大数据风控与权益保护研究报告

2020年06月21日14:15  来源:人民网-舆情频道
 

三、大数据的应用和权益保护典型案例

(一)墨迹天气IPO因数据合规等原因被证监会否决

案例简介:2019年10月11日,墨迹科技IPO上会被否,证监会发审委明确提出数据合规问题。本案中证监会要求墨迹天气说明“获取用户数据及标签的过程及方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途”,以及说明对数据安全和个人隐私的保护措施与手段。

在致使墨迹天气IPO上会失败的四个问题中,收益用户数据赫然在列。

网民的隐私信息和行为习惯是网络安全管理的重要内容。当前中国,互联网发展已经度过了野蛮生长时期,网民在使用网络工具的同时,越来越关注个人隐私信息的保护。监管部门也在不断加强网民隐私信息的保护和管理,陆续完善相应的法律法规,塑造规范的互联网发展环境。能否积极适应新时代互联网发展规范的要求,摒弃传统发展思维,在保护好用户隐私信息的基础上,探索出新的发展模式,就成为互联网企业必须面对的重大挑战。显然,虽然有众多互联网巨头的掌舵和支持的“墨迹天气”,依然未能交出一份合格的答卷。这也进一步折射出我国整个互联网行业在网民隐私保护方面还存在认识缺陷和风险隐患。

加强数据安全和保护个人隐私已经成为时代的强音,给互联网企业带来挑战的同时,也指明了新的发展方向。一方面,为行业提供了洗牌调整的机会,为规范的企业提供了更大的成长空间;另一方面,任何在此方面打擦边球尤其是投机的行为都会受到惩罚,犯错的机会成本会也来越高。“规范发展才能长远”应成为互联网企业发展成长的重要宗旨。(人民文旅副总裁、人民文旅智库秘书长 谷文杰)

(二)瑞智华胜窃取30亿用户信息

2019年8月5日《21世纪经济报道》刊文,被称为“史上最大规模数据泄露案”的犯罪嫌疑人、瑞智华胜7名高管,已被浙江省绍兴市越城区检察院提起公诉。作为一家曾在新三板上市的企业,瑞智华胜涉嫌违规非法窃取海量用户信息,用于互联网营销牟利变现。腾讯、百度、京东、今日头条、新浪微博、携程、12306等96个互联网公司的产品数据均有涉及。

瑞智华胜窃取30亿用户信息事件一方面表明,对互联网平台个人信息数据开发具有重大商业价值。瑞智华胜的商业模式,最核心的部分是通过大数据的分析找到特定的广告对象,再通过通过分享、制作有价值、有趣的资讯内容等手段,向特定对象群体推送营销内容,实现营销目的,收取客户服务费用。

另一方面也表明,当前我国数据保护措施存在诸多薄弱环节和风险:非法窃取、滥用个人网络信息可能成为一条黑色产业。个人数据被窃取后,还可能被存储到海外,给整个国家信息安全带来危害。

据媒体报道,瑞智华胜利用技术非法访问用户自媒体账号,实现加好友、加粉操作以及爬取用户订单等信息。之后向第三方公司投放广告盈利。这些cookie信息窃取后,还被瑞智华胜存储在境外的服务器上。

瑞智华胜案相关人员已经获刑,但它警示意义发人深省:一是数据开发应该在合法、安全、合规的情况下有序进行;二是互联网平台需进一步构建数据安全保护体系,加强用户信息保护。(中国经济体制改革研究会互联网和新经济专委会副主任 陆琪)

(三)支付宝年度账单

案例简介:2018年1月,支付宝发布年度账单页面中“我同意《芝麻服务协议》”的字号小且默认勾选,涉及用户隐私,引发公众对个人信息安全的担忧。有网民质疑支付宝的诱导行为,呼吁相关部门及互联网企业注重用户隐私保护声音频现。对此,国家网信办迅速约谈了支付宝相关负责人,要求切实采取有效措施,防止类似事件再次发生。支付宝也回应称将加强整改。

在“全民晒单”后随之而来的个人数据隐私问题,成为媒体和大众关注的焦点。当前,大众对于自身隐私问题的关注观念正在转变,也可以说是觉醒,同时不再是简单的质疑,而是认真的查看了隐私协议,了解如何关闭授权,真正履行用户自身的知情同意的权利。大数据时代下个人信息安全如何保证,也成为所有涉及用户数据的企业值得去思考的问题。

互联网时代,个人数据变得愈发透明,互联网信息的高度共享让公众在享受大数据带来生活便利的同时个人隐私也受到极大的挑战。人们待在数据空间里的时间不断加长,甚至比物理空间还要长,虚拟空间安全风险也更加隐蔽,隐患更加突出。

随着信息安全已上升为国家战略,如何平衡产业发展与个人信息保护也成为企业亟待解决的问题。除了用户自身努力之外,行业与企业作为信息基础设施的运营者,也需在保证正常运转的前提下,加大对数据安全的保护力度,加强对相关数据的安全隔离,运用相关技术,全方位保障用户数据安全,构建逻辑更紧密的防范策略。(人民网舆情数据中心主任数据分析师 侯鑫淼)

(四)旷视科技“课堂行为分析”被指侵犯隐私

案例简介:2019年9月,网络上一张“课堂行为分析”的图片引发网民疑虑和警惕。据媒体报道,南京一高校在部分试点教室安装了人脸识别系统,用于日常考勤和课堂纪律管理。学生是否出勤、是否认真听讲、课堂上是否抬头低头、是否闭眼打瞌睡等行为,均能被智能识别。一些网友认为,它侵犯了学生的隐私权,是一种滥用技术的行为。对此,涉事高校回应称,该系统在校园只是“试点”“规划”,且教室属于公开场所,不存在“侵犯隐私”。教育部科学技术司相关人员在接受媒体采访时表示,校园推广人脸识别技术应谨慎,要加以限制和管理。开发该系统的旷视科技也发布声明称,该图片只是为技术场景化概念演示。

其实,AI技术不是不可以用于课堂教学,比如教育机器人辅助教学,以及建设智慧教室,让学生更方便地获得教育资源,参与课堂讨论等都是技术应用的有益尝试。但我们应该清楚的是,学生在全方位监控镜头下的表现和在没有监控下的表现,是完全不同的。这就意味着,人脸识别系统收集的信息存在“失真”的可能,而收集信息的初衷在于更加准确地掌握学生的情况以便更好地因材施教提升教学效果,首先要确保的就是数据的准确性,不准确的信息数据将极大地降低分析结果的可靠性。如此,利用AI技术改善教学效果的初衷也就无从谈起。

更为重要的是,并非只要AI技术使用得好,就能规避隐私问题。也就是说,即便教室安装人脸识别系统能够提高教学效果也并不一定就代表用户愿意让渡个人隐私权。即便初衷向善,学生个人信息数据被大量获取和存储,同样会引发广大用户对隐私安全的担忧。加之近两年,大数据技术应用引发的个人隐私保护问题日渐增多,这张“课堂行为分析”图片无疑再次刺激了民众对于AI技术笼罩下,保护个人隐私倍感无力的神经。

技术本身是中性的,是发挥好的作用还是反作用,关键在于目的和手段。而当下技术应用中不断出现的“侵犯隐私”现象,正是警示我们,随着技术的升级,用户信息安全与数据保护也亟待升级。(人民网新媒体智库助理研究员 朱美娟)

(五)陌陌“ZAO”软件被指过度攫取用户授权

案例简介:2019年8月30日,一款名为“ZAO”的人工智能换脸软件在社交媒体成为爆款。网民只需提供一张人脸照片,就可以将选定视频中的人物面部替换掉,从而生成新的视频片段。ZAO给网民带来新奇体验的同时,其存在的个人信息安全保护、肖像权、版权等安全隐患,也引发担忧。其中“ZAO”用户协议第6条第1款规定:“在您上传及/或发布用户内容以前,您同意或者确保实际权利人同意授予zao及其关联公司以及zao用户全球范围内完全免费、不可撤销、永久、可转授权和可再许可的权利,包括但不限于可以对用户内容进行全部或部分的修改与编辑……以及对修改前后的用户内容进行信息网络传播以及著作权人享有的全部著作财产权利及邻接权利。”9月3日,工信部网络安全管理局对ZAO运营企业陌陌公司相关负责人进行问询约谈,要求其组织开展自查整改,强化网络数据和用户个人信息安全保护。对此,ZAO运营团队回应称,将严格按照法律法规和各主管部门的要求,以更加严格的标准,全面加强内容管理、完善各项管理机制,确保用户个人信息安全和数据安全。

虽然“ZAO”很快修改上传了新版用户协议,但公众对“AI换脸”等技术被滥用的担忧及相关安全隐患的争论远未停止。近年来,人工智能、人脸识别等技术飞速发展,“刷脸”已出现在各种支付和认证环节中,特别是在新冠肺炎疫情期间的身份辨认、体温测量等场景中得到广泛应用。而与新技术带来的便利伴生的是信任危机、数据隐私泄露及侵权等风险。人脸是具有唯一性的生物信息,一旦被复制、盗用,将给用户个人带来难以估量的损失。

大数据时代,当万物互联已成必然趋势,当人工智能深度学习的门槛越来越低,保护数据与信息安全显然不再是只靠用户自身就能防范或解决的简单问题。新技术日新月异,推广和应用过程中如何在隐私、安全、效用之间找到平衡、划出“红线”,需要各方共同寻求符合发展规律的破解之道。政府的预判与及时规范应走在前面,立法和监管不可少、不能慢,对于非法数据泄露行为要严厉打击,多管齐下保护用户数据安全。生产与运营主体应对新技术新业务进行充分评估,加大技防投入,做好流程监控,加强行业和企业自律,积极采取有效措施堵住漏洞,防患于未然。(人民数据研究院智库中心副主任 李兵兵)

(六)杭州健康“绿码”引发舆论争议

案例简介:今年5月,浙江杭州市卫生健康委召开全市卫健系统深化杭州健康码常态化应用工作部署会,提出通过集成电子病历、健康体检、生活方式管理的相关数据,在关联健康指标和健康码颜色的基础上,探索建立个人健康指数排行榜;通过大数据对楼道、社区、企业等健康群体进行评价。此举引发争议,被指“健康码走火入魔了!”6月,杭州发布《健康码开发运行规范管理办法》,指出杭州健康码是市政府基于实现新冠肺炎疫情防控与恢复生产生活秩序现实需要,也是数字赋能“健康杭州”建设的综合性平台。提出有关部门、单位不得收集与健康码项目提供的服务无关的个人信息,不得违反法律、行政法规规定和双方约定收集、处理、使用个人信息;不得泄露、篡改、毁损收集的个人信息。

5月下旬,杭州设想提出“渐变色健康码”,通过集成公民相关数据,探索建立个人健康指数排行榜,此举被一些网民认为“健康码走火入魔了!”健康码的操作核心在于数据比对,据介绍,当民众自主申报健康码时,后台会自动比对申报人的身份信息和“涉疫情重点人员库”的身份信息,比对申报人的支付宝定位数据和运营商定位数据,比中则赋予红码。这意味着,搜集信息的维度越丰富,系统所做出的判断便越为精准。

民众对“升级”后的健康码的担忧也源自于此,当个人病历、生活方式等更多维度的信息被收集,一旦被泄露或滥用,对个人带来的风险巨大。健康码作为特殊时期的应急做法,理应具有暂时性、边界性、可恢复性等特征,在防控常态化的后疫情时代,有关部门是否有权收集个人信息、是否会得到民众的明示授权、公开排序是否会引发歧视等疑问是舆论关切的焦点所在。同时,我们看到疫情防控期间已经有被健康码挡在门外的“边缘人”,这里面不仅涉及智能手机的使用、入网知识素养等问题,还涉及到科技实际应用所带来的公平性与选择权的问题,例如当升级后的健康码推行之后,相关资源会向使用健康码的群体倾斜,从而压缩甚至关闭不使用健康码群体的选择空间。

两会期间,不少代表委员就健康码的信息去留问题提出了建议意见,例如有代表建议建立个人信息定期清理机制,对于期限届满的个人信息采取删除数据库、销毁纸质文档的方式予以清除。也有法律专家表示应该彻底销毁,获取个人信息的过程存在法律瑕疵是其一,特殊时期让渡的信息如未能在结束后被销毁会有损公信力是其二。不过也有学者指出,在存在第二波疫情爆发的风险下,彻底删除健康码信息也不现实,应该将信息进行匿名化处理,提高识别难度,加强安全保护级别,并制定规则只能为抗疫、疫苗研发所用。(人民网新媒体智库研究员 曲晓程)

(七)WiFi万能钥匙“窃取隐私”

案例简介:2018年3月29日,央视《经济半小时》栏目对WiFi万能钥匙APP做了专门的深度报道,揭露了其带来的各种安全隐患。随后,工信部发布《关于“蹭网”类移动应用程序的通报》,称近日据有关媒体报道,移动应用程序“WiFi万能钥匙”和“WiFi钥匙”具有免费向用户提供使用他人WiFi网络的功能,涉嫌入侵他人WiFi网络和窃取用户个人信息。工信部表示,立即组织网络安全专业机构对上述两款移动应用程序进行技术分析,发现两款移动应用程序具有共享用户所登录WiFi网络密码等信息的功能。之后,工业和信息化部网络安全管理局要求上海市、福建省通信管理局开展调查工作,将在核查的基础上,依据《网络安全法》等法律法规进行处理,维护广大网民的合法权益。

近年来,随着计算机科学技术的迅速发展,海量云服务应运而生,大数据的搜集和应用成为当下社会经济发展的重要手段。然而,在大数据环境下,公民的隐私泄露也变得更加容易,由此带来的后果将严重危害公民的财产安全和人身安全。WiFi密码是以数据形式保存在手机里,即便是加了密的云端,黑客仍可通过一定的技术手段获取。

软件开发者作为网络服务提供平台,应当坚守职业道德,严格执行相关法律规定,切实承担维护公民网络隐私权的责任,采取尽可能的技术手段为平台获取的个人数据加密,不得主动利用平台优势地位非法利用用户的个人信息实施违法犯罪行为。

鉴于此,在完善法律法规的基础上提高网络服务提供者的行业自律意识,建立有效的奖惩机制,注重对个人隐私数据的技术保护,同时也需提高公民的网络隐私权保护意识,为大数据时代公民的网络隐私权保驾护航。(人民数据研究院智库中心主任 王玫)

(八)微博诉饭友未经许可非法抓取、展示微博明星账号数据不正当竞争

案例简介:北京知识产权法院已经判决的微博诉饭友反不正当竞争案((2019)京73民终2799号)。法院在认定饭友APP经营商复娱公司绕开或破坏微博经营商微梦公司技术保护措施、实施抓取和展示新浪微博数据之行为构成实质性替代和妨碍、破坏新浪微博正常运营的同时,也在判决中提及“用户对涉案数据进行自主安排、授权等因素而免责等可能。”

近年来,因抓取、使用他人数据而引发的网络不正当竞争案例层出不穷,屡见报端。先有新浪微博诉脉脉不正当竞争一案,再有今日头条因涉嫌抓取微博用户数据陷入纠纷,又有新浪微博诉饭友未经许可非法抓取、展示微博明星账号数据等。

目前,流量和数据是互联网公司争夺的最为主要的资源,在此背景下竞争的本质亦是对流量和数据的争夺。互联网的特点是开放,信息的本质是分享,但这并不意味着经营者可以随意抓取他人数据并使用。本案裁判不仅区分了数据链接与抓取行为,也对替代性产品的数据抓取和使用行为的正当性进行了充分论证,同时还表明了司法对不正当竞争行为的规制态度,体现了司法对网络数据保护迫切需求的及时有效回应。(人民网舆情数据中心主任数据分析师 叶德恒)

(九)Facebook 5000万用户信息遭泄露

案例简介:外媒报道境外社交媒体脸书公司(Facebook)5000万用户信息被泄露,遭第三方公司“剑桥分析”“窃用”于大数据分析,用于在政治选举中针对目标受众推送广告,从而影响选举结果。更有英美媒体报道称,这家公司曾经受雇于一些政治竞选团队和推动英国“脱欧”的阵营。

通常互联网平台数据只是关系到用户隐私安全及企业经济利益,而Facebook用户信息泄露刷新了舆论认知:互联网平台用户大数据甚至可以左右选民投票,干涉政治选举。互联网平台数据泄露不仅是经济事件、用户信息保护事件,也可能是影响全球,关乎国家安全与社会稳定的政治事件。

早在2016年美国总统大选期间,就有媒体报道特朗普团队基于大数据分析,精准投放广告来说服选民。通过技术手段抓取用户互联网数据,再通过大数据分析用户兴趣特点、行为动态,从而精准投放广告和资讯内容,改变部分选民对总统候选人的看法。每个选民都可以收到一条定制的信息,强调某一特定论点的不同层面。这导致“一千个选民眼中可以有一千个特朗普”。还可以通过大数据营造虚假人气、推送大量政治消息、传播虚假或垃圾政治信息干扰舆论、制造烟雾遮蔽效应混淆公众视听、塑造高度人格化形象的虚拟意见领袖等手段,实现对舆论的干预,进而影响政治进程。

西方利用大数据分析、研判、影响政治活动从一个侧面说明,有了大数据,民意是可以测量和评估的;只要摸准情况,民意也是可以引导与干预的。这为我们规范互联网平台数据运用、加强数据与隐私保护敲响了警钟。(舆情分析师 廖灿亮)

(十)韩国“N号房”事件视频设备泄露隐私

案件简介:2020年4月,据外媒报道,韩国带有“阅后即焚”功能的社交软件Telegram上有一个聊天室,专门以分享色情内容的方式牟利,会员高达26万人,收费会员数达1万多人(韩国总人口5200万)。聊天室的管理员“博士”,通过网络黑客技术窃取年轻女性的资料,包括家庭信息、住址、家庭电话、隐私照片等,威胁女性并在全网直播。韩国媒体披露,至少有74名女性,包括16名未成年人是“N号房”事件的受害者。

网络大数据在造福公众的同时,隐私泄露等问题也如影随形。2020年4月,据外媒报道,韩国带有“阅后即焚”功能的社交软件Telegram上有一个聊天室,专门以分享色情内容的方式牟利,会员高达26万人,收费会员数达1万多人(韩国总人口5200万)。运营者通过发钓鱼链接、假扮警方、发布有偿兼职等方式窃取女性个人私密资料,包括家庭信息、住址、家庭电话、隐私照片等,随后长期胁迫其提供性剥削照片、视频。至少有74名女性,包括16名未成年人是“N号房”事件的受害者。一位韩国记者在“N号房”卧底期间发现,平均每天潜入约30个房间,所有房间单日均有数千名男性参与,在每个房间内,单日上传和分享视频最多可达1.5万条。

面对网络泄露隐私,Telegram等即时通讯软件、匿名化的网络空间以及诱导用户的运营模式,都难辞其咎。2019年初,这种具有“端对端加密”“阅后即焚”功能的软件(Telegram)成为Google商店在韩国下载量增长最快的APP之一。除了通讯软件的匿名,“N号房”的运营模式也鼓励用户参与,因为用户想要继续观看,就必须参与上传,进而参与到线下偷拍乃至性犯罪中。

更为重要的是,“N号房”的会员高达26万人,记者潜入的约30个房间,单日均有数千名男性参与(却只有2个人对其进行举报),也说明了无论是软件研发者、“N号房”运营者,还是广大的男性用户,不仅没有因为“N号房”泄露年轻女性的隐私、存在性暴力犯罪而进行抵制,反倒集体加入了一场消费隐私、围观针对女性性暴力的狂欢之中,可以说正是这些有意识的消费行为,借助网络共同促成了泄露隐私、性暴力的再生产。

“N号房”事件表明,网络不是法外之地,无论网络技术怎么发展,都不能沦落为侵犯隐私、侵犯人权、纵容乃至从事犯罪的工具,要通过完善的法律,引导和规范网络健康发展,筑起保障个人安全、促进群体平等的“防火墙”,将网络造福人类的功能最大化。(中国经济体制改革研究会科研部负责人/互联网与新经济专委会副主任 南储鑫)

(责编:袁勃、陈泰然)