昨天有个朋友跟我说,他在携程搜了一家三亚的酒店,还没下单,第二天就收到了海外度假中介的推销短信。他当时以为是巧合。
现在回头看,那根本不是什么巧合。
6月13日,上海市网信办公布了一起执法案件:上海携程商务有限公司因为 未落实数据出境安全评估要求、违法出境个人信息,被罚款 1000万元,并责令限期改正。依据的是《个人信息保护法》。
说实话,看到这个通报的时候,我第一反应不是愤怒,而是一种被扒光了还假装没事的荒诞感。
1000万,对一个互联网巨头来说不是什么要命的数字。但关键是——被罚之后才整改,说明之前根本没把这个当回事。不是技术上做不到安全评估,是压根没打算做。
真正让我后背发凉的是通报里的这句话:「未落实数据出境安全评估要求」。
普通人可能不明白这几个字的分量。翻译成大白话就是:你在平台上留下的每一条搜索记录、每一次预订、每一个身份信息,在没有经过任何安全审查的情况下,就被传到了境外的服务器上。
你订的哪家酒店、几点入住、和谁一起、身份证号是多少——这些你以为只留在平台后台的数据,早就飘洋过海,进了你完全不知道的地方。
上海市网信办还提到,这次执法不是针对携程一家。今年以来,网信部门发现 部分民生领域互联网企业仍然存在违法违规出境个人信息的行为,企业网络数据安全主体责任履行不到位、安全管理防护措施缺失、后端处理数据合规能力不足、数据出境合规审计不严——一口气列了这么多问题,说明这不是个案,是普遍现象。
你现在是不是在想:除了携程,还有谁?
说实话,我也不知道。通报里用的措辞是「部分民生领域互联网企业」,没有点名。但民生领域互联网企业——你每天打开的那些出行、外卖、购物、社交App,基本全在这个范畴里。
展开全文
我记得年初有个热搜,说某个电商平台的用户在搜索框里打了一个商品名,下一秒境外广告商的精准推送就来了。当时评论区一片「大数据真神」,没人往数据出境那方面想。
现在回头看那些「精准推送」,你觉得它是算法厉害,还是你的信息早就不在国内了?
我觉得可怕的地方就在这里。我们被数据收割了这么多年,已经习惯了。打开App弹出一个隐私弹窗,看都不看就点同意;注册账号让填身份证,二话不说就填了。我们默认这些信息是安全的,默认平台会保护好它。
但携程用1000万告诉我们:没有的事。
你的数据被传出去了,你完全不知道。如果不是网信办这次通报,你可能一辈子都不知道,自己订酒店的记录在某个境外服务器上存了多久、被什么人看过。
还有一个细节值得细品。通报里说,企业受处罚后「积极配合,全面落实有关整改要求」。
积极个什么?整改个什么?
能罚才整改,说明之前根本没当回事。不是没能力做安全评估,是不想做——因为做了可能影响业务效率,增加成本,让数据流转没那么顺畅。说白了,在用户隐私和商业效率之间,有些企业选了效率。
它就是赌。赌不会被查到,赌罚款不会太高,赌用户不会发现。
让我难受的是,你根本没法不用的替代方案。
携程被罚了,你可以说「我再也不用携程了」。但换到去哪儿、飞猪、美团,你就确定它们的数据出境合规了吗?通报里明明白白说了,「部分民生领域互联网企业」都存在类似问题。你不是在选一个安全的平台,你是在赌一个还没被查到的平台。
这才是最让人无力的。你的隐私安全,不取决于你自己的选择,而取决于平台有没有被网信办盯上。
1000万的罚单,对行业来说是敲山震虎。但对用户来说,这1000万换不回已被传出去的数据,也换不回那份被辜负的信任。返回搜狐,查看更多