這一數據大案涉及數據流通各環節,在數據安全、採買、使用等行業領域都產生巨大震動
《財經》記者 張瑤 實習生 聞雨|文 李恩樹|編輯
一起公安部、最高檢察院督辦的特大侵犯個人信息專案,涉及國內“大數據行業第一股”數據堂(北京)科技股份有限公司(下稱“數據堂”,NEEQ:831428)的多名員工。該案被山東警方全面起底,從源頭“內鬼”到中轉商再到下游使用者,共11家公司牽涉其中。其中,數據堂6名員工處於鏈條中信息流轉的重要環節。
目前,該案已由檢方提起公訴,法院尚未宣判。
追溯數據交易鏈條
2017年4月5日,山東省臨沂市費縣警方接到報警稱,網上有人非法出售臨沂市公民個人信息。
根據報案線索,費縣警方發現,在一個名為“全球數據供應商”的QQ群裡,時常有人出售帶有房地產、金融等相關標籤的手機號等信息,其中2000條信息被賣往費縣。
由於該類信息涉及公民敏感個人信息,且經初查發現其中有重要數據公司活動跡象,該案被公安部和最高檢察院列為督辦案件偵查。
經費縣警方偵查,上海市馭欣商貿有限公司(下稱“馭欣公司”)5名員工有重大嫌疑。4月12日,5人因涉嫌傳播20餘萬條敏感公民個人信息被警方抓獲,涉案資金20萬元。但這5名員工並非信息買賣源頭,警方發現,這一買賣鏈條中還有諸多上游賣家。
馭欣公司數據來源是揚州金時信息科技有限公司(下稱“揚州金時公司”),該公司成立於2016年,經營範圍為網絡信息技術開發、技術諮詢等。據工商資料,揚州金時公司註冊資本10萬元,法定代表人顏興旺,兩名自然人股東常凱、顏興旺各持股50%。揚州金時公司11人涉案,其法定代表人、業務經理、數據負責人等被抓獲後均做供述。
該案起訴書稱,數據堂一名員工向其上級彙報並徵得同意後,代表這家公司與揚州金時公司簽訂數據買賣合同,金時公司支付對方20萬元合同款。此後,另一名數據堂員工與揚州金時公司續簽數據合同,後者支付合同款50萬元。
檢方的起訴書稱,“數據堂共向金時公司交付包含公民個人信息的數據60餘萬條。金時公司共計向客戶發送公民個人信息168萬餘條。”
數據堂成立於2011年,被稱為“國內首家大數據交易平臺”,在業內是最早吃螃蟹的先行者之一。2014年11月,數據堂在新三板上市,高管團隊來自明星互聯網公司和知名院校,2016年,其市值一度達21億元。
年報顯示,數據堂共有四條業務線,即營銷線、金融線、財經線和人工智能線。檢方查明,營銷產品線在運營時,由資源合作部購入數據,該案某被告之一所在的資源平臺部負責接收數據,並將數據放入公司集群。另一被告所在的技術組根據產品組要求,將集群上的數據根據用戶興趣、愛好等分別打上不同標籤,之後依據客戶需求向其傳輸數據。
據警方介紹,以上賣給揚州金時公司的數據經過了清洗和處理(剔除無效信息以及將其標準化),主要內容為手機號、地區和偏好(如房地產相關等),最終用途主要為精準營銷。
以上數據交易流程,若獲取數據來源符合國家有關規定,且經過脫敏處理,並無問題。脫敏,指將涉及敏感個人信息的數據進行去個人化、去隱私化處理。
此案檢方認為涉案人員系非法出售數據,應以侵犯公民個人信息罪追究其刑事責任。
警方接著向上追溯,發現數據堂人員涉案數據購自濟南北商經貿有限公司,而後者的上線為聯通一家合作商的兩名“內鬼”員工,這個鏈條上的信息涉及全國15個省份聯通機主的上網數據和偏好,包括手機號、姓名、上網數據、瀏覽網址等,均為原始未脫敏數據,平均正確率為99.99%。
而據新華社報道,數據堂公司在8個月時間內,日均傳輸公民個人信息1.3億餘條,累計傳輸數據壓縮後約為4000GB左右,公民個人信息達數百億條,數據量特別巨大。
至此,這一數據交易鏈條完成追溯。
經過近11個月的偵查,該案涉及的21名犯罪嫌疑人被起訴,數據堂有6人涉案,兩家更上游的公司的相關人員被另案處理。據新華社,加上另案起訴的犯罪嫌疑人,則共有11家公司牽涉其中,涉及57名犯罪嫌疑人。
數據堂公司本身則未被檢方起訴。不過,警方介紹,這家重要數據交易平臺的CEO齊紅威、聯合創始人肖永紅在內的多名高管均曾接受過調查。
兩條業務線關停
2017年5月下旬,媒體報道,數據堂因涉嫌販賣隱私數據被調查。其當時的公告稱,董事會核查後,“不存在高管被抓情形”,僅因客戶涉案,公安機關向公司個別業務人員和財務人員瞭解情況。
數據堂在今年7月18日發佈公告稱,公司某一客戶因出售公民個人信息被公安機關調查,公司個別相關人員牽連涉案接受調查,不會對公司主營業務構成重大不利影響。
2017年8月11日起,數據堂發佈公告,稱因存在 “預計應披露的重大信息在披露前已難以保密或已經洩露,或公共媒體出現與公司有關傳聞,可能或已經對股票轉讓價格產生較大影響的”事項,在新三板停牌,停牌前其股價為3.99元,至今未復牌。
《財經》記者從警方獲知,多名數據堂股東都曾接受過調查,最終被起訴者包括首席運營官、平臺資源部總監等在內的6名員工。
數據堂官網介紹,齊紅威為數據堂聯合創始人、CEO,具有10年數據挖掘研發應用經驗,為中科院自動化所模式識別博士學位、中科院計算所博士後。據數據堂2017年年報,齊紅威、王建、國泰嘉澤、肖永紅、豐強澤、柴銀輝、揭宇飛為公司控股股東和一致行動人,截至2017 年12 月31 日,7 方合計持有數據堂55.06%的股份,其中齊紅威持股26.01%,為大股東。
起訴書顯示,7人中,柴銀輝和揭宇飛被訴侵犯公民個人信息犯罪,二者在公司職位分別為首席運營官和平臺資源部總監。
數據堂並非沒有意識到數據交易可能涉及隱私而觸雷的風險。其在2017年報中稱,“公司作為一家數據收集和交易公司,必然會和形形色色的數據打交道,國家在不斷出臺各種法律法規來確保數據來源及交易的合法性,因此如何合法合規地獲取與交易數據成為大數據企業,特別是數據資源和交易公司的潛在法律風險。”
自2016年下半年起,“交易”二字逐漸淡出數據堂的官方宣傳和對公司的定位描述。據億歐網報道,數據堂的交易平臺屬性已經漸漸隱藏。但數據堂聯合創始人肖永紅介紹,數據堂在業務上並沒有什麼改變,這種概念上的改變,是其在經過這兩年的探索,對自身的定位有了更加清晰認識。“我們認為數據本身不是一件商品,由於其可複製、版權不明確,因此說用來交易是不準確的。真正產生價值的是基於數據可以提供的服務,因此數據堂其實是一家數據服務類的公司。”
一個值得注意的細節是,警方透露,在偵辦過程中,數據堂下游合作商揚州金時公司被專案組採取行動後,數據堂公司工作人員出差時偶然獲知信息,迅速通知相關人員刪除和銷燬大量數據,使辦案成本和難度上升。該案辦案民警對《財經》記者介紹,為獲取證據,警方專門購買專業設備,經技術攻堅成功恢復相關數據,為案件突破奠定了基礎。
數據堂一位高管告訴《財經》記者,公司對該案的發生十分吃驚,已採取停牌措施,各項業務受到很大影響。事件發生後,數據堂重新審視了自己的風控體系,為所有業務設定了更高標準的紅線。2017年,數據堂的產品營銷線和金融徵信線已被關停,目前僅剩餘人工智能業務維持公司運行。而就具體案情,則有待司法機關給出相應判決和認定,不多做評論。
年報中解釋,“對合法性界定不清的金融線及營銷線業務予以關停。”
該案移送司法機關後,已自5月8日起進行過長達一週的公開審理。
據悉,目前涉案犯罪嫌疑人對案件事實基本無異議,但對承擔責任的比例等,各犯罪嫌疑人訴求不同。例如,柴銀輝作為數據堂案第一被告被訴。他的辯護人北京市煒衡律師事務所律師石宇辰在當庭辯護時指出,柴銀輝雖然是該公司首席運營官,但是在與揚州金時公司所履行的70萬元合同中,只有前20萬元合同是其分管營銷產品線期間簽訂的。而後50萬元被指控的續簽合同簽訂並履行時,柴已不再分管營銷產品線,不應為該部分承擔責任。柴銀輝對該20萬元的交易事實當庭做了認罪表示。
據悉,數據堂其他涉案被告也大都當庭表示認罪悔罪,願意為其行為承擔相應的刑事責任。雖然該案應該認定為單位犯罪還是個人犯罪存有爭議,但是被告人的認罪態度無疑對於其量刑起到至關重要的作用。
儘管數據堂本身未作為法人主體被起訴單位犯罪,但受到2017年執法力度加大、《網絡安全法》生效等影響,數據堂已在承受不小的業務壓力。2018年3月,數據堂公開的2017年報顯示,其2017年營業收入6340.76萬元,同比減少34.5%;歸屬於掛牌公司股東的淨利潤虧損9758.49萬元,上年同期為虧損1687.10萬元。
其年報稱,2017年,尤其在徵信和營銷領域的政策趨嚴。多數大數據公司均對旗下徵信營銷類業務進行核查,但凡界定不清的業務均予以關停,使公司上下游客戶均有所減少,業務規模受到較大影響。公司原定大力發展的金融和營銷兩類產品與服務均未能較好開展業務,形成較大程度的虧損,全年統計金融線營收僅為772.9萬元,營銷線收入為44.9萬元。
關停營銷和金融兩條業務線對數據堂的影響也體現在,6月後其人員比例流失近一半。此外,2017年,數據堂全資子公司數據堂徵信公司修改營業範圍,成為一家智能科技公司。
數據堂年報顯示,其已積累數據2000TB,來源主要有四種——自營眾包平臺採集數據、優質供應商供應數據、公共領域共享數據、網絡爬蟲爬取數據等。
數據交易法律風險
從掌握核心數據的電信運營商、電信運維服務企業,到大數據分析、加工企業,再到精準營銷公司,該案涉及數據流通各環節,在數據安全、採買、使用等行業領域都產生巨大震動。
大數據交易行業,一直面臨著隱私保護的技術和法律難題,該案亦表明,這類數據交易商業模式的違法風險極高。
據《刑法》第253條,違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,該罪最高刑罰七年。
而按照兩高《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,非法獲取、出售公民行蹤軌跡信息、通信內容、徵信信息、財產信息50條以上的;住宿信息、通信記錄、健康生理信息、交易信息等500條以上的;其他公民個人信息5000條以上的;違法所得5000元以上的,構成“情節嚴重”標準。此外, 利用非法購買、收受的公民個人信息合法經營獲利5萬元以上的,也構成入罪的“情節嚴重”標準。
按照司法解釋,由於數據堂人員的數據獲取、出售行為均涉嫌違法,且獲利遠超5萬元,多位法律界人士向《財經》記者分析,作為該案產業鏈重要一環,數據堂相關人士最終脫罪可能性不大。
回看該案鏈條,電信運營商聯通經用戶授權合法獲得其個人信息,聯通合作商理應取得合法授權,但該合作商中“內鬼”員工私自竊取信息再交易出去,從這一步開始,這些流通的個人信息來源已然涉嫌非法,購得這些信息並進行加工的數據堂人員,如果明知來源非法依然進行交易,則有極大涉罪風險。
北京理工大學計算機學院教授、副院長劉馳長期研究數據交易生態鏈的構建。在他看來,限制數據交易發展的三大技術瓶頸,分別為大數據的尋址、定價,以及安全和隱私保護問題。在交易過程中,即便採用匿名化等技術手段,仍然難以保證挖掘、應用過程中公民隱私不受侵害,“還原隱私數據對許多公司並不難”。
偵辦數據堂一案的臨沂市警方介紹,他們發現的新情況是,有大數據公司為規避風險,在數據銷售過程中,將涉及公民隱私的數據拆分成不同部分,每段均無法識別到個人,到了需求端再自行整合起來,形成對個人的完整數據。這類技術規避行為,事實上亦涉嫌侵犯公民個人信息犯罪。
就法律風險,在貴陽大數據交易所主辦的數博會“2017第三屆中國(貴陽)大數據交易高峰論壇”上,中國政法大學副校長時建中表示,如果不能保護隱私,數據交易會帶來更多的問題。需要把法律規劃和大數據技術要求統一起來,對隱私數據進行必要的等級分類。
儘管國家出臺多項政策鼓勵數據流通共享,合法大數據交易平臺卻一直髮展艱難。貴陽大數據交易所執行總裁王叄壽告訴《財經》記者,一個根本原因是,旺盛的數據黑市交易擠壓了合法大數據交易平臺的生存空間。貴陽大數據交易所2015年由貴州省政府批准和支持下成立,2017年才首次宣佈盈利。
隨著執法力度的不斷加大,產業亂象在好轉。從產業角度,王叄壽觀察到,前些年猖獗甚至公開的來源不明隱私數據交易少了許多。
臨沂市警方總結該起案件偵破經驗表示,打擊和防範侵犯公民個人信息犯罪必須從掌握敏感數據的相關企業和部門入手,嚴防內鬼盜取及黑客攻擊,從源頭上保證信息數據的絕對安全。
該案為數據產業敲響警鐘。一位互聯網徵信公司CEO向《財經》記者直言,他的觀察是,2017年6月以後,許多遊走在灰色地帶的非法數據交易公司,紛紛轉型。
(本文首刊於2018年7月23日出版的《財經》雜誌)
閱讀更多 財經雜誌 的文章
