大模型時代更需加強企業用戶資訊保護

資訊技術日新月異，數字經濟已由平臺經濟時代進入了大模型時代，數據要素價值實現達成了質的飛躍，成為經濟增長的新動能。在當前數據要素流通不暢、條塊分割嚴重的背景下，數據私域作為天然的數據蓄水池，滿足了大模型訓練的需求，引發了大模型公司的高度關注。在産業數字化發展中，數據私域搭建了企業與個人的社交橋梁，讓企業成功建立起客戶的蓄水池，實現反覆行銷和商業轉化，企業微信是數據私域的典型代表。但近年來，國內外社交平臺與第三方合作的私域爆出了不少的客戶隱私安全事故，涉及大模型的違規抓取、訓練數據行為。

2023年5月初，有媒體爆料稱，Facebook公司通過其廣告平臺上的某些API介面收集了大量用戶數據，包括用戶的個人資訊、好友列表、消息記錄等等。這些數據被用於幫助廣告客戶更精準地定位目標受眾。由於此次數據抓取是未經用戶同意的，因此Facebook公司面臨著巨大的隱私洩露風險。

就國內而言，近期，國家金融監督管理總局辦公廳向各銀保監局、銀行保險機構等下發《關於加強第三方合作中網路和數據安全管理的通知》（下稱《通知》），要求各銀行保險機構對照通報問題，深入排查供應鏈風險隱患，切實加強整改。《通知》通報了企業微信服務風險情況：某微信代理商為多家銀行提供企業微信相關服務，將銀行客戶經理和客戶的聊天會話存檔在該服務商租用的公有雲伺服器上，會話存檔數據包含部分客戶姓名、身份證號、手機號、銀行賬號等敏感個人資訊。未經銀行同意，該服務商私自使用數家銀行600余萬條會話存檔數據用於該公司模型訓練，並提供給關聯公司。銀行因未盡到對客戶敏感數據保護責任，引發消費者維權投訴。

企業用戶數據洩露問題值得關注

數據流動與數據安全，構成了數據價值的一體兩翼。應在促進數據要素利用的同時維護數據安全，實現數據要素利用的合規化。

長期以來，微信的定位始終是私人社交工具。為了保障這種私密定位，微信官方曾多次表示，不會去看用戶的微信內容。微信不留存任何用戶的聊天記錄，聊天內容只存儲在用戶的手機、電腦等終端設備上。微信也不會將用戶的任何聊天內容用於大數據分析。

但企業微信的出現實際上模糊了這一邊界。企業微信的“優勢”就是企業的行銷人員以“朋友”和“工作人員”的雙重身份與客戶交朋友，在溝通中了解用戶的興趣和偏好，進而促成交易和二次交易。這種社交就變成了一種“公共溝通”，不再享有私密性，而是企業數據資産。

這種變化是非常微妙的。從用戶角度，使用企業微信能夠與日常聊天場景融為一體，降低用戶保護個人隱私的意識。企業員工則會有獲取用戶隱私的動機，並且在使用企業微信進行溝通時缺乏類似“客服電話”中“您的通話會被錄音”的提示，在獲取用戶數據時未必會遵循“最小必要”原則。從企業角度，是否會對這些員工與客戶的聊天記錄予以重視，進行特別的隱私保護處理也值得懷疑。事實證明，即便是以合規管理嚴格著稱的銀行也不一定能保護好此類數據。

第三方、企業、平臺誰該為用戶隱私擔責

在私域模式下，除了員工之外，企業另一個難以掌控的因素是“第三方服務商”。事實上，從銀行個人隱私洩露中“受益”的並非是銀行，而是“第三方微信代理服務商”。這些代理商將這些銀行員工與客戶的聊天資訊用於訓練自己的模型，進而導致了客訴。

在此次事件後，金融監管總局發佈的《關於加強第三方合作中網路和數據安全管理的通知》指出，部分銀行保險機構的外包服務商發生多起安全風險事件，對銀行保險機構的網路和數據安全、業務連續性造成一定影響，暴露出銀行保險機構在外包服務管理上存在突出風險問題。

對這些風險，金融監管總局進一步總結為兩個核心問題。第一是，銀行保險機構對數字生態場景合作情況底數不清，缺乏統籌管理。開展數字生態合作時，銀行保險機構外包風險主管部門、科技和數據管理部門未參與，缺乏數據安全風險評估、監控管理等機制，存在突出風險隱患。第二是，銀行保險機構對合作中數據安全風險和責任識別劃分不清。數字化轉型合作業務場景連接，技術渠道相互嵌入，數據存儲、交互情況複雜，銀行保險機構對業務、技術、數據等風險識別不清晰，責任劃分不明確，存在數據收集使用不合規、安全責任交叉、數據保護存在盲區等問題。

銀行保險機構已經是國內合規最嚴格的商業機構，也有著不斷升級的行業監管，情況尚且如此，在私域模式已經進入到千行百業的過程中，隱私保護問題很可能會産生常態化的漏洞和風險隱患。在銀行企業微信隱私數據洩露事件的背後，應該看到，私人社交平臺作為一種基礎設施，在其帶動社會數字化的巨大力量背後，也存在巨大的風險隱患。在大模型時代，數據在大模型訓練方面的獨特價值無疑加劇了這一風險。

國際經驗也表明，社交平臺與第三方合作容易發生資訊洩露，除前面已經提到的事例外，還有：

2016年，8700萬Facebook用戶數據被指不當洩露給政治諮詢公司康橋分析，用於在2016年總統大選時支援美國總統特朗普。2018年12月，社交網路巨頭Facebook承認，一個安全漏洞導致680萬名用戶的私人照片被第三方應用程式共用。2019年，一個低級別的駭客論壇3天曝光了超過 5.33 億 Facebook 用戶數據，其中包括 3200 多萬條美國用戶記錄，1100 萬條英國用戶記錄和 600 多萬條印度用戶資訊，共涉及到 106 個國家。數據顯示，所洩露的資訊包括個人賬號、用戶姓名、位置、生日、電話號碼及電子郵件地址等。2022年，Meta旗下通訊軟體WhatsApp“失竊”，近5億用戶的資訊或被洩露。

企業微信平臺幫助企業和個人微信進行了連接，改變了微信個人社交的性質，那麼如果未來出現了大規模個人隱私數據洩露，作為私域模式的開創者，企業微信平臺是否可以置身事外？它應該承擔什麼責任？誰來監管此類平臺？

根據企業微信披露數據，2022年1月，企業微信上的真實企業與組織數超1000萬，活躍用戶數超1.8億，連接微信活躍用戶數超過5億。此外，企業微信團隊同時披露，每1個小時，有115萬企業員工通過企業微信與微信上的用戶進行1.4億次的服務互動。企業微信全部的服務商總數已經達到12萬，可覆蓋97個行業。包括政府、公共服務、醫療、銀行等各個公共服務。

毫無疑問，微信私域模式是近年來網際網路平臺的一個重要創新，但其存在不小的個人資訊洩露隱患。平臺獲得巨大商業成功的同時，不能將各類風險問題全都拋給企業、監管部門和社會。

引入多元共治機制防範洩露風險

與一般企業不同，頭部私人社交工具平臺承載著全社會超過十億個人日常聯繫、聚會、娛樂的功能，並附帶大量個人隱私資訊，業已成為一個國家重要的數字基礎設施——元平臺。由於元平臺的無可替代性和重要性，牽一髮而動全身，其業務創新應事先做充分的風險評估，謀而後動。對已存在的風險隱患，也需要動員社會多方力量進行協同治理，亟待引入多元共治機制。

首先，在數據採集環節上，企業員工應帶有更鮮明的企業標簽，在聊天中明確提示消費者該聊天與溝通會被公司記錄，並且遵循最小必要原則和模板化方式獲取個人資訊。

其次，在數據流通環節上，應加大對數據流通相關安全技術的重視。“數據二十條”指出，充分發揮協同治理作用，支援開展數據流通相關安全技術研發和服務，促進不同場景下數據要素安全可信流通。區塊鏈技術的運用能夠使用戶跟蹤數據流轉的全過程，有效防止社交平臺與第三方合作數據安全事件的發生。因此，可借助區塊鏈技術並形塑“以鏈治數+以法入鏈”協同治理體系。一方面，“以鏈治數”的監管模式可以滿足鏈群的安全風險防護需求。針對區塊鏈生態中存在的安全風險和多維監管需求，建立協同監管技術框架、共性安全風險指標體系。另一方面，“以法入鏈”的智慧化監管，可以節約監管成本以及提升監管效率。將法律語言轉換為電腦可識別的代碼，並建立校驗機制，為實現數據安全提供業務支撐。

第三，在外包服務商管理環節上，應不斷推動數據安全法律體系的建設。首先，《數據安全法》涉及的數據不限于網路數據，還包括了其他形式的數據；其中的安全應被理解為整體性的、抽象的安全而非具體的安全，與之對應的概念應為風險，而非危險。其次，社交平臺與第三方合作數據安全事件反映出了外包數據服務商所存在的法律風險，當前提供外包數據服務主體品質參差不齊，一些銀行在採購服務時，也存在流程不清、約束較小、過於依賴外包等多種情況，極易出現監管的真空地帶。《數據安全法》針對重要數據的處理活動提出了若干延展數據安全保護義務，但針對外包數據服務商，評估主體、報告報送對象以及評估頻率還有待配套規章制度的進一步明確。對此，建議在《數據安全法》的基礎上繼續完善各行業數據安全法律體系，配套相應的條例、部門規章、合規指引。

此外，還應當充分發揮公民在數據安全治理中的主體作用。應落實《數據安全法》中規定的公民投訴、舉報的制度並保護投訴人、舉報人的合法權益。鼓勵數字平臺建立群眾對數據安全的自治機制，使公民有更多參與數據安全治理的渠道。

“數據二十條”明確了“安全可控、彈性包容”的數據治理原則，並提出應建立數據要素生産流通使用全過程的演算法審查等制度。長期來看，將共票理論與雙維治理體系相結合，構建事前、事中、事後的全過程實時監管，督使數據技術應用摒惡向善，有利於構建合法合規的國産大模型産業鏈，最終促進數字經濟向善發展，增加社會整體福利。