使用者、企業、政府，個人資訊保護的三角拉鋸

有一樣東西，你認為是你的，但卻不在你手中；有人利用它獲利，並且很多時候，獲利的直接物件是你，包括你很反感的時候。那這樣東西，還算你的嗎？

這樣東西，就是你的資料。幾十年來，網際網路的浪潮將越來越多的人捲入到線上，使用者資料的價值，逐漸被網際網路企業發現和挖掘，並作為極為重要的網際網路資產，成為網際網路企業跑馬圈地的物件。

隨著企業對資料的收集、分析和變現的能力不斷增強，使用者掌控自己資訊的實際權利也在不斷下降。名義上的佔有、使用、收益和處分，實際成為了紙面上的權利。透過一紙協議（準確的說是一個點選），企業就可以成為權利的實際擁有者。

紀伯倫的詩歌《你的孩子不是你的孩子》中，將孩子稱作是被父母射出的箭，父母不該也不能去控制，而使用者的資料也彷彿如此。一旦提交後，就不再是自己的了，而是商業征服的彈藥。

利益帶來的資料飢渴

資料在不少企業眼中，就像閃爍著金光的寶藏，甚至是企業裡的核心資產。比如個人簡歷，在線上只要幾分鐘就能填好，對絕大部分人來說，只會在找工作的時候用上一下，巧達科技卻將其做成了細水長流的生意。

2。2 億自然人的簡歷，累計總數 37 億份，還有超過 10 億份通訊錄，並且有著與此相關的社會關係、組織關係、家庭關係資料，以及外部獲取的超過千億條其他使用者資料，巧達科技在商務合作商業計劃書裡，宣稱擁有中國最大的簡歷資料庫，超過 57% 中國人的資訊都在其中。

簡歷包含了姓名、通訊方式、工作履歷等關鍵的個人隱私資訊，透過與其他外部資料進行互動，可以得到極精準的使用者畫像，在教育培訓、保險、招聘等多個行業都有「用武之地」，近兩年巧達科技暴漲的年收入，就是對此的最好證明。

仟尋招聘（MoSeeker）是一家提供企業內部招聘系統（ATS）對接微信端解決方案的創業公司，曾獲得 Recruit（前途無憂的大股東）投資。仟尋的合夥人戴順認為，巧達科技稱其資料獲取於三個途徑：自有招聘網站、招聘工具產品和合法授權取得的第三方資料來源。但其擁有的海量個人資訊，實際難以透過合規的途徑獲得。另一方面，巧達對個人資訊的利用方式也屬於侵權行為。「個人簡歷是赤裸裸的個人資訊，從姓名年齡、聯絡方式到住址，社會關係都包括在內，是需要認真保護的資料。」從巧達科技提供的產品來看，即使聲稱已經對資料進行脫敏，但實際依舊可以指向個人。

招聘業務同樣涉及大量個人使用者資訊，但戴順表示仟尋從未與其他企業進行過資料共享方面的合作，即使是和同為 Recruit 投資的前途無憂，也沒有哪怕進行過類似的討論。「Recruit 主要看重的是我們的商業模式，而不是資料。」戴順說。而在他和前途無憂的交流中，對方曾經表示，前途無憂經常會面臨資料爬蟲的困擾，並不得不展開爬蟲與反爬蟲的技術拉鋸。在《網路安全法》釋出前，這樣的爬蟲軟體，在淘寶網上只要 700 塊就可以買到，而即使到現在，爬取資料的行為也難以根除。

對一名使用者來說，因為在某個網站曾經填寫過簡歷資訊，就會在未來時不時收到針對性的營銷推薦乃至騷擾電話，絕對是意料之外的事情。戴順認為，企業使用個人資訊資料，底線是要有一條合規的授權鏈，即，提前告知使用者並經過了使用者的授權。「商業的增長，不能將成本轉嫁給使用者。」戴順說。

但實際上，網際網路商業的擴張中，除了爬取其他企業的使用者資料外，企業將使用者提交的個人資訊在市場倒賣，用以「創造更多的價值」的現象並不少見。網際網路金融領域尤其是重災區。開啟 AppStore 搜尋貸款，相關的貸款 APP 多如牛毛。其中為數不少並不實際放款，而是單純吸引流量，再導流至其他放貸平臺並收取服務費或者提成，被稱為「貸款超市」。即使是有放貸業務的現金貸平臺，對於部分被自身的風控體系排除在外的申請者，也不介意將這些資料轉手賣掉。由於貸款者對自身資訊填寫得越詳細，越有可能獲得貸款，在多次轉手後，這些本該是高度隱私的個人資訊，最終沒有任何隱私可言。

即使規模較大、業務正規的金融貸款公司，也不會拒絕來自這方面的補充。在某金融貸款公司負責渠道的何東（化名）介紹，許多來公司辦理貸款的人，都是透過中介的渠道。渠道商往往人數不多，業務水平也參差不齊，不少人甚至入行剛不久。他們會和需要貸款的客戶談服務費或中介費，由客戶支付，而正規的金融貸款公司負責批款放款。「我們會配合中介，有時候也會適當搞點活動給點返費。」

詳細的個人資訊也是做好放貸風控的必備條件，何東說，他們對從渠道那裡獲得的客戶有門檻要求，要具備一定的經濟基礎，基本都是有住房和正規穩定工作的，「但記者、律師是限制行業，條件再好也不做，雖然我們（業務）是正規的，但是中介不正規，怕曝光。」

網際網路的資料飢渴到底有多強烈呢？在賽門鐵克釋出的 2018 年度《網際網路安全威脅報告》中，對安卓系統和 iOS 系統前 100 名熱門的免費應用進行分析，其中 45% 的安卓應用和 25% 的 iOS 應用都要求跟蹤位置的許可許可權，除此之外，電話號碼、電子郵件、地址、攝像頭許可權、錄音許可權等，也都是 APP 希望獲取的資訊，甚至一個手電筒照明的應用，也會要求位置、攝像頭、麥克風、相簿等許可權。賽門鐵克華東及華南區技術經理王景普表示，這些獲取的資料可以拿來二次變現，無論是做商業報告、還是做客流量模型、投資決策等，都有用武之地，甚至可以影響國家政治。劍橋分析就是利用了 Facebook 影響美國大選而被判違反資料法律。

資料蘊含的商業價值，就是資料飢渴的源頭。

當生意遭遇法規和民意的夾擊

出於對利潤的追求，企業在利用資料的方向上漸行漸遠，在直面後知後覺的洶湧民意之前，法律法規使不少人第一次意識和觸控到了，使用使用者資料的界限。在這方面，比起埋頭狂奔者，法務體系更全面的巨頭警覺性要更強。

螞蟻金服旗下產品芝麻信用分，覆蓋了轉賬支付、投資理財、購物、出行、住宿等數百種場景，是透過海量使用者資料打造出的個人信用產品。對許多風控體系建設不足的放貸平臺來說，芝麻信用分可以補全甚至替代原有的風控體系，有的平臺對 600 分以上（芝麻信用分 600~649 為良好）的使用者可以直接放款。

對芝麻信用來說，這同樣是一款可以帶來盈利的「付費產品」。在螞蟻金服官網查詢的《業務協作費公告（芝麻信用）2017 年 03 版》中說明，對與芝麻信用簽署了《芝麻信用服務合同》的客戶，芝麻信用提供了芝麻信用評分（「是指芝麻信用以分數形式對使用者信用狀況進行綜合反映的表達。」）等 6 種付費查詢，以芝麻信用評分為例，可以透過姓名和身份證號進行查詢，按有效查詢計費，標準價格為 1 元/次。

圖片來源：芝麻信用規則專區

為了擴大市場，2017 年 3 月，螞蟻金服曾經發起芝麻信用「信用+聯盟」免費計劃，允許「信用+聯盟」會員合作伙伴在 2017 年 3 月 16 日-2018 年 4 月 15 日之間免費呼叫芝麻信用產品。對呼叫其產品的合作伙伴，芝麻使用者在公告中要求其呼叫時要獲得使用者授權，對於出現無授權呼叫、使用者資訊濫用，影響使用者隱私保護和資訊保安的合作伙伴，將會停止合作。但僅在幾個月後，芝麻信用就更主動地要求呼叫芝麻信用產品的放貸平臺，提供「放貸資質證明檔案」等系列檔案，並通知無法按時提供的平臺，將在 2017 年 11 月 15 日終止合作。考慮彼時國內正在加強對金融亂象的整治工作，這對芝麻信用的決策無疑起到了影響。

相比有跡可循的法律法規，民眾隱私意識的不斷覺醒，以及對資料濫用累積的不滿，卻往往成為企業忽視的星星之火。2018 年 1 月 3 日，《中國消費者報》的一篇《小心！支付寶年度賬單可能讓你不知不覺簽了個服務協議》指出，在支付寶的年度賬單下方，以淺色調小字號出現了一行「我同意《芝麻服務協議》」，並已經預設勾選同意，如果沒有注意到，就會允許支付寶收集和授權使用者個人和在第三方儲存的資訊，引發了輿論關注。

圖片來源：視覺中國

值得注意的是該份協議很清晰地說明了個人資訊的重要性和可能帶來的風險，不過考慮到這份協議的「隱秘性」，讓嚴肅縝密的協議行文頗具諷刺效果。

「二、服務規則

（一）您理解，為了給您提供客觀、科學、全面的信用管理及評價，以及其他本協議項下服務的需要，您授權我們可以從合法儲存有您資訊的第三方，收集及處理您的各類資訊，同時為避免每次收集都需要經過您的反覆確認而導致過程繁雜，或者因此給您帶來的不便，您同意第三方可直接向我們提供您的資訊而不需要您再次授權。收集您的資訊包括您的個人資訊、行為資訊、交易資訊、資產資訊、裝置資訊等。您已經認識到您（作為個人使用者）的收入、存款、有價證券、商業保險、不動產的資訊和納稅數額資訊對於您而言是相當私密而重要的。您同意我們向第三方收集並在適用的法律法規許可的範圍內向資訊使用者依法提供這些資訊時，您已經充分理解並知曉該等資訊被提供和使用的風險。這些風險包括但不限於：納入這些資訊對您的信用評級（評分）、信用報告等結果可能產生的不利影響，該等資訊被本公司依法提供給第三方後被他人不當利用的風險，因您的信用狀況較好而造成您被第三方向您推銷產品或服務等打擾的風險。」

簡單地總結，就是會有相當比例的支付寶使用者，在實際不知情的情況下，「充分理解並知曉該等資訊被提供和使用的風險」，並「自主同意提供」自己的資訊，而即使資訊被「依法提供」給第三方後被不當利用，對使用者利益造成損害，也同意支付寶「無須就此承擔責任或賠償」。

在大約 2500 字的《芝麻服務協議》中，有關資料授權的條款豐富又縝密：

「您（作為企業、事業單位等組織）理解並同意，您同意第三方查詢您的非貸款類及其他非涉及商業秘密資訊時，我們可以直接向第三方提供您的相關資訊。」

「您同意我們可將您的全部資訊進行分析並將結果推送給我們的合作或服務的機構，考慮到該分析結果並不涉及您的具體資訊或其他敏感資訊，您同意上述分析結果的輸出無須另行獲得您的授權；」

「您可以向我們請求撤銷對第三方的資訊查詢授權。但如果您和第三方的業務關係尚未終止，比如您在享受信用租車〔信用貸款、信用租房等服務期間，您同意第三方可在業務存續期間持續查詢您的資訊，同時我們有權不支援您撤銷對相關第三方的資訊査詢的授權，以及終止/關閉本服務。」

「您理解，如因您主動授權第三方査詢您的資訊，從而導致第三方拒絕向您提供服務或做出了對您不利的決定時，考慮到該資訊提供是由您自主同意提供的，您同意我們無須就此承擔責任或賠償。」

事件爆出後，對於支付寶的這一波操作算不算是侵權，在網路上引發了廣泛的討論。在微博上，芝麻信用與支付寶也先後致歉。輿論尚未達成一致，相關政府機構先進行了蓋棺定論，據中國網信網報道，1 月 6 日，國家網際網路資訊辦公室網路安全協調局約談了支付寶（中國）網路技術有限公司、芝麻信用管理有限公司的有關負責人，網路安全協調局負責人指出，支付寶、芝麻信用收集使用個人資訊的方式，不符合剛剛釋出的《個人資訊保安規範》國家標準的精神，違背了其前不久簽署的《個人資訊保護倡議》的承諾。

新華網隨後報道，螞蟻金服首席隱私官聶正軍表示，螞蟻金服在事發第二天宣佈設立專門的職能部門，負責使用者的個人資訊保護，事業部負責人直接向公司總經理彙報，同時建立個人資訊保護工作的考核評價體系，到崗到人的責任追究機制，並對支付寶平臺進行專項整頓和全面排查。

支付寶的年度賬單中，「我同意《芝麻服務協議》」的字樣也隨之消失。

這一事件中，有幾個重要的節點：支付寶釋出暗藏《芝麻服務協議》的年度賬單，《中國消費者報》報道《小心！支付寶年度賬單可能讓你不知不覺簽了個服務協議》，網路上輿論沸騰，主管部門介入和螞蟻金服致歉與整改，其中輿論起到了關鍵性轉折的作用。

中國人沒有隱私意識，似乎是許多人的固有觀念。企業在討論和宣傳商業模式時，常常用國外市場來預測國內市場的發展。橫向來看，國內使用者的隱私意識或許還存在缺失；但縱向來看，發達國家對隱私資料的重視和保護，一定是我們的發展趨勢，不可能經濟文化水平都接近了，隱私保護意識卻在原地踏步。

民眾隱私意識的覺醒一部分來自教育，一部分來自教訓。法律法規的逐漸完善和媒體對隱私保護的宣傳，以及不斷被爆出的侵犯個人資訊的事件，和自己日常受到騷擾電話的煩惱，對個人資訊被洩露的恐慌，從理論到實踐都在推動這一程序。而民眾不斷累積的不滿，就像蓄洪池裡的洪水，只是在等待一個宣洩的機會。

更早之前的 360 水滴攝像頭直播（現已關停），就是一次過界的商業試探；近期網路上對網購、外賣 APP 是否透過監聽來推薦廣告的質疑，也體現了網際網路使用者對自己資訊被竊取和利用的不安。企業如果沒有意識到這一點，而將使用者資料保護只看成應付檢查的工作，抱著「下民易虐」的心態，也許面臨的不只是輿論指責，還有主管部門的約談甚至制裁。

三方博弈

對使用者、企業和政府來說，企業使用資料對三方都各有利弊，並不存在某一方的「全輸」，我們期待的應該是透過博弈達成多贏的均衡。

對使用者來說，授權企業使用自己的個人資訊存在風險，但授權帶來的便利性也是一目瞭然。小到《陰陽師》基於地理位置的幾個核心功能設計，騰訊《王者榮耀》《刺激戰場》可以匯入微信好友增加遊戲社交樂趣，大到電商的智慧推薦、到種類繁多的各項應用，網際網路企業能夠在競爭中脫穎而出，可以高效利用使用者資訊來提供更好的使用者體驗是重要原因。隨著網際網路深入各行各業，金融、醫療、公共事務中資料的作用都越來越大，運用得當對使用者來說無疑將大幅度改善生活。

使用者資料可以為企業帶來的商業價值毋庸贅言，但如果不給企業以限制，他們無疑會任意開拓邊界，直至侵犯使用者的利益——只要利潤夠大，資本就會活躍乃至鋌而走險，這在一個多世紀前就已經被印證。

在 2018 年 3 月，李彥宏「中國使用者願意用隱私換效率」的言論曾經引起網路爭議以及指責，但也是少數網際網路商業領袖正面迴應這一問題的記錄，完整的問答如下。

記者提問：「面對隱私等，中國醫療改革還需要能夠更加創新地利用這些資料，您對於這個資料怎麼看？」

李彥宏：「將各個資料來源放在一起，它的威力和能力將會呈現指數級上升，與此同時我們也非常重視隱私問題，以及包括資料的保護問題。在過去幾年當中，中國也越來越認識到這個問題，也一直在加強相關的法律法規的建設。在這一個過程當中，我想中國人更加開放，或者說對於這個隱私問題沒有那麼敏感。如果說他們願意用隱私換或者交換便捷性或者效率的話，很多情況他們是願意這麼做的。對於我們來說，我們當然要遵循一系列的原則，就是說如果我們認為用這一個資料會讓所有人受益，而且他也願意讓你使用這一個資料的話，我們會使用的。」

李彥宏的談話同樣提到了隱私和資料保護的問題，但之所以被吐槽，除了媒體存在一定誘導性的斷章取義引起誤解外，還有就是民眾感到自己「被代表」了，意見並沒有被尊重。決定資料是否有價值可以被使用的主動權被放在網際網路企業手中，而使用者是便利性的被動接收者——使用者對企業並沒有足夠的信任，並因此而不安，隨即將積累的不滿情緒宣洩。

實際上，在冷靜狀態下，公眾對個人資訊保護和便利性的取捨並不極端，而是會理智地權衡。在不久前，諾頓委託獨立研究機構 The Harris Poll 對全球 16 個市場，超過 16000 名 18 歲以上個人使用者進行線上調查，釋出了《2018 年諾頓網路安全調查報告》。報告顯示，83% 的受訪者擔心他們的隱私安全（38% 強烈同意，46% 比較同意），但 61% 認為如果可以讓生活更加便利，他們願意犧牲一定的網路隱私（11% 強烈同意，49% 比較同意），甚至 1/3 的受訪者表示，願意以一定的價格將個人資訊出售給企業。其中中國大陸 1051 名受訪者對關注自己的個人資訊保安，和願意用風險交換便利性的比例分別為 91% 和 62%，在 16 個國家和地區的排序中，這兩個比例分別是高（中國臺灣 92%，墨西哥 91%，中國 91% 位居前三）和中等水平（紐西蘭 75%，加拿大 70%，澳大利亞 68% 位居前三）

圖片來源：《2018 年諾頓網路安全調查報告》

使用者是資料的直接提供者，但是面對有組織的龐然大物，個人是充滿漏洞而且無力的，即使憤怒也無法制衡，而當憤怒爆發時，又會陷入失控之中，如何在兩者之間進行權衡，讓使用者的利益不被侵犯，又讓企業能夠在合理合法的範疇之內利用資料來創造價值，以及為使用者提供便利呢？

這份責任需要政府來參與承擔。回到李彥宏的問答，記者所提到的醫療資料，就是在我國非常敏感的一類個人資訊，使用和分享受到嚴格的法規限制。零氪大資料平臺在兩年前曾經邀請全國幾十家三甲醫院的腫瘤科室將各自的腫瘤資料進行一次整合分析，以便進行學術研究，過程就極為曲折，需要醫生在各自的科室和醫院進行申請，保證資料完全脫敏，而且只能就此事項進行一次。如果政府主管部門可以針對性地建立完善的法律法規並嚴格執法，資料濫用的問題將大大緩解。

當然，這會是一個長期而複雜的問題，規範企業對資料使用，首先要保證公民的權益不被侵犯；其次，又要促進經濟的發展和社會整體效益的提升，給出商業創新的空間。這個界限，顯然不可能一次性界定清晰，也一定會隨著資訊化、智慧化的不斷髮展而進行調整。

對此，世界各國和組織都曾給出自己的方案，比如 2018 年 5 月 25 日歐盟正式施行的《一般資料保護條例》（GDPR），被認為是最嚴格，也最受到關注的有關資訊保護的法律。我國在 2017 年 6 月 1 日正式實施《網路安全法》，其中有 11 條條款定義個人資訊保護的保護規定，要求網路運營者收集、使用個人資訊時，要向用戶明示並取得同意，不得超範圍濫用個人資訊，不得以非法方式獲取、提供和出售個人資訊，個人有權要求網路運營者刪除和更改其個人資訊等。此外像《個人資訊保安規範》等國家標準的釋出，也為相應的立法奠定了基礎。

以發展的眼光來看，我國對個人隱私保護的力度不斷增強是大勢所趨，對許多實際存在「擦邊球」的企業來說，可能意味著商業利益受損，但對於重視使用者隱私的企業來說，卻是一種利好，意味著減少了不良競爭的壓力。

中國使用者的隱私意識也在不斷覺醒。《諾頓網路安全報告》中資料顯示，85% 的中國受訪者比以往更關注自己的個人資訊保安，90% 希望為之做些什麼，但 66% 的都不知道能怎麼做。從趨勢上來看，前兩個的比例將繼續增長，而隨著法規的完善和相關知識的普及，不知道怎樣維權的使用者比例將持續下降。越是倚重於使用者資料來創造價值的企業，就應該越清楚地認識到，使用者群體對個人資訊保護態度正在發生的改變。

對企業來說，與其在擦邊球的路上漸行漸遠，更積極主動地去尋找解決方案和新的模式，融入和利用好新的規則，才能更好地立足未來。來自荷蘭阿姆斯特丹大學資訊法教授、資訊法研究所所長 Nico van Eijk 不久前就針對 GDPR 表示：「之前我們會說法律促進創新，實際上它建立的障礙使人們更加敏銳地去找更好的解決方案，所以我們認為他是促進而不是阻礙。GDPR 不是一個所謂的根本權利的工具和機制，它只是一個可能的法律，它可能被進行修改也可能被替代。」

例如 3 月 20 日，針對騰訊起訴抖音、多閃涉嫌違規使用使用者資料，天津市濱海新區人民法院裁定騰訊勝訴，要求抖音立即停止將微信和 QQ 授權登入服務提供給多閃使用。多閃此前透過抖音獲得的微信、QQ 使用者頭像、暱稱也被勒令停用。

圖片來源：多閃小助手

騰訊在「頭騰大戰」這一回合的勝出，意味著騰訊對使用者資料保護的要求得到了法律的認可，也成為了使用者資訊保護領域的一個標杆性案例。回想到 GDPR 實施前不久，騰訊 QQ 停止在歐洲服務，提早適應規則變化才是企業發展的必由之路。

參考文獻：

燃財經：「玩轉」8 億人資料的灰色生意：1 年淨賺 1。86 億

螞蟻金服官網：業務協作費公告（芝麻信用）2017 年 03 版

中國消費者報：小心！支付寶年度賬單可能讓你不知不覺簽了個服務協議

支付寶：芝麻服務協議

中國網信網：螞蟻金服反思支付寶賬單事件：將完善平臺治理機制 避免類似事件再次發生

新華網：螞蟻金服反思支付寶賬單事件：將完善平臺治理機制 避免類似事件再次發生

265G 新遊頻道，阿茲：陰陽師日服首日遇挫 遭遇日本使用者大範圍抵制

ISACA網路安全實施框架指南

諾頓：諾頓網路安全調查報告

360 法律研究院：國內外看 CCPA 與 GDPR 的對比

錢江晚報：315 過後，我們的隱私資料誰來保護

河北網信管理執法：天津法院裁定：抖音、多閃立即停止共享微信使用者資訊等行為