在萬物互聯的時代，數據對一家互聯網公司的意義堪比原油和金礦，尤其隨著人工智能、新零售等行業的火熱，科技公司紛紛想方設法獲得數據以搶占高地，獲取商業價值。在這場攻城略地的競爭之中，數據獲取和用戶隱私陷入了博弈，而監管的遲到，以及長久以來被忽視的安全投入讓用戶成為了待宰羔羊。

企業數據洩漏事件頻發

今日，抖音海外版抖音TIK TOK在美國被控侵犯兒童隱私，遭FTC開出570萬美元罰單，源於TIK TOK運營的musicaly被指控非法收集兒童信息，這是FTC在美國兒童隱私案件中做出的一筆最大民事罰款。

2月，東方網力旗下子公司深網視界(SenseNets)發生大規模數據洩露事件。超過250萬人的數據可被獲取，680萬條記錄洩露，其中包括身份證信息、人臉識別圖像及捕捉地點等。

爆料此事的程序員還在TIWWTER上指出：這家公司從從2018年7月開始就處於任何人都可以訪問的狀態。通過這些數據可以得知道誰不在家，可能出現盜竊行為。

時隔一天，京東金融被指私自收集用戶敏感截圖用以優化產品。微博用戶“瘦出的肋骨已經消失的大俠阿木”在微博上爆料，京東金融APP在用戶非主動發送的情況下私自讀取相冊截圖，涉嫌違規。

一直以來，接連不斷的數據洩漏事件已經讓人麻木。作為掌握海量兼具廣度和深度的數據的中心化平台，在享受用戶增長紅利的同時，並沒有足夠的意識去保護用戶隱私。

李彥宏曾在公共場合表示：“中國用戶在個人隱私方面更加開放，一定程度上願用隱私換方便和效率。”

然而用隱私換方便和效率的並不止百度。

搜狐科技統計了近年來大規模隱私洩漏事件，發現無論是電商巨頭還是科技獨角獸，都曾陷入到數據洩漏的風波之中：

• 2012年3月，噹噹網賬戶集體被盜，餘額被用於購買電子產品，金銀首飾等大額商品。
• 2013年3月，網友爆料支付寶出現重大漏洞，稱使用谷歌可以搜索出大量的支付寶交易記錄，包括首付款賬戶，姓名和日期等等。
• 2013年11月，承認7000多萬QQ群遭洩漏，根據QQ號可以查詢到社交關係網伸甚至從業經歷等大量隱私。
• 2014年3月，攜程用戶姓名，身份證號以及銀行卡號, cvv碼出現洩漏，且上述信息可能被黑客讀取。
• 2017年，京東員工堅守自盜，與黑客互相勾結，為黑客入攻提供重要信息，洩漏的信息包括物流信息，交易信息和個人身份信息等等。
• 2017年，小紅書有50名用戶接到加客服電話後上當受騙，受騙總金額達88萬元人民幣。
• 2018年4月，百度外賣等多家外賣平台的用戶信息發生洩漏，有商家專門出售客戶信息，每條售價不到0.1元。

在2017年施行的《網絡安全法》中，明確提出了“誰收集、誰負責”的原則，也就是說信息收集方要承擔起保障數據安全的義務，但至今國內尚無讓廣大公司意識到數據安全嚴峻性的標誌性案件出現。

誰在濫用你的人臉數據

數據洩露的背後，是網絡黑產的猖獗。

首先是數據被留轉到暗網上拍賣，暗網通常是指那些存儲在網絡裡、但不能通過超鏈接訪問而需要通過動態網頁技術訪問的資源集合，不屬於那些可以被標準搜索引擎索引的表面網絡。暗網裡的交易沒有第三方擔保，一切行為責任均自負。

搜狐科技在暗網上發現的許多網絡黑產交易,這些信息洩露於電商，P2P平台以及各種社交平台和網站，每個打包的數據量級均在千萬以上，一般用比特幣和美金進行交易。

這些數據已經不是一手數據，大都經過反复倒賣。例如，優酷2016年被拖庫的數據，以及陌陌曾被洩露的3000萬用戶信息，仍然在暗網上被叫價售賣，單價只要10美元，另外還贈送100份手持身份證照片。

由於價格並不昂貴，用戶信息被多次轉手洩漏，對個人造成反复性的永久性傷害，而這並不會影響平台的利益。

據中國企業家雜誌報導，截至2017年年中，中國網絡黑產從業人員已超過150萬，市場規模高達千億。

除了黑產行業，企業也想方設法獲取用戶數據攫取利益。

一家叫做劍橋分析(Cambridge Analytica)的數據公司，非法竊取5000萬Facebook用戶資料後用算法進行大數據分析，預測他們的政治傾向，進行個性化的新聞推送，然後在不知不覺中影響他們的選票。

而收集數據的平台方，則直接利用平台殺熟，很多攜程用戶表示，同樣的房間，不同的手機下單價格並不相同。同樣，也有網友反映，在滴滴上打車，老用戶也要支付比新用戶更多的車費。

初創公司安全防護幾近裸奔

據IDC報告顯示，我國信息安全投入佔IT整體投入的比重較低，僅為1%-2%，遠低於歐美市場8%-12%的比例。

反映到企業本身，不僅是企業安全團隊配置的匱乏，還有數據管理與採集的混亂。

360網絡安全中心一位負責人告訴搜狐科技：“ 初創公司在產品上線初期雖然都號稱很安全，但在數據保護上幾近裸奔，沒有投入。”

一位資深也表達了相同的觀點。去年，他入職了一家在風口上的明星公司。但工作不久後，他便發現公司在安全防護方面上的支出幾乎為零，就連購買基本的雲服務都無法做到。

而拿數據採集來說，許多初創公司則對數據採集呈現出無比飢渴的狀態，APP隱私協議形同虛設。

前日，上海網絡信息辦公室在對1號店、拼多多等23個上海本地最常用移動互聯網應用程序（App）用戶權限的整改情況做了複測後發現，截至1月中旬，相關App共整改158了個不合理權限和98個“合理但存在風險”的權限。其中墨跡天氣被指出上傳wifi信息，進行隱私跟踪。

在安裝一個新APP時，通常被要求訪問通訊錄、地理位置等信息，但訪問的目的、時間和方式等，幾乎沒有企業會給出明確解釋。

去年1月，支付寶發布年度賬單，最下方的《芝麻服務協議》默認打勾。協議聲稱，支付寶可以直接向第三方提供用戶相關信息，並且可以進行分析、推送給合作機構，以及有權不支持用戶撤銷第三方的信息查詢授權。

一名專注網絡黑產調查的自媒體人士則透露，“有些APP甚至會聯合共用採集到的用戶信息做畫像，指望APP保護個人隱私幾乎是不可能的。”

除了過度採集，即便用戶註銷賬號後，企業仍會保存用戶隱私信息。

“過去企業會因為預算問題，定期刪掉服務器上的一些數據，現在即便短期用不到，企業也會保留數據。”一家數據云服務平台表示。

目前，相比國外在數據上的監管，很多公司並沒有為他們過度收集和洩漏用戶隱私的行為付出代價。根據歐洲去年5月發布的《通用數據保護條例》（GDPR），違反數據保護條例的公司可能面臨最高2300萬美元或占其全球年收入的4%的罰款。

總部位於都柏林的Facebook，差點因為數據洩漏而面臨16億美元的罰款。

而出海不久的抖音海外版，已經嚐到苦頭，其收購的Musical.ly由於在未徵得父母同意之前非法收集了13歲以下兒童的姓名、電子郵件地址和其他信息，支付了近3812萬人民幣的和解金。

在這種情況下，用戶更應格外留意自身隱私的保護。網經社電子商務研究中心法律權益部姚建芳建議：“ 用戶在使用產品時，應當留意其獲取的授權包括哪些、開啟僅在使用期間獲取功能、及時關閉不需要的授權。”

搜狐科技/袁夢