中信銀行事件持續發酵，是誰讓我們變成透明人？

作者 | 薄純敏

來源 | 億歐網

公民對於隱私權的關注度正在提高，相應的，每一個網際網路企業都需要明白什麼不可為，什麼可以為。

5月6日，脫口秀演員池子發微博稱，中信銀行上海虹口支行未經授權將其個人賬戶流水提供給了上海笑果文化傳媒有限公司。

池子認為，中信銀行這一行為侵犯了自身權益，目前已透過律師發函要求中信銀行、笑果文化賠償損失並公開道歉。

7日，中信銀行已就洩露個人賬戶交易資訊一事向池子道歉，並按照規定對相關員工予以處分，但中信銀行的這一做法似乎並沒有消滅網友的怒氣。此事成了最近的微博熱搜，閱讀十餘億，討論近十萬。

嚴重的資訊洩露事件之外，每個人更多的隱私洩露，卻發生在網路使用的細節之中。資料的竊取與濫用更難被察覺，但同樣令人不安。

01 隱私換“便利“，自願還是被自願？

在智慧時代，資料無處不在，小到個人的日常消費，大到健康、教育等眾多決策，這些分佈在各個系統的資料可能對我們構不成直接傷害。

一旦將這些資料集中起來，透過資料整合和資訊加總，資料之間可進行印證和相互解釋，一個網路化的“虛擬自己”就誕生了，人們的隱私無所遁形。

有一種觀點認為， 中國的網際網路應用使用者願意用隱私去交換一些便捷性，有企業家說過“很多情況下他們（使用者）是願意的，那我們就可以用資料做一些事情。”

使用者真的是自願放棄自己的隱私嗎？有許多貌似自願，都是“被自願”。我想這是目前許多網民的悲哀，“使用權”和“隱私權”必須二選一，最後只能為了使用權“自願”的放棄自己的隱私。

以支付寶和拼多多為例，當你註冊或登入APP的時候，就代表同意了它的服務協議和隱私政策。 為了正常使用服務，你別無選擇，必須同意協議並且授權平臺使用儲存、電話、位置、相機、麥克風、通訊錄等資訊。

近日，國家計算機病毒應急處理中心在“淨網2020”專項行動中透過監測發現，多款民宿、會議類移動應用存在隱私不合規行為，其中不乏一些我們耳熟能詳的大公司。

例如，《同程旅遊》（版本9.2.8.1）、《攜程旅行》（版本8.22.2）未向使用者明示申請的全部隱私許可權，《自如》（版本6.7.3）未說明收集使用個人資訊規則，《泊寓》（版本4.11.2）未提供有效的更正、刪除個人資訊及登出使用者賬號功能，《我愛我家》（版本4.5.1）未建立並公佈個人資訊保安投訴、舉報渠道或未在承諾時限內受理並處理。

APP“越權”蒐集使用者隱私似乎已成為常態。信通院在10個安卓應用市場中選擇了20個類別中下載量大、影響範圍廣、存在典型問題的200餘款APP作為檢測物件，共計檢測出1265項資料安全問題。

其中，67%的APP存在5個及以上個人資訊保安問題，超過四成APP的問題集中在未公開收集使用規則、未明示收集使用目的、超範圍收集個人資訊等5類。

《網路安全法》針對個人資訊保護的第四十一條具體寫道：“網路運營者收集、使用個人資訊，應當遵循合法、正當、必要的原則。”然而，什麼是合法、正當、必要其實沒有清楚的界限。

南京郵電大學資訊產業發展戰略研究院首席專家王春暉表示：“只要資訊（資料）主體接受了資訊（資料）控制者或處理者的‘隱私條款’就完成了所謂的‘合法’環節。事實上， 多數App設定的所謂‘隱私條款’完全超出‘正當、必要’的範圍。”

02 隱私資料在“裸奔”？

如果被迫接受資料採集是一種悲哀，那麼資料洩露就是每一個人心裡的痛點。

2018年，Facebook由於管理使用者資料存在重大漏洞，導致5000萬資料洩露，且影響美國大選。

2019年，駭客竊取Capital One美國和加拿大約1.06億信用卡申請人和客戶的個人資訊。

2019年，深網視界洩露超250萬人的身份證資訊、人臉識別影像及影像拍攝地點等資料。

資料洩露已不是偶然。Risk Based Security資料顯示，2019年全球共發生7098起資料洩露事件，涉及資料記錄數量151.95億條。

除了這些已被發現的事件之外，還有許多資料洩露事件並沒有透過媒體報導，只是侷限於當事方知曉並自動採取應對措施。

2017年11月，Uber主動公開了2016年發生的一起嚴重資料洩露事件。為隱瞞此事件，Uber曾向駭客支付10萬美元封口費。

眾多資料洩露事件早已讓我們明白， 在大資料面前，每一個人都披著“皇帝的新衣”，而隱私資料在“裸奔”。

2018年，湖北青年藝術家鄧玉峰在武漢美術館舉辦了一場特殊的個人展覽，展覽的不是名畫，也不是古董，而是“秘密”。它們來自在黑市購買的34.6萬人的資訊，包括姓名、電話、地址、身份證、網購記錄、車主詳細資訊等內容，而一條資訊的最低價格僅為“一分錢”。

28歲的譚某，電話XX，家住武昌和平大道融僑華府*，車牌號XX，發動機號XX，有一輛紅色寶馬車。3月1日上午11:06，她在淘寶網購買了嬰兒用品三件套、尿不溼一箱、奶粉三盒；2日下午，她在淘寶網購買了一件女士外套、高跟鞋一雙，且又在另一個商城購買了一臺兒童洗衣機。這是名為《秘密——鄧玉峰個展》現場，藝術家創造的一個“資料人”。

在這一刻，或許大家才發現，原來智慧時代每個人的秘密這麼不值錢。

你是誰？這個問題不再需要你自己回答，資料可以告訴我更真實的內容。

03  誰來為我們的隱私負責？

漢娜·阿伯特在《公共領域和私人領域》中表示，“有史以來，直至我們這個時代，需要隱匿於私下的東西一直都是人類存在中身體的部分，即一切與生命過程的必然性性關聯的東西。”

只要私人事務存在，隱私就存在。然而現在人們的隱私權卻變得如此脆弱，誰又可以為我們的隱私負責？

在個人隱私保護中，參與者主要有三方：資料輸出方、資料儲存方、監管第三方。

資料輸出方——捍衛自己的隱私權利

《衰仔樂園》裡有這樣一個荒誕的橋段：Kyle在升級裝置時沒看使用者協議，結果同意了被某水果公司拿來做人體實驗。

生活中的每個普通人何嘗不是那個懵懵懂懂的Kyle？在經歷了多次“被自願”之後， 我們也不再關心APP的隱私政策、應用許可權等。

當被問到是否擔心個人資料洩露時，劉水（化名）告訴億歐：“其實並不擔心，我在網上沒做過什麼壞事，我不在乎是否有人看我在網上做什麼。”

現實中，劉水並不是一個特例，大家似乎已經忽視許久自己的隱私權。

雖然我們不至於像《捍衛隱私》中所描述的一樣，透過各種方法實現“網上”隱身，但是隱私權作為我們的基本權利還是需要去捍衛。當使用者保護隱私的意識日益提升，也將會倒逼相關企業及組織予以重視。

資料儲存方——提高資料安全意識

據閃捷資訊保安與戰略研究中心統計，71%的資料洩露原因是缺乏對資料的訪問控制，36%的資料洩漏原因是資料處置不當。綜合來看，資料洩露的原因主要是因為企業技術管理的“不作為”、“亂作為”，也側面反映了企業對資料安全的漠視。

智慧時代，使用者即使為了便捷讓渡了一部分隱私權，但企業不應該視為“理所當然”。“如何對待客戶，就應該如何對待客戶的資訊”，這是企業對於使用者資料安全的基本尊重。

企業在採集使用者資訊的時候需要先反問一下自己， 是否有保護資訊的能力，是否願為保護資訊付費。

慶幸的是，為了避免使用者與公司之間因為“不信任”產生裂縫，企業資料保護的意願越來越強烈。IDC資料顯示，2019年中國安全解決方案總體支出將達到69.5億美元，到2022年，市場規模將增長至137.7億美元。

區塊鏈等新興技術也開始用於解決資料安全問題，保證資料可用不可見。 區塊鏈技術本質上是一種分散式系統，目的就是解決信任問題。

衝量網路就是將可信計算與區塊鏈信任機制結合，構建一個多方聯合資料隱私計算的平臺，讓各參與方在不暴露源資料的情況下，在隱私安全、公平可追溯的前提條件下進行一些資料的聯合計算。

衝量網路創始人鄧海南表示，公司創立的初衷是為了解決日益嚴重的資料安全和隱私問題，區塊鏈可信計算既能有效保護資料所有權，又能實現高效的資料協作、聯合計算。

監管第三方——加強執法力度

以上兩者在使用者隱私保護中發揮的作用主要還是“自治”，依靠個人和企業的自覺和自律，除此之外，社會還需要一些“法治”措施。

據億歐智庫不完全統計，目前全球共有126個國家和地區制定了專門的個人資訊保護法。2018年5月，歐盟制定的《一般資料保護條例》（General Data Protection Regulation，GDPR）正式開始生效。這也是迄今為止，全球資料隱私法規中，覆蓋面最廣、監管條件最嚴格的關於個人隱私和資料安全的法規。

中國也早在2017年就出了《兩高司法解釋》和《網路安全法》，明確提出，網路運營者收集、使用個人資訊，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用資訊的目的、方式和範圍，並經被收集者同意。除此之外，中國2020年將《個人資訊保護法》與《資料安全法》列入了立法規劃。

在個人資訊保護法律法規逐漸完善的背景下，第三方監管亟需解決的問題主要在於如何執法。

“對於個人資訊保護方面現存的問題，其實不能說沒有規定，問題可能更多集中在執法機構怎麼執法的問題。”

中國人民大學法學院教授石佳友表示，執法格局比較分散是目前執法上最大的難點，例如涉及網路問題是網信辦來管，涉及非法經營問題又成了工商部門的事。多部門執法反而形成了“真空地帶”，使得執法沒能有效到位。

面對存在資料洩露風險和已發生資料洩露的企業，中國目前還主要是 透過“行政約談”的方式，企業犯錯成本太低。

今年4月，美國聯邦法院正式批准了Facebook就使用者資料洩露事件與聯邦貿易委員會達成的和解協議，要求Facebook支付50億美元的罰款，並實施更嚴格的新資料隱私措施。

去年針對媒體公開報導和使用者曝光的“ZAO”App使用者隱私協議不規範、存在資料洩露風險等網路資料安全問題，工信部僅對相關負責人問詢約談，要求嚴格按照國家法律法規以及相關主管部門要求，組織開展自查整改，並未受到什麼實質層面的懲罰。

中南財經政法大學數字經濟研究院執行院長盤和林表示：“對於監管部門而言，雖然不時爆出機構洩露資訊事件，但是真正進行處罰的不多，處罰的程度也不算高，並沒有形成一種重視個人私隱和保護的社會氛圍。監管部門應該在現有的法律框架下加大懲處的力度，列名條款，對應處理。”

04 尾聲

隨著技術的發展，便捷與隱私、隱私與安全的矛盾正在愈演愈烈。

技術發展大勢不可阻擋，隱私權不可以忽視。公民對於隱私權的關注度正在提高，相應的， 每一個網際網路企業都需要明白什麼不可為，什麼可以為。

否則，只會有越來越多的Kyle、譚某、池子、去承受那些不該有的困惑苦惱。