中信銀行事件持續發酵,是誰讓我們變成透明人?

編者按：本文來自微信公眾號「億歐網」（ID:i-yiou），36氪經授權發布。

作者丨薄純敏

編輯丨楊旭然

公民對於隱私權的關注度正在提高，相應的，每一個網際網路企業都需要明白什麼不可為，什麼可以為。

5月6日，脫口秀演員池子發微博稱，中信銀行上海虹口支行未經授權將其個人帳戶流水提供給了上海笑果文化傳媒有限公司。

池子認為，中信銀行這一行為侵犯了自身權益，目前已通過律師發函要求中信銀行、笑果文化賠償損失並公開道歉。

7日，中信銀行已就洩露個人帳戶交易信息一事向池子道歉，並按照規定對相關員工予以處分，但中信銀行的這一做法似乎並沒有消滅網友的怒氣。此事成了最近的微博熱搜，閱讀十餘億，討論近十萬。

嚴重的信息洩露事件之外，每個人更多的隱私洩露，卻發生在網絡使用的細節之中。數據的竊取與濫用更難被察覺，但同樣令人不安。

隱私換「便利「，自願還是被自願？

在智能時代，數據無處不在，小到個人的日常消費，大到健康、教育等眾多決策，這些分布在各個系統的數據可能對我們構不成直接傷害。

一旦將這些數據集中起來，通過數據整合和信息加總，數據之間可進行印證和相互解釋，一個網絡化的「虛擬自己」就誕生了，人們的隱私無所遁形。

有一種觀點認為，中國的網際網路應用使用者願意用隱私去交換一些便捷性，有企業家說過「很多情況下他們（用戶）是願意的，那我們就可以用數據做一些事情。」

用戶真的是自願放棄自己的隱私嗎？有許多貌似自願，都是「被自願」。我想這是目前許多網民的悲哀，「使用權」和「隱私權」必須二選一，最後只能為了使用權「自願」的放棄自己的隱私。

以支付寶和拼多多為例，當你註冊或登錄APP的時候，就代表同意了它的服務協議和隱私政策。為了正常使用服務，你別無選擇，必須同意協議並且授權平臺使用存儲、電話、位置、相機、麥克風、通訊錄等信息。

近日，國家計算機病毒應急處理中心在「淨網2020」專項行動中通過監測發現，多款民宿、會議類移動應用存在隱私不合規行為，其中不乏一些我們耳熟能詳的大公司。

例如，《同程旅遊》（版本9.2.8.1）、《攜程旅行》（版本8.22.2）未向用戶明示申請的全部隱私權限，《自如》（版本6.7.3）未說明收集使用個人信息規則，《泊寓》（版本4.11.2）未提供有效的更正、刪除個人信息及註銷用戶帳號功能，《我愛我家》（版本4.5.1）未建立並公布個人信息安全投訴、舉報渠道或未在承諾時限內受理並處理。

APP「越權」搜集用戶隱私似乎已成為常態。信通院在10個安卓應用市場中選擇了20個類別中下載量大、影響範圍廣、存在典型問題的200餘款APP作為檢測對象，共計檢測出1265項數據安全問題。

其中，67%的APP存在5個及以上個人信息安全問題，超過四成APP的問題集中在未公開收集使用規則、未明示收集使用目的、超範圍收集個人信息等5類。

《網絡安全法》針對個人信息保護的第四十一條具體寫道：「網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則。」然而，什麼是合法、正當、必要其實沒有清楚的界限。

南京郵電大學信息產業發展戰略研究院首席專家王春暉表示：「只要信息（數據）主體接受了信息（數據）控制者或處理者的『隱私條款』就完成了所謂的『合法』環節。事實上，多數App設置的所謂『隱私條款』完全超出『正當、必要』的範圍。」

隱私數據在「裸奔」？

如果被迫接受數據採集是一種悲哀，那麼數據洩露就是每一個人心裡的定時炸彈。

2018年，Facebook由於管理用戶資料存在重大漏洞，導致5000萬數據洩露，且影響美國大選。

2019年，黑客竊取Capital One美國和加拿大約1.06億信用卡申請人和客戶的個人信息。

2019年，深網視界洩露超250萬人的身份證信息、人臉識別圖像及圖像拍攝地點等數據。

數據洩露已不是偶然。Risk Based Security數據顯示，2019年全球共發生7098起數據洩露事件，涉及數據記錄數量151.95億條。

除了這些已被發現的事件之外，還有許多數據洩露事件並沒有通過媒體報導，只是局限於當事方知曉並自動採取應對措施。

2017年11月，Uber主動公開了2016年發生的一起嚴重數據洩露事件。為隱瞞此事件，Uber曾向黑客支付10萬美元封口費。

眾多數據洩露事件早已讓我們明白，在大數據面前，每一個人都披著「皇帝的新衣」，而隱私數據在「裸奔」。

2018年，湖北青年藝術家鄧玉峰在武漢美術館舉辦了一場特殊的個人展覽，展覽的不是名畫，也不是古董，而是「秘密」。它們來自在黑市購買的34.6萬人的信息，包括姓名、電話、地址、身份證、網購記錄、車主詳細信息等內容，而一條信息的最低價格僅為「一分錢」。

28歲的譚某，電話XX，家住武昌和平大道融僑華府*，車牌號XX，發動機號XX，有一輛紅色寶馬車。3月1日上午11:06，她在淘寶網購買了嬰兒用品三件套、尿不溼一箱、奶粉三盒；2日下午，她在淘寶網購買了一件女士外套、高跟鞋一雙，且又在另一個商城購買了一臺兒童洗衣機。這是名為《秘密——鄧玉峰個展》現場，藝術家創造的一個「數據人」。

在這一刻，或許大家才發現，原來智能時代每個人的秘密這麼不值錢。

你是誰？這個問題不再需要你自己回答，數據可以告訴我更真實的內容。

誰來為我們的隱私負責？

漢娜·阿伯特在《公共領域和私人領域》中表示，「有史以來，直至我們這個時代，需要隱匿於私下的東西一直都是人類存在中身體的部分，即一切與生命過程的必然性性關聯的東西。」

只要私人事務存在，隱私就存在。然而現在人們的隱私權卻變得如此脆弱，誰又可以為我們的隱私負責？

在個人隱私保護中，參與者主要有三方：數據輸出方、數據保存方、監管第三方。

數據輸出方——捍衛自己的隱私權利

《衰仔樂園》裡有這樣一個荒誕的橋段：Kyle在升級設備時沒看用戶協議，結果同意了被某水果公司拿來做人體實驗。

生活中的每個普通人何嘗不是那個懵懵懂懂的Kyle？在經歷了多次「被自願」之後，我們也不再關心APP的隱私政策、應用權限等。

當被問到是否擔心個人數據洩露時，劉水（化名）告訴億歐：「其實並不擔心，我在網上沒做過什麼壞事，我不在乎是否有人看我在網上做什麼。」

現實中，劉水並不是一個特例，大家似乎已經忽視許久自己的隱私權。

雖然我們不至於像《捍衛隱私》中所描述的一樣，通過各種方法實現「網上」隱身，但是隱私權作為我們的基本權利還是需要去捍衛。當用戶保護隱私的意識日益提升，也將會倒逼相關企業及組織予以重視。

數據保存方——提高數據安全意識

據閃捷信息安全與戰略研究中心統計，71%的數據洩露原因是缺乏對數據的訪問控制，36%的數據洩漏原因是數據處置不當。綜合來看，數據洩露的原因主要是因為企業技術管理的「不作為」、「亂作為」，也側面反映了企業對數據安全的漠視。

智能時代，用戶即使為了便捷讓渡了一部分隱私權，但企業不應該視為「理所當然」。「如何對待客戶，就應該如何對待客戶的信息」，這是企業對於用戶數據安全的基本尊重。

企業在採集用戶信息的時候需要先反問一下自己，是否有保護信息的能力，是否願為保護信息付費。

慶幸的是，為了避免用戶與公司之間因為「不信任」產生裂縫，企業數據保護的意願越來越強烈。IDC數據顯示，2019年中國安全解決方案總體支出將達到69.5億美元，到2022年，市場規模將增長至137.7億美元。

區塊鏈等新興技術也開始用於解決數據安全問題，保證數據可用不可見。區塊鏈技術本質上是一種分布式系統，目的就是解決信任問題。

衝量網絡就是將可信計算與區塊鏈信任機制結合，構建一個多方聯合數據隱私計算的平臺，讓各參與方在不暴露源數據的情況下，在隱私安全、公平可追溯的前提條件下進行一些數據的聯合計算。

衝量網絡創始人鄧海南表示，公司創立的初衷是為了解決日益嚴重的數據安全和隱私問題，區塊鏈可信計算既能有效保護數據所有權，又能實現高效的數據協作、聯合計算。

監管第三方——加強執法力度

以上兩者在用戶隱私保護中發揮的作用主要還是「自治」，依靠個人和企業的自覺和自律，除此之外，社會還需要一些「法治」措施。

據億歐智庫不完全統計，目前全球共有126個國家和地區制定了專門的個人信息保護法。2018年5月，歐盟制定的《一般數據保護條例》（General Data Protection Regulation，GDPR）正式開始生效。這也是迄今為止，全球數據隱私法規中，覆蓋面最廣、監管條件最嚴格的關於個人隱私和數據安全的法規。

中國也早在2017年就出臺了《兩高司法解釋》和《網絡安全法》，明確提出，網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和範圍，並經被收集者同意。除此之外，中國2020年將《個人信息保護法》與《數據安全法》列入了立法規劃。

在個人信息保護法律法規逐漸完善的背景下，第三方監管亟需解決的問題主要在於如何執法。

「對於個人信息保護方面現存的問題，其實不能說沒有規定，問題可能更多集中在執法機構怎麼執法的問題。」

中國人民大學法學院教授石佳友表示，執法格局比較分散是目前執法上最大的難點，例如涉及網絡問題是網信辦來管，涉及非法經營問題又成了工商部門的事。多部門執法反而形成了「真空地帶」，使得執法沒能有效到位。

面對存在數據洩露風險和已發生數據洩露的企業，中國目前還主要是通過「行政約談」的方式，企業犯錯成本太低。

今年4月，美國聯邦法院正式批准了Facebook就用戶數據洩露事件與聯邦貿易委員會達成的和解協議，要求Facebook支付50億美元的罰款，並實施更嚴格的新數據隱私措施。

去年針對媒體公開報導和用戶曝光的「ZAO」App用戶隱私協議不規範、存在數據洩露風險等網絡數據安全問題，工信部僅對相關負責人問詢約談，要求嚴格按照國家法律法規以及相關主管部門要求，組織開展自查整改，並未受到什麼實質層面的懲罰。

中南財經政法大學數字經濟研究院執行院長盤和林表示：「對於監管部門而言，雖然不時爆出機構洩露信息事件，但是真正進行處罰的不多，處罰的程度也不算高，並沒有形成一種重視個人私隱和保護的社會氛圍。監管部門應該在現有的法律框架下加大懲處的力度，列名條款，對應處理。」

尾聲

隨著技術的發展，便捷與隱私、隱私與安全的矛盾正在愈演愈烈。

技術發展大勢不可阻擋，隱私權不可以忽視。公民對於隱私權的關注度正在提高，相應的，每一個網際網路企業都需要明白什麼不可為，什麼可以為。

否則，只會有越來越多的Kyle、譚某、池子、去承受那些不該有的困惑苦惱。

致謝：

感謝多位專業人士在本文寫作過程中提供了非常有價值的觀點，特别致謝（排名不分先後）：

南京郵電大學信息產業發展戰略研究院首席專家王春暉、衝量網絡創始人鄧海南、中國人民大學法學院教授石佳友。

感謝劉水(化名)等朋友接受關於用戶隱私保護話題的調研。

參考資料：

1、《捍衛隱私》，凱文·米特尼克、羅伯特·瓦摩西

2、《信息社會個人隱私權的公法保護研究》，王秀哲

3、《公共領域和私人領域》，漢娜·阿伯特

4、《2019 Year End Data Breach QuickView Report》，Risk Based Security

5、《人臉識別第一案：技術濫用下的隱私之殤》，王梓輝

6、《這是鄧玉峰的「秘密」還是我們共同的秘密？》，微藝品