王先 鄭亞紅

2015年9月，萬(wàn)眾創(chuàng)業(yè)的風(fēng)勢(shì)正猛，一位創(chuàng)業(yè)者找到我，安利他正在籌備的一個(gè)項(xiàng)目，主營(yíng)業(yè)務(wù)是為企業(yè)做員工離職預(yù)報(bào)，他堅(jiān)稱市場(chǎng)前景非?？捎^，問(wèn)我要不要報(bào)道。閱世甚淺的我感到十分新奇，然后拒絕了他。

再次聽(tīng)到他的消息是在3年半之后，3月25日，號(hào)稱擁有中國(guó)最大簡(jiǎn)歷數(shù)據(jù)庫(kù)的巧達(dá)科技被曝已被警方查封，或涉嫌多款產(chǎn)品在未被授權(quán)情況下抓取用戶簡(jiǎn)歷等信息。這家公司的法人代表兼大股東王成予正是當(dāng)年那位創(chuàng)業(yè)者。

巧達(dá)科技爆雷，距離央視“3·15”晚會(huì)曝光WiFi探針盜取個(gè)人手機(jī)號(hào)碼、外賣APP疑似“竊聽(tīng)門”不過(guò)一兩周時(shí)間；3月27日，北京市消協(xié)發(fā)布大數(shù)據(jù)“殺熟”調(diào)查，認(rèn)為去哪兒網(wǎng)、飛豬旅行確實(shí)涉嫌有“殺熟”行為。有聲音將近期一系列動(dòng)作解讀為監(jiān)管部門正掀起對(duì)大數(shù)據(jù)黑產(chǎn)的新一輪打擊。

你的姓名、年齡、身份證、收入、喜好、購(gòu)買記錄……這些數(shù)據(jù)的主權(quán)還在你手上嗎？它們被倒賣了多少輪？到底有多值錢？有知情人士透露，以醫(yī)療數(shù)據(jù)為例，由于用戶轉(zhuǎn)化率高、數(shù)據(jù)獲取難，一例透析病人的數(shù)據(jù)可被炒到8000元。

2018年，上海交通大學(xué)邵國(guó)松教授等人選取了中國(guó)500家有影響力的網(wǎng)站，對(duì)其隱私政策聲明進(jìn)行分析，核實(shí)其是否較好地執(zhí)行了《網(wǎng)絡(luò)安全法》相關(guān)條款。結(jié)果發(fā)現(xiàn)，收集個(gè)人信息的網(wǎng)站在所有類別網(wǎng)站中都占據(jù)了極高比例，其中教育類網(wǎng)站收集比例高達(dá)100%，商業(yè)類網(wǎng)站需要身份識(shí)別的也達(dá)84%。

10億份通訊錄，凈利潤(rùn)1.86億

公開(kāi)資料顯示，巧達(dá)科技成立于2014年7月，數(shù)據(jù)來(lái)源為“喬大招”，包括之前為企業(yè)做員工離職預(yù)報(bào)的“愛(ài)伙伴”在內(nèi)，其旗下10多款招聘工具均為免費(fèi)產(chǎn)品，這些產(chǎn)品通過(guò)爬蟲等技術(shù)在網(wǎng)上抓取簡(jiǎn)歷后投入數(shù)據(jù)庫(kù)，再向企業(yè)提供相關(guān)人才信息服務(wù)。

有在線招聘頭部公司人士認(rèn)為這些數(shù)據(jù)過(guò)于夸張，她表示，這種爬蟲技術(shù)會(huì)觸及很多相關(guān)企業(yè)利益，所以一般公司都會(huì)設(shè)有反爬機(jī)制。

“燃財(cái)經(jīng)”拿到的一份巧達(dá)數(shù)據(jù)的商務(wù)計(jì)劃書則顯示，該公司旗下有38個(gè)B端招聘產(chǎn)品、超過(guò)170萬(wàn)招聘者用戶，自稱有超過(guò)10億份通訊錄、擁有超過(guò)8億自然人的信息，通過(guò)簡(jiǎn)歷解析，可以對(duì)自然人產(chǎn)生包括社會(huì)關(guān)系、組織關(guān)系、家庭關(guān)系及區(qū)域位置等定位，幾乎涵蓋個(gè)體所有關(guān)鍵信息維度。

巧達(dá)科技將這些數(shù)據(jù)用在招聘、電商、影視、保險(xiǎn)、金融等行業(yè)。這為巧達(dá)科技在2016年帶來(lái)1.2億元營(yíng)收，其中凈利潤(rùn)即達(dá)4800萬(wàn)元，到2017年，兩項(xiàng)數(shù)字激增至4.11億元和1.86億元。

王成予曾公開(kāi)宣稱，“簡(jiǎn)歷是最有價(jià)值的自然人數(shù)據(jù)。巧達(dá)數(shù)據(jù)通過(guò)大數(shù)據(jù)及人工智能技術(shù)研發(fā)的認(rèn)知引擎，能夠快速還原網(wǎng)上自然人的清晰畫像，為商家提供實(shí)用的營(yíng)銷方案。超過(guò)170萬(wàn)家互聯(lián)網(wǎng)企業(yè)和獵頭公司在使用相關(guān)產(chǎn)品”。

巧達(dá)科技在2014年11月得到創(chuàng)新工場(chǎng)數(shù)百萬(wàn)美元A輪融資，2017年1月再次得到中信產(chǎn)業(yè)基金數(shù)千萬(wàn)人民幣B輪融資。

至于創(chuàng)始者王成予本人，則由中國(guó)裁判文書網(wǎng)曝光了更多信息，2016年3月《北京市第三中級(jí)人民法院民事判決書》中顯示，王成予在2011年5月之前的十幾年里，存在多次違法犯罪記錄，包括盜竊、詐騙等，其中包括2006年轟動(dòng)一時(shí)的涉嫌敲詐勒索華碩公司一案。

更多的事情并非出自慣犯之手。2019年““3·15”晚會(huì)上，央視曝光“探針盒子”，當(dāng)個(gè)體手機(jī)Wifi處于開(kāi)啟狀態(tài)，就可能被探針盒子捕獲，并轉(zhuǎn)換獲取手機(jī)號(hào)碼。探針盒子不僅可以強(qiáng)制用戶手機(jī)彈窗，冒充已連接WiFi在微信置頂界面投放無(wú)法消除的廣告，甚至還能撥打騷擾電話和發(fā)送短信。這些小盒子放在商場(chǎng)、寫字樓等公共空間內(nèi)，可以在個(gè)體毫不知情的情況下搜取個(gè)人數(shù)據(jù)，甚至包括婚姻、教育、收入等信息。

2019年3月18日，美團(tuán)和餓了么被曝疑似竊聽(tīng)用戶日常對(duì)話?！禝T時(shí)報(bào)》稱，通過(guò)長(zhǎng)達(dá)3個(gè)月的測(cè)驗(yàn)，他們發(fā)現(xiàn)，只要日常在對(duì)話中提到某款食品的名字，這些外賣軟件總能即時(shí)推送相應(yīng)商家信息，出現(xiàn)相關(guān)推薦概率高達(dá)60%-70%。

伴隨大數(shù)據(jù)時(shí)代到來(lái)的，是信息安全這一新問(wèn)題。過(guò)去幾年里，從小平臺(tái)到大公司，數(shù)據(jù)泄露事件頻發(fā)，僅2018年就包括：圓通的10億條快遞信息在暗網(wǎng)上架出售；華住酒店、萬(wàn)豪酒店各有5億用戶信息外泄；國(guó)泰航空940萬(wàn)乘客數(shù)據(jù)流出；陌陌3000萬(wàn)用戶數(shù)據(jù)泄露……

幾乎按月爆發(fā)的頻率、動(dòng)輒上億的量級(jí)面前，普通人興許躲過(guò)這一劫，旋即栽在下一劫。

“授權(quán)協(xié)議”無(wú)處不在

一位網(wǎng)絡(luò)信息安全公司創(chuàng)始人曾向記者講述其團(tuán)隊(duì)習(xí)慣：全公司沒(méi)有一個(gè)人使用真名收取快遞及外賣；為了避免黑客撞庫(kù)，他從不將同一個(gè)密碼使用在兩個(gè)地方。他們比大眾更清楚，在互聯(lián)網(wǎng)上，也許你早已是“裸奔”狀態(tài)。

今天的流量早已不只是PV、UV這樣的概念，流量有了姓氏、性別、喜好。比你更了解你自己的，可能是手機(jī)，更不用說(shuō)各種實(shí)名認(rèn)證的應(yīng)用，輕松愉快間就讓你成為都市里行走的透明人、互聯(lián)網(wǎng)時(shí)代的楚門。

瑣碎的個(gè)體信息背后，是潛在的商業(yè)價(jià)值。2015至2018年期間，由于代表著未來(lái)更多可能，大數(shù)據(jù)曾一度成為市場(chǎng)上時(shí)髦標(biāo)簽。包括國(guó)內(nèi)許多創(chuàng)業(yè)者對(duì)外高頻語(yǔ)述之一也是：“不要說(shuō)我們是互聯(lián)網(wǎng)公司，我們是技術(shù)驅(qū)動(dòng)的大數(shù)據(jù)公司！”

平臺(tái)以用戶基本信息為基礎(chǔ)，分析日常使用行為，提取個(gè)體特征，滾雪球般積累起10的N次方數(shù)據(jù)。這些數(shù)據(jù)，不但成為平臺(tái)將業(yè)務(wù)進(jìn)一步鋪開(kāi)的助推燃料，也成為換取資本青睞的籌碼。

2018年3月，中國(guó)發(fā)展高層論壇年會(huì)上，百度董事長(zhǎng)李彥宏說(shuō)了一句充滿互聯(lián)網(wǎng)現(xiàn)實(shí)主義但注定惹火燒身的話：“中國(guó)人更加開(kāi)放，對(duì)隱私問(wèn)題沒(méi)有那么敏感，很多情況下他們?cè)敢庥秒[私交換便利性，那我們就可以用數(shù)據(jù)做一些事情?！?/p>

這句話實(shí)際拋出了一個(gè)問(wèn)題：在獲取便利和交出隱私之間，合適的度在哪里？

業(yè)界公認(rèn)的是，即便用戶不重視甚至放棄數(shù)據(jù)主權(quán)，這也不能成為隱私可以被平臺(tái)隨意使用的理由。為了規(guī)避風(fēng)險(xiǎn)，“授權(quán)協(xié)議”無(wú)處不在。安裝一款新應(yīng)用，是否同意讀取存儲(chǔ)權(quán)限和聯(lián)系人信息？不同意，好的，那么您將無(wú)法使用該產(chǎn)品；購(gòu)物APP送您10元無(wú)門檻代金券，是否點(diǎn)擊領(lǐng)??？點(diǎn)擊即意味著你默認(rèn)接受向該平臺(tái)第三方提供小額貸款協(xié)議。

平臺(tái)看似充分尊重用戶的自由意志，實(shí)際操作中幾乎是別無(wú)選擇；鮮有人會(huì)把一屏屏授權(quán)協(xié)議耐心讀完，更不會(huì)注意到滿坑滿谷的信息陷阱。有律師總結(jié)，這無(wú)異于“形式上的保護(hù)和事實(shí)上的侵犯”。

掌握頂級(jí)規(guī)模數(shù)據(jù)的公司也在信息安全的對(duì)外語(yǔ)境上進(jìn)退維谷。2018年年初，吉利汽車董事長(zhǎng)李書福稱“微信天天在看用戶的聊天記錄”，微信趕忙回應(yīng)稱純屬誤解，平臺(tái)不留存任何用戶的聊天記錄，聊天內(nèi)容只存儲(chǔ)在用戶的手機(jī)、電腦等終端設(shè)置上；微信不會(huì)將用戶任何聊天內(nèi)容用于大數(shù)據(jù)分析。

但隨后有律師表示，如果微信不留存用戶聊天記錄，那么則是違反了《互聯(lián)網(wǎng)群組信息服務(wù)管理規(guī)定》，根據(jù)該規(guī)定，互聯(lián)網(wǎng)群組信息服務(wù)提供者應(yīng)當(dāng)按規(guī)定留存網(wǎng)絡(luò)日志不少于六個(gè)月。

智聯(lián)招聘CEO郭盛曾表示，目前還沒(méi)有嚴(yán)謹(jǐn)?shù)膶?duì)于數(shù)據(jù)隱私使用界限的定義。郭盛認(rèn)為，數(shù)據(jù)安全問(wèn)題的核心是數(shù)據(jù)主權(quán)而不是數(shù)據(jù)隱私，“你有你的主權(quán)，如果你愿意跟別人分享，這就沒(méi)有問(wèn)題”。

郭盛相對(duì)看好印度當(dāng)下的一種模式：用戶可以自行授權(quán)，并知曉自己的數(shù)據(jù)正在被誰(shuí)使用，甚至可以從中獲利。如果個(gè)體并不能從授權(quán)中獲益，甚至自己并不知道信息已被使用，就會(huì)出現(xiàn)問(wèn)題。

北京某律所的周律師與郭盛觀點(diǎn)相近，不久前他曾受理過(guò)一起案例：一家共享單車公司的員工將離職，利用原公司權(quán)限查看并下載了10萬(wàn)多條信息，賣給了電信詐騙團(tuán)伙，被追究刑事責(zé)任。

據(jù)周律師不完全統(tǒng)計(jì)，目前國(guó)內(nèi)個(gè)人用戶信息泄露三個(gè)主要來(lái)源分別是銀行、移動(dòng)通信公司以及房屋中介公司，“大多是內(nèi)外勾結(jié)，尤其是一些小銀行，內(nèi)部人員出賣信息，比如辦信用卡的信貸員，可以以一條信息幾分錢的價(jià)格賣數(shù)據(jù)?！?/p>

遺憾的是，從2015年《網(wǎng)絡(luò)安全法》出臺(tái)至今，“侵犯公民個(gè)人信息罪”這一罪名設(shè)置相對(duì)并不算嚴(yán)重。周律師坦言，有人會(huì)用技術(shù)中立作為擋箭牌，從刑法的角度有時(shí)很難對(duì)其作出判斷評(píng)價(jià)。

根據(jù)2017年5月最高人民法院、最高人民檢察院發(fā)放的10號(hào)文件，具有下列情形之一，即當(dāng)認(rèn)定為刑法第二百五十三條之一規(guī)定的“情節(jié)嚴(yán)重”，其中包括非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息50條以上；非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息 500條以上。

有數(shù)據(jù)安全相關(guān)公司大致計(jì)算過(guò)信息地下黑市，認(rèn)為這是幾萬(wàn)億的市場(chǎng)，“你做黑客，一個(gè)星期就買輛寶馬也很正常。”一位業(yè)內(nèi)相關(guān)投資人說(shuō)。

2016年8月21日，學(xué)生徐玉玉因被電話詐騙9900元學(xué)費(fèi)，過(guò)度傷心導(dǎo)致心臟驟停，搶救無(wú)效不幸離世。至此，國(guó)內(nèi)數(shù)據(jù)安全才第一次被推至大眾視野，該事件也成為“2017年推動(dòng)法治進(jìn)程十大案件”之一。

該事件后，包括“數(shù)據(jù)堂”等在內(nèi)的一撥兒相關(guān)公司被查，名單一度擴(kuò)大到30家，一些公司開(kāi)始進(jìn)行裁員。質(zhì)疑紛至沓來(lái)，大量數(shù)據(jù)接口暫停，“數(shù)據(jù)驅(qū)動(dòng)”風(fēng)控模型上了“黑名單”，被監(jiān)管層建議“謹(jǐn)慎使用”，大數(shù)據(jù)征信也遭到了前所未有的否定。

所有掙大錢的事情都寫在了刑法里。

大數(shù)據(jù)公司“大部分靠偷偷賣數(shù)據(jù)賺錢”

時(shí)至今日，數(shù)據(jù)安全領(lǐng)域仍然沒(méi)有誕生巨頭。某專注數(shù)字產(chǎn)業(yè)領(lǐng)域投資的人士回憶，在其10年網(wǎng)絡(luò)安全投資生涯中，直到近兩三年，那些保護(hù)個(gè)人隱私、保護(hù)企業(yè)的數(shù)據(jù)安全類型的公司，才開(kāi)始真正出現(xiàn)。

據(jù)其觀察，2017年之前，市場(chǎng)上可見(jiàn)的大數(shù)據(jù)公司“大部分都是靠偷偷賣數(shù)據(jù)賺錢”。大數(shù)據(jù)公司百分點(diǎn)CTO劉譯璟與他觀點(diǎn)一致：前年在風(fēng)口起來(lái)的大數(shù)據(jù)公司里，濫竽充數(shù)者眾多，常以數(shù)據(jù)倒買倒賣營(yíng)生，表面是高科技公司，實(shí)際上從黑市購(gòu)買數(shù)據(jù)，再清洗包裝售出。

有從事AI醫(yī)療創(chuàng)業(yè)的公司說(shuō)，他們要么高價(jià)在醫(yī)院雇人做數(shù)據(jù)標(biāo)注，要么需要和專家醫(yī)生以合作科研的名義獲得數(shù)據(jù)，這些數(shù)據(jù)要做脫敏，花在其他部分不可明說(shuō)的錢更難以為外界所知。

2016年4月，當(dāng)時(shí)歐盟議會(huì)通過(guò)了《通用數(shù)據(jù)保護(hù)條例》（簡(jiǎn)稱GDPR），用于取代1995年發(fā)布的過(guò)時(shí)的數(shù)據(jù)保護(hù)指令。這項(xiàng)新指令更新了歐盟成員國(guó)存儲(chǔ)和管理個(gè)人數(shù)據(jù)的方式，將個(gè)人信息的保護(hù)和監(jiān)管達(dá)到了前所未有的高度，用戶的基本身份信息、網(wǎng)絡(luò)數(shù)據(jù)、醫(yī)療保健和遺傳數(shù)據(jù)、生物識(shí)別數(shù)據(jù)、種族或民族數(shù)據(jù)、政治觀點(diǎn)、性取向都成為GDPR保護(hù)的對(duì)象。

普華永道的調(diào)查結(jié)果顯示，GDPR意味著68%的美國(guó)公司將花費(fèi)100萬(wàn)到1000萬(wàn)美元來(lái)滿足合規(guī)性要求，另有9%的企業(yè)預(yù)計(jì)要花費(fèi)超過(guò)1000萬(wàn)美元。如果有公司不做出改變，每一單GDPR違規(guī)行為將受到高達(dá)2000萬(wàn)歐元的處罰，或者上一年全球年?duì)I業(yè)額的4%，以較高者為準(zhǔn)。

條例最終在2018年5月正式實(shí)施。任何越線者——包括與歐盟各國(guó)進(jìn)行交易的公司，都可能收到一份來(lái)自歐盟的巨額罰單。

普通人擔(dān)心數(shù)據(jù)安全，企業(yè)對(duì)此更諱莫如深。

前不久，一家培訓(xùn)公司出了這樣的事：一個(gè)員工將公司講師的電話和個(gè)人信息制成圖片，試圖逃過(guò)審核，傳遞出去。倘若這些圖片真的就此流出去，被困擾的不僅是信息的所屬人，還有這家培訓(xùn)公司：丟掉公司名譽(yù)，更重要的是核心資產(chǎn)就此外泄。

萬(wàn)幸的是，公司審計(jì)人員馬上收到郵件警告，隨后，公司內(nèi)部安全管理平臺(tái)上顯示出了這條泄露事件。揪出內(nèi)鬼的是一家數(shù)據(jù)安全公司，“我們公司主要做的是基于對(duì)員工上網(wǎng)行為的監(jiān)控和管理，防止企業(yè)內(nèi)部敏感信息發(fā)送出去?！碧炜招l(wèi)士市場(chǎng)總監(jiān)王慧說(shuō)道。

只有一小部分公司會(huì)購(gòu)買數(shù)據(jù)安全保護(hù)產(chǎn)品。“主要是大企業(yè)，包括世界500強(qiáng)和一些金融公司。”王慧解釋，中小企業(yè)很少會(huì)真的在意這個(gè)問(wèn)題，他們會(huì)覺(jué)得做這件事要花錢，卻不產(chǎn)生效益，只有當(dāng)真的損失來(lái)臨時(shí)，數(shù)據(jù)這種無(wú)形資產(chǎn)才會(huì)被重視起來(lái)。不久前，一家公司找過(guò)來(lái)，說(shuō)現(xiàn)在有需要了，該公司的幾名重要員工被美國(guó)同一家公司挖走，并帶走了一些內(nèi)部信息，老板卻對(duì)發(fā)生在眼皮子底下的事情一無(wú)所知。

“大部分中小企業(yè)都是在裸奔。”王慧感慨。

曾經(jīng)，在大數(shù)據(jù)生意的戰(zhàn)場(chǎng)上，業(yè)內(nèi)心態(tài)經(jīng)歷了不信任到開(kāi)放的過(guò)程，越來(lái)越多的公司知道挖掘數(shù)據(jù)價(jià)值來(lái)做生意。預(yù)計(jì)到2020年，人類的總數(shù)據(jù)量將突破100ZB。

遺憾的是，大數(shù)據(jù)行業(yè)發(fā)展了，數(shù)據(jù)安全的進(jìn)程與之不成正比

遺憾的是，大數(shù)據(jù)行業(yè)發(fā)展了，數(shù)據(jù)安全的進(jìn)程與之不成正比。

因?yàn)榘l(fā)展時(shí)間短，技術(shù)很新，業(yè)內(nèi)做得好的數(shù)據(jù)安全公司并不多，放眼全球，目前也沒(méi)有出現(xiàn)相關(guān)領(lǐng)域的巨頭。一家美國(guó)叫Altitude的公司曾引起國(guó)內(nèi)投資機(jī)構(gòu)的注意，這家公司使用同態(tài)加密技術(shù)，使客戶無(wú)需對(duì)加密數(shù)據(jù)進(jìn)行提前解密就可以執(zhí)行操作，既保護(hù)了用戶隱私，又不損害企業(yè)的商業(yè)利益。

即使是被看好的這項(xiàng)技術(shù)至今仍處于早期，并沒(méi)有大規(guī)模使用，“理論上很成熟，但是要將它變成一個(gè)普通的產(chǎn)品，還要解決很多問(wèn)題，比如性能?！痹撏顿Y機(jī)構(gòu)負(fù)責(zé)人解釋。

“這幾年做數(shù)據(jù)安全的公司多了起來(lái)。關(guān)注的人多了之后，投資人需要去辨別，有的人簡(jiǎn)歷會(huì)寫‘從事數(shù)據(jù)安全研究十余年，就如同AI剛出現(xiàn)時(shí)一樣?！眳⒓舆^(guò)《網(wǎng)絡(luò)安全法》第一次司法解釋會(huì)的一名業(yè)內(nèi)人士覺(jué)得有些無(wú)奈——實(shí)際上整個(gè)行業(yè)都是新興的，根本不存在數(shù)據(jù)安全領(lǐng)域的十余年老兵。

總的來(lái)說(shuō)，人工智能越熱，數(shù)據(jù)安全越熱；數(shù)據(jù)安全越熱，相關(guān)人才越搶手。

安全行業(yè)對(duì)人才的搶奪超出外界想象。一個(gè)投資人告訴記者，很多黑客圈的大牛級(jí)人物工資都以千萬(wàn)計(jì)，即便不自主創(chuàng)業(yè)，也可能成為億萬(wàn)富翁，“安全圈人才的稀缺可想而知，基本上都得千萬(wàn)級(jí)往上砸，才能挖到牛人?！?/p>

他認(rèn)為這種供需市場(chǎng)行情是有道理的，因?yàn)槟撤N程度上，行業(yè)中曾出現(xiàn)過(guò)人才斷層。“你找一個(gè)寫JAVA的、寫PPT的，滿大街都是，但想找個(gè)做安全的，確實(shí)還是有難度。早些年這些大牛都是在微軟這樣大公司的，起點(diǎn)就比較高?！?/p>

畢竟，對(duì)那些以數(shù)據(jù)為主要資產(chǎn)的公司而言，變現(xiàn)道路千萬(wàn)條，數(shù)據(jù)安全第一條。