數據隱私保衛戰爬蟲背后的灰色大生意

孫冰

隨著近期一系列事件爆發，一個龐大而隱秘的生意浮出水面，讓我們看到了大數據并不美妙的另一面。

10月21日，杭州警方發布公告確認了51信用卡（02051.HK）委托外包催收公司涉嫌尋釁滋事等犯罪行為。該公司利用爬蟲不正當竊取用戶數據、濫用用戶信息進行暴利催收等一系列問題也浮出水面。此前，51信用卡旗下的51人品貸等APP就曾因未經用戶同意收集個人信息而被工信部點名批評。

但更為可怕的是，51信用卡并非孤例，今年以來，特別是最近兩個月，已經有多家大數據公司、征信公司和擁有此類業務的互聯網金融公司被查。監管風暴來臨，“玩火現形”的51信用卡不是第一家，顯然也不會是最后一家。

而在剛剛結束的烏鎮第六屆世界互聯網大會上，“網絡空間數據法律保護”也成為一個重要議題，來自全球的政府官員、學界專家和領軍企業代表，就“數據安全、個人信息保護與網絡法治”和“數據治理的法治化”等議題，充分發表交流了各自的意見看法，以加強數據風險防范，構建安全可信的數字世界。

汽車剛剛誕生之時，曾經有人起訴到法院，要求取締汽車的上路權，因為它速度太快，若撞上行人后果不堪設想，而且有馬車就夠用了。當然，這并沒有改變“汽車時代”的到來。但人們確實制定了一系列的法律和規則，并教育每一個駕駛和乘坐汽車的人，這樣才能既享受汽車帶來的新世界，又盡量避免它可能造成的傷害。

大數據或許就是我們這個時代剛剛上路的“汽車”，我們在憧憬著其美好未來和無限魅力的同時，也到了要為其制定規則的時刻。否則，它真的會“傷人”，而且危害可能要遠大于我們的想象。全社會需要共同制定一套完善規則，而每個人可能都需要一本大數據“駕照”。

“大數據行業都快沒了”

“大數據行業都快沒了。”一位大數據行業的業內人士在朋友圈調侃。這雖然是句玩笑，但一方面反映了近期政策的收緊和監管的加強;另一方面也透露出，過去這個行業的問題到底有多么的嚴重。

今年9月，天翼征信、杭州存信數據、新顏科技、魔蝎科技等多家大數據公司被查，還有幾十家公司已經被列入調查名單，其中不乏估值高達幾十億元的明星獨角獸企業。這些公司被調查的重要原因就是利用爬蟲技術過度收集、非法竊取和販賣個人數據信息。記者還發現，已經有不少大數據公司干脆停止了爬蟲業務，有些甚至連團隊都解散了。

此前，“大數據行業第一股”數據堂（831428.OC）員工販賣公民信息案轟動全國，這家公司在過去8個月內，日均傳輸公民個人信息超過1.3億條，累計傳輸數據壓縮后達4000GB左右。之后，又有巧達科技被爆出販賣8億份個人簡歷……

“這是國內大數據行業誕生以來，從未有過的行業地震。行業消失倒不可能，但大洗牌是肯定的了。”上述業內人士告訴《中國經濟周刊》。但這并不僅僅是一次大數據行業的地震，作為產業鏈中的“能源行業”，大數據行業發生的變化可能帶來影響，或許要比我們想象中要深遠得多。

這位業內人士甚至對記者立誓斷言：“真要查，沒有一家的數據是百分百‘白的。”

實際上，大數據行業從誕生以來就一直處在“野蠻生長”的狀態，作為一個新興行業，制度的健全和監管的完善尚需時日，但行業發展已經遠遠跑在了前面，夾雜著灰色的“創新”層出不窮，尤其是在離錢最近、誘惑最多的互金領域。

有人認為，中國互聯網行業，尤其是中國金融科技和人工智能的發展速度之所以能夠彎道超車歐美，正是得益于豐富大數據的“供養”。業內一直有個比喻：大數據是“石油”，算法算力是“發動機”。歐美造“發動機”的水平很高，但無奈作為燃料的“石油”不太夠，因此只能跑跑停停;而中國雖然算法算力上還有差距，但豐富的大數據資源能夠在“發動機”性能落后的情況下，也能夠持續跑、跑得遠。

然而，這豐富的數據資源，一方面來自中國擁有全球最為龐大的“數字化”人群，但另一方面則是因為大量灰色地帶數據的存在，這些是在國內的隱私保護、數據安全體系等尚不完善的情況下，用犧牲個人隱私換來的。

用戶適度分享自己的數據，確實可以獲得更便捷、更低成本、體驗更好的服務，而互聯網公司也會因此不斷迭代算法，創新產品，獲得更快的發展。但是，這個“適度”的邊界如何界定？紅線應該劃在哪里？如何平衡保護隱私、控制風險和產業發展、鼓勵創新的關系？……太多的重要疑問待解。

畢竟，沒有一個行業能夠在亂局中獲得真正的成長。

灰色的“爬蟲” ??裸奔的數據

數據的源頭是爬蟲。網絡爬蟲（Spider），簡單來說就是一個自動抓取網絡數據的程序，比如搜索引擎大量使用的就是這種技術。爬蟲技術的難度并不高，技術本身也沒有好壞善惡的分別，而是要看技術使用者是如何去使用：什么數據可以“爬”，什么數據不該“爬”，并且是不是在用戶知情和同意的情況下去“爬”，“爬”到的數據有沒有很好地加密以防止被竊取……

很多互聯網公司會設置反爬蟲機制，防止外部爬蟲竊取到重要信息，但終究道高一尺、魔高一丈，近期就有美國第七大商業銀行“第一資本”、英國航空公司、萬豪酒店集團、華住集團等不少國內外大型公司出現客戶信息泄露事件，就連Facebook都沒能逃過。

而用戶也確實可以通過安裝使用各類安全產品和應用，防止個人信息泄露，但常常防不勝防。現實的情況是，對于很多用戶來說，他們既沒有個人數據隱私的保護意識，也沒有相應的安全能力，個人數據簡直就是在“裸奔”，甚至還會因為一些公司的“小恩小惠”，而主動分享數據。

大數據行業長期游走在灰色地帶，很多數據的來源并不“清白”，這早已不是秘密。只是大多數人并無意識，或者為了利益選擇了無視，這也使得越過紅線者越來越多。

中消協的兩份報告很能說明問題。去年8月，中消協發布的《APP個人信息泄露情況調查報告》顯示，超八成受訪者曾遭遇個人信息泄露，主要原因就是APP經營者未經授權收集個人信息和故意泄露信息。

而另外一份去年11月發布的《100款APP個人信息收集與隱私政策測評報告》更加觸目驚心，被評測的100款APP中，竟然有多達91款的APP存在過度收集用戶個人信息的問題，典型方式包括隱蔽收集用戶信息、誤導用戶同意，強制授權、過度索權，超出用戶心理預期獲取個人信息，賬號注銷困難等。

APP違規收集個人信息已經引起監管方的重視。今年1月，中央網信辦、工信部、公安部、市場監管總局四部門聯合發布公告，宣布開展為期一年的APP違法違規收集使用個人信息專項治理，并委托成立了APP專項治理工作組。目前APP專項治理工作組已經收到近9000條舉報信息（經過工作組核實和初步驗證的有效舉報量），涉及2000多款APP，整改問題多達800余個。

今年7月，工信部啟動了針對電信和互聯網行業提升網絡數據安全保護能力的專項行動，要求在2019年10月底前完成全部基礎電信企業（含專業公司）、50家重點互聯網企業以及200款主流APP數據安全檢查。

51信用卡杭州總部。視覺中國

在制度層面，中央網信辦也已陸續起草《數據安全管理辦法》《個人信息出境安全評估辦法》《移動互聯網應用（APP）收集個人信息基本規范》等系列制度文件，目前已經在公開征求意見。

此番違規大數據公司的頻頻被查，只是一個開始。

從推廣告到放貸款 ?誘人的大數據生意

大數據行業的形成，最初主要的行業需求是廣告的精準投放，通過對用戶進行大數據分析，對用戶進行“畫像”，找出用戶的行為特征和需求偏好，信息資訊平臺、電商平臺等都是基于大數據進行個性化推薦，不僅提升用戶的使用體驗，也能夠幫助商家提高廣告的觸達效果和轉化率。

而隨著互聯網金融的興起，用戶數據分析開始作為征信使用，幫助金融機構找到適合的有需求的貸款人，也能降低貸款的壞賬率。從推廣告到放貸款，這個應用場景顯然比過去需要的數據顆粒度更細，信息更全面，也更接近用戶的隱私。

以已經被查的幾家公司為例，魔蝎科技的數據調用達到數億級別，服務了超過2000家銀行、保險機構、消費金融、互聯網金融客戶。而數據堂在8個月時間內，日均傳輸公民個人信息1.3億余條，數據量特別巨大。

巧達科技被查封后，警方發現，該公司非法獲取了2.2億自然人的簡歷信息，還有超過10億份通訊錄，并且掌握著與此相關的社會關系、組織關系、家庭關系數據。巧達科技曾自稱擁有超過8億自然人的認知數據，也就是說有超過一半的中國人，信息都在巧達科技的數據庫里。

這些數據都是正當獲得并被正當使用？理論上和現實中都很難。而且更為可怕的是，細顆粒度的隱私信息一旦泄露，造成的危害，可不僅僅是多了騷擾電話、推銷短信和詐騙電話那么簡單。近期頻發的暴力催收、套路貸、砍頭息等也大多與數據隱私泄露有關。因此，個人信息的泄露不僅僅會危害個人人身財產安全，甚至會危害公共安全。

比如，一些網貸公司通過爬蟲竊取或者購買用戶的個人信息，并分析其消費能力、家庭準確住址和社會關系，然后披著現金貸的外衣實施詐騙，讓受害者掉入高額利息的圈套，不還款就進行暴力催收。

一些大數據公司會為網貸公司提供“定位”服務，貸款人就算跑到天涯海角、更名改姓都會被找到。找不到你，也能找到你的家人親屬朋友，進行恐嚇威脅，逼迫你償還高額的貸款利息。此前已經出現過數起大學生深陷“套路貸”，幾千元貸款滾成了百萬元，最后因不堪承受催收公司的騷擾侮辱和恐嚇威脅而自殺的案件。

即使數據來源合理合規，近年來，在大數據畫像的使用過程中，也出現了一些“倫理問題”，比如“大數據殺熟”“同房不同價”“看人發紅包”等等，都備受爭議。本是用來精準服務你的方法，被用來精準地“欺負”你，最懂你的人，傷你也是最深。

由于金融機構和互金平臺獲得的收益遠高于廣告行業，因此，為其服務的大數據公司也收入更高，這使得這類數據越來越貴。在利益面前，就有人開始動了歪主意，甚至黑灰產也盯上了這誘人的數據生意。

據記者了解，一些中小型銀行和金融機構，特別是一些互聯網金融公司，自身并沒有積累足夠的用戶數據，因此只能通過魔蝎科技這樣的第三方數據公司提供征信和風控服務，而這些數據公司的數據來源是黑是白，他們并不清楚，或者也不想清楚。

一些大數據公司不僅會開發支付寶爬蟲、微信爬蟲、運營商爬蟲等，從擁有豐富用戶數據的大平臺“扒數據”，也會通過惡意SDK向用戶手機植入爬蟲，竊取用戶數據。尤其是生物信息一旦泄露，危害極大。因為姓名、手機號、銀行卡、密碼等信息一旦泄露，都可以即時更改，但指紋、虹膜、人臉數據等都是無法更改的，被竊取后隱患無窮。

歐盟為何要推出“阻礙”科技創新的GDPR？

不僅中國，數據隱私的問題已經是一個全球性問題，反應比較激烈的是文化上更重視個人隱私的歐洲。

去年5月26日，歐盟《通用數據保護條例》（GDPR）正式開始實施。這部被稱為“史上最嚴格數據隱私保護條例”實施一年多以來，開出了數張天價罰單，引起全球震動。最為重要的是GDPR還設置了“長臂管轄”機制，即GDPR不僅與歐盟的公司有關，只要你的客戶或用戶中有歐盟國家公民，并且處理他們的數據，GDPR就有權對你的數據行為進行處罰，而且罰金非常高。

GDPR對于沒有保護好數據而導致數據泄露等的，處以1000 萬歐元或者上一年度全球營業收入的2%，兩者取其高;自主泄露侵犯用戶數據的，處以最高2000萬歐元或者企業上一年度全球營業收入的4%，兩者取其高。

“GDPR帶來了全球隱私保護立法的熱潮，并成功提升了社會各領域對于數據保護的重視。但對于企業來說，合規成本的增加是最為直接的影響。”一直關注GDPR的中國互聯網協會研究中心秘書長、北京師范大學刑事法律科學研究院吳沈括教授告訴《中國經濟周刊》。

但自推出起，外界對于GDPR就爭議不斷，很多人斥責它“阻礙”科技創新。吳沈括也表示，GDPR可能損及互聯網成熟業態、新興產業和經濟創新。“GPDR實施后，這一預測逐漸得以證實。”他說。

視覺中國

吳沈括認為，GDPR推出的原因復雜，并不僅僅只是出于數據隱私保護的目的。“實際上，GDPR的出臺，歐盟內部經歷了前所未見的游說博弈過程，這也反映了GDPR本身并非純粹的個人數據規范，而是深層次融合了國際政治博弈、產業經濟競爭以及社會文化擴張等諸多元素的復雜綜合體。”他說。

“GDPR實施以后，對從事全球業務的公司，尤其是互聯網公司帶來了很大震動，因為互聯網本身是全球互通的，你很難避免有歐洲的用戶使用你的產品。”麒麟合盛網絡技術有限公司（APUS）法務總監吳映京告訴《中國經濟周刊》。

APUS創建于2014年，國內用戶可能并不熟知。但其實這家主要為安卓智能手機用戶提供一個輕量級操作系統和桌面入口服務的公司，是中國移動互聯網公司“出海”最具代表性的公司之一。目前，APUS全球已經有用戶超過14億，覆蓋全球200余個國家和地區。

歐洲市場是APUS的重要市場，對于APUS這樣將AI和大數據作為核心戰略的互聯網公司，歐洲GDPR的實施對于公司發展的影響非常大。APUS因此專門成立了針對GDPR的研究團隊。

吳映京沒有透露APUS為GDPR合規所投入的具體成本數字。但據美國專業機構的調查數據，68%的美國企業預計將花費100萬到1000萬美元來滿足GDPR的要求，另有9%的企業預計花費超過1000萬美元。

“GDPR合規工作需要投入額外的資源與成本，這無形中為全球初創公司進入歐洲市場設置了一個合規門檻。Google、Facebook這樣的巨頭都覺得非常棘手，并且需要投入大量資源去改造數據結構，更不要說缺乏相應技術能力和資源的中小公司。”吳映京表示。

“GDPR落地一年多以來，其實可以滿足大家對巨額處罰幻想的大罰單只有3筆，可見對巨額罰單還是比較審慎的。”吳映京說，“目前來看，歐盟在GDPR的執行上并沒有預想的那么嚴格，而且主要針對大型企業和發生數據泄露事件的企業，應該說于實踐層面在安全與創新之間進行了某種平衡。”

中國需不需要自己的“GDPR”？ 紅線劃在哪里？

實際上，針對數據隱私的立法在全球已經形成潮流，日本、韓國、印度、巴西、俄羅斯等國都設立了類GDPR的隱私保護法，美國各州也已經陸續在落地隱私保護的法規，比如加利福尼亞州就在去年通過了《加州消費者隱私保護法案》。而且美國各界都在呼吁希望能在聯邦層面設立數據保護法案。不過，聯邦隱私法目前還處在討論和平衡各方利益的階段，短期內出臺的可能性不大。

歐洲激進，美國警惕，中國呢？中國需不需要給企業也套上一道“緊箍咒”？隱私安全的紅線應該劃在哪里？

實際上，除了已經自2017年6月1日起施行的《網絡安全法》，今年以來，已經有《信息安全技術個人信息安全規范（草案）》《數據安全管理辦法（征求意見稿）》《網絡安全審查辦法（征求意見稿）》《個人信息出境安全評估辦法（征求意見稿）》《兒童個人信息網絡保護規定（征求意見稿）》《App違法違規收集使用個人信息行為認定方法（征求意見稿）》《網絡安全漏洞管理規定（征求意見稿）》《個人金融信息（數據）保護試行辦法（初稿）》等一系列與數據隱私安全有關的法律法規推出并在廣泛征求意見。

視覺中國

吳映京表示，從我國已經出臺和醞釀推出的政策法規來看，國內的法律法規對個人數據的保護程度和力度并不比GDPR要弱，雖然國內并不像歐盟那樣設置了高額的處罰，但侵權者同樣會面臨基于我們立法和國情的處罰，嚴重者甚至是刑事處罰。

吳沈括認為，數據是未來時代的“石油”，數據的收集和使用在給大家帶來便利的同時，也給大家的隱私保護造成安全隱患。為切實保障數據的隱私安全，收集使用相關數據時需要遵循合法、正當、必要的原則。

“一是收集的數據必須是合法的，要公示收集規則，經用戶同意;二是收集數據應遵守道德倫理底線，確保使用數據行為的正當性，不應強迫用戶授權，或者以默認授權、捆綁服務、強制停止使用等不正當手段變相誘導、脅迫用戶提供相關數據;三是收集必要的、最小化的數據。”吳沈括說。

吳映京則表示，數據利用的“度”一定是需要政府、企業和民眾共同去摸索實踐的，因為目前并不能說哪個制度就一定是最優的，關鍵在于明確好社會、企業和用戶在隱私保護中的責任，平衡好三者之間的利益。對于數據“發掘”過程中可能帶來的問題保持動態的態度和審慎的精神，但是不要制造非此即彼的對立情緒，而是應該以制度、教育甚至進一步的科技發展積極地解決這些問題。

其實，種種跡象表明，監管層對大數據行業的整頓和加強監管是醞釀已久的，并非剛剛發現問題。但相關法律法規的出臺也確實非常謹慎。畢竟要兼顧防范風險和鼓勵創新，需要勇氣，更需要智慧。

中國社科院副院長、學部委員高培勇就在烏鎮第六屆世界互聯網大會期間表示，在立法方面，需要加快推進數據相關立法，貫徹科學立法、民主立法、依法立法原則，以良法促進發展、保障善治。在執法方面，要進一步優化執法體制，加強執法能力，創新執法方式，避免簡單將線下執法方式搬到線上，解決信息內容應急式管理與常規執法雙軌運行現象。

司法部副部長趙大程則指出，隨著互聯網普及應用，網絡數據海量聚集，數據價值日益凸顯，大數據已經成為推動經濟社會發展的“血液”、經濟發展的“引擎”。要順應大數據發展帶來的歷史機遇，廣泛凝聚依法治理的共識，共同推進全球數據治理朝著更加平衡有效的方向發展。

趙大程認為，數據治理法治化是推進法治建設的應有之義，也是建設網絡強國的堅實保障和必然要求。要完善數據產權保護制度，為數據產業創新和數字經濟發展提供制度基礎。要完善數據保護法律規則，加大保護力度，規范個人信息的收集處理等活動，為維護網絡數據安全提供更有力的法治保障。

技術問題仍需用技術來解決

歐洲實施了“史上最嚴格”的數據保護條例，還冒著阻礙創新的風險，但用戶的數據安全真的就能高枕無憂了嗎？可能答案并不是肯定的。在工業時代，作為核心能源的石油因其背后的巨大利益，甚至引發了戰爭。如果大數據真的是“未來的石油”，巨大的利益面前，僅僅靠法律和規則的禁止，恐怕很難解決全部問題。

“只要市場對此的需求存在，即使監管再嚴格，也總會有人因為利益去鋌而走險。”北京大學市場與網絡經濟研究中心的陳永偉研究員告訴《中國經濟周刊》，他認為，數據隱私歸根到底要從技術上入手，技術帶來的新問題最終還是需要用技術來解決。

“比如獲得圖靈獎的、清華大學姚期智教授的‘多方安全計算（MPC），才可能是徹底解決這個問題的路徑。通過技術手段實現既保護用戶的數據隱私，又能夠獲得有價值的數據挖掘。”陳永偉說。

姚期智是第一位也是唯一一位獲得圖靈獎（計算機領域最高榮譽）的華人計算機科學家，他提出的MPC （Secure Multi-Party Computation），是一個名為“多方安全計算”的理論框架，基于此，可以實現數據使用權、所有權的分離，數據所有方可以保有數據，但是又不影響數據需求方提供服務。簡單地說，就是基于加密的數據進行計算。

姚期智在上個世紀80年代就提出了這個想法。因為人工智能、產業互聯網的發展都離不開數據挖掘，這就意味著如果數據隱私問題解決不了，那產業將無從發展。但是，當時的計算機算力根本無法實現MPC的相應計算，因此MPC一直停留在理論層面。

但30年后的今天，算力問題已經不再是問題，姚期智認為，多方安全計算將會在金融科技、人工智能、醫藥保護共享數據等方面發揮重要作用。這對于需要以海量數據作為訓練根基、但又面臨數據隱私保護合規難題的技術來說，將是一個好消息。

MPC的行業應用已經在探索。比如今年5月，螞蟻金服推出其基于MPC的安全計算平臺“摩斯”，能夠提供一種全新的安全和保護隱私的數據合作方式，能夠在本地數據不泄露、原始數據不出域的前提下，通過密碼學算法，分布式執行既定邏輯的運算并獲得預期結果，從而實現安全高效的數據合作。

吳沈括也認為，歐盟的GDPR這種試圖通過“用戶賦權—企業擔責”的單向路徑實現用戶與企業間的信任，忽略了在激烈市場競爭下用戶和企業共贏的可能性。獲得客戶的信任同樣是企業的目標。因此，法律如何從正面激勵企業尊重用戶對個人信息的權益，還需要更深入的研究和更多的制度想象力。

“事實上，無論是商業模式還是科技進步，既是個人信息的加害者，也是個人信息的保護者。因此，我們可以通過鼓勵企業創新，積極開拓區塊鏈、多方安全計算等新的技術架構，達成個人信息保護與數據利用的動態平衡。”吳沈括說。