|
信息技術(shù)日新月異,數字經(jīng)濟已由平臺經(jīng)濟時(shí)代進(jìn)入了大模型時(shí)代,數據要素價(jià)值實(shí)現達成了質(zhì)的飛躍,成為經(jīng)濟增長(cháng)的新動(dòng)能。在當前數據要素流通不暢、條塊分割嚴重的背景下,數據私域作為天然的數據蓄水池,滿(mǎn)足了大模型訓練的需求,引發(fā)了大模型公司的高度關(guān)注。在產(chǎn)業(yè)數字化發(fā)展中,數據私域搭建了企業(yè)與個(gè)人的社交橋梁,讓企業(yè)成功建立起客戶(hù)的蓄水池,實(shí)現反復營(yíng)銷(xiāo)和商業(yè)轉化,企業(yè)微信是數據私域的典型代表。但近年來(lái),國內外社交平臺與第三方合作的私域爆出了不少的客戶(hù)隱私安全事故,涉及大模型的違規抓取、訓練數據行為。
2023年5月初,有媒體爆料稱(chēng),Facebook公司通過(guò)其廣告平臺上的某些API接口收集了大量用戶(hù)數據,包括用戶(hù)的個(gè)人信息、好友列表、消息記錄等等。這些數據被用于幫助廣告客戶(hù)更精準地定位目標受眾。由于此次數據抓取是未經(jīng)用戶(hù)同意的,因此Facebook公司面臨著(zhù)巨大的隱私泄露風(fēng)險。
就國內而言,近期,國家金融監督管理總局辦公廳向各銀保監局、銀行保險機構等下發(fā)《關(guān)于加強第三方合作中網(wǎng)絡(luò )和數據安全管理的通知》(下稱(chēng)《通知》),要求各銀行保險機構對照通報問(wèn)題,深入排查供應鏈風(fēng)險隱患,切實(shí)加強整改。《通知》通報了企業(yè)微信服務(wù)風(fēng)險情況:某微信代理商為多家銀行提供企業(yè)微信相關(guān)服務(wù),將銀行客戶(hù)經(jīng)理和客戶(hù)的聊天會(huì )話(huà)存檔在該服務(wù)商租用的公有云服務(wù)器上,會(huì )話(huà)存檔數據包含部分客戶(hù)姓名、身份證號、手機號、銀行賬號等敏感個(gè)人信息。未經(jīng)銀行同意,該服務(wù)商私自使用數家銀行600余萬(wàn)條會(huì )話(huà)存檔數據用于該公司模型訓練,并提供給關(guān)聯(lián)公司。銀行因未盡到對客戶(hù)敏感數據保護責任,引發(fā)消費者維權投訴。
企業(yè)用戶(hù)數據泄露問(wèn)題值得關(guān)注
數據流動(dòng)與數據安全,構成了數據價(jià)值的一體兩翼。應在促進(jìn)數據要素利用的同時(shí)維護數據安全,實(shí)現數據要素利用的合規化。
長(cháng)期以來(lái),微信的定位始終是私人社交工具。為了保障這種私密定位,微信官方曾多次表示,不會(huì )去看用戶(hù)的微信內容。微信不留存任何用戶(hù)的聊天記錄,聊天內容只存儲在用戶(hù)的手機、電腦等終端設備上。微信也不會(huì )將用戶(hù)的任何聊天內容用于大數據分析。
但企業(yè)微信的出現實(shí)際上模糊了這一邊界。企業(yè)微信的“優(yōu)勢”就是企業(yè)的營(yíng)銷(xiāo)人員以“朋友”和“工作人員”的雙重身份與客戶(hù)交朋友,在溝通中了解用戶(hù)的興趣和偏好,進(jìn)而促成交易和二次交易。這種社交就變成了一種“公共溝通”,不再享有私密性,而是企業(yè)數據資產(chǎn)。
這種變化是非常微妙的。從用戶(hù)角度,使用企業(yè)微信能夠與日常聊天場(chǎng)景融為一體,降低用戶(hù)保護個(gè)人隱私的意識。企業(yè)員工則會(huì )有獲取用戶(hù)隱私的動(dòng)機,并且在使用企業(yè)微信進(jìn)行溝通時(shí)缺乏類(lèi)似“客服電話(huà)”中“您的通話(huà)會(huì )被錄音”的提示,在獲取用戶(hù)數據時(shí)未必會(huì )遵循“最小必要”原則。從企業(yè)角度,是否會(huì )對這些員工與客戶(hù)的聊天記錄予以重視,進(jìn)行特別的隱私保護處理也值得懷疑。事實(shí)證明,即便是以合規管理嚴格著(zhù)稱(chēng)的銀行也不一定能保護好此類(lèi)數據。
第三方、企業(yè)、平臺誰(shuí)該為用戶(hù)隱私擔責
在私域模式下,除了員工之外,企業(yè)另一個(gè)難以掌控的因素是“第三方服務(wù)商”。事實(shí)上,從銀行個(gè)人隱私泄露中“受益”的并非是銀行,而是“第三方微信代理服務(wù)商”。這些代理商將這些銀行員工與客戶(hù)的聊天信息用于訓練自己的模型,進(jìn)而導致了客訴。
在此次事件后,金融監管總局發(fā)布的《關(guān)于加強第三方合作中網(wǎng)絡(luò )和數據安全管理的通知》指出,部分銀行保險機構的外包服務(wù)商發(fā)生多起安全風(fēng)險事件,對銀行保險機構的網(wǎng)絡(luò )和數據安全、業(yè)務(wù)連續性造成一定影響,暴露出銀行保險機構在外包服務(wù)管理上存在突出風(fēng)險問(wèn)題。
對這些風(fēng)險,金融監管總局進(jìn)一步總結為兩個(gè)核心問(wèn)題。第一是,銀行保險機構對數字生態(tài)場(chǎng)景合作情況底數不清,缺乏統籌管理。開(kāi)展數字生態(tài)合作時(shí),銀行保險機構外包風(fēng)險主管部門(mén)、科技和數據管理部門(mén)未參與,缺乏數據安全風(fēng)險評估、監控管理等機制,存在突出風(fēng)險隱患。第二是,銀行保險機構對合作中數據安全風(fēng)險和責任識別劃分不清。數字化轉型合作業(yè)務(wù)場(chǎng)景連接,技術(shù)渠道相互嵌入,數據存儲、交互情況復雜,銀行保險機構對業(yè)務(wù)、技術(shù)、數據等風(fēng)險識別不清晰,責任劃分不明確,存在數據收集使用不合規、安全責任交叉、數據保護存在盲區等問(wèn)題。
銀行保險機構已經(jīng)是國內合規最嚴格的商業(yè)機構,也有著(zhù)不斷升級的行業(yè)監管,情況尚且如此,在私域模式已經(jīng)進(jìn)入到千行百業(yè)的過(guò)程中,隱私保護問(wèn)題很可能會(huì )產(chǎn)生常態(tài)化的漏洞和風(fēng)險隱患。在銀行企業(yè)微信隱私數據泄露事件的背后,應該看到,私人社交平臺作為一種基礎設施,在其帶動(dòng)社會(huì )數字化的巨大力量背后,也存在巨大的風(fēng)險隱患。在大模型時(shí)代,數據在大模型訓練方面的獨特價(jià)值無(wú)疑加劇了這一風(fēng)險。
國際經(jīng)驗也表明,社交平臺與第三方合作容易發(fā)生信息泄露,除前面已經(jīng)提到的事例外,還有:
2016年,8700萬(wàn)Facebook用戶(hù)數據被指不當泄露給政治咨詢(xún)公司劍橋分析,用于在2016年總統大選時(shí)支持美國總統特朗普。2018年12月,社交網(wǎng)絡(luò )巨頭Facebook承認,一個(gè)安全漏洞導致680萬(wàn)名用戶(hù)的私人照片被第三方應用程序共享。2019年,一個(gè)低級別的黑客論壇3天曝光了超過(guò) 5.33 億 Facebook 用戶(hù)數據,其中包括 3200 多萬(wàn)條美國用戶(hù)記錄,1100 萬(wàn)條英國用戶(hù)記錄和 600 多萬(wàn)條印度用戶(hù)信息,共涉及到 106 個(gè)國家。數據顯示,所泄露的信息包括個(gè)人賬號、用戶(hù)姓名、位置、生日、電話(huà)號碼及電子郵件地址等。2022年,Meta旗下通訊軟件WhatsApp“失竊”,近5億用戶(hù)的信息或被泄露。
企業(yè)微信平臺幫助企業(yè)和個(gè)人微信進(jìn)行了連接,改變了微信個(gè)人社交的性質(zhì),那么如果未來(lái)出現了大規模個(gè)人隱私數據泄露,作為私域模式的開(kāi)創(chuàng )者,企業(yè)微信平臺是否可以置身事外?它應該承擔什么責任?誰(shuí)來(lái)監管此類(lèi)平臺?
根據企業(yè)微信披露數據,2022年1月,企業(yè)微信上的真實(shí)企業(yè)與組織數超1000萬(wàn),活躍用戶(hù)數超1.8億,連接微信活躍用戶(hù)數超過(guò)5億。此外,企業(yè)微信團隊同時(shí)披露,每1個(gè)小時(shí),有115萬(wàn)企業(yè)員工通過(guò)企業(yè)微信與微信上的用戶(hù)進(jìn)行1.4億次的服務(wù)互動(dòng)。企業(yè)微信全部的服務(wù)商總數已經(jīng)達到12萬(wàn),可覆蓋97個(gè)行業(yè)。包括政府、公共服務(wù)、醫療、銀行等各個(gè)公共服務(wù)。
毫無(wú)疑問(wèn),微信私域模式是近年來(lái)互聯(lián)網(wǎng)平臺的一個(gè)重要創(chuàng )新,但其存在不小的個(gè)人信息泄露隱患。平臺獲得巨大商業(yè)成功的同時(shí),不能將各類(lèi)風(fēng)險問(wèn)題全都拋給企業(yè)、監管部門(mén)和社會(huì )。
引入多元共治機制防范泄露風(fēng)險
與一般企業(yè)不同,頭部私人社交工具平臺承載著(zhù)全社會(huì )超過(guò)十億個(gè)人日常聯(lián)系、聚會(huì )、娛樂(lè )的功能,并附帶大量個(gè)人隱私信息,業(yè)已成為一個(gè)國家重要的數字基礎設施——元平臺。由于元平臺的無(wú)可替代性和重要性,牽一發(fā)而動(dòng)全身,其業(yè)務(wù)創(chuàng )新應事先做充分的風(fēng)險評估,謀而后動(dòng)。對已存在的風(fēng)險隱患,也需要動(dòng)員社會(huì )多方力量進(jìn)行協(xié)同治理,亟待引入多元共治機制。
首先,在數據采集環(huán)節上,企業(yè)員工應帶有更鮮明的企業(yè)標簽,在聊天中明確提示消費者該聊天與溝通會(huì )被公司記錄,并且遵循最小必要原則和模板化方式獲取個(gè)人信息。
其次,在數據流通環(huán)節上,應加大對數據流通相關(guān)安全技術(shù)的重視。“數據二十條”指出,充分發(fā)揮協(xié)同治理作用,支持開(kāi)展數據流通相關(guān)安全技術(shù)研發(fā)和服務(wù),促進(jìn)不同場(chǎng)景下數據要素安全可信流通。區塊鏈技術(shù)的運用能夠使用戶(hù)跟蹤數據流轉的全過(guò)程,有效防止社交平臺與第三方合作數據安全事件的發(fā)生。因此,可借助區塊鏈技術(shù)并形塑“以鏈治數+以法入鏈”協(xié)同治理體系。一方面,“以鏈治數”的監管模式可以滿(mǎn)足鏈群的安全風(fēng)險防護需求。針對區塊鏈生態(tài)中存在的安全風(fēng)險和多維監管需求,建立協(xié)同監管技術(shù)框架、共性安全風(fēng)險指標體系。另一方面,“以法入鏈”的智能化監管,可以節約監管成本以及提升監管效率。將法律語(yǔ)言轉換為計算機可識別的代碼,并建立校驗機制,為實(shí)現數據安全提供業(yè)務(wù)支撐。
第三,在外包服務(wù)商管理環(huán)節上,應不斷推動(dòng)數據安全法律體系的建設。首先,《數據安全法》涉及的數據不限于網(wǎng)絡(luò )數據,還包括了其他形式的數據;其中的安全應被理解為整體性的、抽象的安全而非具體的安全,與之對應的概念應為風(fēng)險,而非危險。其次,社交平臺與第三方合作數據安全事件反映出了外包數據服務(wù)商所存在的法律風(fēng)險,當前提供外包數據服務(wù)主體質(zhì)量參差不齊,一些銀行在采購服務(wù)時(shí),也存在流程不清、約束較小、過(guò)于依賴(lài)外包等多種情況,極易出現監管的真空地帶。《數據安全法》針對重要數據的處理活動(dòng)提出了若干延展數據安全保護義務(wù),但針對外包數據服務(wù)商,評估主體、報告報送對象以及評估頻率還有待配套規章制度的進(jìn)一步明確。對此,建議在《數據安全法》的基礎上繼續完善各行業(yè)數據安全法律體系,配套相應的條例、部門(mén)規章、合規指引。
此外,還應當充分發(fā)揮公民在數據安全治理中的主體作用。應落實(shí)《數據安全法》中規定的公民投訴、舉報的制度并保護投訴人、舉報人的合法權益。鼓勵數字平臺建立群眾對數據安全的自治機制,使公民有更多參與數據安全治理的渠道。
“數據二十條”明確了“安全可控、彈性包容”的數據治理原則,并提出應建立數據要素生產(chǎn)流通使用全過(guò)程的算法審查等制度。長(cháng)期來(lái)看,將共票理論與雙維治理體系相結合,構建事前、事中、事后的全過(guò)程實(shí)時(shí)監管,督使數據技術(shù)應用摒惡向善,有利于構建合法合規的國產(chǎn)大模型產(chǎn)業(yè)鏈,最終促進(jìn)數字經(jīng)濟向善發(fā)展,增加社會(huì )整體福利。
原標題:大模型時(shí)代更需加強企業(yè)用戶(hù)信息保護
文章來(lái)源:http://www.ce.cn/cysc/tech/gd2012/202310/18/t20231018_38753453.shtml
|
