在移动互联网时代,数据中所蕴含的强大能力前所未有地被释放出来,如果希望未来的数字化产业有序发展,就必须在互联网产业涉及数据的各个环节,建立对数据这一核心资源的有效约束。
那么,包括数据获取者、数据运营者、数据使用者、数据监管者都应该承担什么样的责任呢?
数据获取者:责任承担者
数据获取者,是面向客户采集数据的企业和组织。它们需要承担的责任最为复杂,包括客户数据知情权的保障、客户数据遗忘权的保障,乃至贯穿整个企业的客户数据操作与管理从流程到组织的一系列要求。
客户数据知情权,指的是企业在收集客户数据时,必须获得客户授权,并明确告知通过什么手段收集哪些类别的客户数据,这些客户数据包含的具体内容,企业将如何使用这些客户数据,在什么样的范围使用这些数据。对于未告知或告知不充分甚至故意隐瞒后超范围收集数据的,需要承担相应的责任。
客户数据遗忘权,指的是企业承诺当客户撤回数据收集授权或要求删除全部客户数据时,向客户提供简单的操作手段,彻底删除企业拥有的客户数据。企业不得以技术实现困难为理由,在客户提出删除数据后仍然在内部保留部分客户数据。
客户数据操作与管理要求包括从数据加密规范、操作日志规范、向监管机构开放审计规范乃至数据泄露发生时的应急处理流程。该流程应该基于行业标准设计、定期接受合规性检查,并由首席数据官等数据管理的专职岗位负责承担相应的合规责任。
在客户数据保护和对数据获取企业的监管方面,英美等发达国家已经积累了很多经验。
2015年英国的通信运营商TalkTalk因为系统遭遇黑客入侵泄露了近16万条客户数据,2016年10月被英国信息专员公署罚款40万英镑。本月初,因为对客户数据管控不力致使2万条客户数据在未经授权下被印度外包服务商访问,TalkTalk再次被罚款10万英镑。在这第二次罚款中,受影响的客户数据其实只包括姓名、住址和电话号码这些基本信息。
2015年4月,美国联邦通信委员会(FCC)对美国电话电报公司(AT&T)罚款2500万美元,惩罚其内部管理混乱导致近28万名客户的数据被泄露。FCC发现,AT&T位于墨西哥等地的三处呼叫中心的多名员工,通过非法手段访问内部公司多达28万名客户的数据,并将这些个人账户相关联的一些信息,比如客户名称、社会保障号码的后四位数出售给了第三方。作为客户数据获取企业,AT&T必须承担重大的管理失误责任,并接受了美国历史上最高额的客户数据泄露罚单。
在互联网数据不断丰富的今天,欧盟进一步加大了客户数据保护的力度。即将在2018年5月生效的欧盟《一般数据保护条例》明确规定,对于个人数据被持续和系统收集并使用的情况下,相关企业或组织应该任命有专门的数据保护专员。企业与机构在发生用户数据泄露后72小时内,必须遵循条例规定向监管部门报告,并评估数据泄露有可能带来的损失和相应的补救措施。数据泄露一旦发生,企业有可能被处以全球年营业额4%的高额罚款。
数据运营者:秘密守护者
数据运营者,指的是面向企业客户提供数据运营与管理平台的云服务提供商。现在越来越多的企业选择把自己的数据中心配置在云计算平台上,其中包含大量的客户数据。作为数据的实际管理者和运营者,云计算服务提供商责无旁贷。
云服务提供商需要承担的责任非常直接,就是按照数据获取者提供的规范,承担从数据加密、数据操作、数据审计、数据流入流出乃至数据删除等一系列系统服务相关的技术实现和具体的合规性支持。
今年7月,美国最大的移动通信公司Verizon泄露了600万客户数据。其中包括客户姓名、地址、联系电话,部分记录中还包含了通信服务重置使用的PIN码。这次数据泄露事故是由Verizon的云服务公司管理疏忽所导致的,该云服务公司的一名员工在修改系统配置时,因操作失误导致外部用户可进入云存储区域访问本不能访问的信息。
6月,由于亚马逊云存储服务器上的配置错误,包括《华尔街日报》订户在内的220万道琼斯用户“私密信息”遭到未经授权的访问,这类事件此前就发生过。
因此,监管当局必须强制其通过数据加密的方式存储数据,并配合以数据访问日志与跟踪记录,这样一方面能做到真实数据信息安全保护,另一方面即使数据被外泄,也能第一时间了解并控制影响范围。这些工作绝不是数据获取企业单方面的责任,而需要云计算服务商配合完成。
目前国内的云服务平台,从底层的IaaS到上层的SaaS都没有针对敏感客户数据从加密到操作再到审计的支持。这一方面是由于国内云服务平台还处于低水平竞争阶段,另一方面也是由于国内从监管机构到企业都没有成体系的数据管理需求。
数据使用者:监管真空
数据使用者需要承担的责任是合法获取数据、合法使用数据。
合法获取数据,是指对于来源不清或者是超范围获取的数据,将承担相应的责任。合法使用数据,是指禁止非合规的数据外流和数据交易。
对数据使用企业的监管,目前看来是最难也是最弱的。
今年5月,因其在收购WhatsApp时提供误导性信息,欧盟对Facebook罚款1.1亿欧元。
2014年,Facebook以218亿美元收购移动通讯运用程序WhatsApp,该收购当年10月获欧盟批准。之前,Facebook在提交给欧盟的文件中表示,Facebook与WhatsApp之间不会建立用户账号信息的自动化匹配。
但在2016年8月,Facebook对WhatsApp的隐私政策作出调整,允许WhatsApp与其分享部分用户的手机号码,打通了两套社交系统的客户数据,此举招致欧盟不满,并在当年12月启动调查。
反观中国,对企业数据使用的约束从法律法规到具体执行几乎都是空白。客户数据泄露相关的案例都是以惩罚数据泄露方为主,对于购买不明来源数据的企业几乎没有任何惩罚。未来,中国数据监管部门首先要建立数据来源追索机制,并应勇于出手惩罚。
数据监管者:轻重不当
数据监管者主要有两个主体:数据交易平台、数据产业监管机构。
作为互联网产业的核心资源,数据的交易需求是永远存在不可限制的。进行引导并规范管理的重要手段之一就是建立公开透明的数据交易平台。作为数字化产业链核心的数据交易平台,需要审核交易双方的资质,尤其是数据获取者的数据来源,并对交易数据的合规性予以认定。
2015年4月挂牌运营的贵阳大数据交易所,是中国第一家数据交易平台。未来政府要整顿数据交易市场的乱象,必须借助公开的数据交易平台来促成规范的数据交易,同时堵住不合规的地下交易行为。
数据产业监管机构是整个体系中最重要的环节,他们必须制定面向数据获取者、数据运营者、数据使用者和数据交易平台的一系列监管规范,并制定合规审计细则和相应的惩罚措施,从而维护有序的数字化产业生态环境。
中国数据产业监管起步较晚,目前存在的问题主要有两点,一是重惩罚轻监管,二是重个体轻企业。
重惩罚轻监管,指的是监管部门重在打击事后违法行为,但未能建立数据监管规范。未雨绸缪比亡羊补牢效果要好很多。数据产业监管机构如果能够提出一整套客户数据监管规范强制数据获取者、数据运营者和数据使用者依法行事,将大大减少目前猖獗的数据黑市的生存空间。
重个体轻企业,指的是重在打击泄露数据交易数据的个体,而对应承担客户数据安全管理的企业和组织惩罚不足,甚至在很多案例中,这些企业还以受害者的面目出现。
2017年3月,央视《新闻直播间》报道了一起重大数据泄露事件,近50亿条包含姓名、账号、密码、手机号、身份证号、银行卡号、地址等个人信息的数据在互联网上流传,其中很多来自京东。公安机关后来抓获犯罪团伙主要嫌疑人郑某,其为京东网络安全部的员工,属于典型的内鬼。
这起案件,虽然郑某得到了应有的惩罚,但根据公开报道,监管部门并未要求数据获取者与管理者京东承担任何责任。反观美国,摩根士丹利前员工利用公司安全漏洞向个人的服务器转移了与大约73万个客户账户相关的数据,2016年6月,美国证券交易委员会对摩根士丹利罚款100万美元,以惩罚其管理不善。
就在8月初,华为和腾讯因为在手机上获取客户微信数据再起争端。部分原因就是因为中国企业可通过收集客户数据获取巨大利益,却无需承担客户数据安全与管理的任何责任。正是这种利益与责任的巨大反差,让企业不遗余力地收集客户数据,甚至直接推动黑色数据产业的膨胀。
“能力越大,责任越大”(With great power comes great responsibility),这是电影《蜘蛛侠》的经典台词。为什么英雄电影那么卖座,因为每个人都梦想成为超人。但超人该承担哪些与自己能力相对应的责任与义务,我想不是每个人都考虑过。
拥有越多的数据,承担越大的责任,应该成为数字化产业发展的核心原则。互联网世界里,黑色数据产业也许永远不能根除。但如果我们能够强制让数字产业的参与各方真正承担起自己的责任,就能扭转目前数据黑产泛滥的局面。
(作者为科技与互联网资深分析师,编辑:谢丽容)
(本文首刊于2017年10月30日出版的《财经》杂志)
