數據堂被查始末
2017年5月,曾有媒體報道,數據堂因洩露客戶隱私,公司多位高管和業務人員被警方帶走調查,公司數據業務處於停擺狀態。
7月8日,新華社法人微博“新華視點”發佈一則視頻消息稱,山東省近日成功破獲一起特大侵犯公民個人信息案,共抓獲犯罪嫌疑人57名,打掉涉案公司11家。被查獲的公司中,最引人關注的是數據堂(831428),數據堂為新三板掛牌公司,是大數據行業的知名企業。
涉案的數據堂公司在8個月時間內,日均傳輸公民個人信息1億3000萬餘條,累計傳輸數據壓縮後約為4000G。此次查獲的數據隱私性高,案件涉及的上網URL數據包含了手機號碼、上網基站代碼等40餘項信息要素,記錄手機用戶具體的上網行為,甚至部分數據能夠直接進入公民個人賬號主頁,危害巨大。
年報顯示,數據堂共有四條業務線,即營銷線、金融線、財經線和人工智能線。檢方查明,營銷產品線在運營時,由資源合作部購入數據,該案某被告之一所在的資源平臺部負責接收數據,並將數據放入公司集群。另一被告所在的技術組根據產品組要求,將集群上的數據根據用戶興趣、愛好等分別打上不同標籤,之後依據客戶需求向其傳輸數據。
據警方介紹,以上賣給揚州金時公司的數據經過了清洗和處理(剔除無效信息以及將其標準化),主要內容為手機號、地區和偏好(如房地產相關等),最終用途主要為精準營銷。
以上數據交易流程,若獲取數據來源符合國家有關規定,且經過脫敏處理,並無問題。脫敏,指將涉及敏感個人信息的數據進行去個人化、去隱私化處理。
此案檢方認為涉案人員系非法出售數據,應以侵犯公民個人信息罪追究其刑事責任。警方接著向上追溯,發現數據堂人員涉案數據購自濟南北商經貿有限公司,而後者的上線為聯通一家合作商的兩名“內鬼”員工,這個鏈條上的信息涉及全國15個省份聯通機主的上網數據和偏好,包括手機號、姓名、上網數據、瀏覽網址等,均為原始未脫敏數據,平均正確率為99.99%。
而據新華社報道,數據堂公司在8個月時間內,日均傳輸公民個人信息1.3億餘條,累計傳輸數據壓縮後約為4000GB左右,公民個人信息達數百億條,數據量特別巨大。
至此,這一數據交易鏈條完成追溯。
經過近11個月的偵查,該案涉及的21名犯罪嫌疑人被起訴,數據堂有6人涉案,兩家更上游的公司的相關人員被另案處理。據新華社,加上另案起訴的犯罪嫌疑人,則共有11家公司牽涉其中,涉及57名犯罪嫌疑人。
數據堂公司本身則未被檢方起訴。不過,警方介紹,這家重要數據交易平臺的CEO齊紅威、聯合創始人肖永紅在內的多名高管均曾接受過調查。
數據堂股票自2017年8月14日停牌至今,停牌理由是“預計應披露的重大信息難以保密或已經洩露,或公共媒體出現與公司有關傳聞”。
數據堂的商業模式——數據採集與流轉
作為中國大數據第一股,數據堂擁有5家子公司和1家控股子公司,致力成為全球最大的數據資源運營商。
專注數據、共享價值——數據共享,在其財報中有專門的定義:讓在不同地方使用不同計算機、不同軟件的用戶能夠讀取他人數據並進行各種操作、運算和分析。這也是其商業的模式,同時也為案發埋下了伏筆。
數據堂做的是數據採集和流轉的活兒。
採集數據是前提,是建立數據庫的基礎,後續的數據流轉是其商業模式核心所在,也就是其所提的數據共享。
根據數據堂2018年1季度財報,數據採集包括從數據源收集、識別和選取數據的過程。包括設備類採集,即指從傳感器和其它待測設備等模擬和數字被測單元中自動採集信息的過程;也包括網絡類採到數據庫或發佈到網絡的一種信息化工具;還包括群體人採集,即從大量用戶處直接或間接,主動或被動的收集大量的樣本信息。
即數據的採集中數據源有三種:設備類採集、爬數據、數據交易。據數據堂2017年年報顯示,數據堂已擁有共計約2000TB的數據集,數據獲取方式為通過自營眾包平臺採集、優質供應商合作、公共領域共享以及網絡爬蟲等。
數據的加工和流轉形式就較為多見。數據堂也認識到自己作為一家數據收集和交易公司,必然會和形形色色的數據打交道,同期國家在不斷出臺各種法律法規來確保數據來源及交易的合法性,因此如何合法合規地獲取與交易數據成為大數據企業,特別是數據資源和交易公司的潛在法律風險。
數據加工中很重要的一方面就是對數據進行標註,比如其數據產品中很多都涉及標註工作,有自己的數據標註眾包平臺,年報顯示眾客堂目前擁有超過50萬的社會兼職人員(眾客),檢索互聯網也可以找到大量反映數據堂標註平臺給錢少、拖欠工資的吐槽。
這也是其主營收入來源。眾包平臺所獲取的語音、圖像、文本等數據,正好是開展人工智能業務公司的剛需數據,像百度這樣的公司需要大量數據來支持其人工智能研發,數據堂會根據其要求發佈相關的任務,採集製作相應的數據,再將數據賣給大客戶。比如在2015年,其與百度發生的業務收入為1638萬元,佔其總營收的24%。
隨著AI熱潮的興起,針對AI所需的數據集、訓練集也成為數據堂的主要收入來源。2017年年報顯示,受到AI領域的興起,AI收入已經佔公司總營收的四分之三,而其中將近一半都來自於國外的AI訂單。
另一種數據流轉主要是數據交易,主要產品分為兩類。
一類是數據的標準化交易。將海量數據通過分析挖掘,整合成為各種標準數據產品,收取數據應用服務費,目前提供9大類標準化數據產品。主要包括:智能交通數據、人臉識別數據產品、OCR光學字符識別數據產品、基礎語音識別數據產品、智能語音數據產品、智能行車數據產品、智能安防數據產品、無人駕駛數據產品、智能教育數據產品。
數據堂還有一個數據商城,用來出售數據產品、API接口。目前包括語音識別/語料庫、圖像識別/視頻處理、生活服務/天氣、社交網絡/電子網絡、金融徵信、科研數據等六大類數據。
另一類是混合數據的深加工。即通過用戶提供原始單一數據,然後結合自己的基礎合作數據,對來料數據進行聚合,從而為需求方提供維度更加豐富的數據。
數據堂在2017年5月就因數據問題被警方調查,年中其也對合法性界定不清的金融線及營銷線業務予以關停,該部分業務涉及的業務收入370萬元,數據資產價值3546萬元,在2017年財報中顯示管理層認為該部分資產後續不可能再變現使用,故全額計提減值準備或計入當期損失。
針對數據合規產生的法律風險,數據堂也進行了相應的應對措施:如在公司網站的醒目位置或專用位置發佈了隱私條款、免責聲明和知識產權保護條款,使得被採集方及數據提供方能夠在註冊、上傳數據、提供數據的各個階段知曉數據用途和隱私保護措施,同時預期自己的行為可能帶來的後果。根據用戶舉報及網絡管理篩查等程序對可疑數據進行刪除,並對所採集數據進行技術加密,以保證數據的合法性和安全性。
即使做了這些,還是沒有擋住7月8日的再次被警方立案偵查。
從估值21億的“明顯企業”到年虧損9776萬
數據堂成立於2011年,被稱為“國內首家大數據交易平臺”,在業內是最早吃螃蟹的先行者之一。2014年11月,數據堂在新三板上市,高管團隊來自明星互聯網公司和知名院校,其自稱是一家專注於線下數據的互聯網綜合服務公司2016年,其市值一度達21億元。
2014年初,數據堂獲得田溯寧雲基地和國泰創投1300萬元的Pre-A輪融資,15年5月完成了由達晨創投領投的A輪融資。2015年11月6日,數據堂宣佈獲得B輪2.4億元人民幣融資,由中航信託、海通證券、東方證券、浙商資管、青島華通、安徽國富共同出資。
數據堂一直是新三板的明星企業。做市轉讓期間,其股票交易一直較為活躍,最新股東數為74戶。
掛牌後公司先後進行過3輪增發,其中2016年2月份完成的第三輪增發募資2.4億元,增發價格為27.84元/股。2015年8月完成的第二輪定增,發行價為19.92元/股,募資4200萬元。知名投資機構深圳達晨認購了其中2400萬元。目前深圳達晨持有數據堂5.96%的股份,為第5大股東。
2017 年,大數據行業環境發生了較大的變化。國家和行業監管部門通過制定各種法律法規來規範大數據行業,尤其在徵信和營銷領域的政策趨嚴,使得行業熱度急劇下降。但17年年報披露時,這樣一家被寄予厚望的公司,卻交上一份難看的成績單:虧損1687.10萬元。
2016年,數據堂來自“金融線”及“財經線”的收入分別為1802萬元、2962萬元,2017年兩項收入分別降至773萬元、725萬元。
公司表示,原定大力發展的金融和營銷兩類產品與服務,均未能較好開展業務,公司決定將金融線和營銷線予以關閉,形成了較大程度的虧損。7月11日,數據堂公告中稱,公司已對涉案業務予以整改和停止,並對相關業務進行了梳理。
數據堂旗下主要有AI線、營銷線、金融線、財經線4種產品類型。2016年,這4種產品類型的收入佔比分別為50.40%、0.39%、18.62%、30.59%。到了2017年,上述4類產品的收入佔比變為75.66%、0.71%、12.19%、11.44%。
2017年,數據堂對金融線、營銷線的業務均予以關停,這些業務涉及的資產包括預付賬款370萬元、存貨3546萬元、固定資產85萬元,上述處理對公司合併報表層面的利潤總額影響4001萬元。
四項產品中關停兩項,讓數據堂2017年業績大幅下滑。數據堂2017年整體營業收入6341萬元,同比減少34.5%,2016年數據堂淨利潤為-1693.55萬元,2017年這一數字為-9776萬元,虧損擴大了將近5倍。
值得注意的是,近年來數據堂的前五大客戶中,還常常出現華為、百度、三星、谷歌、騰訊等公司的身影。2017年前五大客戶中,對華為、百度、三星、谷歌的銷售佔比分別達到了9.487%、6.744%、4.837%、4.659%。
截至2018年3月底,數據堂總資產為2億元,歸屬於掛牌公司股東的淨資產為1.9億元。今年一季度,公司營業收入為1488萬元,淨利潤為-200萬元。
啟示
大數據交易行業,一直面臨著隱私保護的技術和法律難題,數據堂的案例亦表明,這類數據交易商業模式的違法風險極高。
據《刑法》第253條,違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,該罪最高刑罰七年。
按照兩高《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,非法獲取、出售公民行蹤軌跡信息、通信內容、徵信信息、財產信息50條以上的;住宿信息、通信記錄、健康生理信息、交易信息等500條以上的;其他公民個人信息5000條以上的;違法所得5000元以上的,構成“情節嚴重”標準。此外, 利用非法購買、收受的公民個人信息合法經營獲利5萬元以上的,也構成入罪的“情節嚴重”標準。
據業內專家觀察,2017年6月以後,許多遊走在灰色地帶的非法數據交易公司,紛紛轉型。
侵犯個人信息犯罪執法呈現升級的趨勢,在較低入罪門檻及從嚴懲處執法精神的雙重作用下,企業稍有不慎便可能涉嫌違法,應當提高數據合規風險意識,必要時應對其商業模式進行個人信息安全影響評估。於投資人而言,可以考慮針對特定標的的數據合規盡調常態化,充分提高大數據領域的法律及政策風險意識。
(一) 大數據企業應構建適用的合規體系
大數據企業因在業務中不可避免需處理個人信息,建議適時開展個人信息安全影響評估,以發現、處置、持續監控個人信息處理過程中的安全風險。在數據交易中,企業不僅要關注信息獲取、提供方式的合法性,亦應慎重選擇信息交易對象。簡言之,數據合規應以風險控制為基線,遵從三方面的原則:其一為獲取用戶明示授權,其二為確保數據處理安全可控,其三為針對第三方的適當管控。
合法獲取信息包括合法的方式及途徑。企業對於信息收集、使用的標準應嚴格掌握為經被收集者同意,除非國家有關規定明確了其他收集、使用的途徑。從第三方獲取數據時應從個人信息提供方的資質、信息來源的合法性進行審查。保障措施不僅包括在合同中加入數據合規條款,同時建議審查信息提供方的用戶授權文件,並從其業務類型出發考察其所提供數據的可能來源。
對外提供個人信息時同樣必須取得用戶授權,即使提供的是合法收集的公民個人信息,如果未經被收集者同意而提供,仍可能構成犯罪。如果無法取得授權,則對於身份證號、賬號密碼等個人信息應進行脫敏處理,且需確保不可復原。此外,應慎重選擇信息交易對象,注意獲得該信息主體對該信息可能的使用方式。
(二) 投資者應注意將數據合規納入投資決策
於投資者而言,大數據企業法律風險提升的同時,也將使得投資人面臨更高的投資風險。投資目標的不合規行為不僅可能導致投資人蒙受不必要的經濟、聲譽損失,甚至在特定情況下可能需承擔刑事責任。投資人對特定投資目標進行常態化的數據合規盡調,具體而言:投資之前可對投資目標進行數據合規風險評估,根據評估結果決策是否投資、投資的規模及方式、投資的交割條件。
閱讀更多 雞窩投行 的文章
