数字媒体时代的数据滥用：成因、影响与对策

来源：《中国出版》

杨洸/文

【摘要】本文主要通过案例分析的方法，针对数字媒体环境下的网络数据滥用现象，从成因和社会影响两个方面做出详细的归纳和分析，尝试就这一议题展开全面的讨论。在案例分析的基础上，本文提出，对网络数据滥用进行治理需要依靠政府监管、个人防护和行业组织自律三者之间的协同努力。本文进而指出，技术未必源于道德，但技术生态实现良性、健康的发展必须要借助道德自律的力量。【关键词】数据滥用；政府监管；个人防护；行业自律一、引言近年来，随着互联网公司数据泄露事件的频发，数据滥用及隐私安全的讨论日渐成为各界关注的焦点。2018年脸书（Facebook）被爆出的与英国政治咨询公司“剑桥分析”（Cambridge Analytica）的数据泄露丑闻，更是将公众对在线数据伦理的种种担忧推向了高潮。互联网科技和人工智能技术的发展，在某种程度上带来了“技术无意识（technological unconscious）”的圈套，大量数据在智能设备间实现自动化交流却不为我们所知，人脸识别的应用尤其加剧导致了公众对个人隐私泄露的恐惧。大数据潜在滥用的治理已成为当务之急。数据滥用（data abuse），也称数据不当使用（data misuse），是指未经当事人允许、或以当事人所不乐见的方式使用其信息。数据使用条款通常在法律条文、行业标准、公司政策和用户协议中都有详细说明，且在最初收集数据时也包括了对数据不当使用范围的界定，但却往往因为平台与用户双方权力不对等、用户隐私意识不足等而沦为一纸空文。具体言之，无论是个人电脑、平板电脑、手机还是智能电视，任何互联网冲浪行为都会留下痕迹，且始终被数据采集器或数据追踪器监控。网络上不胜枚举的数据采集器不断收集用户所留存的各类痕迹，并悄然创建、扩充专属于每个用户个体的文档，囊括其兴趣爱好、身体数据、患病医疗、政治观点、财务状况、精神状态，乃至于性取向等等。用户或许主动提供、但大多数是在不知情时被获取的个人信息，却常常背离了数据采集的初衷而被另作他用，即被不恰当地提供给市场研究者、各类评分公司和数据交易者。基于此，本文将针对数据滥用现象，从原因、影响、对策三个方面层层推进，展开分析和讨论，以期达成较为全面和深刻的理解。二、网络数据滥用的成因2019年8月19日，漏洞情报公司Risk Based Security发布数据泄露报告指出，2019年上半年的数据泄露事件发生次数、泄露数据条数均同比增长50%以上，发生了1300起数据泄露事件，平均每次数据泄露约230条数据，数据泄露量约为41.9亿条，2018年同期约为27.4亿条。从近三年数据观察，整体数据泄露呈现增长趋势。互联网是通过爬取、存储用户的各类数据所织就的，加之互联网本身所具有的开放性，诸如缺乏隐私意识、谋取个人收益、秘密开展商业新业务等都有可能造成数据滥用现象。然而，大多数公众对这一事实却仍处于无知状态，也往往未曾深究数据泄露背后隐藏的风险。对此，本文将从以下三个主要维度，对数据滥用的原因进行梳理。

1.企业的内部威胁

数据滥用通常可以通过制定法律和企业网络安全政策来控制。然而现实却是，即便出台了法律和相关政策，滥用数据的可能性也仍在增加。常见的肇事者是企业员工，也被称为企业的内部威胁。员工私自访问、滥用客户数据的案例有很多。2018年，美国事故维修服务有限公司（Nationwide Accident Repair Services Limited）的一名员工未经授权访问了客户数据，包括姓名、电话号码和车祸的详细信息，并以此对客户进行勒索。2019年1月，苏格兰劳埃德银行（Lloyd Bank）遭受了一名员工戴恩·林恩（Dayne Lynn）的内部攻击，起因是该员工在看完Netflix的纪录片《暗网》后便加入了暗网论坛，且不小心透露了自己的职位和个人信息。随后“犯罪团伙”利用这些信息对他进行勒索，并勒令其非法访问客户数据并从客户账户中窃取75,000英镑。然而，并非只是企业，在我们视为最具法度的司法机构，同样可能发生内部员工滥用数据的事件。2016年，美国明尼苏达州的州审计员发现，2013年至2015年间，该州各部门的88名警察私自访问州驾驶执照数据库中的公民个人数据，累计325次，以查找有关家人、朋友、邻居或商业伙伴的信息。审计员表示，类似情况并不少见，该州超过一半的警察都曾被发现在数据库中进行了可疑的搜索。最引人注目的数据滥用案例发生在2014年的优步（Uber）公司，该企业员工通过“上帝视图”工具跟踪一位打算采访该企业高管却姗姗来迟的记者。该工具对驱动程序不可用，但在当时的优步企业内部却属于“广泛可用”的级别，允许员工跟踪相关车辆和客户。当读取客户隐私成了企业政策规定的“合法业务目的”，数据泄露的内部威胁便找到了“保护伞”，得以在用户看不见的地方更加肆意妄为。可见，企业内部员工滥用数据的情况相当普遍，并且可能在任何地方发生。尽管企业可能开发或配备适当的工具来防止数据丢失，但工具往往只能协助查看数据如何转移和流动，却不能帮助用户了解数据采集、使用的相关机制及内部威胁交互背后的环境。

2.用户对数据所有权的“放弃”

互联网所留存的各类用户数据，其所有权究竟归属于用户还是组织？事实上，数据所有权并非数据泄露领域中的新问题，我们更为关注的是用户是否真正拥有并把握数据使用权限。作为互联网消费行为的发出者，用户有权力、更有责任了解相关组织对其个人数据的处理方式，包括哪些数据会被收集、如何被收集以及如何被使用等。隐私披露协议正是促成该权责的关键。然而，现实却是，当各类许可声明和知情同意条例都充斥着晦涩难懂的法律术语时，用户常常因为看不懂、嫌麻烦，而直接勾选同意选项，其中就包括“在并不完全知晓的情况下同意提供、并被使用相关数据”的许可。从某种意义上说，这无异于用户主动放弃了个人的隐私数据，甚至默许相关组织无条件地获取自身的信息。对此，业界存在两种截然对立的观点：一方认为，用户至少要为可能造成的数据滥用承担部分责任，因为他们主动同意放弃数据；而另一方则辩称，用户是无奈于晦涩难懂的许可声明才做出的决定，因为只有同意放弃其数据所有权才能换取对免费内容或产品的访问。在这样的前提下，所谓的知情同意并不成立。2018年脸书被爆出的数据丑闻，可谓是关于“用户知情同意与否”的最具争议性事件。2018年3月17日，《卫报》和《纽约时报》先后报道了英国政治咨询公司“剑桥分析”（Cambridge Analytica）在用户完全不知情的情况下，从参与竞猜应用程序的用户中获取了至少8700万脸书用户数据的过程。用户仅仅是无意间勾选同意了一款竞猜应用程序的用户条件，便被等同于许可分享自己的其他信息。随后，剑桥分析公司将数据出售给唐纳德·特朗普（Donald Trump）竞选团队，后者在2016年美国总统大选中凭借上述数据，针对脸书用户进行选举宣传。剑桥分析公司表示，他们通过用户信息创建配置文件工具，进而针对用户设计个性化的政治广告。对此，许多新闻报道暗示称，是该公司帮助特朗普成功竞选上任。虽然没有足够的证据表明从脸书中获得的数据影响了特朗普的成功当选，但它的确暴露了脸书对用户数据的所谓“隐私保护”是多么淡漠和松懈。而即使到了现在，我们也仍然不清楚这些数据具体是什么——剑桥分析公司声称它删除了这些数据，但可以复制任意数量的文件。

该丑闻中最令人担忧的一点在于，这款智力竞赛应用程序最多只有几十万人参加，却最终获取了至少8700万份用户数据。悬殊的比例暴露了脸书 API中的一个漏洞，它不仅可以获取测试用户自身的数据，还可以捕获用户所有好友的信息——而这些朋友甚至从未参加过测试，也未曾以任何方式与该应用程序进行过交互。脸书数据泄露丑闻成为用户隐私保护的“分水岭时刻”，它让公众真正意识到个人数据泄露的风险，以及看似不起眼的“知情同意”如何操纵隐私的被窃取和滥用。而该事件的最大争议在于，下载竞猜应用程序的脸书用户在技术上的确同意被抓取数据。正如副总裁兼副总顾问保罗·格鲁瓦尔（Paul Grewal）所说，脸书高管声称“所有人都表示同意”。但这显然是诡辩。从本质上讲，必须告知同意人完整准确的信息才能达成真正意义上的“知情同意”。遗憾的是，在绝大多数情况下，当我们下载一个新的应用程序或注册一个新的社交媒体账号时，我们直接跳过了那些晦涩难懂的用户协议，哪怕其中包含许多非常重要的信息；我们毫不犹豫地在服务条款协议中勾选“是”，即使我们心中清楚该细则可能包含平台计划出售我们信息的内容；我们不假思索、不经细看地选择了“知情同意”，却最终放弃了对隐私数据的所有权。

3. 组织薄弱的安全措施

组织的安全意识不足或安全措施薄弱也是造成网络数据滥用的重要原因。继数据丑闻之后，2018年9月，脸书再次被披露发生重大数据泄露事件，此次的漏洞影响了至少3000万名用户，包括其居住地、出生时间、社会关系状况及最近在线搜索数据等信息都被网络窃贼所窃取。健身应用程序Polar同样被指曝光美军及安全人员的个人信息。Polar是一款深受美国军方、国家安全局（NSA）和特勤局（Secret Service）青睐的健身应用程序，但其数据安全措施却非常松懈，研究人员轻易地就能跟踪程序上的用户。不仅如此，Polar中几乎不存在的数据保护功能更是将军方和安全人员的姓名、心率、居住地等信息暴露给所有人。据《华盛顿邮报》报道，当研究人员公开他们的发现时，6460多名美国军事和安全人员的个人信息已被获取，其中不乏驻扎在海外重要军事基地的人员。一小部分军事人员的数据泄露已经足够让人担忧，但美国佛罗里达一家名为Exactis的营销公司却更惊人地直接将2.3亿美国公民和1.1亿美国企业的记录放在任何人都可以访问的服务器上。除了姓名和电子邮件地址，Exactis泄露的信息还包含了400多种个人特征，例如宗教信仰、兴趣爱好、是否吸烟、是否拥有宠物、是否拥有孩子等等。面对网络组织淡漠的安全意识，用户已无隐私可言。然而，还有更让人震惊和害怕的数据泄露和滥用事件。由印度政府管理的Aadhaar是世界上最大的生物识别系统，存储着照片、指纹、家庭住址和几乎每个印度公民的其他个人信息。可是，作为一个极其重要的数据库，Aadhaar却允许用户输入任何人的Aadhaar号码来访问该个体存储的所有数据。有记者发现，WhatsApp上有人出售Aadhaar系统登录凭证，且售价仅为7美元。对此，印度政府却毫无作为，甚至似乎对这一披露感到愤怒，以“失实报道”为由对记者提起刑事诉讼。而当另一名研究员同样指出Aadhaar系统存在安全问题时，印度政府则再次予以否认。此外，就连三明治连锁店也有可能泄露隐私数据。2019年4月的一则报道指出，受欢迎的三明治连锁店Panera Bread的网站以明文形式泄露客户记录，其中包括姓名、电子邮件、居住地址、生日和信用卡号码的最后四位数字。让人恼火的是，早在8个月前，安全研究员就已经联系Panera Bread来修复漏洞。在研究人员最初联系Panera的一周后，该公司表示，漏洞已经得到修复，但研究人员却仍可以继续通过漏洞访问数据长达8个月。尽管受影响的总人数不得而知，但研究人员表示，受影响的人数可能高达3700万人。三、网络数据滥用的影响数据滥用所产生的影响，也极大干扰着正常的互联网商业及文化形态的形成和发展。具体来说，包括如下几个方面。

1.失去消费者信任

数据滥用已成为科技公司不被公众信任的最大因素。电通安吉斯集团（Dentsu Aegis Network）的一份报告显示，在全球接受调查的43000多人中，近三分之二（64%）的人表示，他们对科技公司的不信任主要源于企业对个人数据的滥用。公众的不信任对许多科技公司的声誉产生了深远影响。在美国，只有一家大型科技公司（Netflix）跻身最具声誉的十大公司之列，而脸书和谷歌甚至都没有进入前100名。事实上，在接受电通调查的所有受访者中，有78%的人表示，他们很可能会停止与滥用个人数据的公司进行业务往来。此外，75%的受访者则表示，他们可能会停止从滥用数据的公司购买产品。

2.用户减少数字足迹

由于担心数据泄露和数据不当使用，越来越多的消费者正试图限制、减少自己的在线足迹。尽管不同地区的消费者数据有所不同，但电通的调查显示，约44%的受访者在过去一年中采取了相应措施以减少在线共享信息量，其中包括删除历史搜索记录和禁用地理位置服务；14%的受访者表示，他们已经停用社交媒体账户；而仅有22%的人尚未采取任何行动来限制自身的数字足迹。尽管当前电子商务在全球范围内呈现良好的上升态势，但用户对数据隐私的担忧很可能会限制其增长。回归线下实体店是消费者限制自身数字足迹的另一种方式，超过三分之一（35%）的受访者表示，他们选择在商店而不是网上购买产品。在美国，麦肯锡（McKinsey）的一项研究显示，尽管只进行线下购物的消费者相对较少，但一半以上的消费者在线上和线下的购物比例持平。对有意隐藏冲浪痕迹的用户而言，广告屏蔽为他们创造了更多在线自由。27%的消费者在过去一年中都安装了广告屏蔽软件。尽管这对预计今年全球在线广告支出将增长约12%的广告商而言可能是个坏消息，但数据显示，广告屏蔽程序让用户产生了更自由、更主动的消费意愿。84%的安装了广告屏蔽软件的受访者表示，他们比去年更有可能在网上购物，而没有广告屏蔽软件的受访者比例则为77%；安装了adblocking软件的消费者也比没有安装的消费者更有可能播放音乐（78%）、观看电视（71%）、使用银行应用程序（77%）和使用交通工具预订应用程序（60%）。

3.恶意引导消费者

随着数据泄露、数据滥用的日益普遍，公众开始陷入这样一种错觉：大数据都是靠谱的，基于大数据做出的判断和推送都是最合理的。典型的案例是招聘中的大数据。仅凭一个软件或程序，老板就能知道员工是否要辞职、哪些员工最有可能超出其预算。甚至还有数据分析得出，拥有三个以上社交账户并使用默认浏览器的人更经常更换工作。一些公司已经开始使用大数据来决定员工的聘用和晋升。诸如此类的宣传或所谓结论在大数据时代可谓层出不穷。宣传此类程序本是为了避免人为歧视。但数据和算法终究与人类不同，其自动化分析的过程中缺乏“人的判断力”，缺乏灵活的处理和应变能力。曾经就有一个招聘程序，因为被输入了错误的指令而拒绝了每个优秀的求职者。此外，程序都是由人类创建的，其设计目的和运行规则始终带有创建者的盈利色彩。又有谁能辨驳，大数据就不是充满偏见且随时可能犯错的人类的另一种化身呢？当然，对于广告主而言，用户数据的收集和利用是极其宝贵的，他们可以借此将营销目标定位到每一个具体的个体。所有这些高科技数据的收集都只有一个永恒的目的：吸引或哄骗消费者购买产品，不管消费者是否真的需要，更不管产品是否真的能满足消费者的真正需求。四、网络数据滥用的对策基于前文的分析和对理论文献的阅读，本文认为在全球范围内应对网络数据滥用的对策，可以从如下几个方面入手：

1.政府监管

欧盟制定的《通用数据保护条例》

（General Data Protection Regulation，简称GDPR）就是代表政府监管数据的通用条例。在欧盟，自互联网诞生之日起便制定了数据保护法律，随着互联网技术的发展和业务的扩张，上述法律条文也在不断更新。欧盟GDPR的立法，为众多深受数据泄露和滥用影响的消费者提供了法律保护。在这样的环境下，相关企业必须及时披露数据采集和使用的情况，否则将面临巨额罚款。然而，在全球的网络数据隐私保护中，像欧盟这样业已建立相对完善的立法和执法体系的却是极少数。当前，社交媒体对用户信息似乎仍然拥有着无限的权利，对此，全球议员们纷纷表示不满并敦促政府尽早介入。最近，《纽约时报》发现，在过去五年中，先后有50多个国家和地区制定并通过了更完善的法律，以规范互联网使用和在线隐私保护。最值得注意的是，2018年5月欧盟实施新法规，以确保用户享有对何时收集其数据的知情权。GDPR要求公司明确其收集的数据以及收集原因，并允许消费者访问和控制该数据。该法规适用于各类社交媒体网络。尽管频频被爆出数据泄露事件，美国却仍是世界上为数不多的没有此类立法的领先国家之一。去年，美国国会推翻了一部禁止互联网服务提供商（ISP）未经用户同意而出售数据的法律。立法者拒绝对硅谷采取任何行动；反对数据保护立法的人员甚至断言，这些法规扼杀了科技创新。

2.用户的个人防护

社交账户是关乎有价值的个人信息的重要来源。由于平台信息是用户自己自愿发布的，因而，配置适当的社交隐私设置是应对数据滥用的好方法。数据保护主义者克里斯蒂安•本内菲尔德（Christian Bennefeld）指出：“在无处不在的数据收集者面前，不只有电脑是漏洞百出的。”尽管没有什么东西是绝对安全的，但出于这个原因避免使用互联网却并非解决方案。除了提高隐私意识、认真阅读许可声明之外，用户还可以借由高科技的智能盒子（Smart Box）获取技术层面的保护，只要将这类装置放置在路由器上，几分钟后即可使用，它将自动防止各类网站对个人数据的窃取和跟踪，有效且对用户友好，最重要的是，这种保护装置无需安装软件就能在所有与互联网兼容的设备上运行，无论是个人电脑、智能手机、平板电脑还是游戏机。

3.行业组织自律

美国《连线》杂志（Wired）报道称，一些公司正在改变甚至关闭其国际社交媒体广告和数据业务，以响应GDPR的新要求。如果欧盟以外的地区也通过了类似法律，用户将不再需要担心点击“我同意”任何满意的服务条款。随着欧盟新法律的生效，脸书正在启动新的“隐私信息中心”，这将帮助全球用户更好地控制其隐私设置。为回应数据泄露丑闻，脸书还推出了“数据滥用赏金”，以奖励那些举报应用程序开发人员滥用数据的人，以发现和解决安全问题。上述企业的举措都是由于难以为法规更为严格的国家或地区提供服务。

首先，互联网组织肩负保护用户隐私的重要责任，为更好地达成防范数据泄露的效果，以下四项对策需要引起关注和重视。

第一，管理数据访问。验证个人用户的身份很重要，这样才能知道到底是谁确实在尝试登录系统。当员工使用共享账户（例如admin和root）时，这将变得更加复杂。凭据盗用仍是导致安全漏洞的最常见方法之一。对此，二级身份验证是更准确地标识用户、更可靠地完成身份验证的方法，因为此类验证不仅需要凭据，还需要用户所拥有的设备（如智能手机）或用户的生物特征数据才能完成识别。验证用户身份后，组织应当精细地管理其访问权限，例如为每个账户分配用户角色或访问属性。访问管理对于特权用户尤其重要。特权用户（有权访问管理员、紧急账户或服务账户）可以广泛访问相关的敏感数据和资源。这意味着他们随时可能会对系统造成很大的损害。为减轻特权滥用的风险，组织需完善并严格执行特权访问管理（PAM）解决方案。

第二，监控用户动作。检测和防止数据滥用的最好方法之一是确切了解访问数据后发生的情况。日志往往不会提供此类信息，或者至少不会提供全部信息。但是，专用的用户监视解决方案将允许组织轻松查看数据的确切情况，包括使用时间、方式和对象。

第三，保持知情。2018年，美国航空航天局（NASA）被披露由于服务器入侵而导致员工的个人信息丢失，影响范围囊括从2008年至2018年期间在该机构工作的每个人。目前尚不清楚相关信息被谁窃取以及如何被使用。但显而易见的是，NASA的网络安全人员未及时收到有关服务器上可疑活动的通知。为尽可能避免此类问题的侵扰，互联网组织需要实时获取受保护范围内的任何非法活动。达成此类目的的方法有很多，例如用户监视供应商提供的用户实体行为分析模块（UEBA）和高度可定制的基于规则的警报系统。

第四，加强员工教育。谈及如何防止数据滥用，最不该被忽视的是员工教育的作用。CoSoSys的一项研究表明，60％的员工不知道公司的哪些数据属于机密级别。也正因此，这些数据往往可能被意外泄漏或不当使用。进行员工教育的第一步是熟悉企业安全政策。一般而言，企业政策经多方探讨、深思熟虑而制定，是有关内部程序和标准（包括网络安全）的可靠信息来源。这是让新员工了解企业数据使用权限的最直接方法。其次，开设数据安全的相关教育课程。企业可以邀请安全员分享案例经验，提醒员工切勿轻易共享访问凭据，向员工科普有关网络钓鱼的新方法。企业务必提示员工注意敏感数据的重要性，滥用数据不仅将损害企业声誉，也将影响员工自身前景。最后，为增强数据安全性，企业可考虑创建专门的内部威胁策略，用于帮助防止员工窃取数据或意外泄漏数据。根据Crowd Research Partners 的一份内部威胁报告，美国86％的组织已经或正在建立内部威胁计划。值得注意的是，NIST SP 800-53、HIPAA、GDPR和其他网络安全标准均要求内部威胁和风险管理政策。企业既可将上述策略设置为独立文档，也可以作为更广泛的安全策略的一部分来实现。综上，对行业组织而言，身份和访问管理功能将防止员工未经许可访问和使用敏感数据；连续动作监视将为企业提供在线监视和所有用户动作的记录；部署专门的内部威胁监视解决方案（如Ekran System）将有效检测、响应数据滥用，这通常包括复杂的实时事件警报系统和用于自动事件响应的内置工具集。凭借上述技术对策，行业组织将更好地完成用户隐私保护任务。五、结语互联网为人类社会发展带来巨大机遇，也引发了各界关于大数据使用的伦理道德层面的担忧。而今，新媒体技术快速迭代，人工智能已然成为新一轮产业变革的核心推力。在其为人类生活创建诸多便利的同时，隐私安全、数据泄露风险等问题也日渐突出。其中，人脸识别技术作为捕获和存储人脸图像的黑科技，更是引发了公众的热议，此类数据一旦被大规模泄露和滥用，所牵涉的将是公民隐私和社会安定的重大问题。因此，如何加强对用户的在线隐私保护至关重要。以脸书丑闻为代表的种种数据泄露和滥用事件均表明，任何互联网行为都会留下痕迹，且痕迹在以盈利为导向的企业面前无从隐藏。当我们选择连接互联网的那一刻起，在某种程度上，我们也放弃了自己的隐私所有权——所有互联网居民的信息都随时处于危险之中，所有社交媒体平台都掌控着海量的用户数据。如何保护用户个人隐私，是大数据时代中，是全球背景下亟需明确的议题。网络数据源于技术，其本质却关乎道德。然而，如果企业被迫在道德行为和最大化股东价值之间做出抉择，它们往往更倾向于后者。毕竟，在举报人开始交涉之前，脸书对剑桥分析公司收集其用户数据一直毫无作为。也正因为盈利导向，美国立法者才会得出“数据保护法规扼杀技术创新”的谬论。他们大概总是难以理解，技术也许未必源于道德，其发展和生存却势必依靠道德；用户导向并非要将科技拉下神坛，关怀社会才能赢得长久。我们正在走向一个真正关注企业社会责任的世界。今天，一些企业正积极地做正确的事并将其良好的价值观传达给消费者。互联网科技的未来取决于参与数据生态系统的所有人。企业有权选择将数据视为借来的财产，如果企业能够更好地管理数据，那么，在赢得消费者信任的过程中，企业也将有机会获得更大份额的用户资源，从而使自身业务受益。