莫伸手伸手必被捉！某些大数据公司到底出了什么问题？

互联网+ 任俊东零壹财经 2019-09-22 阅读：10853

关键词：爬虫 大数据 征信 个人隐私信息

“爬虫”变害虫。

9月19日，据英国金融时报报道，阿里（蚂蚁金服）和腾讯拒绝向提供信贷数据；同日，号称杭州最大的贷超平台“”遭遇警察突击清查。目用管家官网“贷款”一栏已无法正常打开。
9月18日，马化腾日前不再担任有限公司法定代表人，同时卸任执行董事。现任法定代表人、董事长为腾讯副总裁林海峰，郑浩剑任总经理。
9月15日，国家计算机病毒应急处理中心发布《移动APP违法违规问题及治理举措》，金融、因“涉嫌超范围采集用户隐私信息的行为”被点名。
9月11日，主体运营公司杭州存信数据科技有限公司被杭州市公安局西湖分局古荡派出所查封。公信宝被查可能涉嫌交易用户个人敏感信息。公开信息显示，公信宝爬虫数据包括联通、智联招聘、分、微信、，甚至是人行征信数据等。
9月6日，杭州西湖分局集结200余名警力，对涉嫌侵犯公民个人信息的魔蝎科技进行统一抓捕。
……

近期，个人隐私信息、大数据、征信等数据领域的消息此起彼伏。特别是在信息采集领域，一时之间， “爬虫”变害虫。一场由“虫”引起的数据行业风波愈演愈烈之势。数据行业到底怎么了？

中立的技术

爬虫作为一种计算机技术，具有技术中立性，爬虫技术在法律上从来没有被禁止。爬虫的发展历史可以追溯到 20 年前，搜索引擎、聚合导航、数据分析、人工智能等业务，都需要基于爬虫技术。

与爬虫相关的风险高企的关键在于：爬虫为谁所用？用作何处？同样如果不能甄别哪些数据是可以爬取，哪些会触及红线，可能下一位上新闻的主角就是你。

上市数据公司的前车之鉴

2007年，一起公安部、最高检察院督办的特大侵犯个人信息专案，涉及国内“大数据行业第一股”数据堂（北京）科技股份有限公司（下称“数据堂”，NEEQ:831428）的多名员工。该案被山东警方全面起底，从源头“内鬼”到中转商再到下游使用者，共11家公司牵涉其中。其中，数据堂6名员工处于链条中信息流转的重要环节。

后经审理，数据堂的COO柴银辉、技术总监揭宇飞就因为侵犯公民个人信息罪而被判刑。数据堂将此事归因于两人的个人行为。

大数据交易行业，一直面临着隐私保护的技术和法律难题，该案亦表明，这类数据交易商业模式的违法风险极高。

据《刑法》第253条，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，该罪最高刑罚七年。

而按照两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，非法获取、出售公民行踪轨迹信息、通信内容、征信信息、财产信息50条以上的；住宿信息、通信记录、健康生理信息、交易信息等500条以上的；其他公民个人信息5000条以上的；违法所得5000元以上的，构成“情节严重”标准。此外，利用非法购买、收受的公民个人信息合法经营获利5万元以上的，也构成入罪的“情节严重”标准。

我国的《数据安全管理办法》对数据行业的影响

5月28日，国家互联网信息办公室（以下简称“网信办”）发布关于《数据安全管理办法（征求意见稿）》（以下简称《管理办法》）公开意见的通知，向社会公开征求意见。

1、明确监管主体，施行备案制管理

根据《管理办法》，在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动，以及数据安全的保护和监督管理均在此办法的监管范围。

2、建立个人信息收集使用规则，提出安全责任人制度

根据《管理办法》，网络运营者只要收集使用个人信息，应分别制定并公开收集使用规则，收集使用规则可以包含在隐私政策中，也可以其他形式提供给用户。并规定仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息。收集使用规则的具体内容包括：

（一）网络运营者基本信息；
（二）网络运营者主要负责人、数据安全责任人的姓名及联系方式；
（三）收集使用个人信息的目的、种类、数量、频度、方式、范围等；
（四）个人信息保存地点、期限及到期后的处理方式；
（五）向他人提供个人信息的规则，如果向他人提供的；
（六）个人信息安全保护策略等相关信息；
（七）个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法；
（八）投诉、举报渠道和方法等；
（九）法律、行政法规规定的其他内容。

3、约束默认授权、功能捆绑相关行为，要求停止“定推”后删除用户数据

《管理办法》则对这一行为进行了严格约束，规定网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

4、提出数据爬取要求，规定“合成”内容要求

《管理办法》对数据爬取和“合成”信息进行了首次规定。根据《管理办法》，网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。

欧洲的实践

2018年，欧盟曾出台《通用数据保护条例》（General Data Protection Regulation，简称GDPR），被称为史上最严格的数据法规，它不仅对个人数据权力保护做出了详细说明，还对违规行为制定了严格的处罚措施。

条例规定：网站经营者必须事先向客户说明会自动记录客户的搜索和购物记录，并获得用户的同意，否则按“未告知记录用户行为”作违法处理。同时，企业不能再使用模糊、难以理解的语言，或冗长的隐私政策来从用户处获取数据使用许可。

另外，明文规定了用户的“被遗忘权”（right to be forgotten），即用户个人可以要求责任方删除关于自己的数据记录。

2018年5月28日报道，Facebook和谷歌等美国企业成为GDPR法案下第一批被告。

专题推荐：金融毛细血管

零壹智库推出“金融毛细血管系列策划”，通过系列文章、系列视频、系列报告、系列研讨会和专著，系统呈现“金融毛细血管”的新状态、新功能、新价值、新定位。