3毛一份账单2元一份明细你的隐私值多少钱
你的隐私值多少钱?
据网络流传的一份数据公司个人信息报价表,3毛能买到你在外卖平台的基本信息和账单详细信息,2元就能买到你在某主流购物平台的交易明细及关联账号的借贷信息……
在几乎人手一部智能手机的时代,各种APP丰富了大众的生活。一般下载完APP后,都会要求用户授权读取摄像头、麦克风、地理位置等。
图/中国新闻网
在习惯了这些看似合理的授权要求后,大多数人在使用某些APP或注册网站时,也会因弹出来的《用户协议与隐私协议》颇为冗长,而直接点击了同意。据中国政法大学一项调研报告,有98%的受访者几乎不会阅读《用户协议与隐私协议》。
而你不知道的是,或许前脚刚注册完账户,后脚大数据公司就利用爬虫抓取了你授权的这些信息。之后,你的信息可能会被打包,出现在报价表上。
随着互联网的快速发展,个人在大数据面前几乎“裸奔”。哪些数据是个人隐私,不能被采集?个人数据被肆意贩卖后,又该如何维权?
大数据行业被“清洗”
“爬虫玩得好,监狱进得早;爬虫爬得欢,监狱要坐穿;数据玩的溜,牢饭吃个够”,最近,这几句调侃语流传甚广。
在刚刚过去的9月份,大数据行业掀起了“清洗”风暴。6家大数据公司被查,公司高管或员工被警方带走协助调查,其中包括爬虫行业最著名的魔蝎科技和拥有国资背景的天翼征信。
一时间,行业人心惶惶。有数据服务公司公告称,停止对外提供用户授权的运营商爬虫服务。
本来爬虫只是一个工具,是可以自动提取网页的程序,本身是中立的。其首要功能就是爬取网页数据,最常用的领域是搜索引擎,爬取各类网站的前端数据,被抓取的网站也能增加曝光度,双方各得其所。
但是,若爬虫用于爬取网站的后端数据,如收集网站用户未公开的私人信息,就触及到法律边缘。据媒体报道,上述6家大数据公司被查,源于“套路贷”和暴力催收,大概率涉及利用爬虫技术非法获取,以及向网贷平台倒卖用户个人信息。
近两年,互联网金融的快速发展,催生了一大批大数据公司。多数大数据公司的主要服务领域也在传统金融和互联网金融,提供的服务也主要是风控和征信。
据媒体报道,魔蝎科技的商务人员曾大规模推广一款名为“同业爬虫”的产品,只需要用户提供其在其他现金贷平台的账号和密码,就可以爬取该用户的所有信息,包括放款额和风控数据。放款机构可以根据用户在其他现金贷平台上的授信额度进行放款,如此便省去了风控环节,节约成本,实现“秒批”和“秒放”。
其实,早在2017年,监管部门就曾对大数据公司动手,大数据行业已经历过一波调查。此次调查,是行业迎来的第二轮清洗。
随着大数据公司被查和暂停爬虫服务,部分网贷平台也由于缺少风控而停止了放贷业务。与此同时,部分中小银行也暂停了大数据风控合作,消费贷门槛收紧。
“一个人的千亿征信江湖”
大数据公司被查的同时,央行也出手了。
近日,有媒体曝出,《个人金融信息(数据)保护试行办法(初稿)》(简称“《办法》”)已经出炉,央行已经下发到各家银行,目前正在征求意见中。其中第十二条中规定:“(金融机构)不得从非法从事个人征信业务活动的第三方获取个人金融信息。”
目前,国内唯一一家拥有个人征信牌照的机构是百行征信。百行征信成立于2018年,最大股东是中国互联网金融协会,持股36%,芝麻信用、腾讯征信、前海征信、考拉征信、鹏元征信、中诚信征信、中智诚征信、华道征信八家民营机构分别持有8%的股份。
“这意味着,金融机构获取个人金融信息,只能从合法持有从事个人征信业务牌照的征信机构获取,目前来看只有百行征信,或者在获得用户和平台合法授权的情况下,从其他不从事个人征信业务的第三方平台获取基础信息,例如电商、旅游、租车等平台”,广东融关律师事务所合伙人余杭对中国新闻周刊表示。
业内人士认为,百行征信属于背靠央行的市场化机构,成立初衷是为了弥补传统的个人征信体系的数据缺陷。
在金融领域,个人征信一直是个短板。据央行征信中心最新数据,央行征信系统已采集9.9亿自然人信息,但是仍有4.6亿自然人没有信贷记录。对于金融机构来说,意味着近一半人没有可供参考的风控数据。
由于传统的个人征信体系不能满足市场的需求,个人征信成了炽手可热的领域,非征信公司(大数据公司)和民营征信公司也应运而生。据财通证券研报,中国个人征信行业潜在市场空间可达1000亿元左右。
“百行征信的核心是搭建中国的个人征信数据库,打破征信市场‘数据孤岛’现象”,中国社会科学院金融研究所法与金融研究室副主任尹振涛对中国新闻周刊表示。
百行征信相关负责人此前表示,已有百余家P2P网贷机构接入百行征信。接入的网贷机构可以共享借款人信用数据。但是,据网贷之家,截至9月底,P2P网贷行业正常运营平台为646家。也就是说,还有近八成网贷机构还未接入。
在苏宁金融研究院副主任薛洪言看来,百行征信作为个人征信行业基础设施机构,其数据不仅向股东开放,也向全行业开放。“当前百行征信处于起步阶段,其数据规模尚小,难以充分发挥决策辅助作用,随着数据量的丰富,吸引力会越来越大,数据接入是迟早的事。”
近日,外媒爆出,阿里巴巴和腾讯等5家股东机构拒绝向百行征信提供信贷数据。百行征信则表示,与各股东方保持良好的合作关系。
中国新闻周刊查阅蚂蚁花呗(蚂蚁金服推出的一款消费信贷产品)的《用户服务合同》发现,用户需同意将履约中产生的相关必要信息(包括不良信息)提供给芝麻信用等信用服务机构和中国互联网金融协会等行业自律组织或其他合法有权机构。也就是说,用户的基础金融信息会被同步到互金协会。
图/支付宝截图
尹振涛认为,如果仅仅是基础数据,特别具有公共属性的数据信息,股东甚至其他企业都有义务提供和共享,但是如果是涉及到企业的核心竞争力,或者自有的商业数据,百行征信就有可能被拒绝。因为任何企业都没有权利去要其他公司的商业信息。
而不久前,马化腾、井贤栋分别卸任腾讯征信和芝麻信用的法定代表人。有媒体称,因为百行征信成立后,腾讯征信和芝麻信用都失去了独立拿到个人征信牌照的机会,这两家公司转向用原有的数据。
某征信公司人士对中国新闻周刊表示,目前国内在个人数据保护方面的法律框架尚未健全,央行也不敢随意颁发个人征信牌照。这也意味着,目前的个人征信领域,是百行征信“一个人的江湖”。
个人隐私的保护和界定
随着互联网的快速发展,个人在大数据面前几乎毫无隐私,接近“裸奔”。社会对个人数据被滥用和隐私泄露的焦虑也日益增长。人们困惑于究竟哪些个人信息可以被采集,哪些属于隐私不能被采集?个人数据被肆意贩卖是否违法,又该如何维护自己的隐私权?
去年,中国出台《信息安全技术个人信息安全规范》,对个人信息的范围和类型,均作出详细规定。其中,个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。
图/《信息安全技术个人信息安全规范》截图
上述规范还规定,信息收集者在收集个人信息时,需要获得个人信息主体的授权同意,收集个人敏感信息时,应取得个人信息主体的明示同意。个人信息主体拥有删除和更正个人信息的权利。
另外,信息收集者在使用个人信息时,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。
而对于违规使用和出售个人信息的处罚,则分布在《征信业管理条例》、《刑法修正案(九)》和《网络安全法》等法律中。但目前,中国尚未出台一部专门的个人信息保护法。
“在中国现有的法律中,对于个人信息保护的规定呈现碎片化,信息主体如何行使权力不清晰、执法部门定位和权限不明确,这些导致了社会中出现个人信息被滥用、个人隐私被侵犯等事件发生”,中国政法大学互联网金融法律研究院院长李爱君对中国新闻周刊表示。
今年7月份,中央网信办相关负责人表示,将加快出台《数据安全法》、《数据安全管理办法》等一系列法律法规。
李爱君认为,实际上,目前行业面临的最大问题不是立法问题,而是执行问题。“《网络安全法》对网络运营者在用户信息收集和使用等方面,均有相关规定。但是对于违法后谁去执法的问题,规定不清晰。另外,信息主体如何行使更正权和删除权等权利,以及在自身隐私被侵犯时,如何举证都是问题。”
尹振涛对中国新闻周刊表示,随着科技的发展,大数据行业出现一些新的状况,之前制定的法律很难约束。另外,即使有了法律,在执法上也会存在问题。
余杭认为,在互联网发展日新月异的今天,安全与效率需要进行平衡,光靠立法是不能满足要求的,需要通过制定法律规范、制定行业标准和企业标准的治理架构来保障个人信息安全。
观之国外,近几年,个人数据保护方面的法律不断落地,其中较为成熟的是,欧盟的《通用数据保护条例》(简称GDPR)。
“欧盟的数据保护已经有长达20多年的实践。我们在借鉴其经验的同时,更重要的是符合本国的实际情况”,余杭表示。
无规矩不成方圆。李爱君认为,目前中国在个人数据保护上面临的问题,阻碍了大数据行业的发展,进而影响了行业在国际上的竞争力。“如果不依法保护信息主体的权利,就会导致‘劣币驱逐良币’现象产生。”