分信息納入保護範圍，如何劃分這個界限就考驗著立法者的智慧。」傅達林，解放軍西安政治學院軍事法學系理論軍法教研室副主任早在一篇《個人信息保護如何突破立法藩籬》的文章中表達過類似觀點。

歐盟的GDPR被稱為史上最嚴苛的數據保護規定，而美國的個人信息保護則側重於行業自律。「歐美國家在個人數據的保護立法政策上選擇了不同的模式，這將是未來我國立法模式選擇的方向。」王渝偉說，「儘管我國制定的個人信息安全規範的國家標準是參考了GDPR，但同時也加入了符合中國國情的做法，我認為中國會採取一種介於美國和歐洲之間的規定，因為如果過於嚴苛，會限制行業的發展。」

一個折中的方式是在大數據發展的階段，可以通過軟性監管的方式，何延哲稱，目前我國個人信息保護方面尚未發布專門的法律，但個人信息保護的問題尚需得到重視，那麼國家標準的發布在指導實踐與供監管機構參考方面都有很高的價值。在他看來，在數字經濟蓬勃發展的形勢下，倡導企業使用標準、規範自行自律，也是一種可行的監管方式。

作為監管方，在大數據發展和隱私保護上，這道選擇題依然難解。

「信息時代我們每個人將再也沒有秘密，數據可以看出一個人的生活方式，消費高低、喜歡趨向、具體位置、政治、性格等等等等！我們的生活變成了別人的數據，我們的數據變成了別人的選擇，我們的選擇變成了別人的權力，這可能是我們人類有史以來最囹圄的時代。」當Facebook被曝泄露5000萬用戶數據的消息傳出後，鄧玉峰在朋友圈裡寫下這樣一段話。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！