原文作者:何渊、张瑶 原文来源:数据法盟
图:Matt Popovich(via Unsplash)
8月31日,第二届世界人工智能大会甫一闭幕,才在大会上做过主题演讲的大数据金融风控公司新颜科技CEO黄向前就被警方带走调查。
9月6日,提供精准营销、风险分析、反欺诈、多维度用户画像、授信评分等多维度风险管理服务的魔蝎科技CEO周江翔被警方带走。
9月9日,金融大数据公司上海诚数信息科技有限公司开始协助警方办理案件。
9月11日,公信宝主体运营公司杭州存信数据科技有限公司被查。
当行业排名靠前的爬虫公司陆续被调查时,大家以为,只是抓“爬虫公司”而已,莫惊,莫慌。
不过,随着公信宝、快钱支付连续被调查,大家心里也没底,事情可能并没有想象得那么简单。9月12日,天翼征信的总经理、副总经理以及市场人员被警察带走。“连国企都开始被调查了”,这让数据行业从业者进一步担心,大数据行业恐将迎来一场行业地震。
“现在最可怕的点就是,不知道风险从哪里来,哪条业务会踩了红线,也不知道红线在哪里。”在接受“一本财经”采访时,有从业者说,现时整个大数据行业就如同黑暗森林,不知道猎人的子弹从哪里射过来。
真的是这样吗?
其实,从轰动一时的数据堂员工售卖公民个人信息案中,我们可以找到这根红线的“蛛丝马迹”。
2017年4月,山东省临沂市费县警方接到报警称,网上有人非法出售临沂市公民个人信息。警方顺藤摸瓜,发现11家公司涉案,其中一个上游卖家为扬州金时信息科技有限公司(下称“金时科技”)。
检方的起诉书显示,数据堂一名员工向其上级汇报并征得同意后,与金时科技签订了数据买卖合同,数据堂共向金时科技交付包含公民个人信息的数据60余万条,金时公司则共计向其客户发送公民个人信息168万余条。
据警方向媒体所作的介绍,上述卖给金时科技的数据经过了清洗和处理(剔除无效信息及将其标准化),主要内容为手机号、地区和偏好(如房地产相关等),最终用途主要为精准营销。
警方查实,数据堂工作人员涉案数据购自济南的一家商贸公司,而后者的上线为中国联通一家合作商的两名“内鬼”员工,这个链条上的信息涉及全国15个省份手机机主的上网数据和偏好,包括手机号、姓名、上网数据、浏览网址等,均为原始未脱敏数据(即未进行去个人化、去隐私化处理的包含个人敏感信息的数据),平均正确率为99.99%。
2018年,检方以侵犯公民个人信息罪为由,对包括数据堂首席运营官在内的多名员工提起公诉。数据堂员工被指控的罪名,是近年来数据黑产最易落入法律制裁的罪名之一——侵犯公民个人信息罪。流通的非法数据大多涉及大量公民隐私或个人数据,极易触碰这一红线。
根据《刑法》第253条之一,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处3年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处3年以上7年以下有期徒刑,并处罚金。
这里的“国家有关规定”,按照2017年6月1日生效的《网络安全法》的要求,一个首要的底线就是数据主体的“同意”授权——任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
令从业者更胆寒的是与《网络安全法》同日生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,这份文件对构成上述侵犯公民个人信息罪需要满足的“情节严重”标准作出了解释,即非法获取、出售或者提供公民行踪轨迹信息、通信内容、征信信息、财产信息50条以上的;非法获取、出售或者提供公民住宿信息、通信记录、健康生理信息、交易信息等500条以上的;非法获取、出售或者提供其他公民个人信息5000条以上的;违法所得5000元以上的,构成“情节严重”标准。此外,利用非法购买、收受的公民个人信息合法经营获利5万元以上的,也构成入罪的“情节严重”标准。
而据新华社报道,数据堂公司在8个月时间内,日均传输公民个人信息1.3亿余条,累计传输数据压缩后约为4000GB左右,公民个人信息达数百亿条,数据量特别巨大。
回看该案链条,中国联通经用户授权合法获得其个人信息,中国联通合作商理应取得合法授权,但该合作商中的“内鬼”员工私自窃取信息再卖出去,从这一步开始,这些流通的个人信息来源已然涉嫌非法,购得这些信息并进行加工的数据堂人员,如果明知来源非法却依然进行交易,则有极大的涉罪风险。也就是说,数据堂在数据的买入和卖出环节,均存在风险把控能力的缺失。
图:Daniel von Appen(via Unsplash)
不过,数据堂并非没有意识到其核心业务可能触雷的风险。数据堂2017年年报就指出:“公司作为一家数据收集和交易公司,必然会和形形色色的数据打交道,国家在不断出台各种法律法规来确保数据来源及交易的合法性,因此如何合法合规地获取与交易数据成为大数据企业,特别是数据资源和交易公司的潜在法律风险。”
有法律风险意识并不意味着能明确并重视法律责任,防止风险的发生。目前大数据可以说已渗透到每个行业,很多风控大数据服务商的客户是消费金融、互联网金融公司,其掌握了巨量的数据,如果未能建立起有效的防控风险的制度,或者不依法合规地处理、使用数据,对社会的危害将是巨大的。当然,大数据企业也会引火上身。这里,大数据企业需要明确在数据处理、使用中面临的法律责任。
首先是数据持有者的公法责任。《网络安全法》实施前,网络运营者的安全保护义务主要见于《侵权责任法》和《信息网络传播权保护条例》,保护义务也仅仅为“从通知到删除、屏蔽、断开”的事后止损义务,主要从保护私权角度出发。《网络安全法》加入了很多“事前保障义务”的规定,网络运营者应当全方位承担安全保障义务。例如,《网络安全法》第25条规定:“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”
而对于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域等,此类数据如果因各种原因被泄露,其危害将不限于对个人隐私等可能造成的伤害,更可能造成各类连锁反应甚至危害国家安全。因此,《网络安全法》将支撑上述重要行业和领域等的信息系统或工业控制系统界定为关键信息基础设施,并要求关键信息基础设施的运营者承担更明确的数据安全保护义务。例如,要求关键信息基础设施的运营者在境内存储个人信息和重要数据;确需在境外存储或者向境外提供的,应当按照规定进行安全评估等。
其次,在民事责任层面,根据《侵权责任法》《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等,如果信息泄露属实,数据持有者应当承担相应的信息安全保障义务,如果没有保障好,导致客户的权利受到侵害的,应该承担侵权责任。
编辑:吴悠
| 
发表于 2019-9-22 23:14:45
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
支持
反对