进入9月以来,中国的大数据行业似乎进入了一个前所未有的“整顿期”,据多家媒体报道,已有多家第三方大数据公司被纳入调查行列。
“近来,客户越来越重视隐私保护和数据获取的合规性了,对照半年前,差距真的很大。”陈小阳(化名)是一位律师,大数据公司曾是她的主要客户,这是她近期最直接的感受。
据记者了解,对于一般的大数据公司,数据获取来源主要分为三种:第三方机构授权、关联方或场景的数据以及爬虫业务。而关于数据爬取,理论上是有“红线”的,即要求在遵循一定协议和规则下,大数据公司才能实现自动获取网站站点的信息和数据。但现实中,规则往往被忽略或简化,个人信息隐私保护的问题,在大数据公司的发展过程中,被凸显出来。
事实上,目前与此相关的法规、立法,已在完善。大数据在经历行业“高光”时刻后,未来如何发展备受关注。就此,新京报记者采访了中国政法大学互联网金融法律研究院院长李爱君,西南财经大学普惠金融与智能金融研究中心副主任陈文,北京大学金融智能研究中心主任助理、《征信与大数据》作者刘新海以及北京金诚同达(上海)律师事务所合伙人彭凯,共同探讨公众关注的大数据话题。
新京报:数据乱象的根源在哪?应如何解决?
彭凯:商业层面的天然逐利性,规则立法的滞后性,以隐私换便利的现实,并不单纯是一方的责任。目前来看,单纯依靠市场自律很难,所以法律父爱主义要登场,根治不敢谈,但“扭转”要依靠立法,建立自上而下的法律和规则体系,“疏导”依靠监管和自律,市场的净化不是一蹴而就的,过程会漫长。
我们类比了714高炮、55超级高炮这类变态的贷款形态,屡禁不绝。社会总归是由白、灰、黑组成的,好比刑法再严苛,犯罪率也不可能降至0。一个道理,建立规则体系和监管体系,愿景当然希望让灰色的变白色,让黑色的受到制裁。后续的持续整治、治理,就是要不断地净化灰色、消弭黑色,这会是个持久战,不止是大数据行业,任何有利可逐的行业都是如此。
李爱君:中国大数据市场目前出现这些乱象的根源在于无视法律的存在,没有法治的意识。如此下去可能阻碍我国从数据大国向数据强国的实现,将在数字经济时代中失去应有的发展机会。
刘新海:首先是存在市场驱动、带来需求,其次是监管的滞后,因此出现了这种混乱。同时,数据黑产、高利贷是两个恶性循环。高利贷需要大数据的风险决策,这也促进了大数据黑产的出现,大数据黑产又促进了高利贷进一步的变种。
陈文:目前一方面是很多大数据公司的数据来源说不清;另一方面就在于数据的使用上。我们也看到了,现在被查的一些大数据公司很多是与所谓的714高炮、55超级高炮以及这种暴力催收扯上关系。事实上,只要这种利润存在,那么可能就会出现所谓的数据乱象。
如果从政府的角度,搭建一个大数据的公共平台,把这些数据进行脱敏,然后对接一些商业机构,我认为能够起到非常好的规范市场的作用。
我们也期待,经过这一轮清理整顿,央行出台金融科技相关的规范。我相信未来我们国家的金融科技,是建立在满足监管底线的要求之上、同时尊重个人隐私的一种高质量的成长。我觉得这才是中国所谓的金融科技真正的未来。
新京报:当前出现问题的“数据爬取”与《网络安全法》等要求是否相背离?
彭凯:爬虫本身是个程序,是个工具,是互联网行业中非常常用的东西,所以我们经常还会区分“善意爬虫”和“恶意爬虫”。但工具的使用不能突破网安法及其配套法规、规则的约束,所以,问题爬虫必然是违法违规。
行业一直在等待的是明确、生效的配套规则和各行各业的国家标准、行业标准,希望能够看到较为明确、可实施、可指导实践的文件。现在法规陆续出现,监管图谱本身也在愈发明晰,如此高危易入刑的一个行业,自然对规范十分期待,对行业也是意义重大,大家最希望看到的是“边界在哪里”。
《数据安全法》带来的改变将体现在消费者与行业两个层面。消费者、用户层面,权利得到强化,更加明确的选择权(隐含有拒绝权);行业层面,能够有更为明确的边界界定,短期来看像是约束,但其实是更好地为未来发展铺垫。
李爱君:《网络安全法》第四十一条到四十四条的法条明文要求,当前出现问题的“数据爬取”行为,存在违规。
《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条中,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
第四十三条要求,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
最后,第四十四条中明确规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
刘新海:大数据立法的问题,这是一个非常基础的问题,立法、执法,还要有监管的部门。目前这方面国内还有欠缺。
我国大数据产业发展迅速,但同时也需要有一些具有先行引导性的条例与之相匹配,把需要保护的地方加以明文保护;此外,欧美经验,是可以好好吸收的。我自己也做过这方面研究,发现监管和行业之间有鸿沟,监管方面都想“管得严一点”,但是行业方面发展的现状又是数据泛滥,而且业者具有“法不责众”心理,这种情况比较严重。
