谁是新时代的“中央数据银行”?

来源:Chinapex创略 时间: 2018-06-01 关键词:银行,数据,安全,泄露

首先,让我们认识一个人:约翰·迪博德(John Diebold),美国著名计算机专家,同时他也是个实业家,第一代ATM提款机的主要发明人。

约翰·迪博德在80年代的时候,全力支持联邦政府的一个叫“中央数据银行”计划。

 

这个计划是白宫行政管理预算局(OMB)在1965年首次提出的,它建议,联邦政府应该成立一个统一的“数据中心”,把各政府部门的数据库打通整合,给全国每一个人建立数据档案,这个档案将包括每个人的教育、医疗、纳税、犯罪等等记录。

 

可想而知,在计算机的主机时代,一个拥有大数据雏形的计划是多么超前,虽然联邦政府的本意是希望提升运作效率,但个人数据的整合交换,对经济发展产生的价值让迪博德兴奋不已。

 

而在1986年,他公开反对这个计划,促成他改变的是他推广ATM取款机过程中的一个插曲。

 

迪博德的客户在某地区装了一步ATM取款机,之后的数据显示:每天的午夜12点到2点之间,这台取款机都有大量的取款记录,银行担心系统内部有人违规操作,于是雇人调查这件事。

 

结果发现,这个时间点确实有很多人来提款,有时候甚至会排队,但原因在于该提款机附近有一家脱衣舞俱乐部,客人不希望留下信用卡消费记录,所以纷纷来ATM排队取钱。

 

这件事让迪博德意识到,一个小小地取款记录,会告诉银行,某一时刻你所处地地理位置,如果结合你当天的通讯、消费、旅行记录结合起来,你一天的所作所为都将清楚地呈现在银行面前。

 

迪博德预言道:“在信息时代,计算机内的每一个数据、都是构成你整个人的某一个部分,但如果把这些碎片都整合起来,对个人隐私的穿透不仅是1+1=2,而是1+1>2。

 

“中央数据银行”计划虽然一直搁浅,但美国政府对于构建一个全民数据库依旧热情不减,他们一直希望推动另一项法案,就是全国统一的身份证号码计划。这个号码相当于是连接各数据库的桥梁,一旦成功,各数据库就能一一匹配。

 

这一计划也普遍得到企业方的支持,比如甲骨文公司的创始人埃里森(Larry Ellison)就公开表示,如果美国采用统一的身份证制度,甲骨文公司就将免费为联邦政府建立一套管理软件。

 

但同样的,大部分民众不答应,在美国,即便是9·11事件发生之后(由于劫机者使用了假身份),民众对统一身份证的支持率也仅为26%,而反对率为41%,直到现在,统一身份依然是总统竞选时极力避免谈及的话题。

 

美国统一的社保安全号,作为身份证替代品

 

隐私OR便利

 

直至今日,迪博德的预言已经完全实现,随着数据技术的不断发展,这种“1+1>2”的效果,在当前社会中越来越明显。而新时代的“中央数据银行”,已经不是那些让民众恐慌的政府机构,而是那些随着互联网发展而兴起的企业和资本。

 

就在今年,Facebook爆出了5000万用户信息被泄露事件,剑桥分析公司(Cambridge Analytica)利用在Facebook上获取的数据,在2016年总统大选期间针对这些人进行定向宣传。

 

华尔街见闻中提到,Facebook通过收集数据并将其出售给应用程序开发人员和广告客户来赚钱。而防止这些买家将这些数据传递给别有用心的第三方,基本是很难做到的。

 

另一方面,中国的互联网巨头们正在积累大量有关其用户的数据,甚至包括面部数据,公共场合的行动录像等等信息,构建一个个“信用积分”系统。

 

但事实上,很多貌似自愿,都是“被自愿”。绝大多数网站和APP都有隐私政策,用户不同意就无法使用。当用户连选择权都没有时,说“用户自愿”无异于把绑架说成是尊重他人愿意被绑架的权利。而且,企业获取用户信息之后,未必提供的都是便利服务,反而会衍生出所谓“大数据杀熟”。

 

企业在客户信息的获取中,采取的还是“知情同意”架构(notice-and-consent framework),要求机构在收集用户个人信息前,告知用户信息的处理状况,这通常表现为发布隐私声明,用户在阅读声明点击“同意”,作为对个人信息收集及利用的合法授权。

 

但问题在于,个人信息流转过程极为复杂,要用语言把过程清晰简明地表达出来更是难上加难,这就导致声明因为求全而过于冗长。据统计,在一年中,用户如果把使用地网络服务隐私声明一一读完,就要花费244小时。

                        

 保护隐私,技术和立法

 

目前大数据环境下,如何平衡隐私保护和数据挖掘之间的关系成为新的关键问题。目前较为成熟的技术有基于各种算法的匿名发布技术、基于云端的加密储存技术、以及针对使用的限定访问技术。

 

而目前大火的区块链技术,对用户的数据保护也有借鉴意义,区块链上每一笔交易数据都是公开的,但却是匿名的,区块链上的每一个组织或个人都有一个不同的代号,这个代号通常是一串数字。通过该数字的表面信息本身,并无法将其对应到某一个具体对象的真实身份。

 

各国政府针对数据保护也在不断更新法案,在今年5月25日,欧盟近期出台了《通用数据保护条例》(简称GDPR),号称史上最严的数据保护法案,将使得过去一些人们习以为常的隐私侵权做法不再合法。

欧盟委员会官网解释是,该法案的管辖范围较以往大大拓展了,只要数据的收集方、数据的提供方(被收集数据的用户)和数据的处理方(比如第三方数据处理机构)有任何一方是欧盟公民或法人,就将受到该法案管辖。该法案重点保护的是自然人的“个人数据”,例如姓名、地址、电子邮件地址、电话号码、生日、银行账户、汽车牌照、IP地址以及cookies等。根据定义,该法案监管的收集个人数据的行为,包括所有形式的网络追踪。

 

我们司空见惯的比如“根据用户购物记录推荐商品”,GDPR也做了严格规定,网站经营者必须事先向客户说明这些功能,并获得用户的同意,否则按“未告知记录用户行为”作违法处理。

 

而冗长的隐私声明也将被精简,GDPR法案规定,企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可。同时,GDPR法案还首次明文规定了用户的“被遗忘权”(right to be forgotten),即用户个人可以要求责任方删除关于自己的数据记录。

 

美国对于数据安全的监管法规和审查力度和欧洲相比始终没有那么严格。但GDPR完全从用户的角度发出制定的内容获得了美国民权组织的广泛好评。越来越多的美国媒体开始讨论 GDPR 这类严格的条例是否应该引入美国。

 

欧盟的GDPR法案仅仅是开始,可以预料各国政府将会从欧盟新规汲取“灵感”,讨论或着手制定类似法规。获取客户数据的门槛会进一步提高,第三方数据交易将越来越难,企业会更加重视第一方数据的收集。