熱點欄目 自選股 數據中心 行情中心 資金流向 模擬交易

客戶端

　　在“誰監控了我的手機”的隱私焦慮中，有一道身影較少出現在大眾猜疑鏈里：運營商。

　　負責移動大數據產品的內部人士，早在五年前寫道：“原先運營商還在探索變現商業模式，現在應該沒有什么秘密可言了，基本上找到了大數據變現的方向。”更直觀的一組數據是，上海數據交易所中，三大運營商的數據產品占比超20%；貴陽大數據交易所里，中國移動的“梧桐風控大數據”產品以超2800次的訪問量遙遙領先。

　　不過，21世紀經濟報道記者點進各大運營商的產品列表，發現了不少讓人頗為意外的交易。

　　比如中國移動的孕期家庭識別分，輸入電話號碼、姓名、身份證，可輸出對應0~150分值的孕期家庭分數。

　　多位業內人士表示，識別分是典型的數據交易方式，目的是提供群體篩選結果，無法推測出精確到個人的信息。但運營商內部的業務人員也向21世紀經濟報道記者透露，他們會約定每個手機號對應的“序列號”，這樣不需要明文傳輸手機號，也能精準交換個人信息。

　　在《個人信息保護法》的規定之上，“標簽識別分”等數據產品表面看起來無害健康，但是水面之下，有不少暗箱操作：場外交易不“擦邊”很難拿到銷售業務，“匿名數據”成為皇帝的新衣，個人授權亦無從說起。

　　上述記者在數據交易所看到的運營商數據產品，名義上都落于風控領域。從業務層面理解，一般是A公司對B公司要求返回的用戶群體進行篩選。

　　一位負責政企業務的移動內部人士向21世紀經濟報道記者解釋，這類數據產品的本質是標簽篩選，交易大致有三步：首先，客戶要根據自身的業務場景制定一個篩選需求，比如需要篩出有辦卡意愿的用戶，并提供用戶資料；隨后，由運營商挑選可靠的數據指標，進行算法或建模分析；最后，通過API接口的方式返回用戶篩選結果。

　　在多位業內人士看來，這種“標簽識別分”是一種典型的交易方式，標準化程度高，適合場內交易。

　　“標簽產品會選擇上架大數據交易中心進行交易，一般會涉及設備ID、手機號等個人信息。”TalkingData總法律顧問兼數據合規官葛夢瑩向21世紀經濟報道記者解釋，出于安全合規的考慮，實踐中很多企業會在隱私計算平臺中進行數據交互處理，即雙方均上傳自己的加密數據包，做到原始數據不出域、數據可用而不可見。

　　專門開發風控系統的芯盾時代副總裁杜旭解釋，之所以用這種方式，是因為“識別分”或者“標簽”是平臺挖掘預測的主觀結果，不具備客觀性。此外，如果只看返回的頻率或者統計字段，無法推測出精確到個人的信息。

　　不過，水面之下的操作方式有很多。

　　“實際上也有一種交換數據的方式，那就是雙方事先制定一本數據字典。”以杜旭的觀察舉例，在電商公司的數據交換中，雙方可以約定模糊數值對應哪些具體數據，比如識別分為0.8，對應信息為月收入8000~10000元，方便還原更精確的數據。

　　前述中國移動內部人士還透露了一種常用的“取巧”方法：序列號。由于運營商不能直接提供有具體手機號碼的數據，對待小商客，業務人員往往只會提供群體級別的篩選結果；但遇到大型政企客戶，業務人員會對其提供的用戶手機號碼逐一編號，并用光盤、U盤的形式傳送對應手機號的序列號。此時的群體篩選，搖身一變成了精準查詢。

　　該移動內部人士還提到，拿“幼兒家庭識別分”來說，如果教育行業的客戶希望篩選一批可能是幼兒家庭的手機號，他們也會組合營銷短信、外呼電話的配套產品一同銷售，可以把篩選人群理解為精準營銷獲客的一環。

　　從程序上看，客戶的需求是否合規合法，中國移動又能否滿足客戶需求，主要由公司內部的信息安全部把關。不過現實中，運營商的一條明確紅線是不能明文提供手機號、不能提供精確的行動軌跡，至于其他數據交易的顆粒度能有多細——“其實主要還是取決于客戶大小和客情關系。”他坦言。

　　為什么要用上述方法“包裝”數據，邏輯很簡單：如果數據能精確識別到個人，就落入了個人信息的范疇，需要單獨取得用戶同意，除非數據已經匿名。

　　但要達到法律意義上的“匿名”沒有那么容易。

　　一位不愿具名的數據法學者解釋，序列號的這種方式實際上是一種“去標識化”的技術，在不借助額外信息的情況下無法識別到個人，因技術上實現難度低，在企業實踐中更為常見，可以理解為一種弱化版本的“匿名”。

　　根據我國《個人信息保護》要求，需要滿足無法識別、不能復原兩重標準，才屬于匿名數據。觀韜中茂律師事務所合伙人吳丹君向21世紀經濟報道記者指出，如果能通過序列號重新對應個人手機號，仍然屬于交易個人信息。

　　按照《個人信息保護法》規定，交易個人信息前應當向個人進行充分告知，包括交易方的名稱、姓名、聯系方式、處理目的和個人信息的種類，并且需要取得用戶的單獨同意才行。

　　運營商可能跟哪些第三方交易數據，又是如何取得用戶同意的？21世紀經濟報道記者翻閱了三大運營商的個人信息保護政策，幾乎都采用的是一攬子授權。

　　對于風控查詢，電信和聯通表示，只要用戶合法授權了第三方公司來核驗信息，運營商便可返回個人信息。第三方公司的范圍可以很廣泛，在中國電信的條款里，“金融機構、征信機構、數據服務機構、互聯網企業”都囊括其中。

　　而對于個性化廣告，移動、聯通承諾除非獲得同意，否則不會跟第三方共享個人信息，但不包括用戶畫像。中國電信使用的是“脫敏信息”一詞：“在收集您的個人信息后，我們將通過技術手段對數據進行去標識化脫敏處理。請您了解并同意，在此情況下我們有權使用已經脫敏的信息。”

　　對外經貿大學法學院教授張欣此前告訴21世紀經濟報道記者，個人事先和運營商簽訂的授權文件中的個人信息，和運營商真正調取的個人信息，二者之間存在信息差。用戶未必能夠明白自己的數據用于何處，并真正愿意授權。

　　對于數據交易雙方，并非不愿意匿名處理，或者沒有意識到有合規風險，難題有二：一方面，實踐中的絕對匿名化難以達到。隨著大數據技術的不斷發展，匿名數據被重新組合、重新定位到個人的風險不斷提高。

　　另一方面，多位采訪對象都提到了數據產品“大而無用”的流通困境。

　　前述內部人士透露，在交易過程中，客戶往往需要一些非常精確的個人數據，而一線業務人員背負逐年增長的考核指標，不“擦邊”很難拿到銷售業務，在市縣級存在更多私下數據交易。有些情況下，甚至是公司層面的主動讓步。

　　“三大運營商越來越卷，只要有一家打破了（隱私）底線，剩下兩家就必須要打破底線，要不然項目不好做。”他無奈地解釋。

　　根據2023年的財報數據，“通信服務”作為三大運營商的基石，增長速度已經基本持平，幾乎可以一眼望見市場空間的天花板。數據變現，既是借國家數據要素政策的東風，也是運營商營收增長的必選項。

　　而作為數據下游的風控系統應用方，杜旭解釋，在風控產品的場景中，沒有辦法通過某一單一的數據判斷出風險行為，幾乎都要引進第三方數據綜合判斷。而“原則上說，這種識別分數據產品的輔助權重太小，不足以提供一個決策依據，很難為這種數據產品花錢”。

　　不愿具名的行業人士表示，監管落地時，最關注的是數據泄露風險，也就是傳輸過程中加密工作有沒有到位。不過多位代理數據合規業務的律師指出，如果進入了司法程序，法院會嚴格按照無法識別、不能復原的雙重標準，審核數據交易的所有環節。

　　吳丹君感受到了其中兩種利益的拉扯：如果對個人隱私和信息安全的規定過于嚴格，可能會限制數據的自由流通和應用，從而阻礙數據市場的發展活力；相反，如果數據市場的發展缺乏必要的監管，可能會導致個人隱私被忽視。

　　“長久以來，數據相關行業與隱私安全問題高度綁定，數據隱私保護和數據市場發展之間通常存在此消彼長的關系，監管會根據發展需要，對隱私性和流通性做出一定取舍。”張欣也說。

　　張欣表示，我國目前是通過“數據二十條”、《個人信息保護法》《網絡安全法》和《數據安全法》等政策法規設定邊界，引導市場試水。但張欣也坦率指出，目前這些基礎性法律文件，都缺少對數據權屬的明確界定。數據到底屬于誰、能夠享有怎樣的權利，還需等待更明確的法律回應。

海量資訊、精準解讀，盡在新浪財經APP