韩亦舜：客户数据隐私问题初探（附PPT）

本文摘自清华大学数据科学研究院执行副院长韩亦舜在近期活动上的发言稿。 韩亦舜：大家上午好。老实讲，看了一下演讲嘉宾的构成和他们要讲的题目，把我放在第一个讲还真有点儿压力，因为隐私这个问题在中国有些模糊，我第一个讲可能让大家的思想受到束缚。当然，可能也说明咱们联盟对数据隐私问题比较重视。我就借此机会分享一下我们的思考。

​​

隐私是一个让大家比较纠结的话题，大数据时代的客户是什么样?隐私又有什么样的内涵?在座的做客户管理的人很多，我们就先从客户与商家的关系说起。中国有很多的话都把客户关系描述的很感人，有人说：客户是上帝;有人说：客户是衣食父母。其实本质上，客户和商家就是一个契约关系，能够尊重这种契约关系就已经很好了。还有一句老话“买的不如卖的精”，说明信息问题上客户还是处于弱势，产品服务提供商一方的信息量更大一些，所以从机制上应该保护客户的利益，才能使得双方利益相对均衡。在座的每一个人都是客户管理者，但同时也是普通消费者，是客户，所以我们不妨把自己放在消费者的角度上思考问题。

​​

讲到数据时代自然离不开数据，包括收集到的各种各样的数据，这些数据具有非常重大的意义。现在大家都讲供给侧改革，其实供给侧改革的依据还是需求侧，还是客户需求。拥有这些数据也就意味着我们拥有了更多客户的隐私。

​​

数据隐私是一把双刃剑，一方面给我们带来很多机会，另一方面也引起我们的焦虑，比如身份证信息等的有泄露，或者使用不当引发的一些歧视性问题。

​​

东西方对隐私的定义是不一样的，中国《现代汉语词典》将隐私定义为“不愿告人的或者不愿意公开的个人的事”，是一种立场，主观成分多一些。西方是“独处或者不被打扰的状态”，是一种状态，稍微内敛一些。

​​

下面这些外国资料显示出数据泄露和数据隐私的问题还是很严重的。仅2016年上半年就出现了900多次泄露，从泄露和违约类型来看身份盗窃占64%，财务窃取16%，帐号获取11%，违约的渠道有外部窃取69%，意外丢失18%，内鬼窃取占9%。

​​

虽然数据泄露的隐患非常大，但过度地保护数据就好吗?下面这张图是国际组织的全球开放数据指数排名(Global open data index)，在这个排名上我们中国2013年38名，2014年58名，2015年93名。2015年这个排名增加了一些指标，在那些关键指标上中国可能做的更差，2013年和2014年英国做的最好是第一名，2015年英国变成第二名，第一名是台湾。所以从这个意义上说，虽然我们在数据开放方面一直在努力，但被国际的数据开放快车又甩下来了。

​​

另外，我们的理想是用数据构成铁笼、用数据治理把权利关进笼子，但实际上常常是公共数据被权利关在了笼子里。

人们在隐私问题上存在各种纠结和矛盾。大家嘴上都非常重视隐私问题，但在行为上往往忽视隐私。比如，在中国比较敏感的舆情分析监控，现在有很多公司在做，但这其实跟我们的自由表达的观念冲突;再比如说，每个女孩子都希望得到合身的连衣裙，但除非是自己动手做，就要把自己的三围告诉他人;另外，种族、宗教、疾病的信息，有一些宗教和民族有自己的禁忌，这样对数据隐私的界定又发生了变化;有些数据在用于疾病研究时应该公开，但是在防止就业歧视的时候又成为了隐私数据，这就是我们面对的数据隐私的纠结。

​​

在全世界范围内对隐私有各种各样的定义，各国都颁布了相应的法律，比如西方法律要求不要过度采集数据、用什么数据就采集什么数据，借鉴别人的做法对我们非常重要。

​​

现在一般认为当客户管理者和客户发生业务关系的时候，客户的数据还是客户的，这个认识我不完全赞同，因为权属一时难以界定。但其实争论权利不重要，划清权利义务的界限才重要。从数据相关方的角色来说，政府应该制订政策法规监管，司法机关对隐私纠纷裁定，使用方保护数据安全合理合法合情的使用数据。

随着文化场景不同，随着时代的变化，隐私问题也会发生变化。从这个意义上来说，我们可以提出和大家思考趋势相吻合的合理主张，但也不要过度纠结，隐私的概念在今后可能比现在要宽泛很多。我们希望客户管理者要知道管好客户的数据，也提倡消费者确定好自己的权利，不要过分纠结所谓的隐私权，最后自己也得不到好处。

​​

下面是一些中外数据隐私泄露案例。2015年10月24日，Facebook赢得一起索赔金额达150亿美元的诉讼，这起诉讼指控Facebook在用户推出其服务后，仍密切跟踪用户在互联网上的活动。但是在2011年Google有一个集体诉讼，最后达成妥协，用了800多万美金就庭外和解了，其实这件事情最后没有给客户补钱，而是用800多万美金更好的保护和管理数据的安全。这两个例子反映出国外在推动数据隐私安全上做的很多尝试，判决还算合理，客户也不是纠结个人的处理赔偿行为，而是要立规矩，这些案例推动了隐私管理，防止数据泄露。

​​

​​

我们再看看国内的例子，这是去年11月份判决的一起上海邓白氏营销服务公司非法获取公民个人信息案，在2012年3.15晚会曝光后形成的诉讼，起诉书上披露的内容表明有10多家企业把未经进一步处理的个人数据卖给邓白氏，但法庭只认定邓白氏的非法获取公民个人信息属违法行为。另外从2010年-2013年，连锁酒店有2000万条住店客户信息泄露。我对这些数据隐私泄露案例的点评是：找不到责任主体，举证困难，另外缺乏集体诉讼机制，导致个人起诉组织容易处于劣势地位。

​​

​​

此外，很多人站在道德高点上无视法律，猎奇个人隐私数据，而非公开数据。

​​

我把个人数据做了个归类，基本数据如出生地等是终生不会改变的;身份数据可能会发生变化，如工作变化，举家迁移等;生理数据有特殊性;行为数据就是大多数人掌握的这些，互联网有很多的思想意识的流露等。这个分类能帮助我们梳理哪类数据更敏感。

​​

一方面，对我们没有帮助的数据采集下来还可能给自己造成隐患。另一方面，一般客户对自己的数据也应该有一些权力，比如我在哪个网站上留下哪些轨迹应该可以查阅。另外是变更权利，有权把我的一些数据变成冷数据，不要再被使用。

​​

使用数据应该坚持几个原则：程序正义原则、个性化服务必要性的原则，必要时公开的原则、避免以自己立场来假设客户的原则、契约关系原则、脱敏后数据共享和惠及客户的原则。

​​

使用客户数据应该有自审自问的意识，使用这个数据你敢不敢告诉客户，敢就是合理的。你使用数据的目的和方式敢和上司、朋友家人说吗?这是一个监督自己的方法。

​​

另外，各个公司也应设计一些相应的机制保护，往往是使用不当把公司推向危险境地，客户数据的使用不要变成基层部门的私权，中国客户数据泄露很多都是和内部人有关，今天不具体展开讨论，我想提示大家的是，我们应该在各自的公司或团体里面有这样的一个机制，确保不会出现风险。

​​

最后我想说的是：慎用别人放在你那里的资产，谢谢大家!

​​