นิวซีแลนด์
ภาษาไทย(Phasa Thai)
แบ่งปัน

同行不同命的数据人:被端的、逍遥的、上市的、趟雷的

生活ผู้เขียน: 甲子光年
同行不同命的数据人:被端的、逍遥的、上市的、趟雷的
บทสรุป今天的文章,是积攒了半年的故事。 去年下半年至今,一个不算新的问题愈演愈烈: 大数据的爆发与隐私保护的矛盾。

泥沙俱下,兴衰上演。「甲子光年」碰巧见证了身边好几个故事:有人被端;有人上市;有人已置身灰色地带,却高调地告人诽谤;也有人认为自己从道德、公理上在推动数据行业发展,但已在看守所里度过了两个春节。

数据问题的集中涌现并非巧合,而是行业发展和监管趋严的共同结果:

新增数据正像海啸般急速席卷生活的各个角落。

据数据可视化公司Domo从2013年到2018年连续6年的“数据永不停歇”项目(Data Never Sleeps,一个每年统计各网络平台产生数据量的可视化项目),全世界超过90%的数据是在2015年以后才诞生的。

2018年,每分钟会发生387万次谷歌搜索,产生47万条Twitter,接近7000对用户在Tinder上匹配成功。

而中国,正在成为全球数据的最大源头。据IDC《数据时代2025》报告预测,中国数据总量占全球比重将从2018年的23.4%上升到2025年的27.8%,排名上升至第一位,绝对值将从7.6ZB上升到48.6ZB。

到2020年之前,每个人每秒产生的数据将达到1.7M,相当于一部画质不高的小电影。

但到目前为止,大部分人没有从自己源源不断生产的数据中获得任何报偿,反而招来了营销电话的骚扰,承担着隐私泄露的风险。

这让监管建设变得更为紧迫。2017年6月1日,《网络安全法》正式实施,2018年被称为“中国数据合规元年”。

虚拟无形的数据,已和活跃千百年的权力、欲望、爱恨一样,成为了时代戏剧的导火索之一,相关人物亦经历了起伏兴衰,命运分叉。

对公司来说,问题是,什么样的行为会触犯红线,让老板和员工昨天还数钱笑嘻嘻,今天就“在里面团聚”?

对政府来说,关切是,怎样立法和引导,才能在数据共享、社会进步和隐私保护、个人权利之间寻得平衡?

对个人来说,命题则更哲学一些:如果隐私终将消失,你该用什么姿势去面对?

hougarden

Data Never Sleeps 6.0

被端的和逍遥的

被端的

今年3.15晚会上,央视用20分钟重点曝光了“骚扰电话产业链”,顺带曝光了背后非法获取、泄露、交易电话号、身份证等公民个人信息的黑产。

而就在晚会前夜,还发生了一件之后引发行业热议的事——号称拥有中国最全简历数据库的大数据公司巧达科技被北京警方“一锅端”。

据报道,巧达被调查的原因是涉嫌盗取、贩卖个人隐私。[1]

监管机构的这次行动十分突然。因为就在被调查的一周前,巧达科技创始人王成予还浑然无觉地在某场合述说着自己的商业成功。

据此前媒体曝光的一份商业计划书,巧达声称2016年的营业收入为1.2亿元,2017年猛增至4.11亿元(增幅242.5%),利润也从2016年的4800万增长到2017年的1.86亿(增幅287.5%)。[2]据王成予自述,仅2018年,巧达科技旗下一条5人团队的业务线就赚了数亿人民币。

当时人们并不知道,王成予其实不叫王成予,他有一连串曾用名:周宇杰、周成宇、周成予。

人们也不知道,这位总让人印象深刻的天生演讲者的确经历过常人望尘莫及的“特殊训练”,他曾犯下诈骗罪、敲诈勒索罪等刑事案件。

按照王成予在多个场合的表述和公开资料,成立于2014年,目前融资到B轮(2017年1月获B轮融资)的巧达,最初的发家奥秘是用工具换数据。

在2015年接受创业邦采访时,巧达创始人之一刘博就直白地说:“我们的商业模式概括起来也就8个字——获取简历、数据变现。”

1.获得数据(简历):

(1)巧达为企业HR提供包括乔大招、纷简历在内的多款免费简历管理工具,当HR使用巧达产品进行职位发布、收取简历时,巧达可通过HR在招聘平台的账号获得个人授权给平台的简历数据;

(2)同时,巧达的好几款产品有供HR、猎头上传简历的入口,这是简历数据的另一来源。

2.数据变现

收集大量真实简历数据后,巧达进行了多种方式的变现。

其中带来大量收入的业务,是基于精确用户画像为App、教育机构、泛金融机构、地产商等客户提供精准营销、用户激活、运营等服务。

比如,如果你在某App上绑定了自己的电话号,为该App服务的巧达可将你的号码与自有简历库匹配,从而反馈一系列你的信息:年龄、性别、职业、收入、户籍、教育水平、工作经历、你的亲朋好友……这些多维信息,足以精准地描述你的喜好,预测你的行为。[3]

有律师认为,巧达存在未经授权采集数据和公民个人信息、违背数据授权意图使用数据、非法贩卖个人信息等违法嫌疑。(关于各环节的具体法律风险,我们会在第三节以巧达为例展开分析。)

据巧达内部员工,客户每在巧达查看一个用户的一个信息字段,需要付费5毛。而据曝光的商业计划书,巧达自称拥有2.2亿自然人简历、37亿份累计简历、超过10亿份通讯录、超过8亿自然人的认知数据。

总之,巧达通过海量数据基本达到了“我知道你去年夏天干了什么”的惊悚效果,且从中攫取了巨大利润。

从这个意义上说,数据根本不是21世纪的石油,数据比石油挣钱多了。

马克思写在《资本论》里的那句话再次回响:“有50%的利润,资本就会铤而走险;有100%的利润,资本就敢践踏人间一切法律。”

如今,巧达在北京海淀中钢国际广场的办公地已被贴上封条。从办公室里落下的没喝完的矿泉水和抽了一半的烟来看,这家公司被“端”得突然而彻底。

hougarden

被查封的巧达科技北京办公地点。图片来源:三言财经

值得一提的是,铤而走险者,可能恰是自恃谙熟中国规则者。

巧达科技COO、乔大招产品创始人刘炜,曾任盈科律师事务所监事会主席、律云科技联合创始人兼CEO,比一般人“知法”,但也没挡住犯法。

至此,王成予的“前科”可能得再添一笔了。只是下一次“再出发”时,他还能找到一个掩盖过往的“新名字”吗?

这已是一个个人信息无所遁形的大数据时代了。

逍遥的

有意思的是,去年,另一家和巧达同处于招聘赛道、产品形态相似的T公司也曾陷入法律纠纷——但这一次,T公司是高调胜诉的原告,可谓目前“风声鹤唳”氛围中的“逍遥派”。

被告方是另一位创业者——仟寻招聘首席运营官戴顺,他被起诉的原由是“商业诋毁”。

直到现在,戴顺都对自己被诉感到有点儿魔幻。他在2017年11月收到法院的出庭短信时,还一度以为是诈骗。

纠纷源头起于2017年4月。当时仟寻的一位外企客户正考虑采购T公司的产品,向同为人力赛道(仟寻帮助企业做社交化的内推)的仟寻了解情况。

成立于2013年的T公司主打一款帮HR进行简历管理的招聘工具,和巧达的乔大招一样,可以实现统一发布职位、收取简历。

戴顺当时认为,T公司产品上的“一键搜索全网简历”功能(让HR在多个招聘网站的简历池中筛选、搜索,寻找合适的候选人)涉嫌对各大招聘平台的入侵(具体做法可能是用爬虫将简历数据弄到自己的服务器上,再把结果反馈给企业客户),具有未经授权采集个人数据的法律风险。于是戴顺给客户写了封邮件,讲了自己的推测。

该案审理期间,智联招聘和猎聘网的说明坐实了戴顺的推断。两家招聘平台都向法院出具了T公司的数据爬取记录,并表示保留对T公司追究法律责任的权利。

hougarden

hougarden

智联招聘给上海市徐汇区人民法院的致信

hougarden

hougarden

猎聘网给上海市徐汇区人民法院的致信

然而,戴顺初审被判诋毁成立。

法院认为,此案的关键不是T公司是否真的侵犯了个人隐私,而是戴顺作为T公司的竞争公司的经营者(实际上两家公司目前不存在直接竞争关系,因为T公司做的是简历管理工具,仟寻做的是社交化招聘),是否在缺乏佐证的情况下,擅自传播了误导性信息。

2018年10月2日,T公司在初审胜诉这天,高调地制做了一张朋友圈胜诉海报,上书四个大字:某某赢了。

海报中还有一句配文:正义也许会迟到,但永远不会缺席!

“正义不会迟到”,这句话确实很适合现在的大数据行业,不过是对不当获取、使用数据的“正义”。近年的许多案例已显示出了更严的监管力度。

在2017年6月《网络安全法》正式实施前的一个月,曾是新三板第一家大数据上市公司的数据堂,就因“特大侵犯公民个人信息”嫌疑被警方调查。数据堂对外的口径是,他们的某客户涉嫌出售公民个人信息。年中,数据堂停掉了有风险的金融线和营销业务。[4]

也是同一时期,据《一点财经》报道,已有15家大数据公司金进入了调查名单,其中估值最高的超过百亿元人民币。2018年,又一家新三板企业瑞智华胜因涉嫌窃取个人信息被调查,事发后,瑞智华胜高管被抓,员工从52人锐减至9人。

整体看,近3年来,被检察机关起诉的“侵犯公民个人信息罪”人数激增,尤其2017年,增幅超300%。这表明了一种监管态度:大数据乱象要好好整顿了。

hougarden对那些暂时无虞的公司来说,与其花时间做海报,不如好好审视自己的过往作为和未来风险。

就像那句老话:不是不报,时候未到。

上市的和“趟雷的”

上市的

就在王成予被警方带走的10天后,一家来自杭州的大数据公司——个推(每日互动)悄然登录A股创业板。

如果说巧达和315曝光的多家Wi-Fi探针公司代表着大数据行业的危险面;上市的个推则多少给行业带来振奋。

个推的商业模式也是两部分:获取数据、数据变现。大的思路还是“服务/工具换数据”。

hougarden

每日互动招股书“主营业务概述”图示

1.用技术服务(App推送服务)获取App数据

通过为App开发者提供信息推送SDK(开发组件)来获得App开发者授权的数据,能采集到的数据一般包括设备信息、App打开情况、使用时长、打开地点等。

2.以积累的数据展开广告、营销和其他数据服务

上图的“移动互联网营销服务”和“其他数据服务”对应个推的数据变现方式。

按照招股书解释,个推会对积累到的数据进行脱敏、筛选、清洗、整理,然后挖掘建模,形成对用户群体的认知。这些认知可用于精准营销等服务。

能在A股上市的个推,比大多数还未上市的大数据公司接受了更严格的法律审查。个推让自己“安全”的关键有两点:

1.获得授权

个推获得的App数据经过了App开发者的授权。

2.不定位到自然人

按照个推的说法,个推并不谋求设备信息与用户身份的关联,这些信息无法识别、关联至特定自然人。

即使如此,个推这类公司依然面临质疑和风险。

第一重风险是安全问题。

广义来说,安全既包括工作人员、合作方的不当操作或有意作恶导致的数据不当使用;也包括黑客攻击导致的数据损失和泄露。

hougarden

hougarden

每日互动招股书中的风险提示

这不一定是公司的主观恶意行为,但后果也很严重。

事实上,个推在2017年8月曾被安全公司Lookout Security Intelligence指出有安全隐患:

当时,个推部分版本的广告推送SDK中包含恶意插件,这些代码可能会执行用户未知的采集工作。[5]此后谷歌Play Store下架了使用风险版本SDK的500多个App,个推随后提交了新版本。

更重要、更难解的质疑是授权问题。

个推的授权来自App开发者,App开发者的授权来自最终用户。但很多时候,用户选择同意授权是无奈之举,不同意就没法用服务,因而许多App的授权请求也被认为是霸王条款。

所以,个推等公司在数据采集上是合法的,但整个生态却有不合理之处。这种风险不是单个公司的问题,而是全行业甚至全社会的共同难点。

就如德国社会学家乌尔里希·贝克在《风险社会》中对现代世界的描述:“生活在文明的火山上”。

现代世界相比古典时代的一个特点就是——是文明,而非天灾,将人类推上了不确定性的火山口。

“趟雷的”

不合理的生态里,有赚钱的,也有“趟雷的”。

在当下这个管理、制度越来越跟不上实践的时期,大环境中的组织和个体以及规则本身,都将面临更多不确定性。最让人无奈、无力的情况是:你被抓或不被抓,都是有道理的。

当个推创始人方毅意气风发地敲钟时,90后创业者、车当创始人林雨已在苏州市公安局相城分局看守所里度过了两个春节。

林雨一案的当事人及其家属告诉「甲子光年」,这一案,形式上被认定违法,但在情理上,林雨及其所创立的二手车信息平台车当公司并没有造成不良后果。

2015年创立于深圳的车当,愿景是做中国的CARFAX——一个提供二手车里程、维修等信息,抹平买卖双方信息不对称的车史信息平台。

成立于1984年的CARFAX经过与车管所、加州政府等机构的多年协调、抗争后,最终说服多州政府把车史数据纳入了被鼓励流通的公共数据范畴。

游说能成功,源于在二手车交易场景中,数据流通“利大于弊”:一是车史数据主要是里程、维修、车保记录等,主体是车,不是自然人,与隐私干涉少;二是车史信息流通有利于市场公平交易和减少汽车安全隐患。

目前,CARFAX已成为北美车史大数据的头部企业,业务涵盖to B(向二手车买方经销商提供数据)、to C(1994年CARFAX网站上线后,开始向个人买家提供数据),拥有超过两百亿条车辆数据,囊括美国、加拿大和部分欧洲国家。

但在林雨创业的2015年和今天,中国的二手车车史数据和1984年的美国一样,并不公开。车辆管理机构、4S店、维修店各自掌握一些数据,但没有打通。

在突破数据源时,林雨最初效仿CARFAX的轨迹,试图先联系民间机构——CARFAX当时的突破口是非盈利组织“美国汽车经销商协会”;林雨则想到了4S店。

但据车当方面对「甲子光年」的陈述,由于林雨接洽的汽车销售集团更倾向于投资而不是数据交易,这条路径受阻。

至此,林雨和车当开始滑向危险:向中间人购买数据。

中间人名叫刘某。据林雨描述,刘某在2016年底主动联系到了车当,自称数据合作商,和很多品牌有合作,可提供车辆数据,并表明同赛道的其他公司的数据也是他提供的,车当可放心购买,用多少,付多少。

刘某的具体做法是借助4S店内的“线人”将一种俗称“小电脑”的硬件设备(大小接近手机)放到4S店里。借助该设备加线人提供的内部员工帐号,可实现远程访问4S店内部系统,长期、稳定地获取服务器里的数据。

hougarden

车当案中涉及的“小电脑”

刘某的做法实际上是绕开4S店官方,获取了未经授权的数据。

但林雨告诉「甲子光年」,他对刘某的行为不知情:“我们是向数据供应商购买数据,供应商给我们的授权都是官方正式授权账号密码,所以不存在我们绕开找中间人。”

“你们是认为刘某和4S店之间有官方授权关系吗?”我们进一步问。

“他是这么给我们说,我们也没有义务对数据来源进行合法性论证,因为这不属于敏感信息。”林雨说。

据车当方面称,留学多年的林雨是有较强的数据隐私意识的,在公司成立之初,车当就开发了“DATA TELLER 数据集成系统”,其功能之一是在数据入口端剥离公民的个人信息和车辆信息,即车当不会看到公民个人信息,只会看到车辆维修、保险等信息。车当还特别委托山东软件测试中心进行了评测,结论是该软件可有效防范公民个人信息泄露,也就是林雨说的“没有敏感信息”。

hougarden

山东软件测试中心对车当公司“DATA TELLER”系统的测评报告

同时,车当还委托“兰台律师事务所”就“车当系统”的合法、合规性出具了法律意见书。

hougarden

兰台律师事务所出具的法律意见书

但这些操作并未帮公司规避法律风险。

据一位长期从事电子数据取证的网络安全专家告诉「甲子光年」,不论技术手段是爬虫还是“小电脑”,只要主动地以获取数据为最终目的越权访问了服务器,就涉嫌“非法获取计算机信息系统数据罪”。[6]

而林雨认为:“我们没有越权访问,他们(指作为数据供应商的刘某)自己有无越权我们不清楚。”

在繁忙的创业中,林雨并没有意识到危险的到来。

2017年9月13日,他像往常一样去上班,但到中午,林雨的妻子发现林雨和车当其他同事集体失联。

随后,家属赶到办公室,见证了仿佛警匪大片的一幕:位于深圳的办公楼下停着数辆警车,且办案人员来自千里之外的苏州。

车当的所有员工因涉嫌“非法出售公民个人信息罪”(经后续调查后,违法嫌疑先是变更为“非法获取公民个人信息罪”,后又变更为“非法获取计算机数据罪”,如前所述,车当获得的数据里没有个人信息而是车辆信息)被带到深圳公安局盘查了一天一夜。当晚,其中10人被连夜押送至苏州,办公室只留下十封拘留通知书。

hougarden

留给林雨家属的林雨拘留通知书

此时,车当已获得了上万个付费企业客户,并在进行下一轮融资。这场飞来变故让一切成空:客户、投资人、员工家属挨个来访,刚在前一年生下女儿的林雨妻子在深圳处理一切。

在2017年11月违法嫌疑被确认为“非法获取计算机信息系统数据罪”后,林雨被正式批捕。公安机关判定:非法获取计算机数据数万条、非法获利二百余万元,已符合该罪“情节特别严重”的量刑标准。这意味着林雨可能面临3年以上、7年以下有期徒刑;刘某是从犯。[7]

而林雨妻子坚持认为,车当的行为并未造成实际利益受害方——车史信息是脱敏的,不涉及个人信息泄露;而4S店的主要业务是卖新车,车史数据并非他们的重要资源。

且林雨的创业方向是受政策鼓励的:国务院在2016年发布了《关于促进二手车便利交易的若干意见》,其中有这样一条:非保密、非隐私性信息应向社会开放。

所以,林雨妻子认为这是个“无头”案件:无原告,无受害者,无社会危害,无人身、财产损失。她不明白为何检察机关认定这属于“情节特别严重”。

就在昨天,林雨一案初审结果出来了:判三缓三(有期徒刑3年,缓期3年执行)。这意味着林雨若能顺利度过缓刑期,就不用再“进去”了。

但一切早已物是人非,公司没了,林雨投入的百万元也打了水漂。在出来之后的第一条朋友圈里,林雨写道:兜兜转转回到原点。

hougarden

而上一次他发朋友圈还是2017年10月。进去前的倒数第二条信息里,他仍期待着公司的美好未来。

hougarden

如果说个推的商业模式是形式合法,合理性存疑;那车当一案涉及到大数据行业的另一些现状:在某些本可促进社会整体效率的场景,如二手车交易、医疗健康领域等,存在严重的数据孤岛。

数据的不流通阻碍了新增价值的挖掘,影响了产业链各主体的发展,最终可能使公民的利益受损;而现有法律对哪些数据该公开流通、哪些该严格保护尚没有相对完善的立法,间接刺激了某些领域的乱象。

如在能带来很大价值的健康大数据领域,由于各医院数据相对隔绝,部分公司使出了买通护士抄信息、内线搬运等各种灰色手段,这些手段环节多、人员杂,加剧了数据被不当使用和泄露的风险。

在林雨在拘留所的18个月里,他曾给妻子写信,以开玩笑地口吻说:本以为一进拘留所的一个月是让他体验人生,没想到,放出来的那一个月(中间取保候审了一个月)才是让他体验人生。

严厉的和暧昧的

纵观以上案例,现阶段中国大数据行业的立法和执法现状可总结为两个关键词:严厉的,暧昧的。

首先是严厉的:从2014年至今越来越严。

2014年,大数据概念方兴未艾,双创风口正当其时,政策上对各类大数据的尝试持开放观望态度。多个由地方政府主导的大数据交易所陆续上马,目的就是促进数据流通。

但经过4、5年发展,行业弊端日益凸显。一个最直观的例子就是几乎每个人都有经历过的“营销电话”乃至电信诈骗,监管的态度也日趋严厉。

2015年以来的一系列立法进展,见证了中国大数据监管理念的变化:

hougarden

以巧达和车当等为例,目前的执法中,会严抓以下3个环节的违法行为:

1.数据获取

数据获取阶段有两个涉嫌违法的关键:未经授权、涉及公民个人信息。其中与公民个人信息有关的违法行为是严抓对象,最高检已连续3年对外披露了具体的起诉数据。

巧达两条皆犯,一是在获取简历数据时,未获得招聘平台授权,也就没有获得求职者的授权。而根据2017年开始实施的《网络安全法》,收集用户信息时必须明示并取得同意;二是简历数据包含了大量公民个人信息。(按照《网络安全法》,个人信息是那些能单独或与其他信息配合,识别自然人身份的信息。[8])

车当的问题则是未经4S店授权,获取了车辆信息。

2.数据分析、处理

数据处理阶段有两个关键:脱敏和保护。

一是脱敏。大数据行业常说的脱敏信息,用法律术语表达是“经过处理无法识别特定个人且不能复原的信息”。例如,巧达的商业计划书展示了定位到个人身份和行为的功能,至少说明该公司的脱敏意识不强。

hougarden

巧达科技商业计划书截图

二是保护,即数据运营公司有义务“对其收集的用户信息严格保密,并建立健全用户信息保护制度”。

近期一个无视这种保护义务的案例是在2月底被爆出泄露了250多万个人信息的深网视界。据荷兰安全研究员Victor Gevers的调查,深网视界居然未对内部数据库做最基础的密码保护,导致海量人脸、身份证、照片、地理位置信息可被公开访问。

3.数据使用和交易

在数据使用和交易环节,有一个容易忽视的点:数据使用的意图,是否违背了数据最初被授权时双方的约定。按照《网络安全法》,网络运营者不得收集与其提供的服务无关的个人信息,并且必须按双方约定使用这些信息。

以巧达的一款产品“爱伙伴”为例,基于巧达对简历数据的积累和求职者行为的洞察,这款产品可以帮老板预警:谁要离职了。而求职者授权简历数据的初衷就是离职找工作,“爱伙伴”完全未被“求职服务”的本意,因此被吐槽为“恶心人的产品”。

近期被讨论的汽车之家5年把手机号“卖了96亿”的行为,也可能存在违背授权意图的问题。因为没有人授权数据是想接骚扰电话的。

目前法律现状的第二个特点是:暧昧的。

暧昧表现在从已实施的法律来看,数据价值观尚不确认。

在价值观层面,一个核心问题是:如何平衡由来已久的“保护隐私”诉求,和可能开创未来的“数据共享”的关系?如何平衡个人利益和公共利益的关系?

目前,各国做法已分化为两条路。

欧洲走上了保守路线,原则是“未明确授权即视为拒绝共享”,保护隐私是最高优先级。

所以欧洲在2018年5月25日正式实施GDPR(General Data Protection Regulation,通用数据保护条例),明确了用户的数据访问权、被遗忘权、限制处理权、携带权。Facebook和Google因此分别面临40.9亿美金和48.8亿美金的潜在巨额罚款。

而美国则更靠近“未拒绝便视为授权”,捍卫“数据共享”。

奥巴马总统办公室2014年发布的《大数据:抓住机遇,保护价值》(Big Data: Seizing Opportunities, Preserving Values)报告中明确写道:

“无论大数据会带来多么严重和影响深远的问题,当局政府仍会致力于支持数字经济和推动有利于数字经济创新的数据的自由流动。”

而在中国,目前法律法规对保护隐私有明确规定[9],对“数据共享”态度相对模糊[10],对二者之间的关系缺乏原则性阐述,具体执法过程中,各地、各机关对法律的理解又不尽相同。

这种暧昧性导致了这个行业从业者的命运跌宕起伏,各自迥异:有上市的;有被端的;有开心地告别人的;有创业未半被长期拘留的。

这使得看起来相似的行为可能走向截然不同的后果,成也数据,败也数据。

比如林雨的妻子怎么也想不明白,同行也是用的一样的数据,有的还没做个人信息的剥离处理,可是大家都是该干嘛干嘛,为什么就是车当被调查?

公司期待“一视同仁”,公众也期待整体数据环境转好:

这不应该只是一场“杀鸡儆猴”的运动式雷暴;而是面对市场、社会全局,以更深入的思考,带来立法层面的修正和更合理、公平的监管。

如果隐私终将消失

2018年4月时,武汉曾举行过一场名为“36.4万武汉公民的秘密”的展览。

展厅被幽蓝色的灯光笼罩,墙体上投射着密布的个人信息:姓名,年龄,上周在哪里买过包,去年春节去哪里旅过游……

策划展览的艺术家邓玉峰在此前一年多的时间里陆续收集了这些个人信息,最便宜的信息只要1分钱一条。

hougarden

“36.4万武汉公民的秘密”展览现场

2017年11月,南都个人信息保护研究中心还曾在北京同做过一场实验——用信息交换物品,结果九成体验者很容易就选择交出个人信息,以交换帽衫、充电宝等物品。

在担忧这种隐私泄露的现状时,另有一种观点认为,隐私只是历史性的产物,将随技术、社会心态的发展产生巨大变化,甚至完全“消失”。

其实历史上,那些曾经被认为至关重要、不可割舍的概念,比如罗马人的荣誉、中世纪的“骑士精神”、不可亵渎的信仰都发生了巨大变迁,虽不至于完全消失,但也失去了原初的内涵。

像欧洲推出GDPR那样去对抗隐私的消逝是一种方法。

另一种有点“自曝”自弃,但十分行之有效的方法也许就是彻底主动的自曝——如姆爷(埃米纳姆)在《八英里》结尾那场著名的battle里一样,把自己的秘密和隐私一气说完,让别人无话可说。

《八英里》中,埃米纳姆自爆隐私的说唱battle《Lose yourself》

最后姆爷赢了。

他开心吗?好像是的。

只是,这就像大数据本身带给人的那个迷思:到底是谁做了选择,是我,还是裹挟着我的数据和世界?

END.

[1]《独家:上亿简历大数据公司被警方一锅端,李开复、中信资本均投资》

https://mp.weixin.qq.com/s/mvVx3bxy6xnUNa5_FeKoaQ

[2]数据来自尾注[1]的新闻里,被媒体曝光的巧达科技商业计划书。

[3]见[1]。

[4]追踪“数据堂”:特大侵犯个人信息专案,震动大数据行业

http://yuanchuang.caijing.com.cn/2018/0724/4490851.shtml

[5]IgexinAdvertising Network Put User Privacy at Risk

https://blog.lookout.com/igexin-malicious-sdk

[6]《中华人民共和国刑法》第285条:

【非法侵入计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。

【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

[7]见尾注6“情节特别严重”的量刑标准。

[8]《网络安全法》76条对个人信息的规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”

[9]2018年9月10日,《十三届全国人大常委会立法规划》将“个人信息保护法”草案列为第一类项目,即条件相对成熟、任期内可以拟提请审议的法律。这意味着个人信息保护或将迎来专门立法。

[10]在《中华人民共和国民法总则》的制定过程中,2016年7月的《民法总则(草案)》征求意见稿曾将“数据信息”纳入知识产权范围,但2017年3月颁布的《民法总则》正式版本中,数据信息从知识产权客体中被删除。

将数据纳入知识产权的好处是使数据所有者在交易数据、数据确权上有法可依。但数据确权本身又是一个法理难题,而且将数据纳入知识产权可能在实际执行中对部分数据的流通造成阻碍,《民法总则》在这一问题上的反复说明了数据立法的难度和挑战。