📖 ZKIZ Archives

信息安全機構ISACA：個人隱私保護是全球性問題，GDPR會引起各地效仿

在歐盟的GDPR（《一般數據保護條例》）正式生效後，全球不少科技企業忙著更新隱私政策，或者下架向歐盟用戶提供的服務。

此前，Facebook被曝5000萬用戶數據被CambridgeAnalytica公司不當獲取，並用於2016年美國總統大選的精準信息投放，可能影響到大選結果。這個可能是目前涉及用戶數據泄露影響最大的事件。

GDPR條例生效當天，科技巨頭如谷歌和Facebook就被指控強迫用戶共享個人數據。在該項訴訟中，奧地利隱私活動家MaxSchrems要求分別對Facebook、谷歌罰款39億和37億歐元（兩者總和約88億美元）。

6月5日，國際信息系統審計協會（ISACA）全球董事會主席RobClyde在接受第一財經等媒體記者采訪時表示，GDPR對全球公司而言都有著重大的影響，這不僅適於歐洲的企業或者公民，而是適用於全世界所有和歐洲企業或居民有業務往來的公司，“不管這個公司在哪里，都適用於GDPR的管轄”。Rob指出，如果中國企業在歐洲有投資、有業務，或者想和歐洲的公民有合作，就要受到GDPR的管轄。

ISACA是信息科技管治、監控、保安，以及標準合規的領導組織。6月5日，ISACA中國辦公室正式在北京宣布成立。在2018年3月，該組織發布了《網絡安全實施框架指南》,分析了中國最新的網絡安全政策並為全球企業提出了技術層面實現合規的指導意見。

Rob指出，這一事件大大提升了大家對個人信息安全方面的認識。此前，有很多公司在個人數據保護以及隱私保護方面存在違規操作問題，而這也是一個全球性的問題。而包括人工智能、物聯網、機器人、自動化還有量子計算等新技術的出現也會對這方面的治理帶來種種挑戰。現在隨著歐洲的GDPR，以及其他一些個人數據保護或隱私保護規則的推出，這一領域產生了非常巨大的變化。“這就意味著世界各地的人已經開始有個人數據和隱私保護的權利了，所以對於中國的公司也好，美國的公司也好，不管哪個國家的公司，都面臨一樣的風險。”

ISACA首席執行官MattLoeb對第一財經記者表示，GDPR的正式實施傳遞了重大的信息，即“如果公司不註意數據方面的管理，那麽現在是時候讓他們開始做好這件事了，因為這涉及到企業在數據治理方面的能力建設。如果歐洲通過GDPR在數據保護方面做到了有效的監管，肯定會引發全球各地類似的政策趨勢。”

GDPR將強制執行，違規將被嚴令禁止，並受到嚴厲處罰。埃森哲近期報告指出，與以往的隱私規則相比，GDPR的影響更為深遠。在數據保護上，數據供應鏈自上而下的各方（包括數據的擁有者和使用者）都會被問責；在獲取和管理個人信息上，GDPR提出了新的、更嚴格的要求，並賦予個人明確的權利，為企業通過人工、流程和技術進行客戶數據管理都帶來了一定的沖擊；而且，GDPR還大大增加了數據保護的強制性和責任性，對違規的處罰提高到了2000萬歐元或企業全球年營業額的4%（二者取較高值）。

根據一項面向雲服務供應商的客戶感知調查，僅6%的企業被認為符合GDPR、無需在新的規定條款框架下重新商談合同；而91%的企業出於對數據處理的複雜性和成本的考慮，對自身能否符合GDPR表現出了擔憂。

為了應對GDPR，中國互聯網巨頭騰訊旗下的微信海外版WeChat、阿里巴巴旗下的全球速賣通AliExpress等均向歐洲用戶更新了隱私政策。根據官網顯示，WeChat在5月10日修改了隱私政策，AliExpress則在5月24日進行了更新。

谷歌給AI定了七條規則，包括不開發武器AI、納入隱私設計原則等

面對內部數千員工的抗議，以及外部學術界的批評和媒體的曝光，谷歌周四終於發布使用AI的七項原則，承諾不會將其人工智能用於會造成“整體傷害”的武器、技術和非法監視。

涉及AI的七項原則包括對社會有益，避免制造或加強不公平的偏見，提前測試安全性，對人負責，保證隱私，堅持科學高標準以及從主要用途、技術獨特性等方面來考慮。

這七項原則是為了平息外界對谷歌Maven項目（Project Maven）的關註。Maven是美國國防部將人工智能應用於無人機的舉措。

該項目於去年9月開展，根據合同，國防部將使用谷歌AI技術來分析無人機鏡頭。這是谷歌雲業務負責人黛安·格林（Diane Greene）推動的一項重要舉措，即向政府提供雲服務，該業務利潤豐厚，而目前由亞馬遜和微軟公司統治。

但是，該項目在內部開展不久後，便遭到谷歌內部員工的抵制。4000多名員工聯名上書，要求取消Maven項目合同，理由是谷歌有避免軍事工作的歷史，以及對自動武器的擔憂。

隨著事件不斷發酵，以及媒體不斷披露細節，黛安於上周五宣布，一旦該合同失效，將不會繼續合作。黛安稱，“這是一項為期18個月的合同，因此它將於2019年3月結束”，過期將不再續約。

周四，谷歌首席執行官桑達爾·皮查伊（Sundar Pichai）在一篇博客文章稱，谷歌不會在可能造成“整體傷害”的武器、技術和非法監視領域設計或部署AI。他稱，“在存在重大傷害風險的情況下，我們只會在收益遠超風險的情況下繼續，並且會納入適當的安全限制；不會部署故意導致或直接影響人身傷害的武器或其他技術；不會違反國際規範，部署收集或使用信息進行監視的技術，也不會部署違反國際法和人權原則的技術。”

但谷歌並不會放棄政府這塊大蛋糕，谷歌正在雲計算部門投入巨資，皮查伊的聲明也表示，谷歌將繼續追求這些合同。

在劃定七項原則之後，皮查伊表示，將繼續與政府和軍隊合作， “我們希望明確的是，雖然我們不開發用於武器的AI，但我們將繼續與政府和軍隊在諸多領域合作”，包括網絡安全、培訓、軍人招募、退伍軍人醫療、搜索和救援。“這些合作非常重要，我們將積極尋找更多方式以促進這些組織的重要工作，並確保服役人員和平民的安全。”

谷歌的七項原則也是AI發展的分水嶺。谷歌這樣的科技巨頭在開發軟件和服務方面具有領先優勢，計算機成本下降和性能方面的突破使AI在過去幾年擴展到更多的行業，如汽車，醫療保健，但AI在軍事等方面的應用也引起了學術界和谷歌內部員工的擔憂。

據路透社報道，一位谷歌官員周四表示，盡管Maven項目工作重點放在非攻擊性任務上，但（工作性質）太接近武器裝備了。不僅是谷歌，此前，也有公民自由組織聯名向亞馬遜 CEO 貝索斯上書，抗議該公司將人臉識別技術出售給警方。

皮查伊在文中表示，AI如何開發和使用，將會對未來社會產生重大影響。“作為人工智能領域的領導者，我們感到深深的責任感。所以我們宣布了七項原則來指導我們今後的工作。這些不是理論概念;是具體的標準，將積極主導我們的研究和產品開發，並會影響我們的業務決策。”

谷歌大腦（ Google Brain）聯合創始人Jeff Dean在推特上轉發該博文稱，除了AI原則，谷歌正在提供技術實踐以實際履行這些原則。

不過，也有評論認為谷歌做的還很不夠，The New School的副教授彼得·阿薩羅（Peter Asaro）在推特上表示，“這些原則是一個好的開始，但希望能夠看到谷歌在AI監控、隱私、安全、不公平偏見，AI和自主武器等領域制定規範方面發揮積極主導作用，而不是僅僅遵循現狀。

附谷歌AI應用的七項原則：

1.對社會有益

新技術的應用範圍越來越廣，越來越影響到整個社會。AI的進步將對包括醫療保健、安全、能源、運輸、制造和娛樂在內的廣泛領域產生重大影響。當我們考慮AI技術的潛在發展和應用時，我們將考慮一系列的社會和經濟因素，並將在我們認為整體收益遠超過可預見的風險和弊端的情況下繼續推進。

AI還增強了我們理解大規模內容含義的能力。我們將努力使用AI來隨時提供高質量和準確的信息，同時繼續尊重所在國家的文化、社會和法律準則。我們將繼續仔細評估何時可以在非商業基礎上讓大家使用我們的技術。

2.避免制造或加強不公平的偏見

AI算法和數據集可以反映、加強或減少不公平的偏見。我們承認，區分公平和不公平的偏見並不總是很簡單，並且在不同的文化和社會中是不同的。我們將努力避免對人們造成不公正的影響，特別是與種族、民族、性別、國籍、收入、性取向、能力以及政治或宗教信仰等敏感特征有關的人。

3.提前測試安全性

我們將繼續開發和應用強大的安全和保障措施，以避免造成引起傷害的意外結果。我們將設計我們的AI系統，使其保持適當的謹慎，並根據人工智能安全研究的最佳實踐開發它們。在適當的情況下，我們將在有限的環境中測試AI技術，並在部署後監控其操作。

4.對人負責

我們將設計能夠提供反饋、相關解釋和說明的AI系統。我們的AI技術將受到人類適當的指導和控制。

5.納入隱私設計原則

我們將在開發和使用AI技術時融入隱私原則。我們將提供通知和同意的機會，鼓勵具有隱私保護措施的架構，並對數據的使用提供適當的透明度和控制。

6.堅持科學卓越的高標準

技術創新植根於科學的方法和開放式調查的承諾，學術嚴謹，誠信和合作。人工智能工具有可能在生物學、化學、醫學和環境科學等關鍵領域開拓科學研究和知識的新領域。我們致力於促進人工智能的發展，追求高標準的科學卓越。

我們將與廣大股東合作，通過科學嚴謹和跨學科的方式來全面促進該領域的發展。我們將通過發布教育材料，以及通過發布可以促進更多人開發AI應用的最佳實踐和研究來分享AI知識。

7.從主要用途、技術獨特性等方面來提供技術

許多技術有多種用途。我們將努力限制可能有害或被濫用的應用程序。在開發和部署AI技術時，我們將根據以下因素評估可能的用途：

主要目的和用途：技術和應用的主要目的和可能的用途，包括解決方案與有害用途的相關性或適用程度

普遍與獨特：我們的技術是獨一無二的還是更普遍適用的

規模：這項技術的使用是否會產生重大影響

谷歌參與的性質：我們是否提供通用工具，為客戶集成工具還是開發定制解決方案

 

又被短信邀請辦銀行卡了，誰偷窺了我的隱私

吳先生最近有些苦惱，在幾天里收到七八條銀行邀請辦信用卡或貸款的短信後，他既不敢回複退訂，也不敢點開鏈接咨詢，因為他分不清這些短信是否真的來自銀行。

這些短信都是以一長串“106”開頭的號碼，一共有18位。短信內容例如，“【上海銀行】您的記錄良好，點擊http://t.cn/RBxFotx完善信息即可申請我行（白金）卡，額度最高8萬，刷卡免年費，退訂回T”；“【中國平安】尊敬的客戶，根據您的信譽記錄，已獲得10-50萬信用額度，手續簡單，當天到賬。咨詢辦理回複Y，退訂回N”。

吳先生上述經歷並非個案，多位手機用戶向第一財經記者反映，曾經在手機上接收過非銀行官方客服發出的申辦信用卡或消費金融貸款推薦短信。這些“18位”推薦辦卡短信，究竟是來自偽基站的山寨詐騙短信，用來套取客戶真實信息，還是真的屬於銀行行為，令消費者“傻傻分不清”。

第一財經記者調查發現，這些短信背後是銀行信用卡中心、現金分期事業部、消費金融事業部等相關業務板塊主動發起的業務營銷行為，即所謂“丟包”。“丟包”在銀行內部遵循了嚴格的審核流程，但仍然涉嫌對客戶造成騷擾以及侵犯客戶隱私。

現有法律尚待明確界定，客戶隱私又由誰來保護？

記者親測銀行所為

吳先生收到的銀行短信還包括：中信銀行邀請辦白金信用卡；光大銀行陽光金卡申領資格，額度達10萬；民生銀行白金卡，額度10萬，最快3秒批卡；交通銀行VISA金卡申領資格，額度5萬，等等。除了銀行信用卡，還有消費貸和小貸公司的短信。例如，中國平安邀請客戶申請10-50萬信用額度；360借條推薦4萬借款額度與免息券。

第一財經記者隨機選取了中信銀行、光大銀行與中國平安，點開鏈接後發現，前兩條均為銀行信用卡中心所為，最後一條來自平安好貸，為平安集團旗下小額無抵押信用貸款平臺。

以“中信銀行”短信為例，記者首先選取推薦辦理該行信用卡的短信，鏈接點開後，頁面跳轉至“中信銀行i白金信用卡申請”頁面。（如下圖）

從網站域名看，https://creditcard.ecitic.com/h5/shenqing/ibaijin_p.html?sid=SJUNNSH9，與中信銀行信用卡官方網站https://creditcard.ecitic.com前綴重合。

申請說明中顯示，用戶在提交申請資料後，如果遇到審核資料未達到該卡等級要求的情況，申請的卡等級會自動更換為適合的卡等級。如申請白金卡用戶，不符合白金卡要求，符合金卡，銀行會給用戶更換為金卡，以此類推。

隨後，記者用自己的身份信息在該鏈接上申請了上述中信銀行i白金信用卡,顯示成功，僅用了半小時。

之後，記者又分別用手機和電腦網頁登錄中信銀行信用卡中心官網，在“進度查詢”一欄中輸入身份證號、手機號等關鍵信息後，查到了自己剛剛通過短信鏈接轉入快速辦理頁面申請辦理的“中信銀行i白金信用卡”。

如此，吳先生收到的短信邀請辦理中信銀行白金卡，的確為中信銀行信用卡中心的官方行為，而非來自偽基站詐騙或惡意軟件套取客戶信息。

隨後，第一財經記者又點開光大銀行邀請辦信用卡的鏈接，鏈接被轉至“中國光大銀行信用卡在線申請”界面。

該網頁的域名為https://xyk.cebbank.com/cebmms/apply/ps/card-index.htm?req_card_id=3142&pro_code=FHTG067632SA0396CYJR&c2c_recom_flag=，而光大銀行信用卡官方網域名為https://xyk.cebbank.com，有專業人士對第一財經記者表示，從網頁內容及網頁域名前綴看，該網站來自光大銀行。

除此之外，在該頁面的下部，記者還發現，網站用標紅字體顯示《中國光大銀行信用卡申請須知》、《中國光大銀行信用卡使用合約》、《中國光大銀行信用卡章程》及《芝麻信用服務協議及相關授權》的子鏈接，一一點開後，均為信用卡的法律條款和註意事項等。

一位銀行內部人士表示，雖然有些信用卡額度號稱最高達到8萬、10萬元，但一般情況只會給5000、1萬、最多2萬元的額度，要想進一步提升額度，需要帶著房產證等有效資產證明到銀行櫃臺辦理，若有效資產優質，城商行、股份制銀行的信用卡額度可提升到7萬、8萬元。

第一財經記者也對“中國平安最高額度50萬的信用貸”進行了實測。

記者撥通中國平安短信中電話（4006085555）後，一名自稱是“平安好貸”的客戶經理接通了電話。該客戶經理稱，房貸、公積金、保險，三者具備其一就可以申請無擔保、無抵押平安好貸，貸款額度為3萬-50萬元。

客戶經理示意記者關註“平安好貸”官方微信，然後在右下方【客戶服務】中選擇【綁定客戶經理】，在新的頁面中輸入“姓名、手機號、驗證碼”，點擊提交。記者按照上述操作流程操作後，在“平安好貸”官微上收到一份《個人征信業務授權書》。由此確認，推薦短信來自中國平安，並非詐騙或惡意軟件所為。

信用卡電銷 “丟包”

“這些短信雖然來自不同銀行，但像是一個模子刻出來的，單憑短信內容無法判斷是否真的來自銀行。”多位受訪者對第一財經記者表示。一些受訪者甚至誤以為上述短信來自偽基站的電信詐騙。

那麽，銀行為何不使用官方短信服務平臺，而是以“18位”複雜冗長的號碼形式電銷信用卡？第一財經采訪多位接近股份行內部人士後發現了銀行內部的“小算盤”。

事實上，銀行都有自己官方認證的短信發送客服平臺渠道，國有大行中，如工商銀行官方客服電話為“95588”，建設銀行官方客服電話95533及4008200588；股份制商業銀行中，招商銀行官方客服電話為“95555”，民生銀行為“95568”，中信銀行為“95558”等，認證都較為清晰。

除此之外，一些銀行的信用卡中心及理財中心也有官方的短信發布號碼平臺。如中信銀行信用卡為“106980095558”，招商銀行理財中心的官方號碼“106980095555”。這些號碼同樣具有較為明顯的銀行認證特征，例如，在華為手機上，上述渠道發送的短信直接被認證後顯示銀行官方標誌頭像。

像上述吳先生所遇到的銀行電銷行為，顯然沒有通過上述官方發布渠道。一位接近股份行了解內情的人士對第一財經記者表示，這些短信背後是銀行信用卡中心、現金分期事業部、消費金融事業部等相關業務板塊主動發起的營銷行為。

他們一般找本行合作名單中的短信運營商一級代理商，生成虛擬號碼後，基於本行客戶人群“白名單”進行推送，這種行為被行業內稱為“丟包”。

所謂“丟包”，即發送短信的內容為“模板信息+抄送鏈接”，短信發送後與客戶不產生任何交互，客戶如果回複“退訂取消”，以後就不再接收到類似短信。

推送短信的內容都有固定的模板，只要將關鍵要素填入，一級代理商便可進行群發。這就不難理解為何這類“丟包”短信雖然來自不同銀行，但“長得”都差不多。

一個“包”被丟出，在銀行內部需要遵循以下流程：銀行根據後臺數據庫對短信生成器的動態參數進行調整，參數包括：姓名、額度、卡別、時間等限制要素。觸發器由銀行掌控，銀行內部業務發起人按照模板編制，根據“白名單”將數據導進系統自動觸發。上述知情人士表示，銀行內部有相關人士負責“丟包”的審核，並有上級主管負責批準。

為何銀行不使用官方客服短信平臺“丟包”？ 一位銀行業內人士表示，銀行信息中心所掌控的官方短信服務平臺並非什麽短信都能發，需滿足一定“觸發”機制。

例如，當客戶信用卡刷卡、月底結息、購買理財產品後，官方客服平臺可根據客戶行為觸發反饋，此外的其他短信內容，官方客服平臺需要遵循一定規則才可以發送信息。

由於銀行官方客服號即 “大號”審核與審批機制較為嚴格，信用卡電銷短信往往都達不到“大號”推送短信的觸發條件，此外由於在銀行內部申報流程繁瑣，審批時間較長，所以銀行信用卡、消費金融等業務部門一般都不使用官方客服電銷“丟包”。

此外，第一財經記者也了解到，除了電銷，這種“個性化”號碼短信也可滿足銀行其他業務目的，例如對銀行根據黑白名單篩選出來的逾期貸款客戶，進行短信催收等。

那麽誰是銀行“丟包”的合作方？第一財經記者調查了解到，目前在銀行內部有多種模式。例如，電銷“小號”與官方客服“大號”同為一家運營商一級代理商，只是換了一個號碼推送推銷內容。

較為普遍的模式如“1托N”合作模式，“例如運營商為銀行的官方公號提供一個號碼，為信用卡中心提供一個號碼，個人借記卡一個號碼，個人貴賓卡、信息服務交互與個貸分別對應專門的號碼等。”知情人士向第一財經記者透露。

“不過目前運營商一級代理商的‘短號’資源供不應求，無法提供足量的‘短號’資源。”某國有大行科技部門相關負責人向第一財經記者解釋了，為何銀行不將“丟包”的電銷號碼固定下來的原因。

“丟包”號碼雖然不固定，但銀行挑選一級代理商有較為嚴格的準入制度，與大銀行合作的都是中國移動、中國電信、中國聯通三家運營商的一級代理商，合作方並非“草根”機構。

記者同時了解到，如果涉及銀行的消費金融子公司要“丟包”，與之合作的運營商一級代理商也必須挑選已經納入母行集團準入名單的對象。對於長期合作的對象，銀行會對代理商資質、信息安全保護、發送成功率等指標進行考核。

“99.5%的成功率和99.2%成功率差距很大，銀行一般是與一級代理商談一個打包價格，例如一年1億條是一個價格，5000萬-1億條是一個價格。一般都在總行統一采購目錄中進行采購，但用多少，銀行到時候付費。”知情人士對記者表示。

“所以在沒有銀行授權的情況下，代理商不會擅自發送信息，但也不能100%保證代理商不會出現問題。”上述知情人士稱。

在北京工作的劉先生產生了另外一個困惑，三年前他已經辦理了民生銀行信用卡，為什麽銀行還邀請他去辦理？銀行難道不知情？一位城商行人士對第一財經記者指出，這種信息屬於第三方信息群發，只要在這個數據庫里面的用戶都會不斷的收到這類信息，系統無法識別已經辦理過的客戶。

“短信群發背後的原因是節省成本。業務員推銷辦理出一張信用卡，銀行支付400元-500元的費用，但通過群發信息的方式，銀行的成本就大大降低了。”上述城商行人士表示。

除了上述“丟包”，第一財經記者還了解到，業內還有助貸模式的“盲推”與“海推”，如果上述“丟包”只是銀行鋪天蓋地的電銷對客戶造成了騷擾，那麽“盲推”則極有可能涉及侵犯客戶隱私。

一般情況下，大行存量客戶較多，這種情況不會涉及太多信息買賣等違法違規行為，更多是存量客戶的激活和深度挖掘。但在一些中小金融機構，他們會找到外圍數據供應商，聯合合作夥伴做初步的客戶畫像後，進行“丟包”，在線上進行分款，在業內稱為“盲推”與“海推”。

調查中，一位城商行人士對記者稱，一些中小銀行與財富管理公司、互聯網金融公司、分期消費公司等第三方合作，貸款資金來自這些第三方公司或者第三方公司和銀行成立的資金池，雙方相互導流。這時候，客戶收到的短信就並非來自銀行。具體而言，若客戶向銀行申請信用貸，銀行只做通道，資金來自第三方公司，而銀行會收取20%-40%的利息收入作為通道費。

不過，隨著去年底《關於規範整頓“現金貸”業務的通知》（下稱“141號文”）規定銀行業金融機構與第三方機構合作開展貸款業務時不得將授信審查、風險控制等核心業務外包，導致助貸模式會逐漸退出。

缺乏法律界定

第一財經記者調查發現，在客戶收到的“丟包”短信中，以股份制商業銀行與中小銀行為主，大行則比較少見。

“我們發送的提示短信都是以95588作為標準的號碼，不會有複雜冗長的發送號碼形式。此外不會通過短信方式給客戶發送信用卡辦理和提額申請，更多是通過工行APP服務群等方式與客戶聯系。”一位接近工商銀行內部人士對第一財經記者指出。

某國有大行人士表示，一些中小銀行由於營銷壓力大，為了拓展客戶與發卡，往往會采取更加“靈活”的營銷手段，但上述手段如同“雙刃劍”，在推進業務推廣的同時，也給隱私保護以及短信欺詐埋下隱患。要在根源上改變這一現狀，需要監管部門強有力的法規和政策要求，否則很難改變。

銀行上述行為是否對客戶造成了騷擾？甚至侵犯客戶隱私?某律師事務所合夥人對第一財經記者指出，界定銀行“丟包”是否違法或違規，主要看公民個人信息的來源，如果銀行通過非法的買賣和交換獲取其他行或其他渠道的客戶信息進行“丟包”，則可能涉嫌違法。

而銀行如果是通過工作或提供服務獲取，又出售或非法提供給第三方，則可能涉嫌《刑法》第253條之一，即“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處3年以下有期徒刑或者拘役，並處或者單處罰金。”而《刑法修正案》將犯罪主體原僅限於國家機關或者金融、電信、交通、教育、醫療等單位及其工作人員擴大為一般主體及單位，即凡是達到法定刑事責任年齡的個人及任何單位均能以本罪追究刑事責任。

但如果信息來源就是本行，那麽要看公民的授權範圍，如果授權銀行使用，則很難判定銀行違法。

中國人民大學法學院副院長楊東對第一財經記者表示，銀行上述情況，在沒有征得客戶同意的情況下，涉嫌觸犯《網絡安全法》、《消費者權益保護法》，監管應當給予警告與處罰。

一位股份制商業銀行內部人士表示，在股份行，各銀行內部的法律合規部會對“丟包”發送短信的模板內容、說法和各個要素進行審核，確保不違反現有法律及監管規定。

但向客戶推送短信這種行為本身，以及可以推送多少條短信，“目前法律上沒有明確界定，所以業內都在做。”上述股份行人士說。

而對於助貸與“海推”，蘇寧金融研究院互聯網金融中心主任薛洪言表示，當前，銀行和互金機構等第三機構合作非常普遍。優質的客戶，銀行自己留下來，資質稍差的客戶，一些銀行會引流到第三方公司，從中撮合，賺取一定的推薦費，只要是第三方機構有放貸資質，且年化利率不超過36%，是合規的。

中國互聯網經濟研究院副院長歐陽日輝則表示，這是一個擦邊球的打法，銀行有為第三方機構背書的嫌疑。第三方機構需信息披露，銀行也有投資提示的義務。此外，歐陽日輝還表示，國家雖然對數據的買賣目前沒有明確禁止的規定。但是依據現有的法律法規，銀行聯合第三方公司的短信轟炸，侵犯了個人隱私權。

根據《消費者權益保護法》第29條規定，經營者收集、使用消費者個人信息，應當明示收集、使用信息的目的、方式和範圍，並經消費者同意；經營者收集、使用消費者個人信息，應當公開其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息；經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄露、出售或者非法向他人提供；經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息。

中央民族大學法學院鄧建鵬教授表示，若沒有當事人的許可，銀行是不可以把個人信息授權給代理商的。即便銀行得到用戶的許可，也應該在事先將個人信息適用範圍、領域預先告知當事人。個人信息使用的重要原則之一是“為客戶的權利著想”。他稱，當下銀行只為推銷某個產品，就高頻次發送純廣告性質的短信，存在騷擾客戶的嫌疑。

而對於銀行向助貸公司導流這一現象，鄧建鵬表示，不少客戶較容易信任銀行，在這種導流模式下，銀行可能會起著信用背書的作用。另外，若助貸公司出現風險或者欺詐行為，銀行要承擔一定連帶責任。

此內容為第一財經原創。未經第一財經授權，不得以任何方式加以使用，包括轉載、摘編、複制或建立鏡像。第一財經將追究侵權者的法律責任。 如需獲得授權請聯系第一財經版權部：
021-22002972或021-22002335；[email protected]

責編：林潔琛

隱私帽子，客服扯皮，變質的拼車，誰讓順風車“殺人”？

就在昨天，3個月前因為空姐遇害案被推上風口浪尖的滴滴順風車又出事了。

8月24日，一名20歲的溫州樂清姑娘因為乘坐滴滴順風車遭遇車主強奸殺害。

和21歲空姐順風車遇害案雷同的是，當前網上鋪天蓋地全是指責滴滴順風車存在安全隱患的聲音，甚至有呼籲徹底關掉順風車的提議。

接連兩件強奸殺人案之後，一直打著公益性質的順風車的前景變得風雨飄搖，而滴滴這110天來為了提高順風車安全陸續推出多項措施在如今的事實和輿論面前也不堪一擊。

在此之前，市場普遍接受滴滴這樣的獨角獸在創業路上一邊跑一邊換輪胎，作為後勤保障的安全措施也可以一步一步的叠代升級。

但性命攸關的大勢之下，公眾們坐不住了。

除了沖動作案的車主，還有什麽原因釀成了這次的慘劇？順風車到底還有多少安全隱患？

隱私安全VS性命攸關

世人總愛回頭望，常想著假如這樣，結果會不會那樣。

痛惜一個年輕的姑娘死於非命的同時，有這樣一股聲音，如果當時滴滴和警方能夠快速的處理這位姑娘發出的求救訊息，是不是一切還可以挽回。

根據浙江省樂清市公安局官方微博“樂清公安”今天發布案情通報，8月24日17時35分，樂清警方接群眾報警稱其女兒趙某（20歲、樂清人）於當日13時，在虹橋鎮乘坐滴滴順風車前往永嘉。14時許，趙某向朋友發送“救命”訊息後失聯。

8月25日淩晨，被害人趙某好友發布微博稱，趙某當天14點10分左右在給好友的微信中提到“司機開的山路沒有一輛車，有點怕”，約14點15分左右在給另一好友的微信中提到“救命、搶救”，隨後失聯（電話處於關機狀態）。

收到這條“救命”訊息的好友隨即采取措施，但最終的救命時間被耗在了和滴滴客服的“扯皮”當中。

該好友公開的與滴滴客服的聊天記錄顯示，他於15點40分左右第一次聯系滴滴平臺，滴滴平臺給出答複，會由相關人員介入，需等待一小時，第一個一小時期間多次致電未果，一小時後仍致電未果。直到17點40分左右滴滴平臺來電，告知已和司機聯系，司機表示趙姓女孩沒有上車。

滴滴方面稱，在接到趙女士親屬電話反饋後建議盡快報警，並在接到警方依法調證的需求後及時提交了相關信息。

對於外界提到的“為什麽沒有第一時間將車主信息提供給家屬”的問題。

滴滴方面給出的解釋是，由於平臺每天會接到大量他人詢問乘客或車主的個人信息的客服電話，無法短時間內核實來電人身份的真實性，也無法確認用戶本人是否願意平臺將相關信息給到他人。所以無法將乘客和車主任何一方的個人信息給到警方之外的人，希望能獲得公眾的諒解。

對於樂清姑娘遇害案件，滴滴方面表示在得知此事的第一時間，公司內部成立了安全專項組，密切配合警方開展案件調查工作，提供了乘客和車主的行駛軌跡，協助警方14小時內快速破案。

只是快速破案的背後，一條年輕的生命已經逝去。

沒有兌現的客服承諾

值得一提的是，在5月份發生的空姐順風車遇害案後，滴滴上線了新版緊急求助功能，在原有功能基礎上將進入按鈕提升至顯著位置，並添加110、120、122及滴滴24小時安全客服等快捷方式，用戶可自主一鍵撥打。

如果當時這位樂清姑娘選擇自己緊急求助的話，在沒有驚動嫌疑人的情況下，是不是也需要和客服來回“扯皮”證明自己的確身陷險境。

要知道，這位嫌疑人在作案前一天還因為有圖謀不軌行為被用戶投訴，但是滴滴客服平臺並沒有得到重視。

據溫州都市報報道，樂清林女士前天下午曾坐過犯罪嫌疑人的車，從樂清虹橋到翁垟，司機將其帶至偏僻處圖謀不軌，林女子事後曾將此事投訴至滴滴平臺，目前林女士還在配合警方調查。

滴滴方面也證實了在該車主作案的前一天，的確有另一名順風車乘客投訴其“多次要求乘客坐到前排，開到偏僻的地方，下車後司機繼續跟隨了一段距離。

“我們的客服承諾兩小時回複但並未做到，也沒有及時針對這一投訴進行調查處置，無論什麽原因，我們都負有不可推卸的責任。”滴滴方面在案發後這樣表態。

海量訂單背後，滴滴需要的是一個可以撐得起數據的安全保障體系。

今年3月發布的《2017年中國獨角獸企業發展報告》顯示，滴滴估值560億美元，位列第二名。滴滴出行CEO程維日前公布的數據是，2017年，滴滴服務了74億次用戶的出行，滴滴每天服務的用戶訂單超過3000萬筆、4000萬人次。

交通運輸部官微此前發布了一篇題為《檢驗網約車發展的標準是人民群眾的獲得感》的文章。文中指出：網約車企業是運輸服務的提供者，必須要承擔承運人責任和相應的社會責任。檢驗網約車發展的標準不是“流量”或“估值”，而是人民群眾的獲得感。乘客和司機是網約車企業的“衣食父母”，是其走遠做強的“資本”，正是他們的選擇撐起了企業的“流量估值”和持續發展。如果沒有乘客和司機的選擇，再大的網約車平臺終將會轟然倒塌。

而這篇文章在業內一度被解讀為是在喊話滴滴。

被輕視的人車不符

在此之前，市場對於網約車的安全問題一直聚焦在司機本身，比如部分網約車駕駛員存在吸毒、精神病、違法亂紀等問題。

2015年12月，深圳市公安局刑警支隊破獲某平臺2名網約車駕駛員非法買賣槍支案，近排查深圳網約車司機中有吸毒前科或重大刑事犯罪前科共3086名。

由於順風車合乘、平攤費用的拼車性質，本質上不屬於經營性業務，網約車平臺不承擔承運人責任，所以此前對順風車的監管要比網約出租車寬松不少。

此前，註冊順風車司機提交證明環節無需本人手持證件，若有人購買全套虛假材料提交註冊，平臺難以辨別。

有報道稱，滴滴順風車在註冊審核環節上存在明顯漏洞。女性司機在上傳了男性司機的系列證件後也能正常過審。

但是5月份之後，滴滴已經在順風車車主資質審核上下了不少功夫。全國整頓一周重新上線之後，車主每次接單前必須進行人臉識別。

這次樂清姑娘遇害案之後，滴滴方面也表示嫌疑人鐘某此前背景審查未發現犯罪記錄，是用其真實的身份證、駕駛證和行駛證信息（含車牌號）在順風車平臺註冊並通過審核，在接單前通過了平臺的人臉識別。

但是嫌疑人的案發車牌系鐘某線下臨時偽造。

也就是說，這筆訂單出現了人車不符的情況，但是乘客趙某在上車的時候並沒有拒絕。

而人車不符其實是目前眾多網約車案件的重要隱患。

2016年5月2日，深圳一名24歲女教師搭乘滴滴順風車返回學校，司機潘某持刀逼迫被害人交出身上財物，之後將其殘忍殺害。隨後滴滴公司通報稱，涉案司機在平臺上的註冊信息均為真實信息，但涉案車輛的牌照系司機臨時偽造。根據警方的調查結果，受害人在發現車牌和平臺信息不相符時，選擇了在平臺上取消訂單，並繼續乘坐。

事實上，滴滴為此已經多方宣傳希望乘客重視。滴滴順風車此前已上線人車不符評價機制，主動邀請乘客評價司機和車輛是否與軟件顯示信息一致，並聯系前後多個訂單的乘客進行核實，一經確認立即封禁。

只是，很多時候，貪圖方便的乘客往往選擇忽視人車不符的情況。

被商業化的順風車

2016年7月28日，交通運輸部公布了《網絡預約出租汽車經營服務管理暫行辦法》，其中第三十八條規定：“私人小客車合乘，也稱為順風車、順風車，按城市人民政府有關規定執行”。順風車不受《網絡預約出租汽車經營服務管理暫行辦法》的約束。

但是隨後各地發布的指導意見中均對合乘車輛每日的派單數量作出規定，北京、上海等地要求上限為2次。但滴滴順風車此前每日最高可接單數為15單，明顯高於各地政府的規定。

這意味著，順風車中存在一定數量的“專職車主”，他們並非在上下班或有計劃的出行中順便捎人，而是帶著營利目的專職運營。

事實上，在專車、快車補貼明顯縮水之後，的確有一批曾經的專車、快車司機做起了全職順風車司機。而這些順風車司機的存在，讓原本合乘、平攤費用的拼車性質變味，違背了順風車原本的公益定位。

但是為了吸引更多的車主成為順風車司機，大多數時候，平臺默許了這些全職順風車司機的存在，放棄拒絕這些有潛在危險的用戶。

當然，順風車並不是滴滴一家獨有的業務。

目前市面上，除了滴滴，還有做順風車起家的嘀嗒，以及剛加入順風車不久的高德。

據嘀嗒方面的數據顯示，其已擁有超過8000萬用戶，1250萬車主。滴滴順風車數據顯示，其已覆蓋國內近400座城市，匯集了2300萬車主分享自己的座位。

而這場面對順風車的調整將影響著三家的業務走向。

因為即使網約車已經可以通過互聯網實時監控機動車的行蹤，甚至可以用技術手段實現可視化監控，即使網約車外在安全性上實際已經比傳統出租車更為可靠，但滴滴們至今依然沒有辦法百分百保證乘客的安全。

不過，在接連出現順風車人命案之後，逃離的不僅僅是恐慌的乘客，還有那些不希望被“汙名化”的車主。

此內容為第一財經原創。未經第一財經授權，不得以任何方式加以使用，包括轉載、摘編、複制或建立鏡像。第一財經將追究侵權者的法律責任。 如需獲得授權請聯系第一財經版權部：
021-22002972或021-22002335；[email protected]

責編：劉佳

立法要跟上：如何保護消費者個人信息和隱私

以8個比特幣（約人民幣37萬元）標價，就可以輕松獲得1.3億條酒店入住登記身份信息，和2.4億條酒店開房記錄。

這是8月28日爆出的華住集團旗下所有酒店用戶數據被泄露的情況。截至目前，華住集團官方回應，已啟動內部自查並報警。同時，上海警方已介入調查，表示將始終嚴厲打擊非法獲取、買賣、交換、提供公民個人信息等違法犯罪行為。

而這已是華住集團第二次被卷入信息泄露事件。國內安全漏洞監測平臺烏雲（WooYun.org）早在2013年就發布報告稱，如家、漢庭等大批酒店的開房記錄被第三方存儲，並且因為漏洞而泄露。面向大眾市場的漢庭即為華住酒店集團旗下酒店。

面對個人信息泄露，中國電子商務協會政策法律委員會副主任、上海段和段律師事務所合夥人劉春泉表示，目前曝光的因信息泄露而造成的重大刑事案例，都不是個人泄露的。從國家立法角度來說，約束企業的思路是對的。

8月29日，中國消費者協會公布的《App個人信息泄露情況調查報告》（下稱《報告》）建議，如何保護消費者個人信息和隱私，尊重消費者的價值和意願，讓消費者個人信息和隱私數據不再“裸奔”，並受到合理的尊重和保護，離不開社會各界的廣泛參與和共同治理。

圖片來源：《App個人信息泄露情況調查報告》

個人信息采集及泄露呈普遍趨勢

當下，消費者在享受移動互聯網快速發展帶來的各種利好時，個人隱私信息泄露、盜用、販賣事件時有發生，騷擾、詐騙電話和郵件時有發生。

前述《報告》稱，根據5000多份有效問卷調查結果，個人信息泄露情況相當嚴重，信息泄露途徑和表現形式多樣。個人信息泄露總體情況比較嚴重，遇到過個人信息泄露情況的人數占比為85.2%。

由於個人信息的大範圍泄露，電信詐騙屢見不鮮。劉春泉表示，電信詐騙之所以屢屢得逞，是因為個人信息“裸奔”泛濫，騙子能報出準確的個人信息，導致迷惑性強，稍有不慎就容易上當。

不過，個人信息大範圍泄露與網絡實名制有很大關系。由於對個人信息的重要性認識不到位和缺乏個人信息保護的專業技能，普遍都沒有得到很好的技術和法律保護。

此外，手機App過度采集個人信息呈現普遍趨勢。《報告》稱，手機App需要獲取的權限種類繁多，最突出的是獲取位置信息和訪問聯系人權限；而且存在App自身功能使用非必要的情況下獲取用戶隱私權限，增加了個人信息泄露的風險；多數受訪者認為手機App采集個人信息的原因是為了推銷廣告。

值得關註的是，信息泄露也呈現增長趨勢。數據顯示，2016年全年泄露或被盜的數據量大約是19億條。而2017年，雅虎在提交給美國金融監管機構的文件中，承認30億賬戶全部泄露。一家的泄露數據量，相當於2016年全年的1.5倍。

中國電子商務研究中心特約研究員、地歌網CEO余德接受第一財經記者采訪時表示，信息泄露的實施主體有個體也有組織。獲取的方式也可分為兩類，一類是通過職務行為非法獲取，以及非法購買、收受、交換等方式獲取，另一類是技術泄露，如漏洞、木馬、拖庫（黑客術語，意即將數據庫里所有數據全部盜走）等。

對於此次華住集團的信息泄露，也有業內人士分析，主要是有“內鬼”主動泄露相關信息。

此外，消費者個人信息泄露後的應對措施不足。調查數據顯示，在個人信息泄露情況發生後，消費者最擔心被利用從事詐騙竊取活動或交給第三方。然而，最終有大約三分之一的受訪者選擇“自認倒黴”，消費者的主動維權意識還有待加強。

余德表示，從公民個人信息的侵犯維度來看，在互聯網發展的歷史上，個人信息泄露的事件一直都有。如果是離職員工泄露數據或在職員工內外合作非法“盜取”的情況，酒店需要為內部管理存在漏洞而承擔相應責任。如果是黑客“拖庫”入侵，要是企業沒有給予與其規模相匹配的技術保護，則也需要承擔相應責任，像華住這樣擁有龐大體量個人信息的集團企業，應該配備高級別的安全防護等級。否則，企業也是受害方。

圖片來源：《App個人信息泄露情況調查報告》

提高立法司法機關的認識

個人信息保護立法事關每個公民利益，也是大家切身感受到的各種信息騷擾、電信詐騙背後涉及的法律問題。

個人信息保護法的研究已經持續多年，雖然目前還沒有列入人大的立項規劃，但學術界認為繼網絡安全法和電子商務法之後，個人信息保護法是下一個網絡信息領域必須重點研究的立法課題。

2012年底，全國人大常委會也發布了加強網絡信息保護的決定，正式推行網絡實名制，同時從立法層面明確了個人信息保護的法律要求。2017年6月1日，《網絡安全法》正式施行。

日前，民法典各分編草案初次提請十三屆全國人大常委會第五次會議審議。針對隱私權和個人信息保護領域存在的突出問題，人格權編草案在現行法律規定基礎上進一步強化對隱私權和個人信息的保護，並為即將制定的個人信息保護法留下銜接空間。

中國法學會民法學研究會副秘書長孟強表示：“草案首次對隱私權作出了明確的界定，用單獨一章對保護隱私權和個人信息進行了詳細的規定，有效回應了現實需求。”

劉春泉日前撰文稱，縱觀各國個人信息保護的立法模式，個人信息單行法立法保護是比較普遍采用的做法。雖然徐玉玉案件極大提高了個人信息保護必要性的認知程度，但全社會尤其是立法司法機關對於個人信息的價值和保護的必要性的認識現狀還太低。很多人還是無法把個人信息保護與電信詐騙等個人信息濫用的惡劣後果聯系起來。

劉春泉表示，“這一次，華住集團信息泄露，有可能你我的信息都在其中，但是我們很難證明，有哪些損害後果。”

“按照一般的侵權行為，法律上有4個要點，侵權行為、損害後果、因果關系、當事人過錯。要證明是被告把你的信息泄露了，而信息泄露這個鏈條其實是很長的，一般原告當事人是很難證明的，這是一個很重要的原因。”劉春泉說。

劉春泉認為，華住集團等企業之所以不夠重視個人信息安全，在於法律對他們沒有威懾。不過，現在法律環境也變了，《網絡安全法》也已經實施。要是再打官司的話，有可能也會發生變化。

他認為，對於這個案件，有可能觸發主管部門對其進行立案調查。除了刑事案件以外，還會調查華住集團有無履行《網絡安全法》的義務。如果履行了可以減輕責任，現在信息泄露，肯定也是有合規工作沒做到位的地方。因為保護信息安全是企業的法定義務，沒有保護好，導致泄露涉嫌違法。

中國消費者協會也建議，從健全相關法律法規方面，進一步明確網絡信息服務中交易雙方的權利義務，特別是對App服務提供商的義務與責任約束，做好個人信息和數據應用中相關風險和問題的應對與研判，讓網絡時代的數據產業在法治範圍內發展。

此外，手機App的監管和個人信息的保護，需要工信、市場監管、公安、文化、網安等有關部門協同共治、動態監管。在嚴格準入門檻和登記備案的同時，要嚴厲懲處各類違法違規行為，嚴厲打擊個人信息販賣的黑色產業鏈，對於侵犯消費者個人隱私信息的行為，形成常態化監管機制。

個人信息立法的借鑒經驗

當前，中國個人信息保護的司法案例，主要由一些法律專業人員，例如律師、消費者保護機構等在推動。

劉春泉稱，由於我國目前個人信息維權民事案件本來就少，除了江蘇消保委起訴百度撤訴外個人還基本都敗訴，因而企業沒有盡到合理謹慎的信息安全保障義務甚至是赤裸裸侵權行為，本來就舉證困難，現在則基本就是零風險狀態。

目前，我國個人信息保護在行政執法領域，主要是《消費者權益保護法》、《網絡安全法》。《網絡安全法》的執法力度相對較大，根據公布的案例，騰訊微信、新浪微博、百度貼吧涉嫌違反《網絡安全法》被立案調查，BOSS直聘被網信辦責令整改，這算目前的重大執法案件。

與此形成鮮明對比的是，雖然歐美也不乏個人信息泄露事件，但歐美企業普遍比較重視網絡隱私或個人信息保護，並非自覺，而是迫於實實在在的法律風險。

例如，2012年谷歌因為瀏覽器safari設置問題，曾被美國聯邦通信委員會（FCC）罰款2250萬美元；2014年9月Verizon公司因為沒有給200萬電話用戶提供Optout(退出)選擇，被FCC查處，結果以740萬美元和解結束對其涉嫌侵犯隱私的調查等。

劉春泉稱，中國在立法時，應該較多參考研究其他域外立法，包括印度、新加坡、日本，其個人信息保護水平也不低於我國。

他認為，從中國反壟斷法的執法來看，個人信息保護執法不排除學習歐盟的可能性。結合歐盟對谷歌等企業反壟斷等多次巨額罰款，這一行政執法措施監管確實震懾力巨大，可以通過巨額罰款的行政責任引導企業合規。在目前，司法訴訟仍不失為中國個人信息保護立法值得考慮的主要保護途徑。從科學合理與漸進進程角度來說，通過民事訴訟責任引導企業合規，似乎更加科學合理。

此內容為第一財經原創。未經第一財經授權，不得以任何方式加以使用，包括轉載、摘編、複制或建立鏡像。第一財經將追究侵權者的法律責任。 如需獲得授權請聯系第一財經版權部：
021-22002972或021-22002335；[email protected]

責編：黃賓

誰賣了我的隱私？

1 : GS(14)@2011-04-10 22:53:46

http://www.nbweekly.com/news/world/201103/13895.aspx
在互聯網時代，數據挖掘和窺探隱私這種活動，就如同18世紀哲學家傑裡米·邊沁所描述的“全景式監獄”一般，犯人時刻感覺到有一雙眼睛在監視他們，卻看不到監視來自何方。

文_Joel Stein  編譯_凌奧幸
  在我將自己的名字和電子郵箱地址告訴麥克·費提克三個小時後，這位Reputation.com的首席執行官便輕而易舉地報出了我的社會保險號。“我們早就拿到這串數字了，只是我一直忙著沒給你打電話而已。”
在過去的幾個月裡，我一直在研究各大公司在網上暗中蒐集個人數據的行為。這些公司通過收集我所瀏覽的網頁、購買的產品、Facebook照片、持有的保修卡和會員卡，以及在線收聽的音樂甚至是我所訂閱的雜誌，從而分析出我的個人信息和興趣偏好。
根據類似的數據蒐集，即使沒有見過我本人，網站也可以像偵探一般描述出我的樣貌。例如在谷歌的定向廣告服務商看來，我是一個喜歡政治的人，愛吃亞洲食品，習慣噴香水，愛看名人八卦及動畫片，對“書籍與文學”或“人類與社會”不感興趣（這兩點並不屬實）。
而在雅虎的描述中，我是一個36-45歲之間的男人，使用蘋果Mac電腦，熱愛曲棍球、饒舌和搖滾樂，喜歡研究子女教育之術、食譜、服裝以及化妝品。雖然六年前我就已搬到洛杉磯，但雅虎仍認為我是個紐約人。
位於德克薩斯的數據營銷公司“聯盟數據”則掌握了跟我有關的一些財務數據，比如說：我現年39歲，大學畢業，猶太血統，一年收入至少有12萬美元，是忠實的網上商店消費者，但是每件物品的花費平均只有25美元，它甚至知道我在2010年10月10日花180美元買了套內衣。
位於曼哈頓的EXelate是個人信息數據交換平台。在它看來，我的個人財富不菲，旅行目的地基本都在美國國內。而EXelate的競爭對手BlueKai則認為我智商較高，是公司高級管理人員，願意花錢租用運動款車型（當然，這一點也不盡正確）。而且，由於我曾在HerRoom.com上為妻子買過180美元的東西，它便認為我是一個18到19歲之間的姑娘。
像上述所說的這些公司，我還可以找出很多。由於彼此的側重不同，它們對我的描述、評價也各不相同。這些和我有關的信息不管正確與否，都會以每條不到1美分的價格賣給廣告商，後者再根據這些對我的描述，定期向我發送廣告郵件、產品目錄或信用卡辦理信息。在過去的幾年裡，類似這樣的信息買賣在美國大行其道，其市值已經達到了驚人的數十億美元。
互聯網上的洪水猛獸
對於美國參議院通信、技術以及互聯網小組委員會會長約翰·克里來說，這個行業亟需得到管控，而他也正準備提交一份法案，要求該行業嚴管個人信息，防止黑客盜用。在克里看來，“（這個行業）沒有行業規範和標準，也沒有建立起任何保護個人隱私的方法。”
參議院有關個人隱私的系列聽證會於今年3月16日開始，聯邦貿易委員會也參與其中。該機構之前已經發佈過一份報告，要求主要瀏覽器運營商制定一套技術，允許用戶選擇自己的信息免受第三方公司收集。但即使類似的政策被強制實施，亞馬遜公司如果想要記錄你的過往在線購買記錄並向你提供“推薦購買”，依然是合法行為；而美國運通公司也可以通過你最近的一次“古怪”購買行為，來判定你的信用卡是否已遭盜用。當然，如果上述兩大公司不經你的允許便將信息透露給第三方公司，則可視為違法。
不經用戶同意擅自使用他們的信息並從中牟利，其實並不新鮮。早在電話、郵政時代，這樣的市場銷售方式便業已存在。而竊取他人隱私的行為，則早已被法學家們認定為公民私生活中的巨大威脅。1890年，美國法學家路易斯·布蘭戴斯說，不經他人允許便將其照片印刷出來，會給當事人帶來比身體傷害更大程度的精神痛苦。在科技日新月異的信息時代，我們在享受便捷即時信息的同時，也在無意中將個人信息暴露在廣闊的信息時代裡，例如你的房屋價格、離婚證明、犯罪信息甚至是給某個政客或組織的捐款記錄等等。在以前的時代，想要得知這些信息，可能需要24小時的貼身跟蹤以及朋友般的深度對談。而在互聯網年代，想要拿到這些信息，則是一件輕而易舉的事。
在人們的實際生活中，類似的數據、信息挖掘行為，可能會把你嚇個半死。有一次我給一位住在德克薩斯州的朋友寫郵件，提到我可能過段時間會去當地拜訪。郵件發出之後，我的收件箱立刻收到一封廣告，向我推薦一家位於該州休斯頓市的餐館。
當然沒有什麼變態狂在隨時關注我的郵箱，這只是網站設計的獨特程序，其作用是可以更方便、迅捷地向我這樣的消費者定向提供廣告。
由於定向廣告比一般廣告更加有效，網站因此索要的費用也成倍增加。相比老式的網幅圖像廣告和彈出式窗口廣告，定向廣告看起來更小巧，視覺上也沒那麼強的侵略性，很多網站為了不犧牲頁面內容的質量，往往轉而靠這樣的廣告營利。除此以外，我作為一名消費者，實際上是與其他999名同樣即將前往休斯頓的消費者被打包提供給了廣告商。而在定向發佈廣告的過程中，並沒有專人負責查看每一個類似消費者的全部個人介紹，廣告商們關心的不是我這個人，而是我“即將前往休斯頓”的行為。
基於這一論點，斯坦福大學法學院教授瑞恩·卡羅爾認為，此類數據挖掘和蒐集，並不會給消費者帶來實際的傷害。“被人追蹤的感覺並不好受，但是這種類型的隱私權侵犯並不一定意味著傷害。”
正如卡羅爾所言，數據挖掘和蒐集的真正問題在於信息的錯誤性。“如果描述你的信息出現錯誤，或許你會因此收到一些根本不需要的產品廣告，這是一回事；但是如果由於這樣的錯誤信息，你沒能申請到信用卡或得到一份工作，那就是另一回事。”華盛頓非營利機構“民主與科技中心”負責人賈斯汀·布魯克曼說。
Bizo是一家專門蒐集公司高管信息的公司，其首席執行官羅素·格拉斯在談到自己所在的行業時說：“這就像我們兒童時期，都害怕隨時會從床下蹦出一個怪獸一樣，人們對未知的事物總是抱有恐懼。他們不知道，像我們這樣的公司其實根本就不清楚每個人到底是誰，我們只是需要一點點消費者的信息，好幫公司賣一些廣告。”
無處不在的監控
和往日那種如無頭蒼蠅般傳播的垃圾郵件相比，現今的數據挖掘和在此基礎上發展起來的定向廣告，顯得更與時俱進，並不斷進行自我革新，“定向重置”就是研發出來的一項新技術。該技術可以記錄你在網上商店瀏覽的每項商品，而當你瀏覽其他網頁時，與其相關的商品會被搜索出來，然後推薦給你。
Zappos是美國一家專門賣鞋的B2C網站，該網站曾不遺餘力地採用這種“定向重置”向消費者推薦產品，並因此為人詬病。它的一大問題就在於廣告推出得過快，好像一個百折不撓的推銷員般令人生厭。“我們把原來傳統的那一套搬到了網上，”Zappos直銷主管達靈·沙莫爾說，但是在實踐中卻發現，不經考慮地向這些人發佈廣告會招來罵聲，類似的教訓成為公司調整營銷策略的主要原因。
在新的營銷策略中，消費者收到、看到某一件新產品的廣告不會超過5次，不會長於8天。同時對於潛在的顧客，Zappos會根據他們的購買想法向其推薦類似的產品。這就好比你在亞馬遜網站上購買了一本《1984》，後者會向你推薦赫胥黎的《美麗新世界》一樣。
對於伴隨著互聯網長大的年輕人來說，他們或許期待更多的數據挖掘和使用，但這並不意味著他們完全不在乎自己的個人隱私。麻省理工學院教授謝利·特克說：“我在研究中發現，青少年們對於這種無加管制的數據挖掘實際心存憂慮，他們害怕自己的學校會光顧這些信息，準備報考的大學也會拿到這些數據，甚至未來的僱主們也可以在招人之前通過這些個人信息將他們的過往查得一清二楚。”
“這和我當年成長的社會環境完全不同。小時候，我的外婆常帶我去布魯克林的自家信箱查收郵件，那時候她說只有聯邦政府有權查看我們的信箱，那樣的社會才是個互相信任的美國社會。”在特克看來，數據挖掘和窺探隱私這種活動，就如同18世紀哲學家傑裡米·邊沁所描述的“全景式監獄”一般，囚禁其中的犯人時刻感覺有一雙眼睛監視著他們，但卻看不到這種監視來自何方。
當然，我們每個人的身份信息，從來就沒有完全掌握在我們自己手中。朋友手中存有的信件，死敵口中述說的故事，甚至是在校期間拍攝的年鑑照片，都時時刻刻向外界描述著我們每個人的不同面。如果刨去這樣的互動，也便等同與社會脫離。
這樣的論點給數據挖掘公司提供了很好的反擊策略。在這些公司看來，既然我可以在社交網站上顯擺自己披金戴銀的照片，或者將自己想要個孩子但是妻子不願意的家庭糾紛在專欄文章裡抱怨，那為什麼還要埋怨自己收到了關於休斯頓餐館的廣告？
我的回答是：在個人自願基礎上自我發佈的信息是沒問題的，但是我不接受第三方暗地裡蒐集我的信息。因為即使是最自戀的人，也需要一點自我隱私的空間。正如Facebook首席技術官佈雷特·泰勒所說：“分享和跟蹤可是兩個完全不同的概念。”
對於那些數據挖掘公司來說，Facebook簡直是業界最大的福音，集成了最有價值的個人數據信息。Facebook本身並不出售這些數據信息，但是數據挖掘公司可以整合你在Facebook上的公共信息，並售賣給感興趣的第三方客戶。
在整合個人信息領域，能跟Facebook匹敵的公司只有谷歌。谷歌一直宣揚自己對用戶隱私保護的重視，並將用戶信息分門別類：一類是跟用戶個人賬戶有關的年齡、性別、電郵地址等信息，這些信息也是用來申請Gmail以及博客賬號的主要內容；另一類則是與用戶個人電腦相關的登錄數據，從中可以得到用戶的搜索、瀏覽歷史。這些信息會被數據追蹤人以及廣告代理公司蒐集出來並大加利用，唯一的應對方法就是在谷歌面板中改變自己的設置，或者使用“廣告偏好設置”工具，自行設定或關閉自己所想要看的廣告類別。
谷歌的法律顧問尼克爾認為，公司設計這些工具主要針對那些對數據整合使用一無所知的用戶。“當我作為用戶登錄Time.com的網頁時，以為只有該網站可以蒐集我的用戶數據，但實際上，頁面上所有的廣告背後還隱藏著相關公司設計的代碼，用以收集你的信息。很多時候，你甚至不知道那些廣告之後的廣告商到底是誰。”尼克爾說。
蒐集和反蒐集
為了瞭解數據挖掘的整個過程，我下載了Ghostery這一瀏覽器插件，它可以幫助用戶瞭解到底是什麼樣的觀察者在觀察自己。每當你打開一個新的網頁，這個插件就會彈出一個小頁面，列舉出此時數據追蹤程序正在檢索的信息。我嘗試登錄Time.com網頁，發現在任何時間都同時有四個數據追蹤公司的程序在檢索我的信息。
對於這樣的數據挖掘，大眾也表現過一些反抗舉動，例如去年數千名Facebook用戶就曾向他們的朋友發出信息，告之不要使用Spokeo.com這個網站，因為它是有史以來“最令人毛骨悚然的狗仔隊”，這個網站會公佈你的年齡、職業、地址甚至是住家照片。
但對於該網站的創建者哈里森·唐來說，公眾還需要一些時間來適應、瞭解數據挖掘活動。“20世紀90年代，如果有人說我要把自己的照片放到網上讓每個人都能看見，別人肯定以為他是個瘋子。但是看看現在，每個人都在這麼做。互聯網正變得越來越開放，世界各地之間的聯繫更加緊密，你我之間的距離也隨之縮小。如果每個人都是一個由高牆包圍的花園，那麼互聯網也就沒有存在的必要。”
我對唐的話毫無異議，但問題是這個“花園”變得越來越容易被外界打擾，你的政治捐款、住宅價值全都向外界公開。“原本，我們每個人都是默認的隱私個體，他人通過一番努力才能獲取我們的信息。而現在情況完全發生變化了，個人信息公開是默認狀態，保護隱私才要下一番苦功。”電子前沿基金會的高級律師李·提恩說，輕鬆可得的個人數據信息，如果被恐怖分子或者邪惡組織獲得，那將會對他人的安全帶來威脅。
其他一些國家在面對數據挖掘時，採取了更為嚴厲的監管措施。例如在捷克，谷歌的“街景服務”被禁止使用。而在德國，雖然此項服務准許使用，但是民眾可以申請不讓自己的住房出現在街景圖片上。截至去年11月，已有近25萬人要求不要登上該地圖。歐盟負責司法事務的維維亞娜·雷丁則將要向歐盟提交一份議案，允許人們更正和消除網上有關自身的信息。“每個人都有權被人遺忘。歐洲人在上世紀大多有著痛苦的歷史，所以對於這種個人數據信息的蒐集顯得更加敏感。”
在“9·11”事件後，美國對於安全問題的關注似乎壓倒了隱私權的保護，但現在，相關問題被提交到了國會。聯邦貿易委員會主席瓊·雷柏耶特一直致力於呼籲各大網絡公司停止類似的活動。他說：“現在人們上網時，常常會顧慮隱私問題，因而不敢嘗試新鮮事物。這是公眾隱私得不到保護的後果。”
奇怪的是，我對數據挖掘瞭解得越深，擔憂也就越少—他們實際並不會拿這些數據做出一些對我有害的事情。但是，個人數據信息需要嚴加管理以保護一些弱勢群體的安全，這也是不爭的事實。
（本文作者Joel Stein為《時代週刊》定期撰稿人）

---