数据产业从入门到入狱 谁在背后偷取隐私？

五、监管，徐徐而来的数据保护者

事实上，个人隐私泄露的问题，以引起监管部门的重视。

今年以来，一些大数据爬虫公司的高管已被捕入狱，最为夸张的时候，一个月之类，便有5—6家知名的大数据公司被一锅端，整个行业风声鹤唳。与此同时，一些小公司也在毫无防备之下，被警方上门逮捕。

早在今年年初，有知情人士告诉记者，很多猎头也被抓了，原因是他们手中掌握了太多的个人信息。

个人及企业数据被窃取，大多与APP有关。一些机构以APP为触角，借提供服务知名，公然收集用户信息。但眼下，这条路正在被堵死。

12月4日，国家网络安全通报中心在发布《公安机关开展APP违法采集个人信息集中整治》一文中称，自2019年11月以来，公安部门便加大了打击整治侵犯公民个人信息违法犯罪力度，并对违法违规采集个人信息的APP进行集中整治，查处整改100款违法违规APP及其运营的互联网企业。

这其中不但包含一些有头有脸的城商行、金融贷款机构，还包含一些教育机构，以及常用的拍照软件及商城。他们被整改主要原因是，对无隐私协议、收集使用个人信息范围描述不清、超范围采集个人信息和非必要采集个人信息等情形。

但其实，对于网络运营者采集用户信息的相关规定早在2017年6月就有出台。

《网络安全法》规定，未经被收集者同意，不得向他人提供个人信息；也不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息；而对于被收集者同意的，网络运营方也需要明示收集、使用信息的目的、方式和范围。

对此，大多数运营方确实会在协议中注明对用户个人信息的使用用途，但鲜有运营者会提及，用户的个人信息会被商业化输出。

另在，我们国内存在的现象是，目前，大多数互联网放贷机构及一些大数据公司对于用户信息的收集，大多没有底线，不但千方百计从各个渠道爬取用户的信息，还会直接进行贩卖。

“用户在我这里消费，获取用户的数据其实是合理的。但问题是谁来监管数据的对外提供。”业内人士阳称，如果数据是为自己公司内部所用，都是符合规定的，无可厚非。

但如果对外提供，根据“是否容易识别出用户本人”的标准，姓名、通讯录肯定不能直接露出的，家庭地址、年龄等均要做模糊处理，简单来讲就是当公司对外提供数据时，要进行“匿名化信息处理”。

对此，日本方面就有明确的规定。2015年，日本在个人信息保护层面曾修正过一部法律，对于个人信息的使用解释权，是归数据采集方所有。但如果这家企业要对外提供个人信息，那么这个信息就要进行处理。而处理的标准就是“是否容易识别出用户人”。

某些平台可能有用户较为完整的个人信息，像姓名、年龄、征信、学籍等信息。如果他们要将这些信息提供给金融机构，那么最终提供的信息要符合“不容易识别出用户本人”的标准。

“若提供的信息，很容易与金融机构的数据进行匹配并立即锁定某个用户，那这种数据提供的行为就属于侵权。”张阳向记者介绍到日本关于个人的数据保护。

“但国内像日本这样的规定目前还没有，更多是企业自行立定条款去约束，可以说是口碑约束。小型互联网公司，有没有这样的职业操守，就不好说了。”

而对于个人与运营方之间的数据隐私协议，大连理工大学法学副教授陈光表示，APP运营商与用户签订的隐私协议或数据采集协议只是两方之间的，并没有第三方监管，协议是否公平，需要权衡，也需要有关部门必要的认可和审查。

另外，陈光认为，一些大型机构掌握了大量的用户数据，这些机构将用户的数据进行加工，并商业化，若没告知用户，其实存在一定的问题。监管部门应该出台相关的法律法规，对机构将个人数据进行加工输出的商业化行为，进行规范。

数据对于企业的发展很重要，但也事关用户的个人隐私与安全，机构如何在个人数据的使用和隐私保护之间寻求平衡，显然是亟需解决的当务之急。

（应受访者要求，文中李林、刘浩、杨爽、严惠、王敏、袁雨、胡涛、张阳为化名）