一、數(shù)據(jù)泄露事件頻發(fā)，個(gè)人企業(yè)損失慘重

隨著大數(shù)據(jù)時(shí)代的到來(lái)，數(shù)據(jù)信息在給我們生活帶來(lái)便利的同時(shí)，個(gè)人信息泄露的問(wèn)題也日漸凸顯，尤其是網(wǎng)絡(luò)黑色產(chǎn)業(yè)鏈日益猖獗，讓我們的個(gè)人信息形如裸奔。

華住酒店集團(tuán)共140G約5億條個(gè)人信息遭泄露、并在境外黑市中以8個(gè)比特幣標(biāo)價(jià)售賣的新聞剛過(guò)去不久，最近順豐也傳出被用戶在“暗網(wǎng)”上以兩個(gè)比特幣售賣3億條快遞數(shù)據(jù)的消息。盡管順豐回應(yīng)暗網(wǎng)所售非順豐數(shù)據(jù)，不過(guò)，有機(jī)構(gòu)實(shí)測(cè)發(fā)現(xiàn)，網(wǎng)上兜售的數(shù)據(jù)真實(shí)性較高，在隨機(jī)撥打的20條信息中，有17人姓名、電話、地址與文件內(nèi)容一致，且也曾用過(guò)順豐收發(fā)快遞。另外，今年八月底，浙江紹興越城警方破獲的一起案件也涉及了公民30億數(shù)據(jù)遭剽竊的嚴(yán)峻問(wèn)題。新三板上市公司瑞智華勝及其關(guān)聯(lián)公司通過(guò)非法軟件清洗流量、獲取用戶的cookie，然后從中提取公民個(gè)人信息、相關(guān)賬號(hào)密碼、搜索的關(guān)鍵詞等內(nèi)容，涉及了百度、騰訊、阿里、京東等全國(guó)96家互聯(lián)網(wǎng)公司產(chǎn)品的數(shù)據(jù)。

 

 

不只是國(guó)內(nèi)，數(shù)據(jù)泄露已成為困擾全球企業(yè)和個(gè)人用戶的難題。僅2018上半年，在全球范圍內(nèi)泄露的數(shù)據(jù)超過(guò)千萬(wàn)條以上、并造成嚴(yán)重影響的事件不下10起。例如今年3月爆發(fā)的給Facebook帶來(lái)無(wú)盡麻煩的 “劍橋分析”丑聞，其中超過(guò)8700萬(wàn)名用戶的數(shù)據(jù)遭到泄露。隨著對(duì)Facebook應(yīng)用程序更深入的審查，“劍橋分析”可能只是冰山一角。6月27日，安全研究員Inti DeCeukelaire透露了另一個(gè)名為Nametests.com的應(yīng)用程序，它已經(jīng)暴露了超過(guò)1.2億用戶的信息。目前，F(xiàn)acebook已接受英國(guó)信息專員辦公室(ICO)開出的50萬(wàn)英鎊罰單，然而這可能只是開始。

至于數(shù)據(jù)泄露所造成的影響，目前個(gè)人信息泄露帶來(lái)的直接危害主要是各類騷擾電話、詐騙電話的增加。此外，大規(guī)模的信息泄露事件發(fā)生時(shí)，泄露的數(shù)據(jù)庫(kù)會(huì)不斷完善黑客手中的密碼字典，令幾乎所有人的密碼失效。阿里安全歸零實(shí)驗(yàn)室提供的數(shù)據(jù)顯示，因用戶信息泄露而產(chǎn)生的電信詐騙案件處于頻發(fā)狀態(tài)，僅在2017年4月至12月的8個(gè)月中就觀測(cè)到電信詐騙超過(guò)43萬(wàn)起，案發(fā)資損達(dá)1億9千萬(wàn)元，受害人員超過(guò)5萬(wàn)人。2017年，全國(guó)公安機(jī)關(guān)共破獲電信網(wǎng)絡(luò)詐騙案件13.1萬(wàn)起，查處違法犯罪人員5.3萬(wàn)名。

除了個(gè)體用戶，企業(yè)也是數(shù)據(jù)泄露的受害者。大多數(shù)網(wǎng)絡(luò)攻擊都是以竊取錢財(cái)為目的，據(jù)《2018數(shù)據(jù)泄露損失研究》評(píng)估顯示，大型數(shù)據(jù)泄露代價(jià)高昂，百萬(wàn)條記錄可致?lián)p失4000萬(wàn)美元，5000萬(wàn)條記錄可致?lián)p失3.5億美元。遭遇數(shù)據(jù)泄露事件的公司企業(yè)平均要損失386萬(wàn)美元，同比去年增加了6.4%。

二、為什么數(shù)據(jù)容易發(fā)生竊取和攻擊?

在愈發(fā)頻繁的數(shù)據(jù)泄露事件中，企業(yè)數(shù)據(jù)庫(kù)安防力量薄弱、責(zé)任意識(shí)淡薄以及數(shù)據(jù)市場(chǎng)需求旺盛等因素為大規(guī)模數(shù)據(jù)泄露埋下伏筆。

1. 防力量薄弱，防范意識(shí)不強(qiáng)。360互聯(lián)網(wǎng)安全中心發(fā)布的《WannaCry一周年勒索軟件威脅形勢(shì)分析報(bào)告》顯示，去年勒索病毒爆發(fā)前夕，各機(jī)構(gòu)有58天的時(shí)間可以進(jìn)行補(bǔ)丁升級(jí)等安全布防工作，但一些機(jī)構(gòu)錯(cuò)誤認(rèn)為自身隔離措施足夠安全、打補(bǔ)丁太麻煩，致使其最終遭受勒索病毒攻擊。同時(shí)，一些企業(yè)認(rèn)為自己并非互聯(lián)網(wǎng)行業(yè)主要參與者，不會(huì)成為被攻擊對(duì)象，因此在用戶數(shù)據(jù)保管上沒有做好安全措施，最終導(dǎo)致大批量用戶數(shù)據(jù)泄露。此次華住集團(tuán)數(shù)據(jù)泄露，可能原因就是開發(fā)人員安全意識(shí)不強(qiáng)，將公司程序代碼上傳到了GitHub(一個(gè)軟件托管平臺(tái))上，加之酒店數(shù)據(jù)庫(kù)密碼過(guò)于簡(jiǎn)單才導(dǎo)致。

 

 

2. 用戶數(shù)據(jù)市場(chǎng)需求旺盛。隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)絡(luò)平臺(tái)的人口紅利逐漸消失，當(dāng)用戶普及度已經(jīng)足夠，剩下的只是如何利用信息賺錢的問(wèn)題，因此根據(jù)用戶畫像進(jìn)行精準(zhǔn)信息推送就顯得尤為重要。如今，不管功能是否相關(guān)，下載任何軟件都需開通訊錄權(quán)限、地理位置權(quán)限、攝像機(jī)權(quán)限等等，類似“××，你的手機(jī)聯(lián)系人在某APP上將你設(shè)置為‘念念不忘的對(duì)象’，詳情見××APP”這種短信，大概有5億人都曾收到過(guò)。中國(guó)消費(fèi)者協(xié)會(huì)在8月29日發(fā)布的《APP個(gè)人信息泄露情況調(diào)查報(bào)告》顯示，遇到過(guò)個(gè)人信息泄露情況的人數(shù)占比為85.2%。

三、應(yīng)該制定更為嚴(yán)厲、健全的數(shù)據(jù)保護(hù)法

分析這些數(shù)據(jù)泄露事件的起因，大多是由于開發(fā)人員安全意識(shí)不強(qiáng)，或者因?yàn)楣�司存�?ldquo;內(nèi)鬼”導(dǎo)致。但開發(fā)人員安全意識(shí)不強(qiáng)的背后，則是整個(gè)企業(yè)對(duì)信息安全的重視程度不夠。而企業(yè)及其負(fù)責(zé)人對(duì)信息安全的不重視，則是源于我國(guó)目前針對(duì)信息保護(hù)的法律法規(guī)還不健全，對(duì)于信息泄露缺乏強(qiáng)有力的懲罰措施，往往只會(huì)在出事之后做一些補(bǔ)救措施。根據(jù)周鴻祎在2018 ISC互聯(lián)網(wǎng)安全大會(huì)上發(fā)表的觀點(diǎn)：針對(duì)信息泄露事件，需要提前作出預(yù)警，事件發(fā)生后進(jìn)行補(bǔ)救其實(shí)沒有意義。

從世界范圍來(lái)看，加強(qiáng)數(shù)據(jù)保護(hù)與利用相關(guān)立法已成趨勢(shì)。美國(guó)通過(guò)修訂《兒童在線隱私保護(hù)法案》為兒童等特殊敏感信息提供更加嚴(yán)格的法律保護(hù);歐盟、新加坡等以專門立法形式，加強(qiáng)對(duì)個(gè)人信息的法律保護(hù)。今年5月25日，《歐盟一般數(shù)據(jù)保護(hù)條例》(GDPR)生效實(shí)施，進(jìn)一步加強(qiáng)了對(duì)個(gè)人信息的保護(hù)力度。與此同時(shí)，大數(shù)據(jù)技術(shù)和產(chǎn)業(yè)的興起引發(fā)了對(duì)數(shù)據(jù)開放的強(qiáng)烈需求，許多國(guó)家或地區(qū)通過(guò)立法規(guī)范和促進(jìn)包括政府在內(nèi)的公共部門提供透明、公平的信息再利用服務(wù)。

 

 

至于我國(guó)，近年來(lái)涉及數(shù)據(jù)保護(hù)與利用的立法活動(dòng)主要圍繞個(gè)人信息保護(hù)并且是基于個(gè)人信息安全而展開的。在我國(guó)現(xiàn)行的法律法規(guī)中，與個(gè)人信息及隱私的保密和保護(hù)相關(guān)的主要包括刑法、民法、網(wǎng)絡(luò)安全法、消費(fèi)者權(quán)益法、郵政法、統(tǒng)計(jì)法等。其中針對(duì)個(gè)人信息保護(hù)的責(zé)任認(rèn)定及處罰主要集中在刑法、民法、網(wǎng)絡(luò)安全法等大法當(dāng)中，然而這些大法因?yàn)樯婕皟?nèi)容較廣，針對(duì)個(gè)人信息保護(hù)的責(zé)任認(rèn)定和處罰缺乏可操作的細(xì)節(jié)，量刑也相對(duì)較輕。根據(jù)公布的案例，騰訊微信、新浪微博、百度貼吧等都因涉嫌違反《網(wǎng)絡(luò)安全法》被立案調(diào)查，BOSS直聘網(wǎng)因涉嫌信息泄露被網(wǎng)信辦責(zé)令整改，這些就算目前比較重大的執(zhí)法案件了，但最后法律責(zé)任很多是賠禮道歉而已。

另外，個(gè)人信息保護(hù)固然是數(shù)據(jù)保護(hù)與利用立法的重中之重，但并非全部，尤其是在大數(shù)據(jù)與人工智能成為國(guó)家發(fā)展戰(zhàn)略的背景下。大數(shù)據(jù)技術(shù)與人工智能技術(shù)相輔相成，都需要海量數(shù)據(jù)作為支撐。因此，如何保證既能維護(hù)數(shù)據(jù)安全，嚴(yán)厲打擊針對(duì)數(shù)據(jù)或者濫用數(shù)據(jù)而導(dǎo)致的違法犯罪行為，又可以使海量數(shù)據(jù)資源所蘊(yùn)含的信息價(jià)值得到充分利用成為立法的關(guān)鍵。

同時(shí)，數(shù)據(jù)安全合規(guī)責(zé)任的落實(shí)還要考慮為中小企業(yè)提供一定的政策保障。數(shù)據(jù)安全合規(guī)責(zé)任的落實(shí)需要相應(yīng)配置的人力、資金和技術(shù)，中小企業(yè)可能難以達(dá)到法定要求，或者成本過(guò)高。因此，需要國(guó)家提供一定的配套政策，激勵(lì)和保障中小企業(yè)能夠現(xiàn)實(shí)地具備數(shù)據(jù)安全合規(guī)能力。如歐盟委員會(huì)在發(fā)布《一般數(shù)據(jù)保護(hù)條例》的同時(shí)，還提供一定的資金用于幫助企業(yè)特別是鼓勵(lì)中小企業(yè)并推出旨在幫助其實(shí)現(xiàn)合規(guī)的“實(shí)用在線工具”。

在互聯(lián)網(wǎng)幾乎已經(jīng)成為現(xiàn)代人類生活的必需之后，在大規(guī)模地?cái)?shù)據(jù)泄露事件面前，個(gè)人用戶作為弱勢(shì)群體，除了勤更換賬號(hào)密碼、不在陌生網(wǎng)站或服務(wù)商輸入個(gè)人敏感信息外，其實(shí)很難起到什么作為。

因此，作為互聯(lián)網(wǎng)服務(wù)的提供商，企業(yè)在數(shù)據(jù)保護(hù)面前有著不可替代的責(zé)任;作為人民安居樂業(yè)的依靠，政府對(duì)企業(yè)行為有毋庸置疑的嚴(yán)格監(jiān)管義務(wù)。當(dāng)互聯(lián)網(wǎng)、人工智能的浪潮帶來(lái)全球居民生活方式發(fā)生徹底改變，當(dāng)自動(dòng)駕駛、智能家居、AI醫(yī)療等成為構(gòu)建智慧城市的標(biāo)配時(shí)，健全完善的規(guī)章制度是讓這個(gè)智能社會(huì)正常運(yùn)轉(zhuǎn)的準(zhǔn)繩。

四、去中心化的惡果

對(duì)于最近幾起數(shù)據(jù)泄露事件，還有一點(diǎn)值得注意的是販賣者在“暗網(wǎng)”上兜售數(shù)據(jù)，只接受比特幣或門羅幣進(jìn)行交易。

從9年前誕生起，比特幣就一直運(yùn)作良好，從未因政府或監(jiān)管者或硬件問(wèn)題而停止運(yùn)行過(guò)。比特幣通過(guò)去中心化設(shè)計(jì)實(shí)現(xiàn)了抵制審查，這個(gè)特性賦予了比特幣非常高的價(jià)值，同時(shí)也會(huì)導(dǎo)致大量的問(wèn)題。比如基于虛擬貨幣的經(jīng)濟(jì)犯罪頻發(fā)，區(qū)塊鏈的技術(shù)特性和跨國(guó)作案導(dǎo)致在取證查案的過(guò)程中會(huì)面對(duì)極大的復(fù)雜性和阻力。就以這次華住案為例，黑客用比特幣的方式在境外網(wǎng)站上售賣非法數(shù)據(jù)，給警方帶來(lái)了很大的辦案難度。

隨著基于虛擬貨幣的犯罪案件持續(xù)發(fā)生，在未來(lái)，或許去中心化的區(qū)塊鏈技術(shù)也必須接受中心化的政府或機(jī)構(gòu)的監(jiān)管。完全的去中心化是不現(xiàn)實(shí)的，也是種災(zāi)難。對(duì)于虛擬貨幣的監(jiān)管必須持續(xù)加碼，并建立國(guó)際間的合作組織來(lái)共同將這個(gè)主張無(wú)政府主義的技術(shù)栓住，使它不能作惡，在可控的范圍內(nèi)實(shí)現(xiàn)它的技術(shù)目的。

 

 

原本區(qū)塊鏈技術(shù)作為一種非常有前景的底層技術(shù)，吸引各大互聯(lián)網(wǎng)巨頭紛紛開發(fā)布局。依賴其去中心化、不可篡改的特性，可以應(yīng)用于保險(xiǎn)、物流、選舉、公益等各行各業(yè)，也包括酒店管理，可以極大改善用戶敏感數(shù)據(jù)保護(hù)中存在的安全隱患，提供金融級(jí)的數(shù)據(jù)安全保障。而如今，區(qū)塊鏈技術(shù)恰恰是以為盜取酒店用戶數(shù)據(jù)的銷贓手段出現(xiàn)，結(jié)果令人惋惜。

或許，無(wú)論是大數(shù)據(jù)還是區(qū)塊鏈，任何一種新技術(shù)、新理念在誕生之初都是美好的，只是隨著不斷的發(fā)展，野蠻生長(zhǎng)的同時(shí)往往伴隨著濫用情況。只有完善法律法規(guī)，才能讓它如誕生之初所希望的一樣造福于人類。

此前，“Y Combinator中國(guó)01號(hào)員工”陸奇在媒體采訪中提到了一個(gè)理想中的“數(shù)據(jù)生態(tài)”：“我希望以后會(huì)有一個(gè)數(shù)據(jù)生態(tài)，讓與人有關(guān)的數(shù)據(jù)最終屬于個(gè)人，他有權(quán)利決定在什么情況下、出于什么目的，讓某個(gè)企業(yè)使用他的數(shù)據(jù)。在這個(gè)生態(tài)里，創(chuàng)業(yè)公司也可以得到用戶的支持，例如用戶對(duì)教育有熱忱并且希望支持教育公司創(chuàng)業(yè)，他就可以將自己的數(shù)據(jù)開放給這家公司使用。”

實(shí)現(xiàn)這個(gè)理想的“數(shù)據(jù)生態(tài)”是一個(gè)道阻且長(zhǎng)的過(guò)程，也許來(lái)勢(shì)洶洶的GDPR是一個(gè)先行的實(shí)踐，最終的平衡很可能要在很多的爭(zhēng)論和矛盾中才能逐漸達(dá)到吧。

標(biāo)簽： 安全 大數(shù)據(jù) 大數(shù)據(jù)技術(shù) 大數(shù)據(jù)時(shí)代 代碼 服務(wù)商 互聯(lián)網(wǎng) 互聯(lián)網(wǎng)安全 互聯(lián)網(wǎng)服務(wù) 互聯(lián)網(wǎng)公司 互聯(lián)網(wǎng)巨頭 互聯(lián)網(wǎng)行業(yè) 金融 媒體 權(quán)限 數(shù)據(jù)庫(kù) 搜索 網(wǎng)絡(luò) 網(wǎng)

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。