信息技术日新月异,数字经济已由平台经济时代进入了大模型时代,数据要素价值实现达成了质的飞跃,成为经济增长的新动能。在当前数据要素流通不畅、条块分割严重的背景下,数据私域作为天然的数据蓄水池,满足了大模型训练的需求,引发了大模型公司的高度关注。在产业数字化发展中,数据私域搭建了企业与个人的社交桥梁,让企业成功建立起客户的蓄水池,实现反复营销和商业转化,企业微信是数据私域的典型代表。但近年来,国内外社交平台与第三方合作的私域爆出了不少的客户隐私安全事故,涉及大模型的违规抓取、训练数据行为。
(相关资料图)
2023年5月初,有媒体爆料称,Facebook公司通过其广告平台上的某些API接口收集了大量用户数据,包括用户的个人信息、好友列表、消息记录等等。这些数据被用于帮助广告客户更精准地定位目标受众。由于此次数据抓取是未经用户同意的,因此Facebook公司面临着巨大的隐私泄露风险。
就国内而言,近期,国家金融监督管理总局办公厅向各银保监局、银行保险机构等下发《关于加强第三方合作中网络和数据安全管理的通知》(下称《通知》),要求各银行保险机构对照通报问题,深入排查供应链风险隐患,切实加强整改。《通知》通报了企业微信服务风险情况:某微信代理商为多家银行提供企业微信相关服务,将银行客户经理和客户的聊天会话存档在该服务商租用的公有云服务器上,会话存档数据包含部分客户姓名、身份证号、手机号、银行账号等敏感个人信息。未经银行同意,该服务商私自使用数家银行600余万条会话存档数据用于该公司模型训练,并提供给关联公司。银行因未尽到对客户敏感数据保护责任,引发消费者维权投诉。
企业用户数据泄露问题值得关注
数据流动与数据安全,构成了数据价值的一体两翼。应在促进数据要素利用的同时维护数据安全,实现数据要素利用的合规化。
长期以来,微信的定位始终是私人社交工具。为了保障这种私密定位,微信官方曾多次表示,不会去看用户的微信内容。微信不留存任何用户的聊天记录,聊天内容只存储在用户的手机、电脑等终端设备上。微信也不会将用户的任何聊天内容用于大数据分析。
但企业微信的出现实际上模糊了这一边界。企业微信的“优势”就是企业的营销人员以“朋友”和“工作人员”的双重身份与客户交朋友,在沟通中了解用户的兴趣和偏好,进而促成交易和二次交易。这种社交就变成了一种“公共沟通”,不再享有私密性,而是企业数据资产。
这种变化是非常微妙的。从用户角度,使用企业微信能够与日常聊天场景融为一体,降低用户保护个人隐私的意识。企业员工则会有获取用户隐私的动机,并且在使用企业微信进行沟通时缺乏类似“客服电话”中“您的通话会被录音”的提示,在获取用户数据时未必会遵循“最小必要”原则。从企业角度,是否会对这些员工与客户的聊天记录予以重视,进行特别的隐私保护处理也值得怀疑。事实证明,即便是以合规管理严格著称的银行也不一定能保护好此类数据。
第三方、企业、平台谁该为用户隐私担责
在私域模式下,除了员工之外,企业另一个难以掌控的因素是“第三方服务商”。事实上,从银行个人隐私泄露中“受益”的并非是银行,而是“第三方微信代理服务商”。这些代理商将这些银行员工与客户的聊天信息用于训练自己的模型,进而导致了客诉。
在此次事件后,金融监管总局发布的《关于加强第三方合作中网络和数据安全管理的通知》指出,部分银行保险机构的外包服务商发生多起安全风险事件,对银行保险机构的网络和数据安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在突出风险问题。
对这些风险,金融监管总局进一步总结为两个核心问题。第一是,银行保险机构对数字生态场景合作情况底数不清,缺乏统筹管理。开展数字生态合作时,银行保险机构外包风险主管部门、科技和数据管理部门未参与,缺乏数据安全风险评估、监控管理等机制,存在突出风险隐患。第二是,银行保险机构对合作中数据安全风险和责任识别划分不清。数字化转型合作业务场景连接,技术渠道相互嵌入,数据存储、交互情况复杂,银行保险机构对业务、技术、数据等风险识别不清晰,责任划分不明确,存在数据收集使用不合规、安全责任交叉、数据保护存在盲区等问题。
银行保险机构已经是国内合规最严格的商业机构,也有着不断升级的行业监管,情况尚且如此,在私域模式已经进入到千行百业的过程中,隐私保护问题很可能会产生常态化的漏洞和风险隐患。在银行企业微信隐私数据泄露事件的背后,应该看到,私人社交平台作为一种基础设施,在其带动社会数字化的巨大力量背后,也存在巨大的风险隐患。在大模型时代,数据在大模型训练方面的独特价值无疑加剧了这一风险。
国际经验也表明,社交平台与第三方合作容易发生信息泄露,除前面已经提到的事例外,还有:
2016年,8700万Facebook用户数据被指不当泄露给政治咨询公司剑桥分析,用于在2016年总统大选时支持美国总统特朗普。2018年12月,社交网络巨头Facebook承认,一个安全漏洞导致680万名用户的私人照片被第三方应用程序共享。2019年,一个低级别的黑客论坛3天曝光了超过 5.33 亿 Facebook 用户数据,其中包括 3200 多万条美国用户记录,1100 万条英国用户记录和 600 多万条印度用户信息,共涉及到 106 个国家。数据显示,所泄露的信息包括个人账号、用户姓名、位置、生日、电话号码及电子邮件地址等。2022年,Meta旗下通讯软件WhatsApp“失窃”,近5亿用户的信息或被泄露。
企业微信平台帮助企业和个人微信进行了连接,改变了微信个人社交的性质,那么如果未来出现了大规模个人隐私数据泄露,作为私域模式的开创者,企业微信平台是否可以置身事外?它应该承担什么责任?谁来监管此类平台?
根据企业微信披露数据,2022年1月,企业微信上的真实企业与组织数超1000万,活跃用户数超1.8亿,连接微信活跃用户数超过5亿。此外,企业微信团队同时披露,每1个小时,有115万企业员工通过企业微信与微信上的用户进行1.4亿次的服务互动。企业微信全部的服务商总数已经达到12万,可覆盖97个行业。包括政府、公共服务、医疗、银行等各个公共服务。
毫无疑问,微信私域模式是近年来互联网平台的一个重要创新,但其存在不小的个人信息泄露隐患。平台获得巨大商业成功的同时,不能将各类风险问题全都抛给企业、监管部门和社会。
引入多元共治机制防范泄露风险
与一般企业不同,头部私人社交工具平台承载着全社会超过十亿个人日常联系、聚会、娱乐的功能,并附带大量个人隐私信息,业已成为一个国家重要的数字基础设施——元平台。由于元平台的无可替代性和重要性,牵一发而动全身,其业务创新应事先做充分的风险评估,谋而后动。对已存在的风险隐患,也需要动员社会多方力量进行协同治理,亟待引入多元共治机制。
首先,在数据采集环节上,企业员工应带有更鲜明的企业标签,在聊天中明确提示消费者该聊天与沟通会被公司记录,并且遵循最小必要原则和模板化方式获取个人信息。
其次,在数据流通环节上,应加大对数据流通相关安全技术的重视。“数据二十条”指出,充分发挥协同治理作用,支持开展数据流通相关安全技术研发和服务,促进不同场景下数据要素安全可信流通。区块链技术的运用能够使用户跟踪数据流转的全过程,有效防止社交平台与第三方合作数据安全事件的发生。因此,可借助区块链技术并形塑“以链治数+以法入链”协同治理体系。一方面,“以链治数”的监管模式可以满足链群的安全风险防护需求。针对区块链生态中存在的安全风险和多维监管需求,建立协同监管技术框架、共性安全风险指标体系。另一方面,“以法入链”的智能化监管,可以节约监管成本以及提升监管效率。将法律语言转换为计算机可识别的代码,并建立校验机制,为实现数据安全提供业务支撑。
第三,在外包服务商管理环节上,应不断推动数据安全法律体系的建设。首先,《数据安全法》涉及的数据不限于网络数据,还包括了其他形式的数据;其中的安全应被理解为整体性的、抽象的安全而非具体的安全,与之对应的概念应为风险,而非危险。其次,社交平台与第三方合作数据安全事件反映出了外包数据服务商所存在的法律风险,当前提供外包数据服务主体质量参差不齐,一些银行在采购服务时,也存在流程不清、约束较小、过于依赖外包等多种情况,极易出现监管的真空地带。《数据安全法》针对重要数据的处理活动提出了若干延展数据安全保护义务,但针对外包数据服务商,评估主体、报告报送对象以及评估频率还有待配套规章制度的进一步明确。对此,建议在《数据安全法》的基础上继续完善各行业数据安全法律体系,配套相应的条例、部门规章、合规指引。
此外,还应当充分发挥公民在数据安全治理中的主体作用。应落实《数据安全法》中规定的公民投诉、举报的制度并保护投诉人、举报人的合法权益。鼓励数字平台建立群众对数据安全的自治机制,使公民有更多参与数据安全治理的渠道。
“数据二十条”明确了“安全可控、弹性包容”的数据治理原则,并提出应建立数据要素生产流通使用全过程的算法审查等制度。长期来看,将共票理论与双维治理体系相结合,构建事前、事中、事后的全过程实时监管,督使数据技术应用摒恶向善,有利于构建合法合规的国产大模型产业链,最终促进数字经济向善发展,增加社会整体福利。
(作者杨东 为中国人民大学国家发展与战略研究院研究员)