“我們早期幫助他們(曠視科技)尋找了合作伙伴,包括美圖、螞蟻金服,讓他們拿到了大量的人臉資料。”
9月12日,全球創業者峰會,李開復在分享自己投資“曠視”經驗時,說了這句話,觸及了資料安全和使用者隱私的話題,很快把人工智慧獨角獸公司曠視科技、網際網路金融巨頭螞蟻金服以及他自己,送上了熱搜。
事發當晚,螞蟻金服立即闢謠,撇開了李開復本人在合作關係上的發言權,緊接著否認曾向曠視科技共享人臉資料。一個小時後,曠視也進行了說明,稱自己不掌握、也不會主動收集使用者個人資訊。
李開復也發文致歉,說自己發言口誤,只是幫助曠視尋找合作伙伴,不涉及客戶資料傳輸和共享,並向提及的三家公司道歉。
但這樣的公開“口誤”,仍是不可思議的,甚至是不合時宜的,畢竟螞蟻金服和曠視正處於上市準備階段。
一波公關看似暫緩了危機,但三方之外,網友們調侃:take it seriously when they deny it(當他們否認的時候,更應該嚴肅對待)。
現在,資料共享濫用、隱私裸奔已經不是什麼新鮮事。
而我們始終關心的問題是:記錄著我們人臉等個人隱私的資料,它的收集、使用和共享的邊界,到底在哪裡?
你的人臉可交易“多少預算?多少量?樣本有什麼要求?”一家資料交易公司的商務部員工王錚問道。
當得知需要比較大的資料量時,王錚一度表示為難,“我們這邊是國企,對風險要特別把控”、“給你50個(人臉資料),那就觸犯刑法” 。
在與王錚後續的交流中,南風窗記者得知,人臉資料是非標產品。也就是說,明面上不能直接買到。但王錚就職的這家公司因為連線到一些“不方便透露來源”的資料庫,因此,他表示仍可以提供。
“我要出庫是非常難,風險很大。”王錚說,資料出庫會留下操作記錄,“有日誌……(技術人員)的工號這些都是固定的,操作大量的資料(屬於異常),一看就知道了”。對資料庫操作進行監控、設定許可權是管理資料庫的常見手段,通常用於防止資料洩漏或盜取資料的行為。
儘管聲稱風險高、難度大,但王錚進一步表示:“量沒什麼問題,基本可以(拿到資料),就看價格值不值。”但王錚本人也稱自己沒有訪問資料庫的許可權,更關鍵的還在技術人員:“技術肯定還要糾結做工作。”
至於價格,王錚沒有給出價目表,但透露道,對人臉資料的需求越多、越精準,價格就越高。這些細化的需求可以包括性別、年齡、城市區域。
當提出用50萬元,購買100萬條女性人臉資料時,對方回覆:“價格低了……價格200萬+我再動員技術(人員)。”
而被問及交易人臉資料可能的後果,王錚表示:“去年我們這邊N多公司出事情,(因為)資料隱私被團滅……好些人抓到(被)判刑。”
在行業內工作了十多年,王錚的體會是,現在的資料不好賣。他所在的公司也只留下銀行與消費金融方面的資料業務,使用者需求估計只有原來的20%,消失的那80%主要涉及P2P和現金貸。變化的主要原因在於,“交易的風險大大提高了……尤其《網路安全法》出來後”。
王錚以往接手的是“對公交易”,只在庫裡進行,買資料的使用權。也就是買一個數據介面,按呼叫次數收費。“資料不出庫,加密,可用不可見。”
“可用不可見”是什麼意思?王錚舉了個例子。比如,我是張三,採集的人臉能在庫裡核對畫面是否匹配,但使用資料庫的人不會知道張三究竟長什麼樣,也不會知道核對的這個是張三。類似於用鑰匙開鎖,匹配即可,不需要知道鎖孔具體的樣子。
但像人臉資料這類資訊只能“對私交易”,屬於非法交易,王錚是第一次接手。“對私”就意味著需要線下面對面完成資料交易,比如用硬碟拷貝一份副本。
會員制交易人臉資料之外,還有更多資料在交易。但值得注意的是,資料交易並不完全遊走在灰色或者黑色地帶。
2015年4月,全國首個大資料交易所——貴陽大資料交易所正式掛牌運營。這個交易所交易的資料就是合法。
據貴陽大資料交易所Quattroporte王叄壽介紹,交易所主要以電子交易形式進行,面向全國提供資料交易服務。資料值多少錢,由交易所與資料賣家來談,資料內容和交易價格在平臺網站上掛出。買家看中了,在平臺上拍下就算交易成功。最終的資料交易,交易所與資料供應商之間4∶6分成,看資料價值,向買方進行收費。
進入平臺交易前,資料需要脫敏,抹去和隱私相關的資訊。而買家和賣家首先得是交易所的會員。
南風窗記者隨後聯絡上了另一家位於江蘇鹽城的大資料交易中心,這個交易中心同樣實行會員制。其工作人員告訴南風窗記者,交易中心本身沒有資料產品,只是一個供求對接平臺,想要參與資料買賣,得付費成為會員,通過資格稽核後才能進行交易。
會員分成普通會員、高階會員等不同等級。會員費起步是2、3千元,目前這家交易中心已經擁有上千家會員單位,涉及消費、金融、銀行、物流等領域。同時,交易中心定期舉辦活動,邀請主講嘉賓,圍繞某個領域,會員可以申請參加,進行資料交易。
“商業資料和工業資料在沒有法律法規等限制性要求的前提下,是可以交易的;但個人資訊不得買賣,只在特殊情況下可以共享和轉讓。個人資訊控制者確需共享、轉讓時,應充分重視相關法律風險。”金杜律師事務所合夥人、網路安全與資料合規執業律師寧宣鳳告訴南風窗記者。
可以交易的資料,一般都經過了匿名化處理。“如果個人資訊經過匿名化,變成甲乙丙丁,使其無法識別到特定的個人,其交易風險就會大大降低。”寧宣鳳律師解釋道。
群裡的資料買家市場上有明顯的資料購買和交換需求,但除了合法渠道,像是交易所、交易中心之外,黑市交易依然是中國資料交易的主流。比如,在線上,資料交易資訊還在多個QQ群裡完成。
在這些QQ群裡,大家習慣把資料稱作“料”。群裡主要是兩類訊息平分天下,一種是提資料需求、等人私聊的,另一種是賣電話銷售卡的廣告。
QQ群裡的資料求買求賣資訊時不時地彈出,一般是這樣寫的:
“豪華車主、大額理財客戶、女性專櫃會員、高階高消費人群等等,你想的我都有,騙料、白嫖、同行別加。”
不同於交易公司要求驗證身份和提供營業執照,在QQ群裡,並沒有人關心交易買家到底是誰、資料又用於什麼目的。等到南風窗記者入群之後,很快有人主動前來私聊,詢問要購買什麼資料。
南風窗記者向其中一位主動聯絡的賣家提出,需要某南方城市今年畢業的大學生的聯絡電話。對方回覆,可以篩選這個南方城市的大學生,但提出今年畢業的不好篩選,建議記者按年齡段來縮小範圍。
群內的買家需求當中,一個高頻詞是“測試”,也就是驗證資料和號碼的真假,但這位賣家並不提供免費測試。“我資料都是實時篩選的,都是需要費用。”賣家回覆稱。
截圖顯示為一條“四大行貸款客戶”的文字對話方塊,以及一個txt格式的檔案。但2秒鐘後,對方迅速撤回這張成交截圖。
南風窗記者又對另一位賣家提出了相同的需求。除了電話號碼,還可以選擇微訊號做網銷。電銷渠道,只能給電話號碼,而不帶姓名。“(帶姓名)違法的,兄弟”,對方聲稱,只給電話不算違法。
“都是買料子的,賣的基本沒。”幾天之後,一位群友說。很快,群裡7、8個人開始吐槽自己的受騙經歷。有人轉賬後被對方拉黑,有的稱拿到的號碼有很多重複。
群裡頻繁出現的一個關鍵詞是“騙子勿擾量大”,在口頭許諾、先給錢後給資料的交易方式下,吃虧並不意外。
但在這些群裡,每天都有新的成員加入,前來“收老年保健品料、收醫院通訊錄、收全國村支書通訊錄”……
約束和監管之難“資料”作為商品,被標價,用來交易,以或明或暗、或真或假、或合規或非法的形式進行著,毫無疑問,市場認可著“資料”的價值。
就像李開復的“口誤事件”裡,類似曠視這樣的AI科技公司,大量的人臉資料成就了這種公司的技術優勢。因為識別的資料越多,準確率就越高,技術應用和變現的競爭力更強。
對能運用大資料的平臺而言,人臉資料只是它龐大資料庫裡的冰山一角。而如果通過資料交易、技術合作的方式,研發刷臉支付、刷臉登入這樣的新功能,打造產品的亮點,可以降低平臺的使用者使用門檻,吸引那些需要這些便利的人。
對更多企業來說,資料是他們開拓市場、精準營銷的必需品,是做生意的捷徑。應該說,資料的經濟價值,是帶來資料和隱私風險的重要推手。
資料交易過程中,當然也不乏監管的身影:人員資質的稽核、系統加密、監控和設定許可權、法律的出臺、或者訴諸刑罰。
2019年的公安部“淨網行動”,前10個月,偵破的侵犯公民個人資訊類案件有2868起,抓獲犯罪嫌疑人7647名;偵破黑客類案件1361起,抓獲犯罪嫌疑人2133名。諸多公司相繼被查,企業高管、技術人員被警察帶走。
2017年6月,山東“徐玉玉遭遇電信詐騙,心臟驟停案件”宣判,主犯陳文輝一審因詐騙罪、非法獲取公民個人資訊罪被判處無期徒刑,沒收個人全部財產,其他6名被告人分別被判處3年到15年不等的有期徒刑並處罰金。
2017年,新三板掛牌公司資料堂因洩漏、出售個人資訊被公安機關調查,業務關停、創始人被刑事拘留。報道顯示,資料堂在8個月內日均傳輸公民個人資訊1億3千萬餘條,累計傳輸資料壓縮後達4000GB左右,前五大客戶中出現了華為、百度、三星、谷歌、騰訊等等身影。
可即便如此,那些王錚們還是有讓資料非法出庫的把握。不可否認,人性加上多方合作的各個環節,資料交易仍然存在疏忽。
對此,在法律層面,處罰機制體系正在進一步完善。2016年《網路安全法》頒佈實施,今年剛出臺的《民法典》也增加了個人資訊和隱私保護的內容,《資料安全法》和《個人資訊保安保護法》則在醞釀之中。
值得注意的是,交易,意味著買賣雙方都有責任。但現實情況裡,我們似乎更強調賣方、經營者在濫用資料、侵犯隱私上的責任,而容易忽視對應買方實際上同樣違法。
對於這樣一種傾向性,大資料安全與隱私保護專業委員會副祕書長、華中科技大學網路安全學院執行院長鄒德清認為:“理論上,只要(一次資料交易被認定是)違法行為,買方賣方都有責任,兩邊同樣是侵犯了使用者隱私。但現實中,買方是誰往往不明確,不容易追蹤,而賣方被發現的可能性更大,更容易追查也更有針對性,所以抓得更嚴。”
監管和懲罰在賣方買方很難一碗水端平之餘,仍然存在模糊的灰色地帶。
比如,對QQ群裡那些的交易——經過賣方有針對性地篩選,批量提供手機號給買方,但不提供對應的人名和其他資訊。客觀上,號碼沒有明確指向個人,但被精準營銷的人卻可能收到垃圾資訊的騷擾甚至詐騙,這是否屬於侵犯個人資訊?似乎難以界定。
《網路安全法》第四十二條規定,網路運營者不得洩露、篡改、毀損其收集的個人資訊;未經被收集者同意,不得向他人提供個人資訊。但是,經過處理無法識別特定個人且不能復原的除外。這也讓電銷網銷的資料交易有了空子可鑽。
在寧宣鳳律師看來,這些行為仍然存在一定的違法風險。例如,在手機卡實名制政策推行後,電話號碼理論上仍然可以識別或關聯到個人,因此,僅對電話號碼本身進行交易也存在著很大的法律風險。
如何平衡資料的開發使用和隱私保護的關係,是我們必須面臨的問題。
近年來,國內外都在探索和研發資料安全和隱私保護的技術解決方案。比如在資料收集過程中,進行脫敏和匿名化處理,減少資料違法違規的機會,但技術仍需要完善,也有賴於企業、個人的自覺和規範執行。
而資料合規問題之外,資料所有權歸屬、資料壟斷的風險,也已經成為密切關聯、並且需要被正視的問題。
編輯 | 何子維
排版 | SHAN
-
1 #
-
2 #
梯視廣告媒體,其發展方向就是通過梯視裝置攝像頭收集人臉資料進行廣告精準投放。
-
3 #
坐在家裡就被人賣了!
-
4 #
那些刷臉進小區的,刷臉進寫字樓的,刷臉支付的!
所以,根本不存在資料安全一說。