信息技術(shù)日新月異，數(shù)字經(jīng)濟(jì)已由平臺(tái)經(jīng)濟(jì)時(shí)代進(jìn)入了大模型時(shí)代，數(shù)據(jù)要素價(jià)值實(shí)現(xiàn)達(dá)成了質(zhì)的飛躍，成為經(jīng)濟(jì)增長(zhǎng)的新動(dòng)能。在當(dāng)前數(shù)據(jù)要素流通不暢、條塊分割嚴(yán)重的背景下，數(shù)據(jù)私域作為天然的數(shù)據(jù)蓄水池，滿足了大模型訓(xùn)練的需求，引發(fā)了大模型公司的高度關(guān)注。在產(chǎn)業(yè)數(shù)字化發(fā)展中，數(shù)據(jù)私域搭建了企業(yè)與個(gè)人的社交橋梁，讓企業(yè)成功建立起客戶的蓄水池，實(shí)現(xiàn)反復(fù)營(yíng)銷和商業(yè)轉(zhuǎn)化，企業(yè)微信是數(shù)據(jù)私域的典型代表。但近年來(lái)，國(guó)內(nèi)外社交平臺(tái)與第三方合作的私域爆出了不少的客戶隱私安全事故，涉及大模型的違規(guī)抓取、訓(xùn)練數(shù)據(jù)行為。

(相關(guān)資料圖)

2023年5月初，有媒體爆料稱，F(xiàn)acebook公司通過(guò)其廣告平臺(tái)上的某些API接口收集了大量用戶數(shù)據(jù)，包括用戶的個(gè)人信息、好友列表、消息記錄等等。這些數(shù)據(jù)被用于幫助廣告客戶更精準(zhǔn)地定位目標(biāo)受眾。由于此次數(shù)據(jù)抓取是未經(jīng)用戶同意的，因此Facebook公司面臨著巨大的隱私泄露風(fēng)險(xiǎn)。

就國(guó)內(nèi)而言，近期，國(guó)家金融監(jiān)督管理總局辦公廳向各銀保監(jiān)局、銀行保險(xiǎn)機(jī)構(gòu)等下發(fā)《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》(下稱《通知》)，要求各銀行保險(xiǎn)機(jī)構(gòu)對(duì)照通報(bào)問(wèn)題，深入排查供應(yīng)鏈風(fēng)險(xiǎn)隱患，切實(shí)加強(qiáng)整改?！锻ㄖ吠▓?bào)了企業(yè)微信服務(wù)風(fēng)險(xiǎn)情況：某微信代理商為多家銀行提供企業(yè)微信相關(guān)服務(wù)，將銀行客戶經(jīng)理和客戶的聊天會(huì)話存檔在該服務(wù)商租用的公有云服務(wù)器上，會(huì)話存檔數(shù)據(jù)包含部分客戶姓名、身份證號(hào)、手機(jī)號(hào)、銀行賬號(hào)等敏感個(gè)人信息。未經(jīng)銀行同意，該服務(wù)商私自使用數(shù)家銀行600余萬(wàn)條會(huì)話存檔數(shù)據(jù)用于該公司模型訓(xùn)練，并提供給關(guān)聯(lián)公司。銀行因未盡到對(duì)客戶敏感數(shù)據(jù)保護(hù)責(zé)任，引發(fā)消費(fèi)者維權(quán)投訴。

企業(yè)用戶數(shù)據(jù)泄露問(wèn)題值得關(guān)注

數(shù)據(jù)流動(dòng)與數(shù)據(jù)安全，構(gòu)成了數(shù)據(jù)價(jià)值的一體兩翼。應(yīng)在促進(jìn)數(shù)據(jù)要素利用的同時(shí)維護(hù)數(shù)據(jù)安全，實(shí)現(xiàn)數(shù)據(jù)要素利用的合規(guī)化。

長(zhǎng)期以來(lái)，微信的定位始終是私人社交工具。為了保障這種私密定位，微信官方曾多次表示，不會(huì)去看用戶的微信內(nèi)容。微信不留存任何用戶的聊天記錄，聊天內(nèi)容只存儲(chǔ)在用戶的手機(jī)、電腦等終端設(shè)備上。微信也不會(huì)將用戶的任何聊天內(nèi)容用于大數(shù)據(jù)分析。

但企業(yè)微信的出現(xiàn)實(shí)際上模糊了這一邊界。企業(yè)微信的“優(yōu)勢(shì)”就是企業(yè)的營(yíng)銷人員以“朋友”和“工作人員”的雙重身份與客戶交朋友，在溝通中了解用戶的興趣和偏好，進(jìn)而促成交易和二次交易。這種社交就變成了一種“公共溝通”，不再享有私密性，而是企業(yè)數(shù)據(jù)資產(chǎn)。

這種變化是非常微妙的。從用戶角度，使用企業(yè)微信能夠與日常聊天場(chǎng)景融為一體，降低用戶保護(hù)個(gè)人隱私的意識(shí)。企業(yè)員工則會(huì)有獲取用戶隱私的動(dòng)機(jī)，并且在使用企業(yè)微信進(jìn)行溝通時(shí)缺乏類似“客服電話”中“您的通話會(huì)被錄音”的提示，在獲取用戶數(shù)據(jù)時(shí)未必會(huì)遵循“最小必要”原則。從企業(yè)角度，是否會(huì)對(duì)這些員工與客戶的聊天記錄予以重視，進(jìn)行特別的隱私保護(hù)處理也值得懷疑。事實(shí)證明，即便是以合規(guī)管理嚴(yán)格著稱的銀行也不一定能保護(hù)好此類數(shù)據(jù)。

第三方、企業(yè)、平臺(tái)誰(shuí)該為用戶隱私擔(dān)責(zé)

在私域模式下，除了員工之外，企業(yè)另一個(gè)難以掌控的因素是“第三方服務(wù)商”。事實(shí)上，從銀行個(gè)人隱私泄露中“受益”的并非是銀行，而是“第三方微信代理服務(wù)商”。這些代理商將這些銀行員工與客戶的聊天信息用于訓(xùn)練自己的模型，進(jìn)而導(dǎo)致了客訴。

在此次事件后，金融監(jiān)管總局發(fā)布的《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》指出，部分銀行保險(xiǎn)機(jī)構(gòu)的外包服務(wù)商發(fā)生多起安全風(fēng)險(xiǎn)事件，對(duì)銀行保險(xiǎn)機(jī)構(gòu)的網(wǎng)絡(luò)和數(shù)據(jù)安全、業(yè)務(wù)連續(xù)性造成一定影響，暴露出銀行保險(xiǎn)機(jī)構(gòu)在外包服務(wù)管理上存在突出風(fēng)險(xiǎn)問(wèn)題。

對(duì)這些風(fēng)險(xiǎn)，金融監(jiān)管總局進(jìn)一步總結(jié)為兩個(gè)核心問(wèn)題。第一是，銀行保險(xiǎn)機(jī)構(gòu)對(duì)數(shù)字生態(tài)場(chǎng)景合作情況底數(shù)不清，缺乏統(tǒng)籌管理。開展數(shù)字生態(tài)合作時(shí)，銀行保險(xiǎn)機(jī)構(gòu)外包風(fēng)險(xiǎn)主管部門、科技和數(shù)據(jù)管理部門未參與，缺乏數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、監(jiān)控管理等機(jī)制，存在突出風(fēng)險(xiǎn)隱患。第二是，銀行保險(xiǎn)機(jī)構(gòu)對(duì)合作中數(shù)據(jù)安全風(fēng)險(xiǎn)和責(zé)任識(shí)別劃分不清。數(shù)字化轉(zhuǎn)型合作業(yè)務(wù)場(chǎng)景連接，技術(shù)渠道相互嵌入，數(shù)據(jù)存儲(chǔ)、交互情況復(fù)雜，銀行保險(xiǎn)機(jī)構(gòu)對(duì)業(yè)務(wù)、技術(shù)、數(shù)據(jù)等風(fēng)險(xiǎn)識(shí)別不清晰，責(zé)任劃分不明確，存在數(shù)據(jù)收集使用不合規(guī)、安全責(zé)任交叉、數(shù)據(jù)保護(hù)存在盲區(qū)等問(wèn)題。

銀行保險(xiǎn)機(jī)構(gòu)已經(jīng)是國(guó)內(nèi)合規(guī)最嚴(yán)格的商業(yè)機(jī)構(gòu)，也有著不斷升級(jí)的行業(yè)監(jiān)管，情況尚且如此，在私域模式已經(jīng)進(jìn)入到千行百業(yè)的過(guò)程中，隱私保護(hù)問(wèn)題很可能會(huì)產(chǎn)生常態(tài)化的漏洞和風(fēng)險(xiǎn)隱患。在銀行企業(yè)微信隱私數(shù)據(jù)泄露事件的背后，應(yīng)該看到，私人社交平臺(tái)作為一種基礎(chǔ)設(shè)施，在其帶動(dòng)社會(huì)數(shù)字化的巨大力量背后，也存在巨大的風(fēng)險(xiǎn)隱患。在大模型時(shí)代，數(shù)據(jù)在大模型訓(xùn)練方面的獨(dú)特價(jià)值無(wú)疑加劇了這一風(fēng)險(xiǎn)。

國(guó)際經(jīng)驗(yàn)也表明，社交平臺(tái)與第三方合作容易發(fā)生信息泄露，除前面已經(jīng)提到的事例外，還有：

2016年，8700萬(wàn)Facebook用戶數(shù)據(jù)被指不當(dāng)泄露給政治咨詢公司劍橋分析，用于在2016年總統(tǒng)大選時(shí)支持美國(guó)總統(tǒng)特朗普。2018年12月，社交網(wǎng)絡(luò)巨頭Facebook承認(rèn)，一個(gè)安全漏洞導(dǎo)致680萬(wàn)名用戶的私人照片被第三方應(yīng)用程序共享。2019年，一個(gè)低級(jí)別的黑客論壇3天曝光了超過(guò) 5.33 億 Facebook 用戶數(shù)據(jù)，其中包括 3200 多萬(wàn)條美國(guó)用戶記錄，1100 萬(wàn)條英國(guó)用戶記錄和 600 多萬(wàn)條印度用戶信息，共涉及到 106 個(gè)國(guó)家。數(shù)據(jù)顯示，所泄露的信息包括個(gè)人賬號(hào)、用戶姓名、位置、生日、電話號(hào)碼及電子郵件地址等。2022年，Meta旗下通訊軟件WhatsApp“失竊”，近5億用戶的信息或被泄露。

企業(yè)微信平臺(tái)幫助企業(yè)和個(gè)人微信進(jìn)行了連接，改變了微信個(gè)人社交的性質(zhì)，那么如果未來(lái)出現(xiàn)了大規(guī)模個(gè)人隱私數(shù)據(jù)泄露，作為私域模式的開創(chuàng)者，企業(yè)微信平臺(tái)是否可以置身事外?它應(yīng)該承擔(dān)什么責(zé)任?誰(shuí)來(lái)監(jiān)管此類平臺(tái)?

根據(jù)企業(yè)微信披露數(shù)據(jù)，2022年1月，企業(yè)微信上的真實(shí)企業(yè)與組織數(shù)超1000萬(wàn)，活躍用戶數(shù)超1.8億，連接微信活躍用戶數(shù)超過(guò)5億。此外，企業(yè)微信團(tuán)隊(duì)同時(shí)披露，每1個(gè)小時(shí)，有115萬(wàn)企業(yè)員工通過(guò)企業(yè)微信與微信上的用戶進(jìn)行1.4億次的服務(wù)互動(dòng)。企業(yè)微信全部的服務(wù)商總數(shù)已經(jīng)達(dá)到12萬(wàn)，可覆蓋97個(gè)行業(yè)。包括政府、公共服務(wù)、醫(yī)療、銀行等各個(gè)公共服務(wù)。

毫無(wú)疑問(wèn)，微信私域模式是近年來(lái)互聯(lián)網(wǎng)平臺(tái)的一個(gè)重要?jiǎng)?chuàng)新，但其存在不小的個(gè)人信息泄露隱患。平臺(tái)獲得巨大商業(yè)成功的同時(shí)，不能將各類風(fēng)險(xiǎn)問(wèn)題全都拋給企業(yè)、監(jiān)管部門和社會(huì)。

引入多元共治機(jī)制防范泄露風(fēng)險(xiǎn)

與一般企業(yè)不同，頭部私人社交工具平臺(tái)承載著全社會(huì)超過(guò)十億個(gè)人日常聯(lián)系、聚會(huì)、娛樂(lè)的功能，并附帶大量個(gè)人隱私信息，業(yè)已成為一個(gè)國(guó)家重要的數(shù)字基礎(chǔ)設(shè)施——元平臺(tái)。由于元平臺(tái)的無(wú)可替代性和重要性，牽一發(fā)而動(dòng)全身，其業(yè)務(wù)創(chuàng)新應(yīng)事先做充分的風(fēng)險(xiǎn)評(píng)估，謀而后動(dòng)。對(duì)已存在的風(fēng)險(xiǎn)隱患，也需要?jiǎng)訂T社會(huì)多方力量進(jìn)行協(xié)同治理，亟待引入多元共治機(jī)制。

首先，在數(shù)據(jù)采集環(huán)節(jié)上，企業(yè)員工應(yīng)帶有更鮮明的企業(yè)標(biāo)簽，在聊天中明確提示消費(fèi)者該聊天與溝通會(huì)被公司記錄，并且遵循最小必要原則和模板化方式獲取個(gè)人信息。

其次，在數(shù)據(jù)流通環(huán)節(jié)上，應(yīng)加大對(duì)數(shù)據(jù)流通相關(guān)安全技術(shù)的重視。“數(shù)據(jù)二十條”指出，充分發(fā)揮協(xié)同治理作用，支持開展數(shù)據(jù)流通相關(guān)安全技術(shù)研發(fā)和服務(wù)，促進(jìn)不同場(chǎng)景下數(shù)據(jù)要素安全可信流通。區(qū)塊鏈技術(shù)的運(yùn)用能夠使用戶跟蹤數(shù)據(jù)流轉(zhuǎn)的全過(guò)程，有效防止社交平臺(tái)與第三方合作數(shù)據(jù)安全事件的發(fā)生。因此，可借助區(qū)塊鏈技術(shù)并形塑“以鏈治數(shù)+以法入鏈”協(xié)同治理體系。一方面，“以鏈治數(shù)”的監(jiān)管模式可以滿足鏈群的安全風(fēng)險(xiǎn)防護(hù)需求。針對(duì)區(qū)塊鏈生態(tài)中存在的安全風(fēng)險(xiǎn)和多維監(jiān)管需求，建立協(xié)同監(jiān)管技術(shù)框架、共性安全風(fēng)險(xiǎn)指標(biāo)體系。另一方面，“以法入鏈”的智能化監(jiān)管，可以節(jié)約監(jiān)管成本以及提升監(jiān)管效率。將法律語(yǔ)言轉(zhuǎn)換為計(jì)算機(jī)可識(shí)別的代碼，并建立校驗(yàn)機(jī)制，為實(shí)現(xiàn)數(shù)據(jù)安全提供業(yè)務(wù)支撐。

第三，在外包服務(wù)商管理環(huán)節(jié)上，應(yīng)不斷推動(dòng)數(shù)據(jù)安全法律體系的建設(shè)。首先，《數(shù)據(jù)安全法》涉及的數(shù)據(jù)不限于網(wǎng)絡(luò)數(shù)據(jù)，還包括了其他形式的數(shù)據(jù);其中的安全應(yīng)被理解為整體性的、抽象的安全而非具體的安全，與之對(duì)應(yīng)的概念應(yīng)為風(fēng)險(xiǎn)，而非危險(xiǎn)。其次，社交平臺(tái)與第三方合作數(shù)據(jù)安全事件反映出了外包數(shù)據(jù)服務(wù)商所存在的法律風(fēng)險(xiǎn)，當(dāng)前提供外包數(shù)據(jù)服務(wù)主體質(zhì)量參差不齊，一些銀行在采購(gòu)服務(wù)時(shí)，也存在流程不清、約束較小、過(guò)于依賴外包等多種情況，極易出現(xiàn)監(jiān)管的真空地帶。《數(shù)據(jù)安全法》針對(duì)重要數(shù)據(jù)的處理活動(dòng)提出了若干延展數(shù)據(jù)安全保護(hù)義務(wù)，但針對(duì)外包數(shù)據(jù)服務(wù)商，評(píng)估主體、報(bào)告報(bào)送對(duì)象以及評(píng)估頻率還有待配套規(guī)章制度的進(jìn)一步明確。對(duì)此，建議在《數(shù)據(jù)安全法》的基礎(chǔ)上繼續(xù)完善各行業(yè)數(shù)據(jù)安全法律體系，配套相應(yīng)的條例、部門規(guī)章、合規(guī)指引。

此外，還應(yīng)當(dāng)充分發(fā)揮公民在數(shù)據(jù)安全治理中的主體作用。應(yīng)落實(shí)《數(shù)據(jù)安全法》中規(guī)定的公民投訴、舉報(bào)的制度并保護(hù)投訴人、舉報(bào)人的合法權(quán)益。鼓勵(lì)數(shù)字平臺(tái)建立群眾對(duì)數(shù)據(jù)安全的自治機(jī)制，使公民有更多參與數(shù)據(jù)安全治理的渠道。

“數(shù)據(jù)二十條”明確了“安全可控、彈性包容”的數(shù)據(jù)治理原則，并提出應(yīng)建立數(shù)據(jù)要素生產(chǎn)流通使用全過(guò)程的算法審查等制度。長(zhǎng)期來(lái)看，將共票理論與雙維治理體系相結(jié)合，構(gòu)建事前、事中、事后的全過(guò)程實(shí)時(shí)監(jiān)管，督使數(shù)據(jù)技術(shù)應(yīng)用摒惡向善，有利于構(gòu)建合法合規(guī)的國(guó)產(chǎn)大模型產(chǎn)業(yè)鏈，最終促進(jìn)數(shù)字經(jīng)濟(jì)向善發(fā)展，增加社會(huì)整體福利。

(作者楊東 為中國(guó)人民大學(xué)國(guó)家發(fā)展與戰(zhàn)略研究院研究員)