過去一周,F(xiàn)acebook因間接致超過5000萬用戶數(shù)據(jù)泄露徘徊在生死邊緣。美國聯(lián)邦貿(mào)易委員會的調(diào)查已經(jīng)開始,如果屬實,F(xiàn)acebook將面臨高達2萬億美金的罰款,且深陷信任危機。事件爆發(fā)后,公司股價一路下跌,兩日市值便蒸發(fā)500億。
稍早前的3月7日深夜,全球第二大虛擬貨幣市場幣安交易所被黑客攻擊,大量虛擬幣被轉(zhuǎn)換成比特幣,包括幣安、火幣在內(nèi)的加密貨幣全盤暴跌,部分主流貨幣跌幅超過5%。隨后,幣安交易所發(fā)布公告稱,“這是一次大規(guī)模通過釣魚獲取用戶賬號并試圖盜幣事件。”
最新引發(fā)熱議的是大公司利用大數(shù)據(jù)“殺熟”。比如使用滴滴打車,同樣的出發(fā)地點和目的地,價格卻不一樣,甚至不同手機生成的價格也不盡相同。雖然滴滴CTO張博否認“殺熟”的存在,但這是用戶近距離感受到大數(shù)據(jù)威力的存在。一切取決于企業(yè)的態(tài)度和決定。
僅僅一個月時間,因數(shù)據(jù)問題衍生爆發(fā)了幾起全球惡性事件。雖然發(fā)生地點、領域有所不同,但背后無一不涉及商業(yè)利益。犧牲品即是用戶的數(shù)據(jù)安全和信息隱私。令人心驚的是,截至2017年年中,中國網(wǎng)絡黑產(chǎn)從業(yè)人員已超過150萬,市場規(guī)模高達千億。
不可否認,在萬物互聯(lián)的時代,數(shù)據(jù)的戰(zhàn)略重要性與日俱增,大數(shù)據(jù)產(chǎn)生的商業(yè)價值也得到共識,但真正能實現(xiàn)商業(yè)價值的數(shù)據(jù)只是一小部分。那些打著“保護用戶隱私”旗號的作惡者卻在有意且盲目地搶占數(shù)據(jù)。作為被爭奪的主角,用戶往往表現(xiàn)得很無力,毫無反抗余地。
一定程度上這與監(jiān)管缺失有關。去年6月1日,兩項網(wǎng)絡安全的法律條例開始施行,非法獲取、出售公民個人信息最低五十條以上即可認定為“情節(jié)嚴重”,達到入刑的標準。三個月內(nèi),北京市海淀警方破獲了30余起與此相關的案件。而在此前,即便是上億條數(shù)據(jù)的交易,由于缺乏司法解釋,案件走不到訴訟程序,往往不了了之。
能站在數(shù)據(jù)權力頂端的,很可能是那些能真正使用好數(shù)據(jù)的超級公司。因為幾乎所有采訪對象都表示,國內(nèi)對數(shù)據(jù)的保護和使用仍然雜亂無章,黑產(chǎn)毫無底線,互聯(lián)網(wǎng)企業(yè)則是靠自律行事。
掌管著10億用戶的微信被質(zhì)疑“天天看用戶聊天”,張小龍曾在2018微信公開課親口否認。官方也明確回應,微信不留存任何用戶的聊天記錄,聊天內(nèi)容只存儲在用戶的手機、電腦等終端設備。此外微信不會將用戶的任何聊天內(nèi)容用于大數(shù)據(jù)分析。
阿里巴巴是國內(nèi)最推崇數(shù)據(jù)價值的企業(yè)之一。過去五年,馬云大多數(shù)公開演講都提到DT時代企業(yè)的機會和責任。2012年,在阿里巴巴首設CDO(首席數(shù)據(jù)官)時,馬云在內(nèi)部郵件寫到,“將阿里巴巴變成一家真正意義上的數(shù)據(jù)公司”。
握有數(shù)據(jù)的一方急需兌現(xiàn)數(shù)據(jù)的權力,似乎這樣可以站到未來戰(zhàn)略的制高點。隨著人工智能、新零售等行業(yè)一個個踏上風口,數(shù)據(jù)開始被大規(guī)模使用,企業(yè)與用戶之間、企業(yè)與企業(yè)之間的摩擦明顯加劇。
數(shù)據(jù)黑產(chǎn)
信息泄露正以無孔不入的態(tài)勢入侵正常生活。用戶授權某一應用使用手機麥克風,或在社交平臺與好友互動,甚至無意間登陸一個網(wǎng)站,都存在信息被實時獲取的可能性。
“過度且愚蠢。”火絨安全聯(lián)合創(chuàng)始人馬剛有些憤恨,在他看來,數(shù)據(jù)也分有效和無效,大多數(shù)企業(yè)對數(shù)據(jù)的使用效率很低。“像是跑到用戶家搜了一圈,拿走很多信息,但沒發(fā)現(xiàn)任何有用的。傷害了用戶,自己也沒得到什么好處。”
火絨是聚焦PC端軟件安全的服務商,在他們的監(jiān)測中,幾乎所有桌面端的軟件都存在侵權行為,“很瘋狂,甚至一些軟件50%的寬帶用來上傳用戶信息,它們不僅能監(jiān)測存儲在電腦中的數(shù)據(jù),還能記錄用戶上網(wǎng)的賬號。”
知道創(chuàng)宇這家公司得到的數(shù)據(jù)是,每天PC端的攻擊在300億次左右,而正常訪問量在200億次左右,遠遠低于黑客的攻擊次數(shù)。其中,教育、醫(yī)療、金融、健身等領域信息泄露最為嚴重。
移動端的數(shù)據(jù)問題顯然更嚴重,無意中點擊的功能或者下載的應用,就存在手機被ROOT的風險,“它可以繞過任何權限,無論用戶是否同意,都可以記錄用戶所有操作,做任何想做的事情。”梆梆安全副總裁方寧告訴《中國企業(yè)家》記者。
與火絨不同,梆梆安全是一家針對移動和物聯(lián)網(wǎng)的安全服務商,目前為超過80萬個移動APP提供安全服務。他們的觀察是,除了金融類公司和大體量的互聯(lián)網(wǎng)公司有自己的安全團隊,70%的APP最初都是裸奔上線。
移動互聯(lián)網(wǎng)中至少有30%的流量流向黑產(chǎn)。以共享單車行業(yè)為例,公司初期通過補貼的方式獲取用戶,比如,騎一次單車補貼1元,黑產(chǎn)會模擬手機號和用戶行為,并沒有騎車最終還能騙取1元的補貼。如果一年的推廣經(jīng)費是10億,其中3億流到黑產(chǎn)。
相比黑產(chǎn)的低級野蠻,移動互聯(lián)網(wǎng)竊取用戶信息則充滿狡猾。
Facebook最近深陷危機的原委是,一家名為英國劍橋分析的公司通過一款個性分析測試APP觸及Facebook用戶,在這款測試中,用戶被要求“授權允許該應用獲取自己和朋友的Facebook數(shù)據(jù)信息”,雖然只有27萬名用戶同意,但滾雪球效應之后,這款應用最終獲取超過5000萬Facebook用戶的信息。
真正引起恐慌的是英國劍橋分析公司轉(zhuǎn)手將5000萬用戶的信息售予第三方。Facebook認為上述公司獲取用戶信息經(jīng)過了用戶許可,但售予第三方未經(jīng)用戶允許,這是導致此次信息泄露最主要的原因,雖然此前,F(xiàn)acebook已經(jīng)意識到漏洞的存在。
“是否經(jīng)過用戶允許”是判斷企業(yè)使用用戶信息合法與否的重要標準。在安裝一個新APP時,通常被要求訪問通訊錄、地理位置等信息,但訪問的目的、時間和方式等,幾乎沒有企業(yè)會給出明確解釋,而《網(wǎng)絡安全法》對此有明確的規(guī)定。
2018年春節(jié),今日頭條狂砸10億元發(fā)起“發(fā)財中國年”的活動,用戶可以通過集生肖卡、紅包雨、拍小視頻拜年等方式領取現(xiàn)金紅包。本是一個撒錢賺用戶的活動,但在提現(xiàn)協(xié)議中,包含大量對個人隱私“包括但不限于身份信息、個人信息、賬戶信息”的收集。更重要的是,簽訂這份協(xié)議就表明用戶同意今日頭條將所有個人信息提供給第三方,以及要求用戶同意在注銷賬戶之后,“公司仍可保存注銷前的相關信息”。
而就在此事發(fā)生前一個月,今日頭條、螞蟻金服、百度三家公司被工信部約談,起因也是私自收集個人信息,工信部認為上述公司存在用戶信息收集使用規(guī)則、使用目的告知不充分的情況。
“過度采集用戶信息在互聯(lián)網(wǎng)公司很普遍。”中關村大數(shù)據(jù)產(chǎn)業(yè)聯(lián)盟秘書長趙國棟告訴記者,利用獲取信息的特權,企業(yè)搭便車過度采集信息。
面對“獨角獸”和“巨無霸”,海淀警務支援大隊的董立波能采取的應對之策非常有限,“它們不會明確超出法律界限,只是行走在灰色地帶,而且關鍵數(shù)據(jù)都存在自己的服務器,調(diào)查取證比較困難。”2017年,董立波和團隊破獲了上百起案件,一年中大半年時間都在出差。
由于保護隱私意識匱乏,用戶很有可能無意識簽下同意泄露個人信息的協(xié)議。
1月初,支付寶發(fā)布年度賬單,最下方的“我同意《芝麻服務協(xié)議》”一行字不僅字體小,而且默認打勾。協(xié)議聲稱,支付寶可以直接向第三方提供用戶相關信息,并且可以進行分析、推送給合作機構(gòu),以及有權不支持用戶撤銷第三方的信息查詢授權。后被用戶發(fā)現(xiàn),支付寶道歉并修改默認用戶同意的選項。“無論如何,支付寶不應該默認用戶允許,但是否違法也說不清楚,還是灰色地帶。”馬剛分析。
諸如此類的擦邊球在互聯(lián)網(wǎng)行業(yè)非常普遍。董立波發(fā)現(xiàn)最新版的淘寶平臺服務協(xié)議詳細定義了“淘寶平臺”和“阿里平臺”的范圍,“以前沒有這么詳細。”在他的案頭,擺著大量和法律條文相關的書籍,各家協(xié)議通常充斥著文字游戲,董立波需要從里面找到漏洞。
雖然法律已經(jīng)明確規(guī)定未經(jīng)被收集者同意,不能將合法拿到的用戶信息向他人提供,但在淘寶協(xié)議中,仍然表示“會將用戶信息與關聯(lián)公司共享”,并且未標明使用目的、方式和范圍。董立波解釋在新的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(下稱《解釋》)中,數(shù)據(jù)不能繼承,比如,母公司獲取的數(shù)據(jù),不能直接提供給子公司。
數(shù)據(jù)黑洞
想方設法獲取用戶數(shù)據(jù)只是一方面,企業(yè)之間的數(shù)據(jù)爭奪也浮上水面。
撞庫是指黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息,嘗試批量登陸其他網(wǎng)站,得到一系列可以登錄的用戶,在用戶不同平臺采用同樣的登錄賬戶和密碼時,撞庫成功率尤其高。最近發(fā)生的360與B站之爭就涉及到撞庫問題。
快視頻是奇虎360于去年11月推出的短視頻產(chǎn)品。今年2月,大量B站用戶用同樣的用戶名和密碼可以直接登錄快視頻,而他們此前并未在快視頻注冊。快視頻被詬病的另一問題是,大量內(nèi)容與B站重合。截至2月22日,快視頻查出來自B站的非正版賬號近五千個,相關視頻內(nèi)容共計一萬六千多條。
雖然快視頻否認撞庫并拖庫B站數(shù)據(jù),但外界認為撞庫是快速獲取用戶和信息的重要手段,一位業(yè)內(nèi)安全人士分析,“這樣做是造成虛假繁榮的假象,把影子搬來了,但沒有人。”
從注冊賬戶的競爭到“賬戶+數(shù)據(jù)”的競爭,七牛云總裁呂桂華的感受非常明顯。日活是比注冊賬戶數(shù)更重要的考核維度,而支撐日活的是用戶留在平臺上的數(shù)據(jù)和關系,“企業(yè)現(xiàn)在都知道如何控制用戶,留下用戶和數(shù)據(jù),以及過程中產(chǎn)生的關系,用戶自然會回到平臺。”
過去三年,呂桂華感受到企業(yè)對數(shù)據(jù)愈發(fā)重視。作為企業(yè)級云服務商,大量公司將數(shù)據(jù)存儲在七牛云的服務器上面,“過去企業(yè)會因為省錢,定期刪掉服務器上的一些數(shù)據(jù),但現(xiàn)在即便短期用不到,企業(yè)也會保留數(shù)據(jù)。”
去年6月1日,順豐、菜鳥短兵相接,爭奪的焦點就是數(shù)據(jù)。菜鳥聲稱為保護消費者隱私、電話信息安全,對全網(wǎng)物流數(shù)據(jù)進行信息安全升級,但順豐拒不配合。順豐的理由是,菜鳥要求提供與其無關的客戶隱私數(shù)據(jù),此類信息隸屬于用戶,未經(jīng)用戶許可,無法提供。
一天之后,兩家之爭迅速擴張為兩個陣營,一方是以“四通一達”為代表的菜鳥系,一方是迅速馳援順豐的京東、美團、網(wǎng)易等企業(yè)。雙方最終調(diào)和細節(jié)不得而知,但事關身家性命,任何一方都不想退步。
去年8月底,上海知識產(chǎn)權法院就百度涉嫌以不正當手段使用大眾點評信息一案作出判決,百度敗訴,賠償大眾點評323萬元。呂桂華認為這是典型的因數(shù)據(jù)爭奪而引起的企業(yè)摩擦。
事情的起因是,用戶在使用百度地圖和百度知道搜索某一商戶時,頁面會顯示用戶對該商戶的評價信息,其中大部分來自于大眾點評。比如,涉及餐飲行業(yè)的1055個商戶中,共有86286條評論信息來自大眾點評,有784家商戶使用的評論信息中超過75%來自大眾點評網(wǎng)。
最終法院以“百度大量使用大眾點評網(wǎng)的信息,實質(zhì)性替代了原告網(wǎng)站,具有不正當性”為由宣判。在這起摩擦中,百度顯然動用了本應屬于大眾點評和用戶的數(shù)據(jù)信息,并對雙方都沒有告知。
桌下的數(shù)據(jù)導流交易在行業(yè)內(nèi)也是公開的秘密。
從2016年開始,支付寶作為征信機構(gòu),將芝麻分與不少網(wǎng)貸平臺打通,為后者提供風控業(yè)務。此前一位網(wǎng)貸平臺業(yè)務負責人在接受采訪時曾表示,支付寶會向其提供用戶風險評估結(jié)果,作為交換,用戶在網(wǎng)貸平臺完成借貸行為,“需要將20天以上的用戶相關數(shù)據(jù)回復給螞蟻金服”,以此,支付寶完善自己的征信黑名單。
類似行為在《征信業(yè)管理條例》中已經(jīng)有明確規(guī)定,作為網(wǎng)貸平臺,“向征信機構(gòu)提供個人不良信息的,應當事先告知信息主體本人。”去年下半年,在積累大量數(shù)據(jù)之后,支付寶開始收緊合作的口袋。
在去年6月1日開始施行的《解釋》中提到,“未經(jīng)被收集者同意,將合法收集的公民信息向他人提供”屬于非法出售、非法提供個人信息的行為。
相比企業(yè)之間的數(shù)據(jù)爭奪,趙國棟認為更嚴峻的問題是數(shù)據(jù)割據(jù),BATJ都有自己的數(shù)據(jù),但之間并不互通,企業(yè)在知道數(shù)據(jù)重要性之后,紛紛建起籬笆。而在此之后的數(shù)據(jù)交易中,由于體量不對等,很容易出現(xiàn)數(shù)據(jù)霸權。
從某種角度來說,網(wǎng)聯(lián)的出現(xiàn)就是為了平衡第三方支付平臺與傳統(tǒng)銀行之間的關系。網(wǎng)聯(lián)出現(xiàn)之前,第三方支付通過在多家銀行開設的賬戶直連,繞開清算機構(gòu)。“銀行無法獲取第三方支付平臺之間交易的數(shù)據(jù),長期以往,就會成為數(shù)據(jù)黑洞,擁有大量數(shù)據(jù),又完全對外隔離。”趙國棟分析。
趙國棟認為瓦解數(shù)據(jù)霸權的方式是對數(shù)據(jù)確權,也是就是所有權。目前業(yè)界達成的共識是用戶的基本信息,比如個人信息、購物信息、地理位置等應屬于用戶,但在商業(yè)過程中產(chǎn)生的信息和數(shù)據(jù)應屬于企業(yè)。以高德地圖為例,個人的行蹤信息的歸屬權在個人,但高德根據(jù)路況判斷出的擁堵時長等數(shù)據(jù)歸屬于企業(yè)。
數(shù)據(jù)挖掘
對于數(shù)據(jù)的挖掘雖然還是冰山一角,但能夠看到,以BAT為代表的互聯(lián)網(wǎng)巨頭正逐步走向正循環(huán)。
京東大數(shù)據(jù)平臺與產(chǎn)品研發(fā)部高級技術專家趙國梁認為,數(shù)據(jù)應用關鍵在于是否有場景支持,“場景越豐富,數(shù)據(jù)能發(fā)揮的空間越大,反之,數(shù)據(jù)就是沒用的垃圾。對于BAT體量的公司,業(yè)務場景多,根本不愁數(shù)據(jù)沒法用。”
迄今為止,京東已經(jīng)在商品采購和銷售、用戶購買、倉儲配送,以及物流售后等環(huán)節(jié)積累數(shù)據(jù),總量達到400PB。
新零售就是將線上數(shù)據(jù)進行線下使用的場景。7FRESH是京東旗下的生鮮超市,京東可以根據(jù)對用戶的精準畫像向其推送7FRESH的商品。這個過程并不是直接把用戶之前的交易信息給它們,而是一個分析結(jié)果。
無人超市也需要對不同場景下數(shù)據(jù)加以綜合利用。阿里巴巴去年開設第一家無人超市“淘咖啡”,用戶登錄淘寶ID進入超市,購物過程中,攝像頭會收集用戶行為軌跡,以保證后續(xù)產(chǎn)品的陳設更好地滿足用戶需求,在結(jié)算過程中,攝像頭會自動完成結(jié)算和更改庫存記錄,這背后就需要打通不同維度的數(shù)據(jù)。
彼之蜜糖,吾之砒霜。一樣的數(shù)據(jù)放在不同的場景,能發(fā)揮的作用完全不同。用戶的購物信息留在手中并無價值,但企業(yè)可以將此作為多種判斷的依據(jù),一件商品在某個地區(qū)銷量格外多,憑借這個信息可以提前在倉儲多囤貨,縮短物流時間。但其中又涉及到數(shù)據(jù)的流通問題。
趙國梁認為真正阻擋數(shù)據(jù)在企業(yè)間流通的是技術,“不解決脫敏和匿名數(shù)據(jù)的問題之前,數(shù)據(jù)在企業(yè)之間的流通都會受到阻礙。”
不同于黑產(chǎn)行業(yè),企業(yè)對數(shù)據(jù)的爭奪多是因為想更快占領數(shù)據(jù)賽道。
去年,華為與微信就因用戶數(shù)據(jù)發(fā)生爭執(zhí),事情的脈絡很清晰:華為希望能夠讀取用戶微信中的數(shù)據(jù),并且自動加載相關信息,比如聊到電影時,推薦與此相關的應用。但在抓取微信數(shù)據(jù)時,后者以保護用戶信息為由拒絕,華為則表示已經(jīng)獲得用戶許可。
毫無疑問,微信的數(shù)據(jù)屬于用戶,無論二者之中誰在獲取和使用數(shù)據(jù)時,都要獲取用戶授權。華為之所以想調(diào)用微信數(shù)據(jù),是想據(jù)此嘗試更多交互性體驗。但對微信而言,用戶的聊天數(shù)據(jù)是它的核心資產(chǎn),不可能輕易拱手讓出。
在趙國棟看來,企業(yè)之間數(shù)據(jù)爭奪只會越來越激烈,“小公司面對大公司可能沒有討價還價的余地,但大公司都在尋找新的增長點,數(shù)據(jù)被視為金礦,大家都想挖掘。”
對于目前巨頭可能產(chǎn)生的數(shù)據(jù)權力,趙國梁認為沒有想象的大,“很難說對社會秩序、經(jīng)濟制度產(chǎn)生怎樣的影響,但是可以幫助企業(yè)家更超前的判斷行業(yè)趨勢。”
政府在數(shù)據(jù)分享中的作用也沒有充分發(fā)揮。浪潮集團董事長孫丕恕連續(xù)幾年在兩會提出關于“政府開放數(shù)據(jù)共享”的議案,在他看來,相比于互聯(lián)網(wǎng)企業(yè),政府手中的數(shù)據(jù)體量更大、質(zhì)量更高。
在阿里巴巴、騰訊等互聯(lián)網(wǎng)公司內(nèi)部,都有一張巨大的ID映射表,按照不同維度標識用戶,比如姓名、微信ID、淘寶ID、京東ID、摩拜單車ID等,不同場景用戶的信息不同,但這張ID映射表就是將不同場景下的用戶一一對應起來。隨著信息密度的增加,用戶的畫像會逐漸清晰,也毫無秘密,最終成為一個個透明體。