Бизнес в Китае: продаём данные клиентов

Бизнес в Китае: продаём данные клиентов

Бизнес в Китае: продаём данные клиентов

В 2017 году Китай представил Закон о кибербезопасности. Он должен был стать всеобъемлющим законом о безопасности данных, который обеспечивал бы гражданам защиту от несанкционированного использования и распространения их личной информации. Год спустя злоупотребление личной информацией и продажа данных о клиентах, которые, возможно, не были разрешены, остаются широко распространенными. Сбор и продажа этой информации — это массовый бизнес, и соблазн приобрести его неэтично или даже незаконно всегда присутствует из-за легкости, с которой это можно сделать.

Недавнее расследование Reuters показало, что информация, такая как банковские рекорды, история интернет-просмотра, регистрация транспортных средств и использование мобильных телефонов, широко доступна у частных брокеров данных. Эти сторонние компании получают некоторые из этих данных от коррумпированных сотрудников в банках, телефонах и интернет-компаниях, а в некоторых случаях даже из судебной системы. Некоторые из них получаются путем кражи и взлома.

Эти данные о незаконном клиенте продаются навалом для этих различных брокеров данных, которые используют его для составления массивных баз данных, профилирующих все население страны. Почти каждый может заплатить за доступ; маркетинговые компании являются частыми клиентами, оплачивая индивидуальные списки конкретных демографических данных.

Продажа данных о клиентах часто облегчается через «темные сети», зашифрованные одноранговые сети, которые известны за укрывательство преступной деятельности. Одним из недавних громких примеров стало кража данных о 130 миллионах клиентов Huazhu Hotels Group, четвертой по величине гостиничной компании в мире. Украденные данные содержали подробную оплату и контактную информацию и были проданы за восемь биткойнов, или около 56 000 долларов США.

Хотя конфиденциальность данных и безопасность — это глобальная проблема, вопросы, связанные с компаниями, продающими данные о клиентах, в последнее время были острыми в Китае. Некоторые наблюдатели считают, что это связано с культурой устаревших практик и недостаточным составлением бюджета для безопасности среди компаний в стране. По словам Терри Рэя, технического директора Imperva, «Даже сегодня я бы оценил, что китайские компании отстают от Европы и Соединенных Штатов на пять-десять лет в детективном и защитном контроле за данными. Это не означает, что нет успешных историй китайских компаний, которые моделируют свои методы защиты данных после более современных иностранных юридических лиц, но это скорее исключение, чем норма ».

Бизнес по продаже данных клиентов

Ray разбивает продажи данных клиентов на два основных рынка: недолговечные и долгоживущие. По его мнению, «две большие различия между недолговечными данными и долговечными данными — это время для оценки и будущего значения».

Краткосрочные данные — это то, что не будет оставаться актуальным в течение очень долгого времени, особенно когда клиент узнает, что имело место нарушение. Как поясняет Рэй: «Время оценить краткосрочные данные, как правило, очень велико, подумайте о кредитных карточках и комбинации совпадений с именами пользователей и паролями. Они имеют очень высокую краткосрочную ценность, но меняются очень быстро, особенно после нарушения или после кражи денег или захвата счета … Будущая ценность для краткосрочных данных истекает очень быстро, поэтому, пока мы видим некоторые хранилища данных этого тип данных, он обычно значительно менее ценен по мере его возникновения. Считайте, что вы обнаружили банковскую плату на своей кредитной карте, первое, что вы делаете, это позвонить в банк, предъявить иск о мошенничестве против вашей учетной записи, и банк отвечает, заменив вашу кредитную карту и номер, тем самым делая данные устаревшими в нарушенных данных. Это может привести к быстрому сокращению будущей стоимости данных ».

Тогда есть долговечные данные, тип, который Рэй рассчитывает оставаться ценным в течение жизни клиента, потому что он по своей природе более постоянный по своей природе. «Будущая ценность для долговечных данных, таких как имена, адреса, номера телефонов и т. Д., Длится очень долгое время и может быть перепродана в течение многих лет и по-прежнему имеет довольно высокий уровень точности … Время для оценки долговечных данных может быть низким к высокому значению в зависимости от надежности, типа данных и количества, однако эти данные также, как правило, более широко доступны из нескольких источников из-за предыдущих нарушений данных. Эти данные не стареют так быстро, как недолговечные данные: считайте номера телефонов, домашние адреса, работодателей и т. Д. Здесь применяются стандартные экономические условия спроса и предложения, что снижает ценность этих данных, поскольку оно часто доступно из многих источников и самой низкой цены часто продается хорошо.

Слияние законных и незаконных данных

Конечно, брокерские услуги не занимаются исключительно украденными данными. Многие законные фирмы данных собирают личную информацию (и продают данные о клиентах), собранные из всех видов публичных источников. Публичные записи — один из вариантов, но информация, которую люди добровольно делят через социальные сети и сайты бизнес-сетей, часто обеспечивает гораздо более богатый урожай для базы данных клиентов.

Это создает сценарий, в котором данные, которые не являются незаконными, но которые были получены незаконными средствами, могут проходить из более явно незаконных баз данных в более законные, которые ориентированы на общественную информацию. Затем персональные данные становятся укорененными в общедоступности, хотя в первую очередь это не должно быть обнародовано.

Конечным результатом может стать почти полная коллекция личной информации и истории жизни человека, доступных для продажи, и по доступным ценам для загрузки.

Возможно, даже больше, чем китайские граждане, так это то, как эти незаконные базы данных могут взаимодействовать с уникальной «системой социального кредитования» страны — большой объем данных, в которых используется широкий спектр персональной информации (вплоть до времени, проведенного в онлайн-играх) до потенциально могут получить права и свободу передвижения. Развитие этой системы в стране непрозрачно, и хотя предполагается, что информация из частных баз данных включена, неясно, какие источники используются или какая информация извлекается из них.

Доступность данных в Китае в будущем

Закон о кибербезопасности Китая по-прежнему относительно нов, он активен всего лишь чуть больше года. Несмотря на то, что у него есть некоторые положения для обработки персональных данных и продажи информации о клиентах, он не столь прочен, как что-то вроде недавно принятого европейского общего правила защиты данных (ВВП) с точки зрения защиты личной конфиденциальности.

Внедрение Закона о кибербезопасности действительно привело Китай к неадекватным последствиям для кражи данных в виде тюремного заключения и штрафов для компаний, продающих данные своих клиентов незаконно. Теперь проблема заключается в обеспечении соблюдения. Трудно отследить кражу данных в своем конкретном источнике в такой большой стране, и даже когда это делается иногда, наказания все еще достаточно легки (превышают лишь несколько лет тюремного заключения и штрафы), что преступление видно как того стоит. Закон о безопасности в Интернете также по-прежнему допускает подразумеваемое согласие, а это означает, что условия, обеспечивающие юридическое покрытие компании при сборе и распространении персональных данных, могут быть похоронены в условиях обслуживания. Затем пользователь сайта привязан к этим условиям, просто продолжая использовать сайт.

Пока сохраняется статус-кво, вполне вероятно, что персональные данные будут оставаться широко и дешево доступными в стране и что новые данные будут по-прежнему собираться посредством существующих незаконных методов.

Учитывая это, стимул для защиты данных обязательно переключается на конечного пользователя и на различные продукты и услуги конфиденциальности, которые они могут активно использовать. Граждане Китая, а также те, кто просто ведет бизнес или посещают там, должны будут уделять более пристальное внимание тому, кто хранит свою идентифицируемую информацию и каков их послужной список для защиты своих данных. Бизнес персональных данных процветает, и даже закон не может замедлить его.