臉書濫用用戶數據的事件在全世界鬧得沸沸揚揚,臉書在中國沒有業務,但是中國的用戶數據和隱私侵犯仍然存在巨大的黑洞。根據下麵這篇本文轉自公眾號“中國企業家雜誌”(ID:iceo-com-cn)的文章,截至2017年年中,中國網絡黑產從業人員已超過150萬,市場規模高達千億。除了黑產行業,企業也想方設法獲取用戶數據。這篇文章揭示了國內數據保護和使用的雜亂無章。
過去一周,Facebook因間接致超過5000萬用戶數據泄露徘徊在生死邊緣。美國聯邦貿易委員會的調查已經開始,如果屬實,Facebook將麵臨高達2萬億美金的罰款,且深陷信任危機。事件爆發後,公司股價一路下跌,兩日市值便蒸發500億。
稍早前的3月7日深夜,全球第二大虛擬貨幣市場幣安交易所被黑客攻擊,大量虛擬幣被轉換成比特幣,包括幣安、火幣在內的加密貨幣全盤暴跌,部分主流貨幣跌幅超過5%。隨後,幣安交易所發布公告稱,“這是一次大規模通過釣魚獲取用戶賬號並試圖盜幣事件。”
最新引發熱議的是大公司利用大數據“殺熟”。比如使用滴滴打車,同樣的出發地點和目的地,價格卻不一樣,甚至不同手機生成的價格也不盡相同。雖然滴滴CTO張博否認“殺熟”的存在,但這是用戶近距離感受到大數據威力的存在。一切取決於企業的態度和決定。
僅僅一個月時間,因數據問題衍生爆發了幾起全球惡性事件。雖然發生地點、領域有所不同,但背後無一不涉及商業利益。犧牲品即是用戶的數據安全和信息隱私。令人心驚的是,截至2017年年中,中國網絡黑產從業人員已超過150萬,市場規模高達千億。
不可否認,在萬物互聯的時代,數據的戰略重要性與日俱增,大數據產生的商業價值也得到共識,但真正能實現商業價值的數據隻是一小部分。那些打著“保護用戶隱私”旗號的作惡者卻在有意且盲目地搶占數據。作為被爭奪的主角,用戶往往表現得很無力,毫無反抗餘地。
一定程度上這與監管缺失有關。去年6月1日,兩項網絡安全的法律條例開始施行,非法獲取、出售公民個人信息最低五十條以上即可認定為“情節嚴重”,達到入刑的標準。三個月內,北京市海澱警方破獲了30餘起與此相關的案件。而在此前,即便是上億條數據的交易,由於缺乏司法解釋,案件走不到訴訟程序,往往不了了之。
能站在數據權力頂端的,很可能是那些能真正使用好數據的超級公司。因為幾乎所有采訪對象都表示,國內對數據的保護和使用仍然雜亂無章,黑產毫無底線,互聯網企業則是靠自律行事。
掌管著10億用戶的微信被質疑“天天看用戶聊天”,張小龍曾在2018微信公開課親口否認。官方也明確回應,微信不留存任何用戶的聊天記錄,聊天內容隻存儲在用戶的手機、電腦等終端設備。此外微信不會將用戶的任何聊天內容用於大數據分析。
阿裏巴巴是國內最推崇數據價值的企業之一。過去五年,馬雲大多數公開演講都提到DT時代企業的機會和責任。2012年,在阿裏巴巴首設CDO(首席數據官)時,馬雲在內部郵件寫到,“將阿裏巴巴變成一家真正意義上的數據公司”。
握有數據的一方急需兌現數據的權力,似乎這樣可以站到未來戰略的製高點。隨著人工智能、新零售等行業一個個踏上風口,數據開始被大規模使用,企業與用戶之間、企業與企業之間的摩擦明顯加劇。
數據黑產
信息泄露正以無孔不入的態勢入侵正常生活。用戶授權某一應用使用手機麥克風,或在社交平台與好友互動,甚至無意間登陸一個網站,都存在信息被實時獲取的可能性。
“過度且愚蠢。”火絨安全聯合創始人馬剛有些憤恨,在他看來,數據也分有效和無效,大多數企業對數據的使用效率很低。“像是跑到用戶家搜了一圈,拿走很多信息,但沒發現任何有用的。傷害了用戶,自己也沒得到什麽好處。”
火絨是聚焦PC端軟件安全的服務商,在他們的監測中,幾乎所有桌麵端的軟件都存在侵權行為,“很瘋狂,甚至一些軟件50%的寬帶用來上傳用戶信息,它們不僅能監測存儲在電腦中的數據,還能記錄用戶上網的賬號。”
知道創宇這家公司得到的數據是,每天PC端的攻擊在300億次左右,而正常訪問量在200億次左右,遠遠低於黑客的攻擊次數。其中,教育、醫療、金融、健身等領域信息泄露最為嚴重。
移動端的數據問題顯然更嚴重,無意中點擊的功能或者下載的應用,就存在手機被ROOT的風險,“它可以繞過任何權限,無論用戶是否同意,都可以記錄用戶所有操作,做任何想做的事情。”梆梆安全副總裁方寧告訴《中國企業家》記者。
與火絨不同,梆梆安全是一家針對移動和物聯網的安全服務商,目前為超過80萬個移動APP提供安全服務。他們的觀察是,除了金融類公司和大體量的互聯網公司有自己的安全團隊,70%的APP最初都是裸奔上線。
移動互聯網中至少有30%的流量流向黑產。以共享單車行業為例,公司初期通過補貼的方式獲取用戶,比如,騎一次單車補貼1元,黑產會模擬手機號和用戶行為,並沒有騎車最終還能騙取1元的補貼。如果一年的推廣經費是10億,其中3億流到黑產。
相比黑產的低級野蠻,移動互聯網竊取用戶信息則充滿狡猾。
Facebook最近深陷危機的原委是,一家名為英國劍橋分析的公司通過一款個性分析測試APP觸及Facebook用戶,在這款測試中,用戶被要求“授權允許該應用獲取自己和朋友的Facebook數據信息”,雖然隻有27萬名用戶同意,但滾雪球效應之後,這款應用最終獲取超過5000萬Facebook用戶的信息。
真正引起恐慌的是英國劍橋分析公司轉手將5000萬用戶的信息售予第三方。Facebook認為上述公司獲取用戶信息經過了用戶許可,但售予第三方未經用戶允許,這是導致此次信息泄露最主要的原因,雖然此前,Facebook已經意識到漏洞的存在。
“是否經過用戶允許”是判斷企業使用用戶信息合法與否的重要標準。在安裝一個新APP時,通常被要求訪問通訊錄、地理位置等信息,但訪問的目的、時間和方式等,幾乎沒有企業會給出明確解釋,而《網絡安全法》對此有明確的規定。
2018年春節,今日頭條狂砸10億元發起“發財中國年”的活動,用戶可以通過集生肖卡、紅包雨、拍小視頻拜年等方式領取現金紅包。本是一個撒錢賺用戶的活動,但在提現協議中,包含大量對個人隱私“包括但不限於身份信息、個人信息、賬戶信息”的收集。更重要的是,簽訂這份協議就表明用戶同意今日頭條將所有個人信息提供給第三方,以及要求用戶同意在注銷賬戶之後,“公司仍可保存注銷前的相關信息”。
而就在此事發生前一個月,今日頭條、螞蟻金服、百度三家公司被工信部約談,起因也是私自收集個人信息,工信部認為上述公司存在用戶信息收集使用規則、使用目的告知不充分的情況。
“過度采集用戶信息在互聯網公司很普遍。”中關村大數據產業聯盟秘書長趙國棟告訴記者,利用獲取信息的特權,企業搭便車過度采集信息。
麵對“獨角獸”和“巨無霸”,海澱警務支援大隊的董立波能采取的應對之策非常有限,“它們不會明確超出法律界限,隻是行走在灰色地帶,而且關鍵數據都存在自己的服務器,調查取證比較困難。”2017年,董立波和團隊破獲了上百起案件,一年中大半年時間都在出差。
由於保護隱私意識匱乏,用戶很有可能無意識簽下同意泄露個人信息的協議。
1月初,支付寶發布年度賬單,最下方的“我同意《芝麻服務協議》”一行字不僅字體小,而且默認打勾。協議聲稱,支付寶可以直接向第三方提供用戶相關信息,並且可以進行分析、推送給合作機構,以及有權不支持用戶撤銷第三方的信息查詢授權。後被用戶發現,支付寶道歉並修改默認用戶同意的選項。“無論如何,支付寶不應該默認用戶允許,但是否違法也說不清楚,還是灰色地帶。”馬剛分析。
諸如此類的擦邊球在互聯網行業非常普遍。董立波發現最新版的淘寶平台服務協議詳細定義了“淘寶平台”和“阿裏平台”的範圍,“以前沒有這麽詳細。”在他的案頭,擺著大量和法律條文相關的書籍,各家協議通常充斥著文字遊戲,董立波需要從裏麵找到漏洞。
雖然法律已經明確規定未經被收集者同意,不能將合法拿到的用戶信息向他人提供,但在淘寶協議中,仍然表示“會將用戶信息與關聯公司共享”,並且未標明使用目的、方式和範圍。董立波解釋在新的《關於辦理侵犯公民個人信息刑事案件適用法律若幹問題的解釋》(下稱《解釋》)中,數據不能繼承,比如,母公司獲取的數據,不能直接提供給子公司。
數據黑洞
想方設法獲取用戶數據隻是一方麵,企業之間的數據爭奪也浮上水麵。
撞庫是指黑客通過收集互聯網已泄露的用戶和密碼信息,嚐試批量登陸其他網站,得到一係列可以登錄的用戶,在用戶不同平台采用同樣的登錄賬戶和密碼時,撞庫成功率尤其高。最近發生的360與B站之爭就涉及到撞庫問題。
快視頻是奇虎360於去年11月推出的短視頻產品。今年2月,大量B站用戶用同樣的用戶名和密碼可以直接登錄快視頻,而他們此前並未在快視頻注冊。快視頻被詬病的另一問題是,大量內容與B站重合。截至2月22日,快視頻查出來自B站的非正版賬號近五千個,相關視頻內容共計一萬六千多條。
雖然快視頻否認撞庫並拖庫B站數據,但外界認為撞庫是快速獲取用戶和信息的重要手段,一位業內安全人士分析,“這樣做是造成虛假繁榮的假象,把影子搬來了,但沒有人。”
從注冊賬戶的競爭到“賬戶+數據”的競爭,七牛雲總裁呂桂華的感受非常明顯。日活是比注冊賬戶數更重要的考核維度,而支撐日活的是用戶留在平台上的數據和關係,“企業現在都知道如何控製用戶,留下用戶和數據,以及過程中產生的關係,用戶自然會回到平台。”
過去三年,呂桂華感受到企業對數據愈發重視。作為企業級雲服務商,大量公司將數據存儲在七牛雲的服務器上麵,“過去企業會因為省錢,定期刪掉服務器上的一些數據,但現在即便短期用不到,企業也會保留數據。”
去年6月1日,順豐、菜鳥短兵相接,爭奪的焦點就是數據。菜鳥聲稱為保護消費者隱私、電話信息安全,對全網物流數據進行信息安全升級,但順豐拒不配合。順豐的理由是,菜鳥要求提供與其無關的客戶隱私數據,此類信息隸屬於用戶,未經用戶許可,無法提供。
一天之後,兩家之爭迅速擴張為兩個陣營,一方是以“四通一達”為代表的菜鳥係,一方是迅速馳援順豐的京東、美團、網易等企業。雙方最終調和細節不得而知,但事關身家性命,任何一方都不想退步。
去年8月底,上海知識產權法院就百度涉嫌以不正當手段使用大眾點評信息一案作出判決,百度敗訴,賠償大眾點評323萬元。呂桂華認為這是典型的因數據爭奪而引起的企業摩擦。
事情的起因是,用戶在使用百度地圖和百度知道搜索某一商戶時,頁麵會顯示用戶對該商戶的評價信息,其中大部分來自於大眾點評。比如,涉及餐飲行業的1055個商戶中,共有86286條評論信息來自大眾點評,有784家商戶使用的評論信息中超過75%來自大眾點評網。
最終法院以“百度大量使用大眾點評網的信息,實質性替代了原告網站,具有不正當性”為由宣判。在這起摩擦中,百度顯然動用了本應屬於大眾點評和用戶的數據信息,並對雙方都沒有告知。
桌下的數據導流交易在行業內也是公開的秘密。
從2016年開始,支付寶作為征信機構,將芝麻分與不少網貸平台打通,為後者提供風控業務。此前一位網貸平台業務負責人在接受采訪時曾表示,支付寶會向其提供用戶風險評估結果,作為交換,用戶在網貸平台完成借貸行為,“需要將20天以上的用戶相關數據回複給螞蟻金服”,以此,支付寶完善自己的征信黑名單。
類似行為在《征信業管理條例》中已經有明確規定,作為網貸平台,“向征信機構提供個人不良信息的,應當事先告知信息主體本人。”去年下半年,在積累大量數據之後,支付寶開始收緊合作的口袋。
在去年6月1日開始施行的《解釋》中提到,“未經被收集者同意,將合法收集的公民信息向他人提供”屬於非法出售、非法提供個人信息的行為。
相比企業之間的數據爭奪,趙國棟認為更嚴峻的問題是數據割據,BATJ都有自己的數據,但之間並不互通,企業在知道數據重要性之後,紛紛建起籬笆。而在此之後的數據交易中,由於體量不對等,很容易出現數據霸權。
從某種角度來說,網聯的出現就是為了平衡第三方支付平台與傳統銀行之間的關係。網聯出現之前,第三方支付通過在多家銀行開設的賬戶直連,繞開清算機構。“銀行無法獲取第三方支付平台之間交易的數據,長期以往,就會成為數據黑洞,擁有大量數據,又完全對外隔離。”趙國棟分析。
趙國棟認為瓦解數據霸權的方式是對數據確權,也是就是所有權。目前業界達成的共識是用戶的基本信息,比如個人信息、購物信息、地理位置等應屬於用戶,但在商業過程中產生的信息和數據應屬於企業。以高德地圖為例,個人的行蹤信息的歸屬權在個人,但高德根據路況判斷出的擁堵時長等數據歸屬於企業。
數據挖掘
對於數據的挖掘雖然還是冰山一角,但能夠看到,以BAT為代表的互聯網巨頭正逐步走向正循環。
京東大數據平台與產品研發部高級技術專家趙國梁認為,數據應用關鍵在於是否有場景支持,“場景越豐富,數據能發揮的空間越大,反之,數據就是沒用的垃圾。對於BAT體量的公司,業務場景多,根本不愁數據沒法用。”
迄今為止,京東已經在商品采購和銷售、用戶購買、倉儲配送,以及物流售後等環節積累數據,總量達到400PB。
新零售就是將線上數據進行線下使用的場景。7FRESH是京東旗下的生鮮超市,京東可以根據對用戶的精準畫像向其推送7FRESH的商品。這個過程並不是直接把用戶之前的交易信息給它們,而是一個分析結果。
無人超市也需要對不同場景下數據加以綜合利用。阿裏巴巴去年開設第一家無人超市“淘咖啡”,用戶登錄淘寶ID進入超市,購物過程中,攝像頭會收集用戶行為軌跡,以保證後續產品的陳設更好地滿足用戶需求,在結算過程中,攝像頭會自動完成結算和更改庫存記錄,這背後就需要打通不同維度的數據。
彼之蜜糖,吾之砒霜。一樣的數據放在不同的場景,能發揮的作用完全不同。用戶的購物信息留在手中並無價值,但企業可以將此作為多種判斷的依據,一件商品在某個地區銷量格外多,憑借這個信息可以提前在倉儲多囤貨,縮短物流時間。但其中又涉及到數據的流通問題。
趙國梁認為真正阻擋數據在企業間流通的是技術,“不解決脫敏和匿名數據的問題之前,數據在企業之間的流通都會受到阻礙。”
不同於黑產行業,企業對數據的爭奪多是因為想更快占領數據賽道。
去年,華為與微信就因用戶數據發生爭執,事情的脈絡很清晰:華為希望能夠讀取用戶微信中的數據,並且自動加載相關信息,比如聊到電影時,推薦與此相關的應用。但在抓取微信數據時,後者以保護用戶信息為由拒絕,華為則表示已經獲得用戶許可。
毫無疑問,微信的數據屬於用戶,無論二者之中誰在獲取和使用數據時,都要獲取用戶授權。華為之所以想調用微信數據,是想據此嚐試更多交互性體驗。但對微信而言,用戶的聊天數據是它的核心資產,不可能輕易拱手讓出。
在趙國棟看來,企業之間數據爭奪隻會越來越激烈,“小公司麵對大公司可能沒有討價還價的餘地,但大公司都在尋找新的增長點,數據被視為金礦,大家都想挖掘。”
對於目前巨頭可能產生的數據權力,趙國梁認為沒有想象的大,“很難說對社會秩序、經濟製度產生怎樣的影響,但是可以幫助企業家更超前的判斷行業趨勢。”
政府在數據分享中的作用也沒有充分發揮。浪潮集團董事長孫丕恕連續幾年在兩會提出關於“政府開放數據共享”的議案,在他看來,相比於互聯網企業,政府手中的數據體量更大、質量更高。
在阿裏巴巴、騰訊等互聯網公司內部,都有一張巨大的ID映射表,按照不同維度標識用戶,比如姓名、微信ID、淘寶ID、京東ID、摩拜單車ID等,不同場景用戶的信息不同,但這張ID映射表就是將不同場景下的用戶一一對應起來。隨著信息密度的增加,用戶的畫像會逐漸清晰,也毫無秘密,最終成為一個個透明體。
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
