在這個所謂的dt(資料科技)時代,資料的價值正在為人所知,由此而來的個人資訊洩露事件也層出不窮。然而,當人們将矛頭指向黑客入侵系統漏洞、撞庫拖庫等,卻忽略了掌握資料源的網際網路企業。
記者調查:諸多網站預設可以轉讓你的資訊個人資料至今無法确權
《it時報》記者在調查中發現,資料價值雖已傳遞到産業鍊的各個環節,但資料交易市場仍處于初期粗放階段;各行業對資料的開放雷聲大、雨點小,企業私下出售、交換資料等行為司空見慣,而當企業被合并、兼并或是破産、資産出售時,把使用者資料随之轉賣已在行業中形成默契。
在大資料時代,你的資料或許不再屬于你。
大多數網站可以轉讓你的資訊
“幾乎每個網際網路公司都在想辦法擷取資料,哪怕是非法手段,有資料才會有風投,繼而研究自己的生态系統。如果公司倒閉了,最值錢的資料自然會被轉賣或用于二次創業,不賣難道留着做紀念?”林明(化名)是一家金融公司的it人員,很多網站加密後的資料在這些技術咖眼裡依然是“一絲不挂”,有加密算法,就有解密算法,投資不高的加密系統很容易被有心人攻破。
“一方面,軟體開發商、硬體裝置商等過度搜集個人使用者資訊有明顯趨勢,一些廠商強行掃描擷取使用者資訊并提供給第三方的現象很普遍;另一方面,開發應用場景需要多個資料源進行關聯合作,在這個過程中,個人資訊被使用不可避免。”中關村大資料聯盟資料交換标準委員會主任、亞信資料雲平台部副總經理武源文告訴《it時報》記者,在搜集或使用個人資料前,廠商需得到授權。
《紐約時報》去年對排名前100位網站所做的分析表明,有85家網站的《隐私條款》中帶有這樣一條内容“如果我們的服務或資産的部分或全部所有權或控制權發生改變,我們可能會将你的資訊轉給新的所有者。”
那麼,中國的網站關于資訊的條款是如何規定的呢?記者檢視了多個知名網站在注冊時需要使用者同意的協定,情況也大抵相似。比如注冊淘寶時,被要求同意《淘寶平台服務協定》及補充協定《法律聲明及隐私權政策》,在阿裡巴巴批發平台的《隐私聲明》中則提及“您同意并授權阿裡巴巴将您的個人資訊傳遞給您同時接受其他服務的阿裡巴巴關聯公司或其他組織,或從為您提供其他服務的阿裡巴巴關聯公司或其他組織擷取您的個人資訊。” 婚戀網站百合網對“隐私保護”表述則是“百合網保留在網站所有權轉移的情況下轉移使用者個人資料歸屬的權利,例如被收購或者與其它公司合并時。”這些個人資料包括了姓名、性别、年齡、出生日期等個人識别資料和職業、收入狀況、婚姻狀況、興趣愛好等個人背景。
事實上,許多使用者注冊網站或app時,會一掃而過甚至忽略《服務協定》或《隐私聲明》的具體内容,并不知道自己的個人資訊可能被共享或轉賣。根據《中國青年報》社會調查中心的調查顯示,用手機安裝、打開第三方應用程式時,僅28.9%的受訪者會仔細檢視授權清單,52.4%的受訪者會大概看一眼,17.1%的受訪者基本不看。
商業機構間的資料共享是否被過度使用?
“資訊有沒有用是衡量資料價值的标準,我們掌握了使用者注冊時的手機号、登入密碼、銀行卡等資訊,但公司想知道的是使用者使用平台的頻率、忠誠度、平均一月能投資多少錢,第三方支付對銀行卡及交易資訊更感興趣。” 林明告訴《it時報》記者,利用資料變現時,有的公司可能隻賣了使用者的身份證号或手機号,另一家賣了使用者的網銀賬戶或支付寶賬戶,當資訊被關聯起來,風險也會随之而來。此外,資訊的使用率也令人咂舌,當一個所謂的淘寶登入資訊無法比對時,利用者可以嘗試着去比對支付寶賬戶、郵箱登入,甚至去嘗試登入其他電商或購物網站。
“企業之間通過戰略合作達成點對點資源共享的情況比較多,直接拿硬碟去拷貝原始資料的情況也存在,但企業一般不會這麼做,使用者敏感資訊大範圍洩露對企業的打擊是緻命的。”武源文說。在他看來,不洩露使用者隐私的前提下,資料的流通可以推動各項成果在各行業的深層次應用。
在中國,第三方移動資料服務平台talkingdata的資料覆寫了包含手機、手環的28億智能裝置和10萬款應用,每天要上傳10tb的資料,600多個新增的标簽。“我們覆寫的app裡有90%是客戶嵌入了sdk為我們提供資料。”talkingdata首席金融行業專家鮑忠鐵說,talkingdata能接觸客戶上傳的裝置資訊、位置資訊及app活躍情況,敏感的個人資訊依然存儲在應用開發商手中。鮑忠鐵認為,個人資訊的使用情況分兩種,一種能識别身份的敏感資訊,經使用者同意,可用于合法的商業用途,但不可轉讓;另一種是經特殊處理的标簽、統計資訊,可作為商品輸出。比如,一些計劃發白金信用卡的銀行會采取資料輸入的方式與航空公司合作,如果使用者在一年内三次飛國外,并坐的是頭等艙,就可以給他白金信用卡。
“使用者去貸款、住旅店、辦簽證可用芝麻信用做個人信用評測,在你授權的前提下,芝麻信用調用你的資訊給了為你提供服務的商戶、服務商或者是金融機構,是不侵犯隐私的。但若你的隐私資料沒有得到你的授權,被别人賣掉是嚴重的侵犯個人隐私。” 鮑忠鐵說。但事實上,使用者無法界定授權後自己的個人資訊是否會在商業資料共享中被過度使用。
利益的趨勢導緻企業對資料的需求旺盛,許多資料交易隻能在灰色地帶摸索前進。鮑忠鐵透露,一些做征信的金融企業,從營運商或銀行購買清洗、脫敏資料後,依然會從黑市上買原始資料做補充。
尚不健全的交易市場
今年,國家大資料戰略正式納入“十三五”規劃,規劃中提到要把大資料作為基礎性戰略資源,全面實施促進大資料發展行動,加快推動資料資源共享開放和開發應用,助力産業轉型更新和社會治理創新。去年,随着貴陽大資料交易所及長江大資料交易所的成立,全國各地已成立了多家大資料交易中心。
“交易所充當的是中介性質,是資料的中轉站,撮合雙方交易。” 貴陽大資料交易所執行總裁王叁壽告訴《it時報》記者,平台上的交易是清洗、模組化分析的資料結果,涉及隐私、安全的資訊會被抹除掉。
長江大資料交易所對平台上的資料準入要求也十分嚴格,雖然可接觸到政府部門開放的部分基礎資料,交易所依然是清洗、脫敏後才會投入使用。長江大資料交易所執行總裁李晖向《it時報》記者表示,大資料交易市場還處于初期階段,不是标準化商品,沒有統一的規範标準,資料價格由買賣雙方協商定價。目前,交易所除撮合交易外,更希望推動行業的進步,漸漸取代地下資料交易市場。
“說要資源共享,共同開發利用,實際上大資料發展雷聲大,落地應用卻很少,各個行業還在探索,對于資料的開放、流通、交易都很謹慎,迫切需要成立市場監管組織。” 武源文說。他建議,資料交易一方面應明确劃定的底線,明确定義不能交易的情形,各行業不能交易的資料内容;另一方面應引入資料交易登記機制,并推動資料交易标準的建立和逐漸完善。
延伸閱讀
資料所有權屬于誰?
到底什麼資料可以交易,什麼内容會觸碰紅線?在業界亦有争論。
王叁壽認為,資料交易存在的障礙源于資料公司不确定資料到底屬不屬于它,比如使用者在淘寶上的購物資料屬于平台還是個人?這很難界定,如果屬于個人,阿裡巴巴等企業利用資料建立起的生态、開發的資料産品,使用者也應享有收益權。王叁壽向《it時報》記者透露,如果個人在網絡上的資料屬于個人資産,貴陽大資料交易所将會成立個人資料銀行,幫助個人與資料機構談判。未來,一旦個人資料被确定屬于個人資産,将會打破資料機構的生态格局。
武源文則向《it時報》記者表示,使用者雖在注冊時使用了個人資訊,但網際網路公司亦耗費人力、物力、财力搭建it系統,向使用者提供服務,個人資訊已與服務資訊關聯在一起,很難界定資料的使用權及所有權到底歸誰。鮑忠鐵則認為使用者隻是資訊的産生者,平台上沉澱資訊的所有權應歸平台所有,但平台在使用時有保護個人隐私的義務。
對此,知名it與知識産權律師趙占領表示:“個人資訊所有權問題尚存在争議,難以理清權力邊界。如果個人資料歸企業及個人共有,在使用者授權企業免費使用資料的前提下,并不涉及使用者收益問題。但企業若要收集或轉賣使用者個人隐私資訊必須經過使用者同意,這種同意不僅僅是通過新增賬號時使用者協定的預設勾選方式,還應該單獨明确地提示給使用者,讓使用者做出同意與否的主動選擇。隻是企業一般會在使用者協定中含糊處理,比如文字措辭并非轉賣,而是與關聯公司、關聯機構共享資訊。”
據了解,根據《全國人大常委會關于加強網絡資訊保護的決定》,國家保護能夠識别公民個人身份和涉及公民個人隐私的電子資訊。《電信和網際網路使用者個人資訊保護規定》則根據《全國人大常委會關于加強網絡資訊保護的決定》對“公民個人電子資訊”做了界定,明确資訊收集過程中能夠識别使用者的資訊以及使用者使用服務的資訊,包括使用者姓名、出生日期、身份證件号碼、住址、電話号碼、賬号和密碼等能夠單獨或者與其他資訊結合識别使用者的資訊以及使用者使用服務的時間、地點等資訊。
另據媒體報道,5月7日,全國資訊安全标準化技術委員會秘書長高林透露,資訊資料采集方面的标準“已經在報批過程中”,為企業行為标明底線,但不具有強制性。
本文轉自d1net(轉載)