张瑶 闻雨
这一数据大案涉及数据流通各环节,在数据安全、采买、使用等行业领域都产生巨大震动。
一起公安部、最高检察院督办的特大侵犯个人信息专案,涉及国内“大数据行业第一股”数据堂(北京)科技股份有限公司(下称“数据堂”,NEEQ:831428)的多名员工。该案被山东警方全面起底,从源头“内鬼”到中转商再到下游使用者,共11家公司牵涉其中。其中,数据堂6名员工处于链条中信息流转的重要环节。
目前,该案已由检方提起公诉,法院尚未宣判。
2017年4月5日,山东省临沂市费县警方接到报警称,网上有人非法出售临沂市公民个人信息。
根据报案线索,费县警方发现,在一个名为“全球数据供应商”的QQ群里,时常有人出售带有房地产、金融等相关标签的手机号等信息,其中2000条信息被卖往费县。
由于该类信息涉及公民敏感个人信息,且经初查发现其中有重要数据公司活动迹象,该案被公安部和最高检察院列为督办案件侦查。
经费县警方侦查,上海市驭欣商贸有限公司(下称“驭欣公司”)5名员工有重大嫌疑。4月12日,5人因涉嫌传播20余万条敏感公民个人信息被警方抓获,涉案资金20万元。但这5名员工并非信息买卖源头,警方发现,这一买卖链条中还有诸多上游卖家。
驭欣公司数据来源是扬州金时信息科技有限公司(下称“扬州金时公司”),该公司成立于2016年,经营范围为网络信息技术开发、技术咨询等。据工商资料,扬州金时公司注册资本10万元,法定代表人颜兴旺,两名自然人股东常凯、颜兴旺各持股50%。扬州金时公司11人涉案,其法定代表人、业务经理、数据负责人等被抓获后均做供述。
该案起诉书称,数据堂一名员工向其上级汇报并征得同意后,代表这家公司与扬州金时公司签订数据买卖合同,金时公司支付对方20万元合同款。此后,另一名数据堂员工与扬州金时公司续签数据合同,后者支付合同款50万元。
检方的起诉书称,“数据堂共向金时公司交付包含公民个人信息的数据60余万条。金时公司共计向客户发送公民个人信息168万余条。”
数据堂成立于2011年,被称为“国内首家大数据交易平台”,在业内是最早吃螃蟹的先行者之一。2014年11月,数据堂在新三板上市,高管团队来自明星互联网公司和知名院校,2016年,其市值一度达21亿元。
年报显示,数据堂共有四条业务线,即营销线、金融线、财经线和人工智能线。检方查明,营销产品线在运营时,由资源合作部购入数据,该案某被告之一所在的资源平台部负责接收数据,并将数据放入公司集群。另一被告所在的技术组根据产品组要求,将集群上的数据根据用户兴趣、爱好等分别打上不同标签,之后依据客户需求向其传输数据。
据警方介绍,以上卖给扬州金时公司的数据经过了清洗和处理(剔除无效信息以及将其标准化),主要内容为手机号、地区和偏好(如房地产相关等),最终用途主要为精准营销。
以上数据交易流程,若获取数据来源符合国家有关规定,且经过脱敏处理,并无问题。脱敏,指将涉及敏感个人信息的数据进行去个人化、去隐私化处理。
此案检方认为涉案人员系非法出售数据,应以侵犯公民个人信息罪追究其刑事责任。
警方接着向上追溯,发现数据堂人员涉案数据购自济南北商经贸有限公司,而后者的上线为联通一家合作商的两名“内鬼”员工,这个链条上的信息涉及全国15个省份联通机主的上网数据和偏好,包括手机号、姓名、上网数据、浏览网址等,均为原始未脱敏数据,平均正确率为99.99%。
而据新华社报道,数据堂公司在8个月时间内,日均传输公民个人信息1.3亿余条,累计传输数据压缩后约为4000GB左右,公民个人信息达数百亿条,数据量特别巨大。
至此,这一数据交易链条完成追溯。
经过近11个月的侦查,该案涉及的21名犯罪嫌疑人被起诉,数据堂有6人涉案,两家更上游的公司的相关人员被另案处理。据新华社,加上另案起诉的犯罪嫌疑人,则共有11家公司牵涉其中,涉及57名犯罪嫌疑人。
数据堂公司本身则未被检方起诉。不过,警方介绍,这家重要数据交易平台的CEO齐红威、联合创始人肖永红在内的多名高管均曾接受过调查。
2017年5月下旬,媒体报道,数据堂因涉嫌贩卖隐私数据被调查。其当时的公告称,董事会核查后,“不存在高管被抓情形”,仅因客户涉案,公安机关向公司个别业务人员和财务人员了解情况。
数据堂在今年7月18日发布公告称,公司某一客户因出售公民个人信息被公安机关调查,公司个别相关人员牵连涉案接受调查,不会对公司主营业务构成重大不利影响。
2017年8月11日起,数据堂发布公告,称因存在 “预计应披露的重大信息在披露前已难以保密或已经泄露,或公共媒体出现与公司有关传闻,可能或已经对股票转让价格产生较大影响的”事项,在新三板停牌,停牌前其股价为3.99元,至今未复牌。
《财经》记者从警方获知,多名数据堂股東都曾接受过调查,最终被起诉者包括首席运营官、平台资源部总监等在内的6名员工。
数据堂官网介绍,齐红威为数据堂联合创始人、CEO,具有10年数据挖掘研发应用经验,为中科院自动化所模式识别博士学位、中科院计算所博士后。据数据堂2017年年报,齐红威、王建、国泰嘉泽、肖永红、丰强泽、柴银辉、揭宇飞为公司控股股东和一致行动人,截至2017 年12 月31 日,7 方合计持有数据堂55.06%的股份,其中齐红威持股26.01%,为大股东。
起诉书显示,7人中,柴银辉和揭宇飞被诉侵犯公民个人信息犯罪,二者在公司职位分别为首席运营官和平台资源部总监。
数据堂并非没有意识到数据交易可能涉及隐私而触雷的风险。其在2017年报中称,“公司作为一家数据收集和交易公司,必然会和形形色色的数据打交道,国家在不断出台各种法律法规来确保数据来源及交易的合法性,因此如何合法合规地获取与交易数据成为大数据企业,特别是数据资源和交易公司的潜在法律风险。”
自2016年下半年起,“交易”二字逐渐淡出数据堂的官方宣传和对公司的定位描述。据亿欧网报道,数据堂的交易平台属性已经渐渐隐藏。但数据堂联合创始人肖永红介绍,数据堂在业务上并没有什么改变,这种概念上的改变,是其在经过这两年的探索,对自身的定位有了更加清晰认识。“我们认为数据本身不是一件商品,由于其可复制、版权不明确,因此说用来交易是不准确的。真正产生价值的是基于数据可以提供的服务,因此数据堂其实是一家数据服务类的公司。”
一个值得注意的细节是,警方透露,在侦办过程中,数据堂下游合作商扬州金时公司被专案组采取行动后,数据堂公司工作人员出差时偶然获知信息,迅速通知相关人员删除和销毁大量数据,使办案成本和难度上升。该案办案民警对《财经》记者介绍,为获取证据,警方专门购买专业设备,经技术攻坚成功恢复相关数据,为案件突破奠定了基础。
数据堂一位高管告诉《财经》记者,公司对该案的发生十分吃惊,已采取停牌措施,各项业务受到很大影响。事件发生后,数据堂重新审视了自己的风控体系,为所有业务设定了更高标准的红线。2017年,数据堂的产品营销线和金融征信线已被关停,目前仅剩余人工智能业务维持公司运行。而就具体案情,则有待司法机关给出相应判决和认定,不多做评论。
年报中解释,“对合法性界定不清的金融线及营销线业务予以关停。”
该案移送司法机关后,已自5月8日起进行过长达一周的公开审理。
据悉,目前涉案犯罪嫌疑人对案件事实基本无异议,但对承担责任的比例等,各犯罪嫌疑人诉求不同。例如,柴银辉作为数据堂案第一被告被诉。他的辩护人北京市炜衡律师事务所律师石宇辰在当庭辩护时指出,柴银辉虽然是该公司首席运营官,但是在与扬州金时公司所履行的70万元合同中,只有前20万元合同是其分管营销产品线期间签订的。而后50万元被指控的续签合同签订并履行时,柴已不再分管营销产品线,不应为该部分承担责任。柴银辉对该20万元的交易事实当庭做了认罪表示。
据悉,数据堂其他涉案被告也大都当庭表示认罪悔罪,愿意为其行为承担相应的刑事责任。虽然该案应该认定为单位犯罪还是个人犯罪存有争议,但是被告人的认罪态度无疑对于其量刑起到至关重要的作用。
尽管数据堂本身未作为法人主体被起诉单位犯罪,但受到2017年执法力度加大、《网络安全法》生效等影响,数据堂已在承受不小的业务压力。2018年3月,数据堂公开的2017年报显示,其2017年营业收入6340.76万元,同比减少34.5%;归属于挂牌公司股东的净利润亏损9758.49万元,上年同期为亏损1687.10万元。
其年报称,2017年,尤其在征信和营销领域的政策趋严。多数大数据公司均对旗下征信营销类业务进行核查,但凡界定不清的业务均予以关停,使公司上下游客户均有所减少,业务规模受到较大影响。公司原定大力发展的金融和营销两类产品与服务均未能较好开展业务,形成较大程度的亏损,全年统计金融线营收仅为772.9万元,营销线收入为44.9万元。
关停营销和金融两条业务线对数据堂的影响也体现在,6月后其人员比例流失近一半。此外,2017年,数据堂全资子公司数据堂征信公司修改营业范围,成为一家智能科技公司。
数据堂年报显示,其已积累数据2000TB,来源主要有四种——自营众包平台采集数据、优质供应商供应数据、公共领域共享数据、网络爬虫爬取数据等。
从掌握核心数据的电信运营商、电信运维服务企业,到大数据分析、加工企业,再到精准营销公司,该案涉及数据流通各环节,在数据安全、采买、使用等行业领域都产生巨大震动。
大数据交易行业,一直面临着隐私保护的技术和法律难题,该案亦表明,这类数据交易商业模式的违法风险极高。
据《刑法》第253条,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,该罪最高刑罚七年。
而按照两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,非法获取、出售公民行踪轨迹信息、通信内容、征信信息、财产信息50条以上的;住宿信息、通信记录、健康生理信息、交易信息等500条以上的;其他公民个人信息5000条以上的;违法所得5000元以上的,构成“情节严重”标准。此外, 利用非法购买、收受的公民个人信息合法经营获利5万元以上的,也构成入罪的“情节严重”标准。
按照司法解释,由于数据堂人员的数据获取、出售行为均涉嫌违法,且获利远超5万元,多位法律界人士向《财经》记者分析,作为该案产业链重要一环,数据堂相关人士最终脱罪可能性不大。
回看该案链条,电信运营商联通经用户授权合法获得其个人信息,联通合作商理应取得合法授权,但该合作商中“内鬼”员工私自窃取信息再交易出去,从这一步开始,这些流通的个人信息来源已然涉嫌非法,购得这些信息并进行加工的数据堂人员,如果明知来源非法依然进行交易,则有极大涉罪风险。
北京理工大学计算机学院教授、副院长刘驰长期研究数据交易生态链的构建。在他看来,限制数据交易发展的三大技术瓶颈,分别为大数据的寻址、定价,以及安全和隐私保护问题。在交易过程中,即便采用匿名化等技术手段,仍然难以保证挖掘、应用过程中公民隐私不受侵害,“还原隐私数据对许多公司并不难”。
侦办数据堂一案的临沂市警方介绍,他们发现的新情况是,有大数据公司为规避风险,在数据销售过程中,将涉及公民隐私的数据拆分成不同部分,每段均无法识别到个人,到了需求端再自行整合起来,形成对个人的完整数据。这类技术规避行为,事实上亦涉嫌侵犯公民个人信息犯罪。
就法律风险,在贵阳大数据交易所主办的数博会“2017第三届中国(贵阳)大数据交易高峰论坛”上,中国政法大学副校长时建中表示,如果不能保护隱私,数据交易会带来更多的问题。需要把法律规划和大数据技术要求统一起来,对隐私数据进行必要的等级分类。
尽管国家出台多项政策鼓励数据流通共享,合法大数据交易平台却一直发展艰难。贵阳大数据交易所执行总裁王叁寿告诉《财经》记者,一个根本原因是,旺盛的数据黑市交易挤压了合法大数据交易平台的生存空间。贵阳大数据交易所2015年由贵州省政府批准和支持下成立,2017年才首次宣布盈利。
随着执法力度的不断加大,产业乱象在好转。从产业角度,王叁寿观察到,前些年猖獗甚至公开的来源不明隐私数据交易少了许多。
临沂市警方总结该起案件侦破经验表示,打击和防范侵犯公民个人信息犯罪必须从掌握敏感数据的相关企业和部门入手,严防内鬼盗取及黑客攻击,从源头上保证信息数据的绝对安全。
该案为数据产业敲响警钟。一位互联网征信公司CEO向《财经》记者直言,他的观察是,2017年6月以后,许多游走在灰色地带的非法数据交易公司,纷纷转型。