人民清算互联网

除鑫

“我感觉国内对Facehook这事的解读有部分误导，因为国内的环境是希望快速成长、快速获利，所以会说——你看，连Facebook也发生这种事。”一位互联网资深人士说，“其实，Facebook对用户数据的使用规范是非常严的。”

过去1个月，Facebook与“数据泄露”划上了等号。扎克伯格面色苍白地坐在垫着文件夹的椅子上，接受国会议员们两次近10个小时的质询。许多人并不清楚到底发生了什么。

被广泛忽视的是，在这场“泄露”里，Facebook的用户账号密码和私人信息并没有被黑客攻击盗走，Facbook也没有向广告商和第三方售卖数据。说Facebook泄露了数据，其实有点冤枉它。

Facebook式原罪

今天，被反复报道的是，2013年.剑桥大学学者Aleksandr Kogan向Facebook申请，要在Facebook平台上做一个心理测试小软件，并承诺相关研究成果仅用于学术研究。Facebook向他开放了接口，有近30万Facebook用户玩了这个心理测试。

被忽略报道的是，在做测试前，人们都点击了用户协议“同意”键。但该协议除了允许这个心理测试获取参与者的账号信息外。还包括他们好友圈信息。这也为后来的风波埋下了伏笔——你可能想象不到，这30万人的朋友圈最终关联到了8700万人的数据。

“在这么庞大的人群中，只有不到30万人使用了Kogan的心理测试应用，他们的朋友并没同意也被供出来了，那就不对了。”上述资深人士对《财经天下》周刊分析。其实.Facebook已经收缩了它的数据开放政策。就在剑桥学者Kogan在Facebook上做心理测试的第二年，Facebook就修改了规则，不再允许第三方获得用户好友数据。

其后，学者Kogan违背了当初和Facebook的承诺，将学术研究数据交给了商业机构“剑桥分析”。

再后来，Facebook发现了Kogan和剑桥分析公司的行为，要求对方删除数据并提交证明，但却没有认真核实。直到上个月，Facebook发现该公司并没有履行承诺。接下来，Facebook成了事件漩涡中心。许多人误认为Facebook把用户信息泄露出去了。

扎克伯格在听证会中再三解释，Facebook从来没有售卖过用户数据。

“外界普遍存在一种误解，认为我们向广告商出售用户数据，其实我们并没有这样做，我们是让广告商告诉我们.他们想要的受众，然后我们有针对性地投放广告。我们可以将滑雪板的广告展示给合适的人群看，但用户数据并未易手，卖给广告客户。”扎克伯格说。

那么Facebook错在哪儿？为什么会成为众矢之的？

一个问题是Facebook的商业模式，助长了各种信息的过度收集，而用户并没有充分的知情权。这是可怕之处。

FacebooE的商业模式是通过跟踪用户的信息，画出每位用户的画像，再根据广告主的要求，定向为用户推送广告。只有通过细致采集甚至从其他渠道购买信息，平台才能在人们身上打足够细的标签。当然，这些数据收集行为，用户都点了那个“同意”按钮，只是他们未必清楚自己都同意了什么。

一位国外记者下载了Facebook存储的跟自己相关的数据后发现，Facebook收集的信息超出预料：他曾发布的视频和照片，他的通信录，其中包含了数千个电话号码，他在Spotify上听过的歌，他曾点击过的外部链接……甚至包括他认为已经删除的东西。

在这种商业模式下，日益凸显的问题是.用户的知情权并没有被认真考虑和充分尊重。这位剑桥学者也因此获得了近300倍的二度人脉用户数据。

另一个问题是Facebook没有履行好平台对开放数据的监管职责，本应该用于学术研究的数据被商业公司获取并滥用。

Facebook为什么会如此疏忽呢？

“我的经验是，一种可能是利益驱动，它觉得有获利就睁一眼闭一眼了。另一种可能是下面的人干这些事。上面的人未必知道。还有一种可能是公司价值观，你从流出的管理层内部文件就看到了，‘我们要用这些数据做到最大的价值化。”这位互联网士人分析说。

Facebook用户超过20亿，它是那个要率先趟过河流的人，它要靠用户数据创新商业模式，因此也会最早遇到各种用户隐私问题。

当如此大规模的数据在用户几乎无太多意识地状态下被聚拢和收集，最终又没有采取足够多的手段去保障它们的安全，当“泄露”事故一出，Facebook自然成了众矢之的。

触雷的其实不止Faeebook这类互联网企业。一家美国传统软件公司产品中一个能抓取用户信息的功能，也给它带来一场大灾难。这个功能会自动抓取用户电脑上一些可疑文件，传送到云端，分析处理进而保护用户电脑的安全。这在之前是一个正常的功能。

可偏偏在去年，美国安全局（NSA）一名雇员电脑里存储的“永恒之蓝”网络武器，被这个软件视作可疑文件，上传到云端。后来美国政府认为正是该行为造成泄密，“永恒之蓝”这个强大武器被黑客获取并制作成勒索病毒，导致了席卷全网的WannaCry（蠕虫）事件。

多家医院、大学机构的计算机系统瘫痪，要缴纳勒索赎金才能恢复系统。这家软件公司因此被美国政府禁用，政府外包商、外包装的外包商都不得不弃用，企业损失很大。

在今天的互联网环境下，原来一些被视为通常的举动，已经不再寻常。

你必须非常非常小心

“Facebook事件給国内敲响了警钟。”澳鹏公司中国业务拓展副总裁段杨对《财经天下》周刊说，澳鹏是一家澳大利亚人工智能、数据服务企业。

实际上，Facebook的商业模式和信息收集方式并不是它独有的，而是全球包括中国科技公司普遍采用的。

从前企业收集用户信息，用于产品及商业盈利这些看似顺理成章的事，现在要非常谨慎了。

之前，一些信息收集行为几乎到了肆无忌惮的地步。收集超出权限的数据，国内有不少极端案例《财经天下》周刊在某应用市场发现，一个App曾索要70多项用户权限，包含读取联系人、录音、短信，修改通讯录和通话记录，读取下载文件，拨打电话等超出其应用范围的不合理授权。

市场上还有大量App，用户不授权就不给使用，用户因而不得不处于“被同意”的状态。

“有些App强迫你接受条款。你要用，就必须一路OK下去。我称之为霸王条款，它没有给用户选择权。”小米人工智能与云平台副总裁崔宝秋博士对《财经天下》周刊说。

除了线上记录，用户线下的行为数据被加速挖掘。一位从业者告诉《财经天下》周刊，技术已经可以做到只要消费者手机开着Wi-Fi，就能捕捉到他们手机上的“唯一设备识别号”，再与企业大数据库里的设备号进行比对，就能获得用户的出行位置、行为轨迹，然后拿去指导商家的广告推送和线下店面的来客分析。

崔宝秋博士发现，一两年前，国内一些公司的CTO在演讲和讨论中，透露出对隐私认识的不到位。扎克伯格之前也有过这样的言论。“但以扎克伯格自己为例，他在硅谷买房子，把周边几个房子都买了，为什么呢？他要保证他的隐私。同样，人们在卧室、洗手间为什么要装个门，邮箱为什么有密码，这说明隐私是每个人的刚需。”

在人们隐私意识越来越强的社会氛围下，国内互联网公司“发动群众打赢战争”的产品创造逻辑，要发生改变了。他们要给用户更明确的知情权，遵守更严格的“抓取数据”规范。

变化还要发生在企业运营、公关策略等各个环节。之前一些企业会堂而皇之地说，“我掌握着上亿用户数据”“我了解用户某个特征多年来的变化”，这些说辞未来要销声匿迹了，而这些做法的前提也是用户知情并同意。

在国内，政府对用户隐私违规行为有过两次较大的清理行动，2012年和2017年各严打过一次。2017年这次，以数据堂为代表的一些公司的金融征信业务几近瘫痪，因为其提供了大量涉及用户隐私的数据。数据堂成立于2011年，并在2014年在新三板上市，成為“中国大数据第一股”，市值曾高达21亿元。事发后，数据堂股价从最高的近22元一路下跌到不足4元，目前处于停牌状态。

“以后，事关用户数据，你必须非常非常小心。”一位业内资深人士放缓语速对《财经天下》周刊强调。

摊牌的时刻到了

Facebook事件还意味着，采用数据科技的企业已经到了必须向用户摊牌的时刻。

当用户对隐私越来越敏感，监管门槛越来越高时，从前粗放地收集、使用用户信息的行为，会越来越不得人心，重视隐私会成为企业新的竞争力。

环境已经发生变化。5月，欧盟《通用数据保护法案》（GDPR）将正式生效。这项法案被称为史上最严用户隐私保护法规。全球科技公司一旦不遵守，罚金至少2000万欧元起，对大公司的惩罚达到年营收的4%。

它主要解决的就是用户知情权，特别是之前被广大企业宣传的“用户画像”必须要经过用户同意才能做。这个用户画像被电商企业用来推荐产品，被媒体平台用来推荐新闻……之前一直被认为是人工智能时代的典型技术商业模式。

在《通用数据保护法案》中，互联网公司必须用清晰、简洁的方式告知用户，哪些数据会被收集和使用，是性别、地理位置，还是言论或点赞。同时，互联网公司还必须告知用户，为什么要收集这些数据，这些数据会不会被用来形成你的“用户画像”。此外，用户还有权访问、下载自己被收集的数据，有权修改不准确的数据，也有权限制算法的干预。

在美国听证会上的不少迹象表明，美国也在研究相关法案。而中国《网络安全法》在去年6月1日生效，进一步的完善也在进行中。可以想见相关法规会越来越严格。

新法案出台，会不会影响科技企业的业务？比如研发。事实上，不是所有产品开发都要依靠收集用户数据。

亚信安全通用安全产品总经理童宁对《财经天下》周刊介绍说，在安全领域，行业有自己的情报交换市场，像Virus Total这样的平台上，有大量最新病毒情报。在这样的交换平台上获取信息，交会费就行。“而从客户那里反馈数据，你要非常谨慎。不该碰的东西就不要碰。”

金融和医疗是目前开展数据科技较多的行业，而这两个行当涉及用户隐私数据非常多。

一位金融机构人士对《财经天下》周刊透露，去年国家对一批肆意买卖数据的人进行清理，包括数据堂高管被抓，迄今虽未见到审判结果，但银行会更看重数据合法合规来源，能承受更高的数据价格。而Facebook事件则再次强化银行的合法数据观念。

“但草根互联网金融，大部分想赚快钱，风声一过，照样打擦边球，用黑灰数据赚钱。”这将是监管机构下一步重点要“关照”的对象。

在医疗行业，除了国家批准的国有企业外，第三方公司不能接触未脱敏医疗数据，医院也要按照国家等保要求对医疗数据进行管理。

当外部机构与医疗机构合作数据分析挖掘时，“医院方面疑虑会有点多”。为了打消医院的疑虑，腾讯互联网+医疗中心负责人常佳介绍说，腾讯一开始就拉着监管方参与，推进多方合作。在运作中，除了腾讯本身的安全能力保障，参与医疗项目的员工都要再签署更严格的保密协议。

段杨发现，在与国内客户合作中，一些企业对用户隐私的合规性已非常重视。“像淘宝客服这些每天与消费者订单打交道、必须接触敏感信息的部门，专门搭建了场地，有摄像头、门禁，要拉专线，手机不准带入。涉及外包数据处理，会对数据进行脱敏。”

小米崔宝秋博士透露，小米正在推动进入欧盟《通用数据保护法案》。“在欧盟出台新法规后，我们公司与律师一道商讨用户协议要怎么修改，包括目前有可能包含用户隐私的数据，都暂时不出售了。”澳鹏段杨说。

从硅谷回国参加人工智能会议的英特尔人工智能事业部数据科学部主任刘茵茵介绍，一直以来，大家都认为保护数据隐私是必须的。但因为人工智能技术还处于非常早期的阶段，从学术突破到商业应用的努力过程中，大家意识到一些从前的欠缺，并发现需要整个社会和各方人士紧密联系在一起去解决。

“包括做学术的、做应用的、做软硬件的、做社交研究的人士，要一起研究各种影响和局限性，全面理解这个问题。”英特尔在去年5月加入一个Parmership AI组织。“这种组织其实有很多，中心的目的是把不同行业的人集合在一起，仔细研究这个问题。”

神策大数据CEO桑文锋则发现另一个有趣的现象。在他们超过500家的客户中，“数据安全问题是当下大数据建设过程中的最大顾虑。”由于用户对数据安全的强调，神策付费用户中选择私有化部署获取大数据分析能力的客户占比已经开始提升。

“现在投资一家企业，要看它对用户数据的态度和采取的措施。如果根本不care的，我们是不会投的。”一位投资人对《财经天下》周刊表态道。

“用户会用脚投票，让那些更能保护个人隐私的企业成为市场上的胜者。”蚂蚁金服的数据隐私保护团队负责人聂正军如是说。