李軍

黑色數(shù)據(jù)產(chǎn)業(yè)也許永遠(yuǎn)不能根除，但若能讓數(shù)據(jù)產(chǎn)業(yè)的參與各方強(qiáng)制性地承擔(dān)起自己的責(zé)任，就能扭轉(zhuǎn)目前數(shù)據(jù)黑產(chǎn)泛濫的局面。

在移動(dòng)互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)中所蘊(yùn)含的強(qiáng)大能力前所未有地被釋放出來(lái)，如果希望未來(lái)的數(shù)字化產(chǎn)業(yè)有序發(fā)展，就必須在互聯(lián)網(wǎng)產(chǎn)業(yè)涉及數(shù)據(jù)的各個(gè)環(huán)節(jié)，建立對(duì)數(shù)據(jù)這一核心資源的有效約束。

那么，包括數(shù)據(jù)獲取者、數(shù)據(jù)運(yùn)營(yíng)者、數(shù)據(jù)使用者、數(shù)據(jù)監(jiān)管者都應(yīng)該承擔(dān)什么樣的責(zé)任呢？

數(shù)據(jù)獲取者：責(zé)任承擔(dān)者

數(shù)據(jù)獲取者，是面向客戶采集數(shù)據(jù)的企業(yè)和組織。它們需要承擔(dān)的責(zé)任最為復(fù)雜，包括客戶數(shù)據(jù)知情權(quán)的保障、客戶數(shù)據(jù)遺忘權(quán)的保障，乃至貫穿整個(gè)企業(yè)的客戶數(shù)據(jù)操作與管理從流程到組織的一系列要求。

客戶數(shù)據(jù)知情權(quán)，指的是企業(yè)在收集客戶數(shù)據(jù)時(shí)，必須獲得客戶授權(quán)，并明確告知通過(guò)什么手段收集哪些類(lèi)別的客戶數(shù)據(jù)，這些客戶數(shù)據(jù)包含的具體內(nèi)容，企業(yè)將如何使用這些客戶數(shù)據(jù)，在什么樣的范圍使用這些數(shù)據(jù)。對(duì)于未告知或告知不充分甚至故意隱瞞后超范圍收集數(shù)據(jù)的，需要承擔(dān)相應(yīng)的責(zé)任。

客戶數(shù)據(jù)遺忘權(quán)，指的是企業(yè)承諾當(dāng)客戶撤回?cái)?shù)據(jù)收集授權(quán)或要求刪除全部客戶數(shù)據(jù)時(shí)，向客戶提供簡(jiǎn)單的操作手段，徹底刪除企業(yè)擁有的客戶數(shù)據(jù)。企業(yè)不得以技術(shù)實(shí)現(xiàn)困難為理由，在客戶提出刪除數(shù)據(jù)后仍然在內(nèi)部保留部分客戶數(shù)據(jù)。

客戶數(shù)據(jù)操作與管理要求包括從數(shù)據(jù)加密規(guī)范、操作日志規(guī)范、向監(jiān)管機(jī)構(gòu)開(kāi)放審計(jì)規(guī)范乃至數(shù)據(jù)泄露發(fā)生時(shí)的應(yīng)急處理流程。該流程應(yīng)該基于行業(yè)標(biāo)準(zhǔn)設(shè)計(jì)、定期接受合規(guī)性檢查，并由首席數(shù)據(jù)官等數(shù)據(jù)管理的專職崗位負(fù)責(zé)承擔(dān)相應(yīng)的合規(guī)責(zé)任。

在客戶數(shù)據(jù)保護(hù)和對(duì)數(shù)據(jù)獲取企業(yè)的監(jiān)管方面，英美等發(fā)達(dá)國(guó)家已經(jīng)積累了很多經(jīng)驗(yàn)。

2015年英國(guó)的通信運(yùn)營(yíng)商TalkTalk因?yàn)橄到y(tǒng)遭遇黑客入侵泄露了近16萬(wàn)條客戶數(shù)據(jù)，2016年10月被英國(guó)信息專員公署罰款40萬(wàn)英鎊。本月初，因?yàn)閷?duì)客戶數(shù)據(jù)管控不力致使2萬(wàn)條客戶數(shù)據(jù)在未經(jīng)授權(quán)下被印度外包服務(wù)商訪問(wèn)，TalkTalk再次被罰款10萬(wàn)英鎊。在這第二次罰款中，受影響的客戶數(shù)據(jù)其實(shí)只包括姓名、住址和電話號(hào)碼這些基本信息。

2015年4月，美國(guó)聯(lián)邦通信委員會(huì)（FCC）對(duì)美國(guó)電話電報(bào)公司（AT&T）罰款2500萬(wàn)美元，懲罰其內(nèi)部管理混亂導(dǎo)致近28萬(wàn)名客戶的數(shù)據(jù)被泄露。FCC發(fā)現(xiàn)，AT&T位于墨西哥等地的三處呼叫中心的多名員工，通過(guò)非法手段訪問(wèn)內(nèi)部公司多達(dá)28萬(wàn)名客戶的數(shù)據(jù)，并將這些個(gè)人賬戶相關(guān)聯(lián)的一些信息，比如客戶名稱、社會(huì)保障號(hào)碼的后四位數(shù)出售給了第三方。作為客戶數(shù)據(jù)獲取企業(yè)，AT&T必須承擔(dān)重大的管理失誤責(zé)任，并接受了美國(guó)歷史上最高額的客戶數(shù)據(jù)泄露罰單。

在互聯(lián)網(wǎng)數(shù)據(jù)不斷豐富的今天，歐盟進(jìn)一步加大了客戶數(shù)據(jù)保護(hù)的力度。即將在2018年5月生效的歐盟《一般數(shù)據(jù)保護(hù)條例》明確規(guī)定，對(duì)于個(gè)人數(shù)據(jù)被持續(xù)和系統(tǒng)收集并使用的情況下，相關(guān)企業(yè)或組織應(yīng)該任命有專門(mén)的數(shù)據(jù)保護(hù)專員。企業(yè)與機(jī)構(gòu)在發(fā)生用戶數(shù)據(jù)泄露后72小時(shí)內(nèi)，必須遵循條例規(guī)定向監(jiān)管部門(mén)報(bào)告，并評(píng)估數(shù)據(jù)泄露有可能帶來(lái)的損失和相應(yīng)的補(bǔ)救措施。數(shù)據(jù)泄露一旦發(fā)生，企業(yè)有可能被處以全球年?duì)I業(yè)額4%的高額罰款。

數(shù)據(jù)運(yùn)營(yíng)者：秘密守護(hù)者

數(shù)據(jù)運(yùn)營(yíng)者，指的是面向企業(yè)客戶提供數(shù)據(jù)運(yùn)營(yíng)與管理平臺(tái)的云服務(wù)提供商。現(xiàn)在越來(lái)越多的企業(yè)選擇把自己的數(shù)據(jù)中心配置在云計(jì)算平臺(tái)上，其中包含大量的客戶數(shù)據(jù)。作為數(shù)據(jù)的實(shí)際管理者和運(yùn)營(yíng)者，云計(jì)算服務(wù)提供商責(zé)無(wú)旁貸。

云服務(wù)提供商需要承擔(dān)的責(zé)任非常直接，就是按照數(shù)據(jù)獲取者提供的規(guī)范，承擔(dān)從數(shù)據(jù)加密、數(shù)據(jù)操作、數(shù)據(jù)審計(jì)、數(shù)據(jù)流入流出乃至數(shù)據(jù)刪除等一系列系統(tǒng)服務(wù)相關(guān)的技術(shù)實(shí)現(xiàn)和具體的合規(guī)性支持。

今年7月，美國(guó)最大的移動(dòng)通信公司Verizon泄露了600萬(wàn)客戶數(shù)據(jù)。其中包括客戶姓名、地址、聯(lián)系電話，部分記錄中還包含了通信服務(wù)重置使用的PIN碼。這次數(shù)據(jù)泄露事故是由Verizon的云服務(wù)公司管理疏忽所導(dǎo)致的，該云服務(wù)公司的一名員工在修改系統(tǒng)配置時(shí)，因操作失誤導(dǎo)致外部用戶可進(jìn)入云存儲(chǔ)區(qū)域訪問(wèn)本不能訪問(wèn)的信息。

6月，由于亞馬遜云存儲(chǔ)服務(wù)器上的配置錯(cuò)誤，包括《華爾街日?qǐng)?bào)》訂戶在內(nèi)的220萬(wàn)道瓊斯用戶“私密信息”遭到未經(jīng)授權(quán)的訪問(wèn)，這類(lèi)事件此前就發(fā)生過(guò)。

因此，監(jiān)管當(dāng)局必須強(qiáng)制其通過(guò)數(shù)據(jù)加密的方式存儲(chǔ)數(shù)據(jù)，并配合以數(shù)據(jù)訪問(wèn)日志與跟蹤記錄，這樣一方面能做到真實(shí)數(shù)據(jù)信息安全保護(hù)，另一方面即使數(shù)據(jù)被外泄，也能第一時(shí)間了解并控制影響范圍。這些工作絕不是數(shù)據(jù)獲取企業(yè)單方面的責(zé)任，而需要云計(jì)算服務(wù)商配合完成。

目前國(guó)內(nèi)的云服務(wù)平臺(tái)，從底層的IaaS到上層的SaaS都沒(méi)有針對(duì)敏感客戶數(shù)據(jù)從加密到操作再到審計(jì)的支持。這一方面是由于國(guó)內(nèi)云服務(wù)平臺(tái)還處于低水平競(jìng)爭(zhēng)階段，另一方面也是由于國(guó)內(nèi)從監(jiān)管機(jī)構(gòu)到企業(yè)都沒(méi)有成體系的數(shù)據(jù)管理需求。

數(shù)據(jù)使用者：監(jiān)管真空

數(shù)據(jù)使用者需要承擔(dān)的責(zé)任是合法獲取數(shù)據(jù)、合法使用數(shù)據(jù)。

合法獲取數(shù)據(jù)，是指對(duì)于來(lái)源不清或者是超范圍獲取的數(shù)據(jù)，將承擔(dān)相應(yīng)的責(zé)任。合法使用數(shù)據(jù)，是指禁止非合規(guī)的數(shù)據(jù)外流和數(shù)據(jù)交易。

對(duì)數(shù)據(jù)使用企業(yè)的監(jiān)管，目前看來(lái)是最難也是最弱的。

今年5月，因其在收購(gòu)WhatsApp時(shí)提供誤導(dǎo)性信息，歐盟對(duì)Facebook罰款1.1億歐元。

2014年，F(xiàn)acebook以218億美元收購(gòu)移動(dòng)通訊運(yùn)用程序WhatsApp，該收購(gòu)當(dāng)年10月獲歐盟批準(zhǔn)。之前，F(xiàn)acebook在提交給歐盟的文件中表示，F(xiàn)acebook與WhatsApp之間不會(huì)建立用戶賬號(hào)信息的自動(dòng)化匹配。

但在2016年8月，F(xiàn)acebook對(duì)WhatsApp的隱私政策作出調(diào)整，允許WhatsApp與其分享部分用戶的手機(jī)號(hào)碼，打通了兩套社交系統(tǒng)的客戶數(shù)據(jù)，此舉招致歐盟不滿，并在當(dāng)年12月啟動(dòng)調(diào)查。

反觀中國(guó)，對(duì)企業(yè)數(shù)據(jù)使用的約束從法律法規(guī)到具體執(zhí)行幾乎都是空白。客戶數(shù)據(jù)泄露相關(guān)的案例都是以懲罰數(shù)據(jù)泄露方為主，對(duì)于購(gòu)買(mǎi)不明來(lái)源數(shù)據(jù)的企業(yè)幾乎沒(méi)有任何懲罰。未來(lái)，中國(guó)數(shù)據(jù)監(jiān)管部門(mén)首先要建立數(shù)據(jù)來(lái)源追索機(jī)制，并應(yīng)勇于出手懲罰。

數(shù)據(jù)監(jiān)管者：輕重不當(dāng)

數(shù)據(jù)監(jiān)管者主要有兩個(gè)主體：數(shù)據(jù)交易平臺(tái)、數(shù)據(jù)產(chǎn)業(yè)監(jiān)管機(jī)構(gòu)。

作為互聯(lián)網(wǎng)產(chǎn)業(yè)的核心資源，數(shù)據(jù)的交易需求是永遠(yuǎn)存在不可限制的。進(jìn)行引導(dǎo)并規(guī)范管理的重要手段之一就是建立公開(kāi)透明的數(shù)據(jù)交易平臺(tái)。作為數(shù)字化產(chǎn)業(yè)鏈核心的數(shù)據(jù)交易平臺(tái)，需要審核交易雙方的資質(zhì)，尤其是數(shù)據(jù)獲取者的數(shù)據(jù)來(lái)源，并對(duì)交易數(shù)據(jù)的合規(guī)性予以認(rèn)定。

2015年4月掛牌運(yùn)營(yíng)的貴陽(yáng)大數(shù)據(jù)交易所，是中國(guó)第一家數(shù)據(jù)交易平臺(tái)。未來(lái)政府要整頓數(shù)據(jù)交易市場(chǎng)的亂象，必須借助公開(kāi)的數(shù)據(jù)交易平臺(tái)來(lái)促成規(guī)范的數(shù)據(jù)交易，同時(shí)堵住不合規(guī)的地下交易行為。

數(shù)據(jù)產(chǎn)業(yè)監(jiān)管機(jī)構(gòu)是整個(gè)體系中最重要的環(huán)節(jié)，他們必須制定面向數(shù)據(jù)獲取者、數(shù)據(jù)運(yùn)營(yíng)者、數(shù)據(jù)使用者和數(shù)據(jù)交易平臺(tái)的一系列監(jiān)管規(guī)范，并制定合規(guī)審計(jì)細(xì)則和相應(yīng)的懲罰措施，從而維護(hù)有序的數(shù)字化產(chǎn)業(yè)生態(tài)環(huán)境。

中國(guó)數(shù)據(jù)產(chǎn)業(yè)監(jiān)管起步較晚，目前存在的問(wèn)題主要有兩點(diǎn)，一是重懲罰輕監(jiān)管，二是重個(gè)體輕企業(yè)。

重懲罰輕監(jiān)管，指的是監(jiān)管部門(mén)重在打擊事后違法行為，但未能建立數(shù)據(jù)監(jiān)管規(guī)范。未雨綢繆比亡羊補(bǔ)牢效果要好很多。數(shù)據(jù)產(chǎn)業(yè)監(jiān)管機(jī)構(gòu)如果能夠提出一整套客戶數(shù)據(jù)監(jiān)管規(guī)范強(qiáng)制數(shù)據(jù)獲取者、數(shù)據(jù)運(yùn)營(yíng)者和數(shù)據(jù)使用者依法行事，將大大減少目前猖獗的數(shù)據(jù)黑市的生存空間。

重個(gè)體輕企業(yè)，指的是重在打擊泄露數(shù)據(jù)交易數(shù)據(jù)的個(gè)體，而對(duì)應(yīng)承擔(dān)客戶數(shù)據(jù)安全管理的企業(yè)和組織懲罰不足，甚至在很多案例中，這些企業(yè)還以受害者的面目出現(xiàn)。

2017年3月，央視《新聞直播間》報(bào)道了一起重大數(shù)據(jù)泄露事件，近50億條包含姓名、賬號(hào)、密碼、手機(jī)號(hào)、身份證號(hào)、銀行卡號(hào)、地址等個(gè)人信息的數(shù)據(jù)在互聯(lián)網(wǎng)上流傳，其中很多來(lái)自京東。公安機(jī)關(guān)后來(lái)抓獲犯罪團(tuán)伙主要嫌疑人鄭某，其為京東網(wǎng)絡(luò)安全部的員工，屬于典型的內(nèi)鬼。

這起案件，雖然鄭某得到了應(yīng)有的懲罰，但根據(jù)公開(kāi)報(bào)道，監(jiān)管部門(mén)并未要求數(shù)據(jù)獲取者與管理者京東承擔(dān)任何責(zé)任。反觀美國(guó)，摩根士丹利前員工利用公司安全漏洞向個(gè)人的服務(wù)器轉(zhuǎn)移了與大約73萬(wàn)個(gè)客戶賬戶相關(guān)的數(shù)據(jù)，2016年6月，美國(guó)證券交易委員會(huì)對(duì)摩根士丹利罰款100萬(wàn)美元，以懲罰其管理不善。

就在8月初，華為和騰訊因?yàn)樵谑謾C(jī)上獲取客戶微信數(shù)據(jù)再起爭(zhēng)端。部分原因就是因?yàn)橹袊?guó)企業(yè)可通過(guò)收集客戶數(shù)據(jù)獲取巨大利益，卻無(wú)需承擔(dān)客戶數(shù)據(jù)安全與管理的任何責(zé)任。正是這種利益與責(zé)任的巨大反差，讓企業(yè)不遺余力地收集客戶數(shù)據(jù)，甚至直接推動(dòng)黑色數(shù)據(jù)產(chǎn)業(yè)的膨脹。

“能力越大，責(zé)任越大”（With great power comes great responsibility），這是電影《蜘蛛俠》的經(jīng)典臺(tái)詞。為什么英雄電影那么賣(mài)座，因?yàn)槊總€(gè)人都?jí)粝氤蔀槌?。但超人該承?dān)哪些與自己能力相對(duì)應(yīng)的責(zé)任與義務(wù)，我想不是每個(gè)人都考慮過(guò)。

擁有越多的數(shù)據(jù)，承擔(dān)越大的責(zé)任，應(yīng)該成為數(shù)字化產(chǎn)業(yè)發(fā)展的核心原則?；ヂ?lián)網(wǎng)世界里，黑色數(shù)據(jù)產(chǎn)業(yè)也許永遠(yuǎn)不能根除。但如果我們能夠強(qiáng)制讓數(shù)字產(chǎn)業(yè)的參與各方真正承擔(dān)起自己的責(zé)任，就能扭轉(zhuǎn)目前數(shù)據(jù)黑產(chǎn)泛濫的局面。

（編輯：謝麗容）