一、資料洩露事件頻發,個人企業損失慘重
隨著大資料時代的到來,資料資訊在給我們生活帶來便利的同時,個人資訊洩露的問題也日漸凸顯,尤其是網路黑色產業鏈日益猖獗,讓我們的個人資訊形如裸奔。
華住酒店集團共140G約5億條個人資訊遭洩露、並在境外黑市中以8個比特幣標價售賣的新聞剛過去不久,最近順豐也傳出被使用者在“暗網”上以兩個比特幣售賣3億條快遞資料的訊息。儘管順豐回應暗網所售非順豐資料,不過,有機構實測發現,網上兜售的資料真實性較高,在隨機撥打的20條資訊中,有17人姓名、電話、地址與檔案內容一致,且也曾用過順豐收發快遞。另外,今年八月底,浙江紹興越城警方破獲的一起案件也涉及了公民30億資料遭剽竊的嚴峻問題。新三板上市公司瑞智華勝及其關聯公司通過非法軟體清洗流量、獲取使用者的cookie,然後從中提取公民個人資訊、相關賬號密碼、搜尋的關鍵詞等內容,涉及了百度、騰訊、阿里、京東等全國96家網際網路公司產品的資料。
不只是國內,資料洩露已成為困擾全球企業和個人使用者的難題。僅2018上半年,在全球範圍內洩露的資料超過千萬條以上、並造成嚴重影響的事件不下10起。例如今年3月爆發的給Facebook帶來無盡麻煩的 “劍橋分析”醜聞,其中超過8700萬名使用者的資料遭到洩露。隨著對Facebook應用程式更深入的審查,“劍橋分析”可能只是冰山一角。6月27日,安全研究員Inti DeCeukelaire透露了另一個名為Nametests.com的應用程式,它已經暴露了超過1.2億使用者的資訊。目前,Facebook已接受英國資訊專員辦公室(ICO)開出的50萬英鎊罰單,然而這可能只是開始。
至於資料洩露所造成的影響,目前個人資訊洩露帶來的直接危害主要是各類騷擾電話、詐騙電話的增加。此外,大規模的資訊洩露事件發生時,洩露的資料庫會不斷完善黑客手中的密碼字典,令幾乎所有人的密碼失效。阿里安全歸零實驗室提供的資料顯示,因使用者資訊洩露而產生的電信詐騙案件處於頻髮狀態,僅在2017年4月至12月的8個月中就觀測到電信詐騙超過43萬起,案發資損達1億9千萬元,受害人員超過5萬人。2017年,全國公安機關共破獲電信網路詐騙案件13.1萬起,查處違法犯罪人員5.3萬名。
除了個體使用者,企業也是資料洩露的受害者。大多數網路攻擊都是以竊取錢財為目的,據《2018資料洩露損失研究》評估顯示,大型資料洩露代價高昂,百萬條記錄可致損失4000萬美元,5000萬條記錄可致損失3.5億美元。遭遇資料洩露事件的公司企業平均要損失386萬美元,同比去年增加了6.4%。
二、為什麼資料容易發生竊取和攻擊?
在愈發頻繁的資料洩露事件中,企業資料庫安防力量薄弱、責任意識淡薄以及資料市場需求旺盛等因素為大規模資料洩露埋下伏筆。
1. 防力量薄弱,防範意識不強。360網際網路安全中心釋出的《WannaCry一週年勒索軟體威脅形勢分析報告》顯示,去年勒索病毒爆發前夕,各機構有58天的時間可以進行補丁升級等安全佈防工作,但一些機構錯誤認為自身隔離措施足夠安全、打補丁太麻煩,致使其最終遭受勒索病毒攻擊。同時,一些企業認為自己並非網際網路行業主要參與者,不會成為被攻擊物件,因此在使用者資料保管上沒有做好安全措施,最終導致大批量使用者資料洩露。此次華住集團資料洩露,可能原因就是開發人員安全意識不強,將公司程式程式碼上傳到了GitHub(一個軟體託管平臺)上,加之酒店資料庫密碼過於簡單才導致。
2. 使用者資料市場需求旺盛。隨著網際網路的迅速發展,網路平臺的人口紅利逐漸消失,當使用者普及度已經足夠,剩下的只是如何利用資訊賺錢的問題,因此根據使用者畫像進行精準資訊推送就顯得尤為重要。如今,不管功能是否相關,下載任何軟體都需開通訊錄許可權、地理位置許可權、攝像機許可權等等,類似“××,你的手機聯絡人在某APP上將你設定為‘念念不忘的物件’,詳情見××APP”這種簡訊,大概有5億人都曾收到過。中國消費者協會在8月29日釋出的《APP個人資訊洩露情況調查報告》顯示,遇到過個人資訊洩露情況的人數佔比為85.2%。
三、應該制定更為嚴厲、健全的資料保護法
分析這些資料洩露事件的起因,大多是由於開發人員安全意識不強,或者因為公司存在“內鬼”導致。但開發人員安全意識不強的背後,則是整個企業對資訊保安的重視程度不夠。而企業及其負責人對資訊保安的不重視,則是源於我國目前針對資訊保護的法律法規還不健全,對於資訊洩露缺乏強有力的懲罰措施,往往只會在出事之後做一些補救措施。根據周鴻禕在2018 ISC網際網路安全大會上發表的觀點:針對資訊洩露事件,需要提前作出預警,事件發生後進行補救其實沒有意義。
從世界範圍來看,加強資料保護與利用相關立法已成趨勢。美國通過修訂《兒童線上隱私保護法案》為兒童等特殊敏感資訊提供更加嚴格的法律保護;歐盟、新加坡等以專門立法形式,加強對個人資訊的法律保護。今年5月25日,《歐盟一般資料保護條例》(GDPR)生效實施,進一步加強了對個人資訊的保護力度。與此同時,大資料技術和產業的興起引發了對資料開放的強烈需求,許多國家或地區通過立法規範和促進包括政府在內的公共部門提供透明、公平的資訊再利用服務。
至於我國,近年來涉及資料保護與利用的立法活動主要圍繞個人資訊保護並且是基於個人資訊保安而展開的。在我國現行的法律法規中,與個人資訊及隱私的保密和保護相關的主要包括刑法、民法、網路安全法、消費者權益法、郵政法、統計法等。其中針對個人資訊保護的責任認定及處罰主要集中在刑法、民法、網路安全法等大法當中,然而這些大法因為涉及內容較廣,針對個人資訊保護的責任認定和處罰缺乏可操作的細節,量刑也相對較輕。根據公佈的案例,騰訊微信、新浪微博、百度貼吧等都因涉嫌違反《網路安全法》被立案調查,BOSS直聘網因涉嫌資訊洩露被網信辦責令整改,這些就算目前比較重大的執法案件了,但最後法律責任很多是賠禮道歉而已。
另外,個人資訊保護固然是資料保護與利用立法的重中之重,但並非全部,尤其是在大資料與人工智慧成為國家發展戰略的背景下。大資料技術與人工智慧技術相輔相成,都需要海量資料作為支撐。因此,如何保證既能維護資料安全,嚴厲打擊針對資料或者濫用資料而導致的違法犯罪行為,又可以使海量資料資源所蘊含的資訊價值得到充分利用成為立法的關鍵。
同時,資料安全合規責任的落實還要考慮為中小企業提供一定的政策保障。資料安全合規責任的落實需要相應配置的人力、資金和技術,中小企業可能難以達到法定要求,或者成本過高。因此,需要國家提供一定的配套政策,激勵和保障中小企業能夠現實地具備資料安全合規能力。如歐盟委員會在釋出《一般資料保護條例》的同時,還提供一定的資金用於幫助企業特別是鼓勵中小企業並推出旨在幫助其實現合規的“實用線上工具”。
在網際網路幾乎已經成為現代人類生活的必需之後,在大規模地資料洩露事件面前,個人使用者作為弱勢群體,除了勤更換賬號密碼、不在陌生網站或服務商輸入個人敏感資訊外,其實很難起到什麼作為。
因此,作為網際網路服務的提供商,企業在資料保護面前有著不可替代的責任;作為人民安居樂業的依靠,政府對企業行為有毋庸置疑的嚴格監管義務。當網際網路、人工智慧的浪潮帶來全球居民生活方式發生徹底改變,當自動駕駛、智慧家居、AI醫療等成為構建智慧城市的標配時,健全完善的規章制度是讓這個智慧社會正常運轉的準繩。
四、去中心化的惡果
對於最近幾起資料洩露事件,還有一點值得注意的是販賣者在“暗網”上兜售資料,只接受比特幣或門羅幣進行交易。
從9年前誕生起,比特幣就一直運作良好,從未因政府或監管者或硬體問題而停止執行過。比特幣通過去中心化設計實現了抵制審查,這個特性賦予了比特幣非常高的價值,同時也會導致大量的問題。比如基於虛擬貨幣的經濟犯罪頻發,區塊鏈的技術特性和跨國作案導致在取證查案的過程中會面對極大的複雜性和阻力。就以這次華住案為例,黑客用比特幣的方式在境外網站上售賣非法資料,給警方帶來了很大的辦案難度。
隨著基於虛擬貨幣的犯罪案件持續發生,在未來,或許去中心化的區塊鏈技術也必須接受中心化的政府或機構的監管。完全的去中心化是不現實的,也是種災難。對於虛擬貨幣的監管必須持續加碼,並建立國際間的合作組織來共同將這個主張無政府主義的技術栓住,使它不能作惡,在可控的範圍內實現它的技術目的。
原本區塊鏈技術作為一種非常有前景的底層技術,吸引各大網際網路巨頭紛紛開釋出局。依賴其去中心化、不可篡改的特性,可以應用於保險、物流、選舉、公益等各行各業,也包括酒店管理,可以極大改善使用者敏感資料保護中存在的安全隱患,提供金融級的資料安全保障。而如今,區塊鏈技術恰恰是以為盜取酒店使用者資料的銷贓手段出現,結果令人惋惜。
或許,無論是大資料還是區塊鏈,任何一種新技術、新理念在誕生之初都是美好的,只是隨著不斷的發展,野蠻生長的同時往往伴隨著濫用情況。只有完善法律法規,才能讓它如誕生之初所希望的一樣造福於人類。
此前,“Y Combinator中國01號員工”陸奇在媒體採訪中提到了一個理想中的“資料生態”:“我希望以後會有一個資料生態,讓與人有關的資料最終屬於個人,他有權利決定在什麼情況下、出於什麼目的,讓某個企業使用他的資料。在這個生態裡,創業公司也可以得到使用者的支援,例如使用者對教育有熱忱並且希望支援教育公司創業,他就可以將自己的資料開放給這家公司使用。”
實現這個理想的“資料生態”是一個道阻且長的過程,也許來勢洶洶的GDPR是一個先行的實踐,最終的平衡很可能要在很多的爭論和矛盾中才能逐漸達到吧。