登陆注册
266464

李开复的口误,揭开数据交易冰山一角

新浪财经-自媒体综合2020-09-22 23:01:250

原标题:李开复的口误,揭开数据交易冰山一角

来源 :南风窗

作者| 南风窗记者 施晶晶

“我们早期帮助他们(旷视科技)寻找了合作伙伴,包括美图、蚂蚁金服,让他们拿到了大量的人脸数据。”

9月12日,全球创业者峰会,李开复在分享自己投资“旷视”经验时,说了这句话,触及了数据安全和用户隐私的话题,很快把人工智能独角兽公司旷视科技、互联网金融巨头蚂蚁金服以及他自己,送上了热搜。

事发当晚,蚂蚁金服立即辟谣,撇开了李开复本人在合作关系上的发言权,紧接着否认曾向旷视科技共享人脸数据。一个小时后,旷视也进行了说明,称自己不掌握、也不会主动收集用户个人信息。

李开复也发文致歉,说自己发言口误,只是帮助旷视寻找合作伙伴,不涉及客户数据传输和共享,并向提及的三家公司道歉。

李开复发微博致歉

但这样的公开“口误”,仍是不可思议的,甚至是不合时宜的,毕竟蚂蚁金服和旷视正处于上市准备阶段。

一波公关看似暂缓了危机,但三方之外,网友们调侃:take it seriously when they deny it(当他们否认的时候,更应该严肃对待)。

如今,数据共享滥用、隐私裸奔已经不是什么新鲜事。

而我们始终关心的问题是:记录着我们人脸等个人隐私的数据,它的收集、使用和共享的边界,到底在哪里?

你的人脸可交易

“多少预算?多少量?样本有什么要求?”一家数据交易公司的商务部员工王铮问道。

南风窗记者以数据购买者身份,联系到这家公司的客服,询问能不能买人脸数据用于技术开发。不到一小时,王铮作为对接人,给南风窗记者打来电话。

当得知需要比较大的数据量时,王铮一度表示为难,“我们这边是国企,对风险要特别把控”、“给你50个(人脸数据),那就触犯刑法” 。

但王铮并没有拒绝这笔交易,反而问起记者数据的应用场景以及公司平台名称。

在与王铮后续的交流中,南风窗记者得知,人脸数据是非标产品。也就是说,明面上不能直接买到。但王铮就职的这家公司因为连接到一些“不方便透露来源”的数据库,因此,他表示仍可以提供。

“我要出库是非常难,风险很大。”王铮说,数据出库会留下操作记录,“有日志……(技术人员)的工号这些都是固定的,操作大量的数据(属于异常),一看就知道了”。对数据库操作进行监控、设置权限是管理数据库的常见手段,通常用于防止数据泄漏或盗取数据的行为。

尽管声称风险高、难度大,但王铮进一步表示:“量没什么问题,基本可以(拿到数据),就看价格值不值。”但王铮本人也称自己没有访问数据库的权限,更关键的还在技术人员:“技术肯定还要纠结做工作。”

至于价格,王铮没有给出价目表,但透露道,对人脸数据的需求越多、越精准,价格就越高。这些细化的需求可以包括性别、年龄、城市区域。

有关能够提供的数据具体内容,王铮虽然拒绝了展示,但他告诉南风窗记者,其包含人脸图片、姓名和联系方式,“一般都是一整套的”。

当提出用50万元,购买100万条女性人脸数据时,对方回复:“价格低了……价格200万+我再动员技术(人员)。”

而被问及交易人脸数据可能的后果,王铮表示:“去年我们这边N多公司出事情,(因为)数据隐私被团灭……好些人抓到(被)判刑。”

在行业内工作了十多年,王铮的体会是,现在的数据不好卖。他所在的公司也只留下银行与消费金融方面的数据业务,用户需求估计只有原来的20%,消失的那80%主要涉及P2P和现金贷。变化的主要原因在于,“交易的风险大大提高了……尤其《网络安全法》出来后”。

《网络安全法》中关于网络信息安全的部分规定

王铮以往接手的是“对公交易”,只在库里进行,买数据的使用权。也就是买一个数据接口,按调用次数收费。“数据不出库,加密,可用不可见。”

“可用不可见”是什么意思?王铮举了个例子。比如,我是张三,采集的人脸能在库里核对画面是否匹配,但使用数据库的人不会知道张三究竟长什么样,也不会知道核对的这个是张三。类似于用钥匙开锁,匹配即可,不需要知道锁孔具体的样子。

但像人脸数据这类信息只能“对私交易”,属于非法交易,王铮是第一次接手。“对私”就意味着需要线下面对面完成数据交易,比如用硬盘拷贝一份副本。

当南风窗记者询问王铮是否害怕这笔交易触犯法律、遭牢狱之灾时,他回复:“所以要让同事做主。”

会员制交易

人脸数据之外,还有更多数据在交易。但值得注意的是,数据交易并不完全游走在灰色或者黑色地带。

2015年4月,全国首个大数据交易所——贵阳大数据交易所正式挂牌运营。这个交易所交易的数据就是合法。

贵阳大数据交易所官网页面

据贵阳大数据交易所总裁王叁寿介绍,交易所主要以电子交易形式进行,面向全国提供数据交易服务。数据值多少钱,由交易所与数据卖家来谈,数据内容和交易价格在平台网站上挂出。买家看中了,在平台上拍下就算交易成功。最终的数据交易,交易所与数据供应商之间4∶6分成,看数据价值,向买方进行收费。

进入平台交易前,数据需要脱敏,抹去和隐私相关的信息。而买家和卖家首先得是交易所的会员。

为询问更多细节,南风窗记者尝试联系贵阳大数据交易所,但公开号码显示为空号。

贵阳大数据交易所官网公布的交易规则

南风窗记者随后联系上了另一家位于江苏盐城的大数据交易中心,这个交易中心同样实行会员制。其工作人员告诉南风窗记者,交易中心本身没有数据产品,只是一个供求对接平台,想要参与数据买卖,得付费成为会员,通过资格审核后才能进行交易。

会员分成普通会员、高级会员等不同等级。会员费起步是2、3千元,目前这家交易中心已经拥有上千家会员单位,涉及消费、金融、银行、物流等领域。同时,交易中心定期举办活动,邀请主讲嘉宾,围绕某个领域,会员可以申请参加,进行数据交易。

“商业数据和工业数据在没有法律法规等限制性要求的前提下,是可以交易的;但个人信息不得买卖,只在特殊情况下可以共享和转让。个人信息控制者确需共享、转让时,应充分重视相关法律风险。”金杜律师事务所合伙人、网络安全与数据合规执业律师宁宣凤告诉南风窗记者。

可以交易的数据,一般都经过了匿名化处理。“如果个人信息经过匿名化,变成甲乙丙丁,使其无法识别到特定的个人,其交易风险就会大大降低。”宁宣凤律师解释道。

群里的数据买家

市场上有明显的数据购买和交换需求,但除了合法渠道,像是交易所、交易中心之外,黑市交易依然是中国数据交易的主流。比如,在线上,数据交易信息还在多个QQ群里完成。

在这些QQ群里,大家习惯把数据称作“料”。群里主要是两类消息平分天下,一种是提数据需求、等人私聊的,另一种是卖电话销售卡的广告。

QQ群里的数据求买求卖信息时不时地弹出,一般是这样写的:

“豪华车主、大额理财客户、女性专柜会员、高端高消费人群等等,你想的我都有,骗料、白嫖、同行别加。”

“因公司业务需求,求购精准内部、学院通讯录,医院通讯录、公司通讯录、欢迎有真实货源一手老板来合作。”

不同于交易公司要求验证身份和提供营业执照,在QQ群里,并没有人关心交易买家到底是谁、数据又用于什么目的。等到南风窗记者入群之后,很快有人主动前来私聊,询问要购买什么数据。

南风窗记者向其中一位主动联系的卖家提出,需要某南方城市今年毕业的大学生的联系电话。对方回复,可以筛选这个南方城市的大学生,但提出今年毕业的不好筛选,建议记者按年龄段来缩小范围。

对于这些信息的来源,对方则称是通过校园网站后台筛选得到的:“我们有自己的技术,有自己的机房。”

对方给出的价格是2000条数据200元,1万条800元,许诺支付宝或微信付款之后,安排数据,20分钟通过QQ或者微信、邮件给到。

群内的买家需求当中,一个高频词是“测试”,也就是验证数据和号码的真假,但这位卖家并不提供免费测试。“我数据都是实时筛选的,都是需要费用。”卖家回复称。

为了打消南风窗记者的风险顾虑、获取信任,对方突然发来一张对话框截图,“就像这样发给你”。

截图显示为一条“四大行贷款客户”的文字对话框,以及一个txt格式的文件。但2秒钟后,对方迅速撤回这张成交截图。

南风窗记者又对另一位卖家提出了相同的需求。除了电话号码,还可以选择微信号做网销。电销渠道,只能给电话号码,而不带姓名。“(带姓名)违法的,兄弟”,对方声称,只给电话不算违法。

这位自称在行业内做了3、4年的卖家,说自己跟客户都是长期合作,不做一次性业务,长期合作的关系也只是通过微信、QQ的文字方式展开,并不会签订合同。

这位卖家应要求给南风窗记者展示了3天前的成交截图,数据同样以txt格式的文件传输,称是股票客户的电话,并发来一串数字截图。

即便如此,南风窗记者无法确认这一数据的真实和质量,更无法确认群里究竟有多少成功的交易。

“都是买料子的,卖的基本没。”几天之后,一位群友说。很快,群里7、8个人开始吐槽自己的受骗经历。有人转账后被对方拉黑,有的称拿到的号码有很多重复。

群里频繁出现的一个关键词是“骗子勿扰量大”,在口头许诺、先给钱后给数据的交易方式下,吃亏并不意外。

但在这些群里,每天都有新的成员加入,前来“收老年保健品料、收医院通讯录、收全国村支书通讯录”……

约束和监管之难

“数据”作为商品,被标价,用来交易,以或明或暗、或真或假、或合规或非法的形式进行着,毫无疑问,市场认可着“数据”的价值。

就像李开复的“口误事件”里,类似旷视这样的AI科技公司,大量的人脸数据成就了这种公司的技术优势。因为识别的数据越多,准确率就越高,技术应用和变现的竞争力更强。

对蚂蚁金服而言,人脸数据只是它庞大数据库里的冰山一角。而如果通过数据交易、技术合作的方式,研发刷脸支付、刷脸登录这样的新功能,打造产品的亮点,可以降低平台的用户使用门槛,吸引那些需要这些便利的人。

对更多企业来说,数据是他们开拓市场、精准营销的必需品,是做生意的捷径。应该说,数据的经济价值,是带来数据和隐私风险的重要推手。

数据交易过程中,当然也不乏监管的身影:人员资质的审核、系统加密、监控和设置权限、法律的出台、或者诉诸刑罚。

2019年的公安部“净网行动”,前10个月,侦破的侵犯公民个人信息类案件有2868起,抓获犯罪嫌疑人7647名;侦破黑客类案件1361起,抓获犯罪嫌疑人2133名。诸多公司相继被查,企业高管、技术人员被警察带走。

2017年6月,山东“徐玉玉遭遇电信诈骗,心脏骤停案件”宣判,主犯陈文辉一审因诈骗罪、非法获取公民个人信息罪被判处无期徒刑,没收个人全部财产,其他6名被告人分别被判处3年到15年不等的有期徒刑并处罚金。

2017年,新三板挂牌公司数据堂因泄漏、出售个人信息被公安机关调查,业务关停、创始人被刑事拘留。报道显示,数据堂在8个月内日均传输公民个人信息1亿3千万余条,累计传输数据压缩后达4000GB左右,前五大客户中出现了华为、百度、三星、谷歌、腾讯等等身影。

可即便如此,那些王铮们还是有让数据非法出库的把握。不可否认,人性加上多方合作的各个环节,数据交易仍然存在疏忽。

对此,在法律层面,处罚机制体系正在进一步完善。2016年《网络安全法》颁布实施,今年刚出台的《民法典》也增加了个人信息和隐私保护的内容,《数据安全法》和《个人信息安全保护法》则在酝酿之中。

值得注意的是,交易,意味着买卖双方都有责任。但现实情况里,我们似乎更强调卖方、经营者在滥用数据、侵犯隐私上的责任,而容易忽视对应买方实际上同样违法。

对于这样一种倾向性,大数据安全与隐私保护专业委员会副秘书长、华中科技大学网络安全学院执行院长邹德清认为:“理论上,只要(一次数据交易被认定是)违法行为,买方卖方都有责任,两边同样是侵犯了用户隐私。但现实中,买方是谁往往不明确,不容易追踪,而卖方被发现的可能性更大,更容易追查也更有针对性,所以抓得更严。”

贵阳大数据交易所官网公布的交易流程

监管和惩罚在卖方买方很难一碗水端平之余,仍然存在模糊的灰色地带。

比如,对QQ群里那些的交易——经过卖方有针对性地筛选,批量提供手机号给买方,但不提供对应的人名和其他信息。客观上,号码没有明确指向个人,但被精准营销的人却可能收到垃圾信息的骚扰甚至诈骗,这是否属于侵犯个人信息?似乎难以界定。

《网络安全法》第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。这也让电销网销的数据交易有了空子可钻。

在宁宣凤律师看来,这些行为仍然存在一定的违法风险。例如,在手机卡实名制政策推行后,电话号码理论上仍然可以识别或关联到个人,因此,仅对电话号码本身进行交易也存在着很大的法律风险。

如何平衡数据的开发使用和隐私保护的关系,是我们必须面临的问题。

近年来,国内外都在探索和研发数据安全和隐私保护的技术解决方案。比如在数据收集过程中,进行脱敏和匿名化处理,减少数据违法违规的机会,但技术仍需要完善,也有赖于企业、个人的自觉和规范执行。

而数据合规问题之外,数据所有权归属、数据垄断的风险,也已经成为密切关联、并且需要被正视的问题。

免责声明:自媒体综合提供的内容均源自自媒体,版权归原作者所有,转载请联系原作者并获许可。文章观点仅代表作者本人,不代表新浪立场。若内容涉及投资建议,仅供参考勿作为投资依据。投资有风险,入市需谨慎。

责任编辑:尹悦

0000
评论列表
共(0)条
热点
关注
推荐