|
信息技術(shù)日新月異����,數(shù)字經(jīng)濟(jì)已由平臺經(jīng)濟(jì)時代進(jìn)入了大模型時代�����,數(shù)據(jù)要素價值實現(xiàn)達(dá)成了質(zhì)的飛躍,成為經(jīng)濟(jì)增長的新動能���。在當(dāng)前數(shù)據(jù)要素流通不暢、條塊分割嚴(yán)重的背景下�����,數(shù)據(jù)私域作為天然的數(shù)據(jù)蓄水池�,滿足了大模型訓(xùn)練的需求,引發(fā)了大模型公司的高度關(guān)注���。在產(chǎn)業(yè)數(shù)字化發(fā)展中,數(shù)據(jù)私域搭建了企業(yè)與個人的社交橋梁����,讓企業(yè)成功建立起客戶的蓄水池���,實現(xiàn)反復(fù)營銷和商業(yè)轉(zhuǎn)化�����,企業(yè)微信是數(shù)據(jù)私域的典型代表����。但近年來,國內(nèi)外社交平臺與第三方合作的私域爆出了不少的客戶隱私安全事故,涉及大模型的違規(guī)抓取、訓(xùn)練數(shù)據(jù)行為��。
2023年5月初��,有媒體爆料稱���,F(xiàn)acebook公司通過其廣告平臺上的某些API接口收集了大量用戶數(shù)據(jù)�,包括用戶的個人信息����、好友列表、消息記錄等等。這些數(shù)據(jù)被用于幫助廣告客戶更精準(zhǔn)地定位目標(biāo)受眾。由于此次數(shù)據(jù)抓取是未經(jīng)用戶同意的,因此Facebook公司面臨著巨大的隱私泄露風(fēng)險。
就國內(nèi)而言�����,近期�����,國家金融監(jiān)督管理總局辦公廳向各銀保監(jiān)局�、銀行保險機(jī)構(gòu)等下發(fā)《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》(下稱《通知》)���,要求各銀行保險機(jī)構(gòu)對照通報問題��,深入排查供應(yīng)鏈風(fēng)險隱患���,切實加強(qiáng)整改���。《通知》通報了企業(yè)微信服務(wù)風(fēng)險情況:某微信代理商為多家銀行提供企業(yè)微信相關(guān)服務(wù)�,將銀行客戶經(jīng)理和客戶的聊天會話存檔在該服務(wù)商租用的公有云服務(wù)器上����,會話存檔數(shù)據(jù)包含部分客戶姓名���、身份證號�����、手機(jī)號��、銀行賬號等敏感個人信息�。未經(jīng)銀行同意���,該服務(wù)商私自使用數(shù)家銀行600余萬條會話存檔數(shù)據(jù)用于該公司模型訓(xùn)練���,并提供給關(guān)聯(lián)公司�。銀行因未盡到對客戶敏感數(shù)據(jù)保護(hù)責(zé)任,引發(fā)消費者維權(quán)投訴����。
企業(yè)用戶數(shù)據(jù)泄露問題值得關(guān)注
數(shù)據(jù)流動與數(shù)據(jù)安全�����,構(gòu)成了數(shù)據(jù)價值的一體兩翼。應(yīng)在促進(jìn)數(shù)據(jù)要素利用的同時維護(hù)數(shù)據(jù)安全�,實現(xiàn)數(shù)據(jù)要素利用的合規(guī)化�。
長期以來�,微信的定位始終是私人社交工具。為了保障這種私密定位��,微信官方曾多次表示�,不會去看用戶的微信內(nèi)容��。微信不留存任何用戶的聊天記錄����,聊天內(nèi)容只存儲在用戶的手機(jī)����、電腦等終端設(shè)備上。微信也不會將用戶的任何聊天內(nèi)容用于大數(shù)據(jù)分析����。
但企業(yè)微信的出現(xiàn)實際上模糊了這一邊界����。企業(yè)微信的“優(yōu)勢”就是企業(yè)的營銷人員以“朋友”和“工作人員”的雙重身份與客戶交朋友��,在溝通中了解用戶的興趣和偏好���,進(jìn)而促成交易和二次交易�����。這種社交就變成了一種“公共溝通”,不再享有私密性,而是企業(yè)數(shù)據(jù)資產(chǎn)。
這種變化是非常微妙的����。從用戶角度�����,使用企業(yè)微信能夠與日常聊天場景融為一體,降低用戶保護(hù)個人隱私的意識����。企業(yè)員工則會有獲取用戶隱私的動機(jī),并且在使用企業(yè)微信進(jìn)行溝通時缺乏類似“客服電話”中“您的通話會被錄音”的提示,在獲取用戶數(shù)據(jù)時未必會遵循“最小必要”原則����。從企業(yè)角度��,是否會對這些員工與客戶的聊天記錄予以重視,進(jìn)行特別的隱私保護(hù)處理也值得懷疑。事實證明��,即便是以合規(guī)管理嚴(yán)格著稱的銀行也不一定能保護(hù)好此類數(shù)據(jù)�。
第三方、企業(yè)、平臺誰該為用戶隱私擔(dān)責(zé)
在私域模式下,除了員工之外�,企業(yè)另一個難以掌控的因素是“第三方服務(wù)商”����。事實上�����,從銀行個人隱私泄露中“受益”的并非是銀行��,而是“第三方微信代理服務(wù)商”�����。這些代理商將這些銀行員工與客戶的聊天信息用于訓(xùn)練自己的模型,進(jìn)而導(dǎo)致了客訴。
在此次事件后,金融監(jiān)管總局發(fā)布的《關(guān)于加強(qiáng)第三方合作中網(wǎng)絡(luò)和數(shù)據(jù)安全管理的通知》指出�,部分銀行保險機(jī)構(gòu)的外包服務(wù)商發(fā)生多起安全風(fēng)險事件��,對銀行保險機(jī)構(gòu)的網(wǎng)絡(luò)和數(shù)據(jù)安全、業(yè)務(wù)連續(xù)性造成一定影響�,暴露出銀行保險機(jī)構(gòu)在外包服務(wù)管理上存在突出風(fēng)險問題�����。
對這些風(fēng)險,金融監(jiān)管總局進(jìn)一步總結(jié)為兩個核心問題����。第一是,銀行保險機(jī)構(gòu)對數(shù)字生態(tài)場景合作情況底數(shù)不清,缺乏統(tǒng)籌管理�����。開展數(shù)字生態(tài)合作時����,銀行保險機(jī)構(gòu)外包風(fēng)險主管部門、科技和數(shù)據(jù)管理部門未參與�����,缺乏數(shù)據(jù)安全風(fēng)險評估���、監(jiān)控管理等機(jī)制��,存在突出風(fēng)險隱患���。第二是��,銀行保險機(jī)構(gòu)對合作中數(shù)據(jù)安全風(fēng)險和責(zé)任識別劃分不清。數(shù)字化轉(zhuǎn)型合作業(yè)務(wù)場景連接��,技術(shù)渠道相互嵌入����,數(shù)據(jù)存儲、交互情況復(fù)雜,銀行保險機(jī)構(gòu)對業(yè)務(wù)�、技術(shù)��、數(shù)據(jù)等風(fēng)險識別不清晰,責(zé)任劃分不明確����,存在數(shù)據(jù)收集使用不合規(guī)、安全責(zé)任交叉���、數(shù)據(jù)保護(hù)存在盲區(qū)等問題。
銀行保險機(jī)構(gòu)已經(jīng)是國內(nèi)合規(guī)最嚴(yán)格的商業(yè)機(jī)構(gòu)�����,也有著不斷升級的行業(yè)監(jiān)管��,情況尚且如此��,在私域模式已經(jīng)進(jìn)入到千行百業(yè)的過程中,隱私保護(hù)問題很可能會產(chǎn)生常態(tài)化的漏洞和風(fēng)險隱患���。在銀行企業(yè)微信隱私數(shù)據(jù)泄露事件的背后,應(yīng)該看到��,私人社交平臺作為一種基礎(chǔ)設(shè)施�,在其帶動社會數(shù)字化的巨大力量背后,也存在巨大的風(fēng)險隱患��。在大模型時代���,數(shù)據(jù)在大模型訓(xùn)練方面的獨特價值無疑加劇了這一風(fēng)險�����。
國際經(jīng)驗也表明����,社交平臺與第三方合作容易發(fā)生信息泄露,除前面已經(jīng)提到的事例外��,還有:
2016年�����,8700萬Facebook用戶數(shù)據(jù)被指不當(dāng)泄露給政治咨詢公司劍橋分析,用于在2016年總統(tǒng)大選時支持美國總統(tǒng)特朗普�。2018年12月�,社交網(wǎng)絡(luò)巨頭Facebook承認(rèn)�,一個安全漏洞導(dǎo)致680萬名用戶的私人照片被第三方應(yīng)用程序共享。2019年�����,一個低級別的黑客論壇3天曝光了超過 5.33 億 Facebook 用戶數(shù)據(jù)�����,其中包括 3200 多萬條美國用戶記錄���,1100 萬條英國用戶記錄和 600 多萬條印度用戶信息����,共涉及到 106 個國家���。數(shù)據(jù)顯示����,所泄露的信息包括個人賬號、用戶姓名���、位置、生日��、電話號碼及電子郵件地址等�。2022年,Meta旗下通訊軟件WhatsApp“失竊”���,近5億用戶的信息或被泄露。
企業(yè)微信平臺幫助企業(yè)和個人微信進(jìn)行了連接�����,改變了微信個人社交的性質(zhì)����,那么如果未來出現(xiàn)了大規(guī)模個人隱私數(shù)據(jù)泄露����,作為私域模式的開創(chuàng)者,企業(yè)微信平臺是否可以置身事外��?它應(yīng)該承擔(dān)什么責(zé)任�����?誰來監(jiān)管此類平臺����?
根據(jù)企業(yè)微信披露數(shù)據(jù)����,2022年1月,企業(yè)微信上的真實企業(yè)與組織數(shù)超1000萬,活躍用戶數(shù)超1.8億�����,連接微信活躍用戶數(shù)超過5億���。此外,企業(yè)微信團(tuán)隊同時披露,每1個小時�,有115萬企業(yè)員工通過企業(yè)微信與微信上的用戶進(jìn)行1.4億次的服務(wù)互動��。企業(yè)微信全部的服務(wù)商總數(shù)已經(jīng)達(dá)到12萬,可覆蓋97個行業(yè)。包括政府���、公共服務(wù)、醫(yī)療、銀行等各個公共服務(wù)。
毫無疑問�,微信私域模式是近年來互聯(lián)網(wǎng)平臺的一個重要創(chuàng)新,但其存在不小的個人信息泄露隱患���。平臺獲得巨大商業(yè)成功的同時,不能將各類風(fēng)險問題全都拋給企業(yè)���、監(jiān)管部門和社會。
引入多元共治機(jī)制防范泄露風(fēng)險
與一般企業(yè)不同�,頭部私人社交工具平臺承載著全社會超過十億個人日常聯(lián)系�、聚會����、娛樂的功能,并附帶大量個人隱私信息���,業(yè)已成為一個國家重要的數(shù)字基礎(chǔ)設(shè)施——元平臺。由于元平臺的無可替代性和重要性,牽一發(fā)而動全身,其業(yè)務(wù)創(chuàng)新應(yīng)事先做充分的風(fēng)險評估�,謀而后動�����。對已存在的風(fēng)險隱患,也需要動員社會多方力量進(jìn)行協(xié)同治理��,亟待引入多元共治機(jī)制����。
首先,在數(shù)據(jù)采集環(huán)節(jié)上��,企業(yè)員工應(yīng)帶有更鮮明的企業(yè)標(biāo)簽�,在聊天中明確提示消費者該聊天與溝通會被公司記錄,并且遵循最小必要原則和模板化方式獲取個人信息��。
其次�����,在數(shù)據(jù)流通環(huán)節(jié)上����,應(yīng)加大對數(shù)據(jù)流通相關(guān)安全技術(shù)的重視�����。“數(shù)據(jù)二十條”指出,充分發(fā)揮協(xié)同治理作用�����,支持開展數(shù)據(jù)流通相關(guān)安全技術(shù)研發(fā)和服務(wù)�,促進(jìn)不同場景下數(shù)據(jù)要素安全可信流通。區(qū)塊鏈技術(shù)的運(yùn)用能夠使用戶跟蹤數(shù)據(jù)流轉(zhuǎn)的全過程����,有效防止社交平臺與第三方合作數(shù)據(jù)安全事件的發(fā)生��。因此,可借助區(qū)塊鏈技術(shù)并形塑“以鏈治數(shù)+以法入鏈”協(xié)同治理體系�����。一方面�����,“以鏈治數(shù)”的監(jiān)管模式可以滿足鏈群的安全風(fēng)險防護(hù)需求�����。針對區(qū)塊鏈生態(tài)中存在的安全風(fēng)險和多維監(jiān)管需求,建立協(xié)同監(jiān)管技術(shù)框架��、共性安全風(fēng)險指標(biāo)體系���。另一方面�����,“以法入鏈”的智能化監(jiān)管���,可以節(jié)約監(jiān)管成本以及提升監(jiān)管效率���。將法律語言轉(zhuǎn)換為計算機(jī)可識別的代碼���,并建立校驗機(jī)制�,為實現(xiàn)數(shù)據(jù)安全提供業(yè)務(wù)支撐�����。
第三�����,在外包服務(wù)商管理環(huán)節(jié)上,應(yīng)不斷推動數(shù)據(jù)安全法律體系的建設(shè)�����。首先�,《數(shù)據(jù)安全法》涉及的數(shù)據(jù)不限于網(wǎng)絡(luò)數(shù)據(jù),還包括了其他形式的數(shù)據(jù);其中的安全應(yīng)被理解為整體性的、抽象的安全而非具體的安全��,與之對應(yīng)的概念應(yīng)為風(fēng)險�,而非危險。其次,社交平臺與第三方合作數(shù)據(jù)安全事件反映出了外包數(shù)據(jù)服務(wù)商所存在的法律風(fēng)險��,當(dāng)前提供外包數(shù)據(jù)服務(wù)主體質(zhì)量參差不齊����,一些銀行在采購服務(wù)時�����,也存在流程不清��、約束較小、過于依賴外包等多種情況,極易出現(xiàn)監(jiān)管的真空地帶?����!稊?shù)據(jù)安全法》針對重要數(shù)據(jù)的處理活動提出了若干延展數(shù)據(jù)安全保護(hù)義務(wù)��,但針對外包數(shù)據(jù)服務(wù)商���,評估主體����、報告報送對象以及評估頻率還有待配套規(guī)章制度的進(jìn)一步明確���。對此��,建議在《數(shù)據(jù)安全法》的基礎(chǔ)上繼續(xù)完善各行業(yè)數(shù)據(jù)安全法律體系���,配套相應(yīng)的條例�、部門規(guī)章��、合規(guī)指引�����。
此外,還應(yīng)當(dāng)充分發(fā)揮公民在數(shù)據(jù)安全治理中的主體作用。應(yīng)落實《數(shù)據(jù)安全法》中規(guī)定的公民投訴��、舉報的制度并保護(hù)投訴人��、舉報人的合法權(quán)益。鼓勵數(shù)字平臺建立群眾對數(shù)據(jù)安全的自治機(jī)制�����,使公民有更多參與數(shù)據(jù)安全治理的渠道。
“數(shù)據(jù)二十條”明確了“安全可控���、彈性包容”的數(shù)據(jù)治理原則,并提出應(yīng)建立數(shù)據(jù)要素生產(chǎn)流通使用全過程的算法審查等制度�。長期來看����,將共票理論與雙維治理體系相結(jié)合���,構(gòu)建事前���、事中�����、事后的全過程實時監(jiān)管���,督使數(shù)據(jù)技術(shù)應(yīng)用摒惡向善�,有利于構(gòu)建合法合規(guī)的國產(chǎn)大模型產(chǎn)業(yè)鏈�����,最終促進(jìn)數(shù)字經(jīng)濟(jì)向善發(fā)展��,增加社會整體福利。
原標(biāo)題:大模型時代更需加強(qiáng)企業(yè)用戶信息保護(hù)
文章來源:http://www.ce.cn/cysc/tech/gd2012/202310/18/t20231018_38753453.shtml
|
