“裸奔”在大數據時代

2015年9月，萬眾創業的風勢正猛，一位創業者找到我，安利他正在籌備的一個項目，主營業務是為企業做員工離職預報，他堅稱市場前景非常可觀，問我要不要報道。閱世甚淺的我感到十分新奇，然後拒絕了他。

再次聽到他的消息是在3年半之後，3月25日，號稱擁有中國最大簡歷數據庫的巧達科技被曝已被警方查封，或涉嫌多款產品在未被授權情況下抓取用戶簡歷等信息。這家公司的法人兼大股東王成予正是當年那位創業者。

巧達科技爆雷，距離央視315晚會曝光WiFi探針盜取個人手機號碼、外賣App疑似“竊聽門”不過一兩週時間；3月27日，北京市消協發佈大數據“殺熟”調查，認為去哪兒網、飛豬旅行確實涉嫌有“殺熟”行為。有聲音將近期一系列動作解讀為監管部門正掀起對大數據黑產的新一輪打擊。

你的姓名、年齡、身份證、收入、喜好、購買記錄……這些數據的主權還在你手上嗎？它們被倒賣了多少輪？到底有多值錢？有知情人士透露，以醫療數據為例，由於用戶轉化率高、數據獲取難，一例透析病人的數據可被炒到8000元。

2018年，上海交通大學邵國松教授等人選取了中國500家有影響力的網站，對其隱私政策聲明進行分析，核實其是否較好地執行了《網絡安全法》相關條款。結果發現，收集個人信息的網站在所有類別網站中都佔據了極高比例，其中教育類網站收集比例高達100%，商業類網站需要身份識別的也達84%。

10億份通訊錄，淨利潤1.86億

公開資料顯示，巧達科技成立於2014年7月，數據來源為“喬大招”，包括之前為企業做員工離職預報的“愛夥伴”在內，其旗下10多款招聘工具均為免費產品，這些產品通過爬蟲等技術在網上抓取簡歷後投入數據庫，再向企業提供相關人才信息服務。

有在線招聘頭部公司人士認為這些數據過於誇張，她對AI財經社表示，這種爬蟲技術會觸及很多相關企業利益，所以一般公司都會設有反爬機制。

“燃財經”拿到的一份巧達數據的商務計劃書則顯示，該公司旗下有38個B端招聘產品、超過170萬招聘者用戶，自稱有超過10億份通訊錄、擁有超過8億自然人的信息，通過簡歷解析，可以對自然人產生包括社會關係、組織關係、家庭關係及區域位置等定位，幾乎涵蓋個體所有關鍵信息維度。

巧達科技將這些數據用在招聘、電商、影視、保險、金融等行業。這為巧達科技在2016年帶來1.2億元營收，其中淨利潤即達4800萬元，到2017年，兩項數字激增至4.11億元和1.86億元。

王成予曾公開宣稱，“簡歷是最有價值的自然人數據。巧達數據通過大數據及人工智能技術研發的認知引擎，能夠快速還原網上自然人的清晰畫像，為商家提供實用的營銷方案。超過170萬家互聯網企業和獵頭公司在使用相關產品”。

巧達科技在2014年11月得到創新工場數百萬美元A輪融資，2017年1月再次得到中信產業基金數千萬人民幣B輪融資。

至於創始者王成予本人，則由中國裁判文書網曝露了更多信息，2016年3月《北京市第三中級人民法院民事判決書》中顯示，王成予在2011年5月之前的十幾年裡，存在多次違法犯罪記錄，包括盜竊、詐騙等，其中包括2006年轟動一時的涉嫌敲詐勒索華碩公司一案。

更多的事情並非出自慣犯之手。2019年315晚會上，央視曝光“探針盒子”，當個體手機Wifi處於開啟狀態，就可能被探針盒子捕獲，並轉換獲取手機號碼。探針盒子不僅可以強制用戶手機彈窗，冒充已連接WiFi在微信置頂界面投放無法消除的廣告，甚至還能撥打騷擾電話和發送短信。這些小盒子放在商場、寫字樓等公共空間內，可以在個體毫不知情的情況下搜取個人數據，甚至包括婚姻、教育、收入等信息。

2019年3月18日，美團和餓了麼被曝疑似竊聽用戶日常對話。《IT時報》稱，通過長達3個月的測驗，他們發現，只要日常在對話中提到某款食品的名字，這些外賣軟件總能即時推送相應商家信息，出現相關推薦概率高達60%-70%。

伴隨大數據時代的到來的，是信息安全這一新問題。過去幾年裡，從小平臺到大公司，數據洩露事件頻發，僅2018年就包括：圓通的10億條快遞信息在暗網上架出售；華住酒店、萬豪酒店各有5億用戶信息外洩；國泰航空940萬乘客數據流出；陌陌3000萬用戶數據洩露……

幾乎按月爆發的頻率、動輒上億的量級面前，普通人興許躲過這一劫，旋即栽在下一劫。

一位網絡信息安全公司創始人曾向AI財經社講述其團隊習慣：全公司沒有一個人使用真名收取快遞及外賣；為了避免黑客撞庫，他從不將同一個密碼使用在兩個地方。他們比大眾更清楚，在互聯網上，也許你早已是“裸奔”狀態。

今天的流量早已不止是PV、UV這樣的概念，流量有了姓氏、性別，喜好。比你更瞭解你自己的，可能是手機，更不用說各種實名認證的應用，輕鬆愉快間就讓你成為都市裡行走的透明人、互聯網時代的楚門。

瑣碎的個體信息背後，是潛在的商業價值。2015至2018年期間，由於代表著未來更多可能，大數據曾一度成為市場上時髦標籤。包括國內許多創業者對外高頻語述之一也是：“不要說我們是互聯網公司，我們是技術驅動的大數據公司！”

平臺以用戶基本信息為基礎，分析日常使用行為，提取個體特徵，滾雪球般積累起10的N次方數據。這些數據，不但成為平臺將業務進一步鋪開的助推燃料，也成為換取資本青睞的籌碼。

2018年3月，中國發展高層論壇年會上，百度董事長李彥宏說了一句充滿互聯網現實主義但註定惹火燒身的話：“中國人更加開放，對隱私問題沒有那麼敏感，很多情況下他們願意用隱私交換便利性，那我們就可以用數據做一些事情。”

這句話實際拋出了一個問題：在獲取便利和交出隱私之間，合適的度在哪裡？

業界公認的是，即便用戶不重視甚至放棄數據主權，這也不能成為隱私可以被平臺隨意使用的理由。為了規避風險，“授權協議”無處不在。安裝一款新應用，是否同意讀取存儲權限和聯繫人信息？不同意，好的，那麼您將無法使用該產品；購物App送您10元無門檻代金券，是否點擊領取？點擊即意味著你默認接受向該平臺第三方提供小額貸款協議。

平臺看似充分尊重用戶的自由意志，實際操作中幾乎是別無選擇；鮮有人會把一屏屏授權協議耐心讀完，更不會注意到滿坑滿谷的信息陷阱。有律師向AI財經社總結，這無異於“形式上的保護和事實上的侵犯”。

掌握頂級規模數據的公司也在信息安全的對外語境上進退維谷。2018年年初，吉利汽車董事長李書福稱“微信天天在看用戶的聊天記錄”，微信趕忙回應稱純屬誤解，平臺不留存任何用戶的聊天記錄，聊天內容只存儲在用戶的手機、電腦等終端設置上；微信不會將用戶任何聊天內容用於大數據分析。

但隨後有律師表示，如果微信不留存用戶聊天記錄，那麼則是違反了《互聯網群組信息服務管理規定》，根據該規定，互聯網群組信息服務提供者應當按規定留存網絡日誌不少於六個月。

智聯招聘CEO郭盛曾對AI財經社表示，目前還沒有嚴謹的對於數據隱私使用界限的定義。郭盛認為，數據安全問題的核心是數據主權而不是數據隱私，“你有你的主權，如果你願意跟別人分享，這就沒有問題”。

郭盛相對看好印度當下的一種模式：用戶可以自行授權，並知曉自己的數據正在被誰使用，甚至可以從中獲利。如果個體並不能從授權中獲益，甚至自己並不知道信息已被使用，就會出現問題。

北京某律所的周律師與郭盛觀點相近，不久前他曾受理過一起案例：一家共享單車公司的員工將離職，利用原公司權限查看並下載了10萬多條信息，賣給了電信詐騙團伙，被追究刑事責任。

據周律師不完全統計，目前國內個人用戶信息洩露三個主要來源分別是銀行、移動通信公司以及房屋中介公司，“大多是內外勾結，尤其是一些小銀行，內部人員出賣信息，比如辦信用卡的信貸員，可以以一條信息幾分錢的價格賣數據。”

遺憾的是，從2015年《網絡安全法》出臺至今，“侵犯公民個人信息罪”這一罪名設置相對並不算嚴重。周律師坦言，有人會用技術中立作為擋箭牌，從刑法的角度有時很難對其作出判斷評價，“說得難聽一點，中國在一個不大追究個人隱私的環境裡，之所以後來加進刑法打擊，導火索不在於盜賣個人信息本身，而在下游衍生出來的犯罪”。

根據2017年5月最高人民法院、最高人民檢察院發放的10號文件，具有下列情形之一，即當認定為刑法第二百五十三條之一規定的“情節嚴重”，其中包括非法獲取、出售或者提供行蹤軌跡信息、通信內容、徵信信息、財產信息50條以上；非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息500條以上。

有數據安全相關公司大致計算過信息地下黑市，認為這是幾萬億的市場，“你做黑客，一個星期就買輛寶馬也很正常。”一位業內相關投資人說。

2016年8月21日，學生徐玉玉因被電話詐騙9900元學費，過度傷心導致心臟驟停，搶救無效不幸離世。至此，國內數據安全才第一次被推至大眾視野，該事件也成為“2017年推動法治進程十大案件”之一。

該事件後，包括“數據堂”等在內的一撥兒相關公司被查，名單一度擴大到30家，一些公司開始進行裁員。質疑紛至沓來，大量數據接口暫停，“數據驅動”風控模型上了“黑名單”，被監管層建議“謹慎使用”，大數據徵信也遭到了前所未有的否定。

所有掙大錢的事情都寫在了刑法裡。

大數據公司“大部分靠偷偷賣數據賺錢”

時至今日，數據安全領域仍然沒有誕生巨頭。某專注數字產業領域投資的人士回憶，在其10年網絡安全投資生涯中，直到近兩三年，那些保護個人隱私、保護企業的數據安全類型的公司，才開始真正出現。

據其觀察，2017年之前，市場上可見的大數據公司“大部分都是靠偷偷賣數據賺錢”。某大數據公司CTO與他觀點一致：前年在風口起來的大數據公司裡，濫竽充數者眾多，常以數據倒買倒賣營生，表面是高科技公司，實際上從黑市購買數據，再清洗包裝售出。

有從事AI醫療創業的公司告訴AI財經社，他們要麼高價在醫院僱人做數據標註，要麼需要和專家醫生以合作科研的名義獲得數據，這些數據要做脫敏，花在其他部分不可明說的錢更難以為外界所知。

2016年4月，當時歐盟議會通過了《通用數據保護條例》（簡稱GDPR），用於取代1995年發佈的過時的數據保護指令。這項新指令更新了歐盟成員國存儲和管理個人數據的方式，將個人信息的保護和監管達到了前所未有的高度，用戶的基本身份信息、網絡數據、醫療保健和遺傳數據、生物識別數據、種族或民族數據、政治觀點、性取向都成為GDPR保護的對象。

普華永道的調查結果顯示，GDPR意味著68%的美國公司將花費100萬到1000萬美元來滿足合規性要求，另有9%的企業預計要花費超過1000萬美元。如果有公司不做出改變，每一單GDPR違規行為將受到高達2000萬歐元的處罰，或者上一年全球年營業額的4%，以較高者為準。

條例最終在2018年5月正式實施。任何越線者——包括與歐盟各國進行交易的公司，都可能收到一份來自歐盟的鉅額罰單。

普通人擔心數據安全，企業對此更諱莫如深。

前不久，一家培訓公司出了這樣的事：一個員工將公司講師的電話和個人信息製成圖片，試圖逃過審核，傳遞出去。倘若這這些圖片真的就此流出去，被困擾的不僅是信息的所屬人，還有這家培訓公司：丟掉公司名譽，更重要的是核心資產就此外洩。

萬幸的是，公司審計人員馬上收到郵件警告，隨後，公司內部安全管理平臺上顯示出了這條洩漏事件。揪出內鬼的是一家數據安全公司，“我們公司主要做的是基於對員工上網行為的監控和管理，防止企業內部敏感信息發送出去。”天空衛士市場總監王慧說到。

只有一小部分公司會購買數據安全保護產品。“主要是大企業，包括世界500強和一些金融公司。”王慧解釋，中小企業很少會真的在意這個問題，他們會覺得做這件事要花錢，卻不產生效益，只有當真的損失來臨時，數據這種無形資產才會被重視起來。不久前，一家公司找過來，說現在有需要了，該公司的幾名重要員工被美國同一家公司挖走，並帶走了一些內部信息，老闆卻對發生在眼皮子底下的事情一無所知。

“大部分中小企業都是在裸奔。”王慧感慨。

曾經，在大數據生意的戰場上，業內心態經歷了不信任到開放的過程，越來越多的公司知道挖掘數據價值來做生意。預計到2020年，人類的總數據量將突破100ZB。

遺憾的是，大數據行業發展了，數據安全的進程越與之不成正比。

因為發展時間短，技術很新，業內做得好的數據安全公司並不多，放眼全球，目前也沒有出現相關領域的巨頭。 一家美國叫Altitude的公司曾引起國內投資機構的注意，這家公司使用同態加密技術，使客戶無需對加密數據進行提前解密就可以執行操作，既保護了用戶隱私，又不損害企業的商業利益。

即使是被看好的這項技術至今仍處於早期，並沒有大規模使用，“理論上很成熟，但是要將它變成一個普通的產品，還要解決很多問題，比如性能。”該投資機構負責人解釋。

“這幾年做數據安全的公司多了起來。關注的人多了之後，投資人需要去辨別，有的人簡歷會寫‘從事數據安全研究十餘年’，就如同AI剛出現時一樣。”參加過《網絡安全法》第一次司法解釋會的一名業內人士覺得有些無奈——實際上整個行業都是新興的，根本不存在數據安全領域的十餘年老兵。

總的來說，人工智能越熱，數據安全越熱；數據安全越熱，相關人才越搶手。

安全行業對人才的搶奪超出外界想象。一個投資人告訴AI財經社，很多黑客圈的大牛級人物工資都以千萬計，即便不自主創業，也可能成為億萬富翁，“安全圈人才的稀缺可想而知，基本上都得千萬級往上砸，才能挖到牛人。”

他認為這種供需市場行情是有道理的，因為某種程度中，行業中曾出現過人才斷層。“你找一個寫JAVA的、寫PPT的，滿大街都是，但想找個做安全的，確實還是有難度。早些年這些大牛都是在微軟這樣大公司的，起點就比較高。”

畢竟，對那些以數據為主要資產的公司而言，變現道路千萬條，數據安全第一條。

閱讀更多 博客天下 的文章

關鍵字: 315晚會 數據庫