向數據黑產亮劍

毛振華

盡管《個人信息保護法》等法律法規的實施以及各方對個人信息保護的重視程度不斷提升，但隱私泄露難以在短時間內“急剎車”，亟待利劍出鞘，徹底斬斷“數據黑產”鏈條，還消費者一個清朗、可信賴的開放空間。

個人信息安全話題熱度不減

信息安全成為“3·15”國際消費者權益日近些年關注的焦點。記者梳理近十年的“3·15”國際消費者權益日主題發現，從2015年主題“攜手共治暢享消費”到2017年旗幟鮮明地倡導“網絡誠信消費無憂”，再到今年主題“共促消費公平”，積極引導“科技向善”，杜絕一些平臺和經營者違背倫理價值追求，對消費者的消費信息進行不當采集、篩選、使用。

帶有風向標意義的是，今年的央視“3·15”晚會現場首次設立了“3·15信息安全實驗室”，象征著面向個人信息保護全方位立體推進已成為大勢所趨。

以免費WiFi的名義誘導下載并欺騙用戶提供個人信息，只要瀏覽過網頁就能鎖定手機號碼，小小兒童手表成為窺探個人隱私的“定時炸彈”……今年的央視“3·15”晚會上曝光的竊取個人信息的手段令人不寒而栗。

很難想象，看似平常的多款兒童智能手表使用低版本操作系統后，就能被惡意程序輕松操控，獲取孩子的位置、人臉、錄音等信息，甚至調用攝像頭權限，家中隱私一覽無余。中國電子技術標準化研究院網安中心測評實驗室副主任何延哲表示：“低版本操作系統背后有低成本考慮，但是它忽略了用戶使用的安全性，給消費者帶來無窮的后患。”

“保障個人信息安全不是高標準要求，而是一個值得信賴的品牌底線。”曹操出行品牌公關中心總經理朱韜認為，網約車是行業個人信息泄露的重災區，為守住安全底線，給消費者帶來更好的體檢，曹操出行專門在司乘之間設立“95129”這來電服務功能，在接聽司機來電這一環節時，乘客方的手機屏幕一律顯示為“95129”號碼，從源頭端杜絕隱私泄露，減輕顧客的后顧之憂。

回顧這些年“3·15”曝光的典型案例，網易等公司曾被曝追蹤用戶cookie、分析郵件內容、收集用戶隱私，曝光后的網易股價大跌；大唐電信旗下手機安裝惡意軟件，造成惡意扣費和信息泄漏，導致百度決定終止與其合作，其股票一度臨時停牌；智聯招聘等部分網絡求職招聘平臺因對求職者個人簡歷管理存在嚴重漏洞被“點名”，智聯招聘成立專項團隊對相關內容進行調查處理……信息安全底線失守的企業終究要為自己的錯誤埋單，這給互聯網行業敲響了警鐘。

屢屢“破防”背后利益鏈條不容忽視

“我們時刻繃緊個人隱私保護這根弦，就是為了讓消費者能夠踏踏實實消費。”旗下擁有多家新消費平臺的樂信信息安全中心總監劉志誠說，公司內部專門建立了數據安全管理制度，明確數據分級分類標準，形成不同安全保護級別。樂信還發布業內首個專門針對合作商的數據安全管理辦法，將數據在內外部流轉過程中的安全隱患降到最低，為用戶隱私提供雙重保障。辦法試行期間，樂信就清退了不合格合作商27個。

隨著《個人信息保護法》的正式生效，樂信宣布從評估審計、資產梳理、數據保護、預警響應等維度推出升級版的“數據安全治理體系”，進一步夯實公司數據安全管理能力，對用戶個人信息安全形成了更有力的保護。

越來越多品牌商家已經意識到，數據安全關乎品牌形象、企業信譽、消費體驗，開始將個人信息安全保護貫穿業務始終。不過，仍有不少消費者吐槽，剛買完房就能接到裝修公司電話，孩子一出生各種奶粉、攝影、保險推銷就源源不斷。即便是《個人信息保護法》正式生效后，這種現象仍未完全禁絕。

一方面，個人信息保護舉措施行不久，一些企業仍存有慣性和僥幸心理。某知名互聯網公司負責人曾公開表態，中國人愿意用隱私換便利。這一觀點雖然遭到口誅筆伐，但在一定程度上代表了相當一部分企業人員的認知。“很多企業在收集數據時不遺余力，但在談到數據安全治理時往往兩手一攤，無能為力。”天空衛士高級技術總監楊明非形象地說。

如今，隨著政府相關部門將個人信息保護放到重要位置，這種不負責任的態度將越來越沒有市場。

2021年1月8日，杭州互聯網法院公開審理并宣判全國首例適用《民法典》的個人信息保護案。被告孫某未經他人許可，在互聯網上公然非法買賣、提供個人信息4萬余條，導致相關人員信息長期面臨受侵害風險，被判處賠償違法所得34000元。相信隨著類似判例不斷增多，將倒逼數據收集方不得不收手。

另一方面，“數據黑產”鏈條長且利益巨大。記者梳理發現，這些年曝光出來的多起個人信息泄露事件中，動輒有幾百萬甚至上億條信息，且通常是在末端銷售環節被發現。從竊取到中間層層出售，背后暗藏巨大利益，這才驅使一些人鋌而走險。

此外，一些平臺企業及第三方公司打著技術服務的旗號，參與到數據買賣中，手段愈發隱蔽，導致查處難度加大。從“3·15”曝光的信息安全泄露事件看，其中不乏大量第三方技術公司的身影。無論是通過加放代碼竊取用戶cookie的公司，還是給售樓處及衛浴店面提供人臉識別攝像頭系統的企業，皆是這樣的存在。

中國電子信息產業發展研究院網絡安全研究所所長劉權指出，個人信息是平臺企業發展的重要戰略資產，有的平臺企業以犧牲消費者權益為代價，通過數據販賣進行商業謀利。例如有的公司通過爬蟲技術壟斷所有公開簡歷信息，在未經用戶明確同意情況下，共享給第三方進行價值變現。

創造清朗、可信賴的消費環境

隨著《網絡安全法》《數據安全法》《個人信息保護法》先后落地生效，個人信息保護的法律之網越織越密。業內人士認為，在現有法律制度框架下，要將個人信息安全保護真正落到實處，關鍵是嚴格執法，通過一些案例警醒更多違法違規數據收集方收手，提高全社會的數據安全意識。

上述法律的共通原則就是對數據的使用收集要克制，非必要不過分收集，一旦收集就要切實負起責任。這對于有信譽的品牌企業更應如此。

去年10月，深圳市舉行App個人信息共護大會。騰訊等20余家重點App運營企業承諾將嚴守用戶個人隱私邊界，保護用戶公平交易權，不利用大數據殺熟，未經用戶同意，不利用敏感個人信息進行線上精準營銷和線下推銷等。

“新興技術快速發展使得網絡安全風險全面泛化。特別是隨著新冠肺炎疫情的蔓延，企業加速數字化轉型，也讓網絡安全風險出現在越來越多的場景之中。”騰訊公司副總裁謝呼表示，騰訊將充分發揮技術創新優勢，建立用戶信息安全體系，充分保障用戶合法權益，并帶動引領互聯網企業加強個人信息保護。

騰訊還宣布將成立“個人信息保護外部監督委員會”，作為騰訊的隱私保護工作第三方獨立監督機構，工作內容將包括但不限于獨立評議騰訊公司及各產品隱私保護相關工作、提出指導和修改意見等，不斷完善提高騰訊個人信息保護工作的機制建設與透明度水平。

劉權呼吁，更多企業要重視制定和規范隱私條款政策，使用淺顯易懂的表達方式，建立用戶反饋投訴入口。夯實企業個人信息保護責任，將個人信息保護理念融入企業運營管理全流程。

在“3·15”曝光的一些企業中，壓縮成本是一些企業降低技術風險防控能力的借口，但這其實也在壓縮企業的信譽。成本不應當成為“破防”的理由，企業完全可以積極探索個人信息安全防護的新技術、新手段，進一步加強防攻擊、防泄漏、防竊取的監測、預警、控制和應急處置能力。

金城銀行信息安全相關負責人透露，在數字化轉型發展中，金城銀行面向主要的數據使用部門，可以提供便捷的數據可控運用方式，包括數據安全訪問、安全傳輸、訪問控制、數據防泄露、安全清理銷毀等“一站式”功能，小到違規查詢、打印個人金融信息的行為能無處遁形。

樂信通過數據庫安全審計產品，實現對數據庫操作、訪問用戶及外部應用用戶的全量審計，可以實現全面、準確、高效的數據庫監控管理和審計追蹤。

數據驅動創新，數據保護筑牢信任。只有提高全社會個人數據保護意識，持之以恒斬斷“數據黑產”鏈條，用技術創新賦能數據安全保護，“放心消費”才能不只是一句空話。

【相關法規】

《中華人民共和國網絡安全法》

《中華人民共和國網絡安全法》于2017年6月1日起施行， 是我國網絡領域的基礎性法律，明確了公民個人信息保護的基本權利。

《中華人民共和國數據安全法》

《中華人民共和國數據安全法》于2021年9月1日起施行，確立了數據分類分級管理制度，建立了數據安全風險評估、監測預警、應急處置制度，是我國首部有關數據安全的基礎性法律。

《中華人民共和國個人信息保護法》

《中華人民共和國個人信息保護法》于2021年11月1日正式施行，填補了我國法律在個人信息保護方面的空白，為個人信息處理活動提供了明確的法律依據。

《互聯網信息服務算法推薦管理規定》

《互聯網信息服務算法推薦管理規定》于2022年3月1日正式施行，明確了不得利用算法實施影響網絡輿論、規避監督管理以及壟斷和不正當競爭行為，是我國首個互聯網信息服務領域具有針對性的算法推薦規章制度。