“我們早期幫助他們（曠視科技）尋找了合作伙伴，包括美圖、螞蟻金服，讓他們拿到了大量的人臉資料。”

9月12日，全球創業者峰會，李開復在分享自己投資“曠視”經驗時，說了這句話，觸及了資料安全和使用者隱私的話題，很快把人工智慧獨角獸公司曠視科技、網際網路金融巨頭螞蟻金服以及他自己，送上了熱搜。

事發當晚，螞蟻金服立即闢謠，撇開了李開復本人在合作關係上的發言權，緊接著否認曾向曠視科技共享人臉資料。一個小時後，曠視也進行了說明，稱自己不掌握、也不會主動收集使用者個人資訊。

李開復也發文致歉，說自己發言口誤，只是幫助曠視尋找合作伙伴，不涉及客戶資料傳輸和共享，並向提及的三家公司道歉。

但這樣的公開“口誤”，仍是不可思議的，甚至是不合時宜的，畢竟螞蟻金服和曠視正處於上市準備階段。

一波公關看似暫緩了危機，但三方之外，網友們調侃：take it seriously when they deny it（當他們否認的時候，更應該嚴肅對待）。

現在，資料共享濫用、隱私裸奔已經不是什麼新鮮事。

而我們始終關心的問題是：記錄著我們人臉等個人隱私的資料，它的收集、使用和共享的邊界，到底在哪裡？

“多少預算？多少量？樣本有什麼要求？”一家資料交易公司的商務部員工王錚問道。

當得知需要比較大的資料量時，王錚一度表示為難，“我們這邊是國企，對風險要特別把控”、“給你50個（人臉資料），那就觸犯刑法” 。

在與王錚後續的交流中，南風窗記者得知，人臉資料是非標產品。也就是說，明面上不能直接買到。但王錚就職的這家公司因為連線到一些“不方便透露來源”的資料庫，因此，他表示仍可以提供。

“我要出庫是非常難，風險很大。”王錚說，資料出庫會留下操作記錄，“有日誌……（技術人員）的工號這些都是固定的，操作大量的資料（屬於異常），一看就知道了”。對資料庫操作進行監控、設定許可權是管理資料庫的常見手段，通常用於防止資料洩漏或盜取資料的行為。

儘管聲稱風險高、難度大，但王錚進一步表示：“量沒什麼問題，基本可以（拿到資料），就看價格值不值。”但王錚本人也稱自己沒有訪問資料庫的許可權，更關鍵的還在技術人員：“技術肯定還要糾結做工作。”

至於價格，王錚沒有給出價目表，但透露道，對人臉資料的需求越多、越精準，價格就越高。這些細化的需求可以包括性別、年齡、城市區域。

當提出用50萬元，購買100萬條女性人臉資料時，對方回覆：“價格低了……價格200萬+我再動員技術（人員）。”

而被問及交易人臉資料可能的後果，王錚表示：“去年我們這邊N多公司出事情，（因為）資料隱私被團滅……好些人抓到（被）判刑。”

在行業內工作了十多年，王錚的體會是，現在的資料不好賣。他所在的公司也只留下銀行與消費金融方面的資料業務，使用者需求估計只有原來的20%，消失的那80%主要涉及P2P和現金貸。變化的主要原因在於，“交易的風險大大提高了……尤其《網路安全法》出來後”。

王錚以往接手的是“對公交易”，只在庫裡進行，買資料的使用權。也就是買一個數據介面，按呼叫次數收費。“資料不出庫，加密，可用不可見。”

“可用不可見”是什麼意思？王錚舉了個例子。比如，我是張三，採集的人臉能在庫裡核對畫面是否匹配，但使用資料庫的人不會知道張三究竟長什麼樣，也不會知道核對的這個是張三。類似於用鑰匙開鎖，匹配即可，不需要知道鎖孔具體的樣子。

但像人臉資料這類資訊只能“對私交易”，屬於非法交易，王錚是第一次接手。“對私”就意味著需要線下面對面完成資料交易，比如用硬碟拷貝一份副本。

人臉資料之外，還有更多資料在交易。但值得注意的是，資料交易並不完全遊走在灰色或者黑色地帶。

2015年4月，全國首個大資料交易所——貴陽大資料交易所正式掛牌運營。這個交易所交易的資料就是合法。

據貴陽大資料交易所Quattroporte王叄壽介紹，交易所主要以電子交易形式進行，面向全國提供資料交易服務。資料值多少錢，由交易所與資料賣家來談，資料內容和交易價格在平臺網站上掛出。買家看中了，在平臺上拍下就算交易成功。最終的資料交易，交易所與資料供應商之間4∶6分成，看資料價值，向買方進行收費。

進入平臺交易前，資料需要脫敏，抹去和隱私相關的資訊。而買家和賣家首先得是交易所的會員。

南風窗記者隨後聯絡上了另一家位於江蘇鹽城的大資料交易中心，這個交易中心同樣實行會員制。其工作人員告訴南風窗記者，交易中心本身沒有資料產品，只是一個供求對接平臺，想要參與資料買賣，得付費成為會員，通過資格稽核後才能進行交易。

會員分成普通會員、高階會員等不同等級。會員費起步是2、3千元，目前這家交易中心已經擁有上千家會員單位，涉及消費、金融、銀行、物流等領域。同時，交易中心定期舉辦活動，邀請主講嘉賓，圍繞某個領域，會員可以申請參加，進行資料交易。

“商業資料和工業資料在沒有法律法規等限制性要求的前提下，是可以交易的；但個人資訊不得買賣，只在特殊情況下可以共享和轉讓。個人資訊控制者確需共享、轉讓時，應充分重視相關法律風險。”金杜律師事務所合夥人、網路安全與資料合規執業律師寧宣鳳告訴南風窗記者。

可以交易的資料，一般都經過了匿名化處理。“如果個人資訊經過匿名化，變成甲乙丙丁，使其無法識別到特定的個人，其交易風險就會大大降低。”寧宣鳳律師解釋道。

市場上有明顯的資料購買和交換需求，但除了合法渠道，像是交易所、交易中心之外，黑市交易依然是中國資料交易的主流。比如，在線上，資料交易資訊還在多個QQ群裡完成。

在這些QQ群裡，大家習慣把資料稱作“料”。群裡主要是兩類訊息平分天下，一種是提資料需求、等人私聊的，另一種是賣電話銷售卡的廣告。

QQ群裡的資料求買求賣資訊時不時地彈出，一般是這樣寫的：

“豪華車主、大額理財客戶、女性專櫃會員、高階高消費人群等等，你想的我都有，騙料、白嫖、同行別加。”

不同於交易公司要求驗證身份和提供營業執照，在QQ群裡，並沒有人關心交易買家到底是誰、資料又用於什麼目的。等到南風窗記者入群之後，很快有人主動前來私聊，詢問要購買什麼資料。

南風窗記者向其中一位主動聯絡的賣家提出，需要某南方城市今年畢業的大學生的聯絡電話。對方回覆，可以篩選這個南方城市的大學生，但提出今年畢業的不好篩選，建議記者按年齡段來縮小範圍。

群內的買家需求當中，一個高頻詞是“測試”，也就是驗證資料和號碼的真假，但這位賣家並不提供免費測試。“我資料都是實時篩選的，都是需要費用。”賣家回覆稱。

截圖顯示為一條“四大行貸款客戶”的文字對話方塊，以及一個txt格式的檔案。但2秒鐘後，對方迅速撤回這張成交截圖。

南風窗記者又對另一位賣家提出了相同的需求。除了電話號碼，還可以選擇微訊號做網銷。電銷渠道，只能給電話號碼，而不帶姓名。“（帶姓名）違法的，兄弟”，對方聲稱，只給電話不算違法。

“都是買料子的，賣的基本沒。”幾天之後，一位群友說。很快，群裡7、8個人開始吐槽自己的受騙經歷。有人轉賬後被對方拉黑，有的稱拿到的號碼有很多重複。

群裡頻繁出現的一個關鍵詞是“騙子勿擾量大”，在口頭許諾、先給錢後給資料的交易方式下，吃虧並不意外。

但在這些群裡，每天都有新的成員加入，前來“收老年保健品料、收醫院通訊錄、收全國村支書通訊錄”……

“資料”作為商品，被標價，用來交易，以或明或暗、或真或假、或合規或非法的形式進行著，毫無疑問，市場認可著“資料”的價值。

就像李開復的“口誤事件”裡，類似曠視這樣的AI科技公司，大量的人臉資料成就了這種公司的技術優勢。因為識別的資料越多，準確率就越高，技術應用和變現的競爭力更強。

對能運用大資料的平臺而言，人臉資料只是它龐大資料庫裡的冰山一角。而如果通過資料交易、技術合作的方式，研發刷臉支付、刷臉登入這樣的新功能，打造產品的亮點，可以降低平臺的使用者使用門檻，吸引那些需要這些便利的人。

對更多企業來說，資料是他們開拓市場、精準營銷的必需品，是做生意的捷徑。應該說，資料的經濟價值，是帶來資料和隱私風險的重要推手。

資料交易過程中，當然也不乏監管的身影：人員資質的稽核、系統加密、監控和設定許可權、法律的出臺、或者訴諸刑罰。

2019年的公安部“淨網行動”，前10個月，偵破的侵犯公民個人資訊類案件有2868起，抓獲犯罪嫌疑人7647名；偵破黑客類案件1361起，抓獲犯罪嫌疑人2133名。諸多公司相繼被查，企業高管、技術人員被警察帶走。

2017年6月，山東“徐玉玉遭遇電信詐騙，心臟驟停案件”宣判，主犯陳文輝一審因詐騙罪、非法獲取公民個人資訊罪被判處無期徒刑，沒收個人全部財產，其他6名被告人分別被判處3年到15年不等的有期徒刑並處罰金。

2017年，新三板掛牌公司資料堂因洩漏、出售個人資訊被公安機關調查，業務關停、創始人被刑事拘留。報道顯示，資料堂在8個月內日均傳輸公民個人資訊1億3千萬餘條，累計傳輸資料壓縮後達4000GB左右，前五大客戶中出現了華為、百度、三星、谷歌、騰訊等等身影。

可即便如此，那些王錚們還是有讓資料非法出庫的把握。不可否認，人性加上多方合作的各個環節，資料交易仍然存在疏忽。

對此，在法律層面，處罰機制體系正在進一步完善。2016年《網路安全法》頒佈實施，今年剛出臺的《民法典》也增加了個人資訊和隱私保護的內容，《資料安全法》和《個人資訊保安保護法》則在醞釀之中。

值得注意的是，交易，意味著買賣雙方都有責任。但現實情況裡，我們似乎更強調賣方、經營者在濫用資料、侵犯隱私上的責任，而容易忽視對應買方實際上同樣違法。

對於這樣一種傾向性，大資料安全與隱私保護專業委員會副祕書長、華中科技大學網路安全學院執行院長鄒德清認為：“理論上，只要（一次資料交易被認定是）違法行為，買方賣方都有責任，兩邊同樣是侵犯了使用者隱私。但現實中，買方是誰往往不明確，不容易追蹤，而賣方被發現的可能性更大，更容易追查也更有針對性，所以抓得更嚴。”

監管和懲罰在賣方買方很難一碗水端平之餘，仍然存在模糊的灰色地帶。

比如，對QQ群裡那些的交易——經過賣方有針對性地篩選，批量提供手機號給買方，但不提供對應的人名和其他資訊。客觀上，號碼沒有明確指向個人，但被精準營銷的人卻可能收到垃圾資訊的騷擾甚至詐騙，這是否屬於侵犯個人資訊？似乎難以界定。

《網路安全法》第四十二條規定，網路運營者不得洩露、篡改、毀損其收集的個人資訊；未經被收集者同意，不得向他人提供個人資訊。但是，經過處理無法識別特定個人且不能復原的除外。這也讓電銷網銷的資料交易有了空子可鑽。

在寧宣鳳律師看來，這些行為仍然存在一定的違法風險。例如，在手機卡實名制政策推行後，電話號碼理論上仍然可以識別或關聯到個人，因此，僅對電話號碼本身進行交易也存在著很大的法律風險。

如何平衡資料的開發使用和隱私保護的關係，是我們必須面臨的問題。

近年來，國內外都在探索和研發資料安全和隱私保護的技術解決方案。比如在資料收集過程中，進行脫敏和匿名化處理，減少資料違法違規的機會，但技術仍需要完善，也有賴於企業、個人的自覺和規範執行。

而資料合規問題之外，資料所有權歸屬、資料壟斷的風險，也已經成為密切關聯、並且需要被正視的問題。

編輯 | 何子維

排版 | SHAN