每日經(jīng)濟新聞 2024-05-29 17:48:44
很多網(wǎng)站或平臺在用戶注冊時要求勾選同意條款,其中包括“讀取聯(lián)系人”“讀取通話記錄”等。用戶勾選條款后,數(shù)據(jù)所有權(quán)歸誰?平臺是否應(yīng)盡到“反爬”責(zé)任?平臺使用用戶數(shù)據(jù)的合法邊界是什么?
每經(jīng)記者 王鵬 每經(jīng)編輯 蒲付強 陳星
日前,《每日經(jīng)濟新聞》先后刊發(fā)《知名企業(yè)家個人信息遭大規(guī)模泄露,涉蜜雪冰城、榮盛、森馬、蔚來等,平均約2分錢一條!賣家稱數(shù)據(jù)上億》《2.5億條企業(yè)數(shù)據(jù)只賣2.47元?標(biāo)稱電話量北京280萬條、廣州268萬條、合肥116萬條……記者親測》等報道,揭露企業(yè)家個人信息遭大規(guī)模泄露,引發(fā)財經(jīng)圈熱議。
泄露來源和時間是業(yè)內(nèi)關(guān)注焦點,記者注意到,探客查平臺上,農(nóng)夫山泉創(chuàng)始人鐘睒睒、蔚來汽車聯(lián)合創(chuàng)始人秦力洪、森馬服飾創(chuàng)始人邱光和、新尚集團董事長唐立新、蜜雪冰城實控人張紅甫、鐘薛高創(chuàng)始人林盛、喜茶創(chuàng)始人聶云宸的電話來源被標(biāo)注為“其他”。榮盛集團董事長李水榮、藍(lán)思科技董事長周群飛的電話來源被標(biāo)注為“智能關(guān)聯(lián)”。這些手機號碼標(biāo)注的“全網(wǎng)最早出現(xiàn)時間”集中在2023年5月或7月。
勵銷云平臺上,華創(chuàng)產(chǎn)業(yè)投資管理(湖北)有限公司法定代表人呂澤華、芯聯(lián)股權(quán)投資(杭州)有限公司法定代表人趙奇的號碼來源為“智能分析”。
為何這些電話“全網(wǎng)最早出現(xiàn)時間”如此集中?這些信息可能來自哪里?《每日經(jīng)濟新聞》記者(以下簡稱每經(jīng)記者)繼續(xù)追蹤調(diào)查。
針對信息泄露的來源,每經(jīng)記者采訪了數(shù)據(jù)安全領(lǐng)域知名企業(yè)北京明朝萬達(dá)科技股份有限公司高級副總裁、首席科學(xué)家喻波。
喻波表示,有可能從多個渠道獲得數(shù)據(jù),通過碰撞建模還原真實數(shù)據(jù)。通過手機APP(應(yīng)用程序)和手機操作系統(tǒng)、手機安全防護(hù)管家、黑客攻擊電信運營機構(gòu)這些渠道都可能獲得電話標(biāo)識信息。
記者注意到,很多網(wǎng)站或平臺在用戶注冊時要求勾選同意條款,其中包括“讀取聯(lián)系人”“讀取通話記錄”等。用戶勾選條款后,數(shù)據(jù)所有權(quán)歸誰?平臺是否應(yīng)盡到“反爬”責(zé)任?平臺使用用戶數(shù)據(jù)的合法邊界是什么?
喻波說,通過授權(quán),平臺得到的是使用權(quán),所有權(quán)仍歸個人。依照相關(guān)法律,使用過程中應(yīng)將用途告知數(shù)據(jù)所有方,同時做到安全防護(hù),不能泄露信息。平臺應(yīng)制定防范機制,既要做到外部防護(hù),又要做到內(nèi)部管控,甚至當(dāng)數(shù)據(jù)被再次利用、傳播時應(yīng)告知用戶。要做到內(nèi)部管控就需要給數(shù)據(jù)打標(biāo)簽,針對不同數(shù)據(jù)等級制定不同防護(hù)措施,并限定不同的使用環(huán)境。
勵銷云一位銷售人員曾表示:“關(guān)于搜索技術(shù),我們目前主要用的是大數(shù)據(jù)+超鏈分析技術(shù)。這兩種技術(shù)是基于爬蟲的目前最先進(jìn)的數(shù)據(jù)整合分析技術(shù)。”
什么是大數(shù)據(jù)+超鏈分析技術(shù)?
喻波告訴每經(jīng)記者,大數(shù)據(jù)+超鏈分析技術(shù)運用類似傳統(tǒng)爬蟲技術(shù)采集“原數(shù)據(jù)”,再結(jié)合大數(shù)據(jù)建模分析和清洗形成“衍生數(shù)據(jù)”。例如拿到手機號后,通過與第三方數(shù)據(jù)信息“碰撞”完成數(shù)據(jù)清洗,形成一條相對完整的信息。
他指出,該過程中,數(shù)據(jù)供給方供出“原數(shù)據(jù)”時可以享受收益權(quán),同時需要控制所有權(quán)。例如,數(shù)據(jù)利用方應(yīng)告知數(shù)據(jù)所有者用途,數(shù)據(jù)主體有要求刪除其個人數(shù)據(jù)的權(quán)利,數(shù)據(jù)控制者有責(zé)任在特定情況下及時刪除個人數(shù)據(jù)。數(shù)據(jù)加工方應(yīng)遵守相關(guān)法律法規(guī)并遵循一定原則。使用數(shù)據(jù)時,應(yīng)及時告知數(shù)據(jù)所有者使用用途。獲取及存儲數(shù)據(jù)過程中應(yīng)做到對數(shù)據(jù)保護(hù)的責(zé)任和義務(wù),不能對國家、社會以及數(shù)據(jù)所有者造成損害。
喻波介紹,如果爬蟲行為侵犯了他人權(quán)益,就會被認(rèn)定為違法行為,例如在未獲得授權(quán)的情況下爬取他人個人信息、商業(yè)機密等。另外,如果從后臺通過猜測口令密碼或使用跳過技術(shù)跳過認(rèn)證進(jìn)入賬戶則屬于明令禁止的黑客行為。
在此前采訪中,中國移動、中國聯(lián)通均否認(rèn)售賣用戶個人信息,中國電信也明確表示與探客查和勵銷云無數(shù)據(jù)合作。那么,若要與運營機構(gòu)掌握的手機號實名數(shù)據(jù)“撞庫”,是否一定會用到不合法的爬蟲技術(shù)?
喻波回復(fù)“是的”,并補充道:“也不排除數(shù)據(jù)泄露的可能。在日常對暗網(wǎng)數(shù)據(jù)的監(jiān)測中,曾經(jīng)檢測到很多實名手機卡信息,間接證明電信運營機構(gòu)存在數(shù)據(jù)泄露的可能性。這種泄露有可能是系統(tǒng)被外部攻擊,也有可能是內(nèi)部人員無意間泄露。”
記者注意到,在探客查平臺上,知名企業(yè)家手機號碼標(biāo)注的“全網(wǎng)最早出現(xiàn)時間”集中在2023年5月或7月。這個時間與“檢測到暗網(wǎng)中出現(xiàn)實名手機卡信息”的時間是否一致?遭販賣的數(shù)據(jù)是否有可能是從暗網(wǎng)購買?
喻波表示:“暗網(wǎng)數(shù)據(jù)一直都有,2023年也監(jiān)測到很多運營商數(shù)據(jù)和其他政務(wù)等多方實名個人數(shù)據(jù)。另外部分非正規(guī)渠道APP也會有意收集很多個人信息。我們現(xiàn)在正在配合國家相關(guān)監(jiān)管機構(gòu)實時監(jiān)測互聯(lián)網(wǎng)站點、暗網(wǎng)等敏感數(shù)據(jù)信息并形成報告提交管理層。”
在調(diào)查中,每經(jīng)記者發(fā)現(xiàn)電商及社交平臺上有大量可出售的企業(yè)信息,大規(guī)模收集、出售企業(yè)負(fù)責(zé)人聯(lián)系方式的行為是否違法?
上海百谷律師事務(wù)所律師高飛告訴記者,個人信息無論是否為大數(shù)據(jù)爬取,都是不允許買賣的。
高飛認(rèn)為,這些平臺大規(guī)模搜集、售賣企業(yè)家電話號碼的行為違反個人信息保護(hù)法及刑法第二百五十三條之一規(guī)定,涉嫌構(gòu)成侵犯公民個人信息罪。此外,如果有“撞庫”行為,還涉嫌構(gòu)成破壞計算機信息系統(tǒng)罪。
記者注意到,刑法第二百五十三條之一規(guī)定,違反國家有關(guān)規(guī)定,向他人出售或者提供公民個人信息,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金。
竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規(guī)定處罰。
武漢大學(xué)法學(xué)院副教授、網(wǎng)絡(luò)治理研究院副院長敬力嘉告訴每經(jīng)記者,過去刑事司法實踐采取的是二次授權(quán)說,對已公開個人信息進(jìn)行獲取、提供的要獲得信息主體的二次授權(quán)。按照這個標(biāo)準(zhǔn),這類情形應(yīng)該構(gòu)罪。但民法典和個人信息保護(hù)法出臺后,一般認(rèn)為二次授權(quán)規(guī)則廢止了。現(xiàn)在刑法學(xué)界對已公開個人信息刑法保護(hù)的限度還有合目的說(對已公開個人信息的處理是否符合信息主體公開個人信息的概括的目的)、客觀開放程度說(看信息公開的程度)等標(biāo)準(zhǔn)的爭議。
敬力嘉解釋,合理處理的標(biāo)準(zhǔn)應(yīng)該符合個人信息保護(hù)合規(guī)的要求,不對通過處理個人信息可能影響到的信息主體、其他個人、企業(yè)利益和公共利益造成重大消極影響。如果沒做到合理處理,首先就可能違反個人信息保護(hù)法,在這個基礎(chǔ)上就可能構(gòu)成侵犯公民個人信息罪。
大規(guī)模收集、售賣信息的商業(yè)謀利行為是合理處理嗎?
敬力嘉認(rèn)為不算合理處理。以前很多人覺得倒賣已公開個人信息的危害不大,不值得處罰,但現(xiàn)在這類行為已經(jīng)成規(guī)模了,形成了產(chǎn)業(yè)鏈,可能對企業(yè)家個人、企業(yè)的合法權(quán)益產(chǎn)生不利影響,法律對此類行為處罰必要性的評價有待審慎更新。
民法方面,北京市中聞(上海)律師事務(wù)所律師范益天表示,民法典第一千零三十四條規(guī)定:個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。
范益天說,雖然法定代表人個人信息公開了,但并不代表法定代表人同意行為人將其個人身份信息出售擴散。法定代表人身份信息、通訊號碼等信息應(yīng)屬公民個人信息,所包含的內(nèi)容體現(xiàn)了公民隱私,法律應(yīng)當(dāng)予以保護(hù)。企業(yè)法定代表人、個體工商戶將自己的身份信息、通訊號碼等依法公示,主要是便于相關(guān)部門監(jiān)督管理和開展正常的生產(chǎn)經(jīng)營活動,并不當(dāng)然喪失與其個人相聯(lián)系且為特定個人信息的特征。故企業(yè)法定代表人身份信息、通訊號碼等被非法出售、交換,可能侵犯其隱私權(quán)。
勵銷云銷售人員出示的信息系統(tǒng)安全等級保護(hù)備案證明及信息安全管理體系ISO27001認(rèn)證證書是否能確保其所售數(shù)據(jù)的合法性?如何獲得這兩份證書?
喻波表示,提交對應(yīng)的證明材料即可。“要證明公司制定了相應(yīng)完善的制度,只需提交完善的制度文檔;證明業(yè)務(wù)流程,提供截圖證明公司有相應(yīng)能力即可。但實際執(zhí)行和提交的證明仍可能存在很大差距。”
數(shù)據(jù)交易的合規(guī)邊界在哪里?
記者注意到,范益天曾在撰文中提到“同意”和“去標(biāo)識化”是數(shù)據(jù)交易兩大合法性基礎(chǔ)。
勵銷云銷售人員曾稱“不展示全名是為規(guī)避法律風(fēng)險”,但記者發(fā)現(xiàn)所謂打“*”號形同虛設(shè),借助該平臺信息,采用銷售人員推薦的方法,即可輕松還原姓名中的“*”號。
如此標(biāo)注真能規(guī)避法律風(fēng)險嗎?到底什么是去標(biāo)識化?
范益天告訴每經(jīng)記者,去標(biāo)識化是指個人信息經(jīng)過處理,使其在不借助額外信息的情況下無法識別特定自然人的過程。去標(biāo)識化只能降低信息主體被識別的可能性,并不能完全消除個人信息泄露的風(fēng)險。因此,對個人信息去標(biāo)識化處理后的數(shù)據(jù),仍屬于個人信息范疇。
他表示,如果未達(dá)到去標(biāo)識化,根據(jù)個人信息保護(hù)法第十四條的規(guī)定:個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的,應(yīng)當(dāng)重新取得個人同意。
此外,記者注意到,數(shù)據(jù)產(chǎn)品在上海數(shù)交所掛牌前需提供合規(guī)評估報告。在對產(chǎn)品作合規(guī)評估時,通常需要考慮哪些因素?
范益天表示,數(shù)據(jù)資產(chǎn)交易的合規(guī)性主要圍繞數(shù)據(jù)交易主體、交易對象、交易過程三方面展開。在交易主體上,要有相應(yīng)資質(zhì)以及合規(guī)經(jīng)營能力;在交易對象上,供給方在收集個人數(shù)據(jù)時需遵循合法正當(dāng)、最小必要、告知同意等原則;在交易過程方面,在數(shù)據(jù)交易平臺進(jìn)行場內(nèi)交易的,需要符合平臺規(guī)定的評估、掛牌、定價、交易、交付等流程要求。
能夠同時滿足合規(guī)性及供需雙方訴求的數(shù)據(jù)交易模式是什么?
喻波表示,未來可能會出現(xiàn)隱私計算、可信計算。即數(shù)據(jù)供給方有數(shù)據(jù),另一方有技術(shù),供給方希望數(shù)據(jù)可用不可見。目前有一些可信計算方式對數(shù)據(jù)、模型進(jìn)行訓(xùn)練,可做到數(shù)據(jù)可用不可拿、用后銷毀,同時分配收益。但平臺的可信性是個問題。一旦數(shù)據(jù)泄露,數(shù)據(jù)使用權(quán)和收益權(quán)將不可控,所有權(quán)和收益權(quán)無法對等,因此亟需權(quán)威機構(gòu)拉通供給、流通和使用三方全要素周期,通過加強監(jiān)管和配套技術(shù)保障加速數(shù)據(jù)要素流通。
封面圖片來源:視覺中國-VCG41N1331242936
如需轉(zhuǎn)載請與《每日經(jīng)濟新聞》報社聯(lián)系。
未經(jīng)《每日經(jīng)濟新聞》報社授權(quán),嚴(yán)禁轉(zhuǎn)載或鏡像,違者必究。
讀者熱線:4008890008
特別提醒:如果我們使用了您的圖片,請作者與本站聯(lián)系索取稿酬。如您不希望作品出現(xiàn)在本站,可聯(lián)系我們要求撤下您的作品。
歡迎關(guān)注每日經(jīng)濟新聞APP