大資料時代,如何保護使用者隱私
大規模使用者隱私洩露事件又一次被爆出:萬豪國際集團旗下酒店客房預訂資料庫被黑客入侵,約5億名客人的資訊或被洩露。業界稱,這是自之前雅虎30億使用者資訊被竊以來規模最大的一次。
今年以來,使用者隱私洩露事件時有發生。從支付寶年度賬單事件、Facebook(臉書)使用者資料洩露,到攜程大資料“殺熟”、華住酒店集團資訊洩露案,每一次都引發各界持續熱議。“電子商務迅速發展,增加了個人資訊洩露風險;網際網路金融新業態湧現,帶來了許多網路詐騙新形式;中國移動支付全球領先,伴隨的風險不容忽視;共享單車、網約車等也易引發資訊洩露。”中國工程院院士鄔賀銓說。
接連發生的使用者資料洩露事件帶來哪些反思?大資料時代,如何為網民的隱私上一把“安全鎖”?
防禦黑客攻擊,嚴查身邊“內鬼”
前段時間,國家資訊中心國信衛士網路空間安全研究院技術發展研究室副主任鄧子健在網路電商平臺上買了一款耳麥,後來他發現,電腦開啟的網頁,基本都在推送某品牌的耳機廣告。
鄧子健這個因資料洩露帶來的困擾,引起不少業界人士的共鳴。“大資料特別是個人資訊資料在黑色產業中已被看作是高價值資源,資料洩露一大元凶是外部黑客的攻擊。”大資料協同安全技術國家工程實驗室副主任左英男說。
360企業安全集團董事長齊向東表示,網際網路從出現就伴隨著網路攻擊,有了網路攻擊才產生了網路安全技術。“隨著電商等業務發展,黑客要竊取的就是使用者隱私資料。”
此外,從近年來查處案例來看,很多堅固的“堡壘”都是從內部開始被攻破的。“很多客戶資訊一般只有內部員工才能接觸,少數利慾薰心的‘內鬼’作祟,導致使用者資訊流入黑色產業,成為被交易的物件。”天空衛士網路安全專家楊明非說。
但對於“內鬼”的描述,很多隻是輕描淡寫。“畢竟‘家醜不外揚’,內部威脅少有披露,並不代表沒有。”一位大型連鎖汽車銷售集團資訊保安人員透露,對於內部資料洩露場景,除郵件傳送這一主渠道外,還有網盤上傳、終端操作等,尤其對於存有大量客戶資訊的企業來說,防“內鬼”壓力非常大。
多數使用者不知資料流向何方
“通過某位明星的幾張微博圖片,只用了40分鐘,就推理出了明星住址……”去年一位網友的發帖曾一度引人咋舌。“人們在微博、朋友圈等釋出位置、照片時,常認為這些資訊無關緊要,但不法分子可以多方面重複交叉收集資訊,讓這些資料之間互相對照,一旦與其他資料組合,就會得到有價值的資訊。比如,瞭解一個人到過的四個位置,就可以識別出很多精準資訊。”鄔賀銓說。
“從最早的‘bug’到後來的黑客職業化、漏洞攻擊專業化、市場開拓產業化,漏洞帶來巨大的地下經濟產業,形成了完整的產業鏈。公開資料顯示,中國網路黑色產業從業人員已超過150萬人,市場規模高達千億級。”齊向東說。
在美創科技相關負責人沈武林看來,與酒店資訊洩露相關的電信詐騙、敲詐勒索、惡意營銷等,已成為社會的一大頑疾,“黑市上很多個人資料明碼標價,甚至幾百塊錢就能買到,獲取隱私資料後再進行精準詐騙等”。
然而,隱私資料究竟怎麼被收集,收集後流向何方,很多使用者都對此一臉茫然。“至少70%以上的人不知道自己資料在哪兒,有的人大致知道,但對資料的詳細分佈也不瞭解;另外,多數企業無法為使用者提供一份‘資料地圖’,更別說給出‘資料地圖’中重要資料、敏感資料的分佈,以及資料之間的關係。”沈武林說。
完善立法,促進企業內生機制建立
“一家企業如果沒有安全,就談不上發展。使用者個人資料保護應該納入企業安全管理的範疇,並且要建立跨部門業務線的安全保護體系。也就是說,‘安全’必須無縫隙地與每一條業務線,每一個新產品、新應用相融合。”中國社科院法學研究所研究員周漢華坦言,過去說“合規”,往往是產業線下游或末端的合規,但使用者資訊保護要從源頭開始。“從近年來爆出的資料洩露案例看,只要企業機構設定有效的內生機制,其實都是可防可治的。”
在使用者資料保護方面,企業作為資料的收集者、控制者,既做“運動員”又做“裁判員”顯然難以解決問題。“因此不能光靠企業自律,要讓法律推動內生機制生成。尤其通過以個人資訊保護法為核心的一整套機制作為保障,形成有效的外部威懾。”周漢華說。
“我們已經步入了‘數權’時代。一次次資料洩露付出的代價,讓我們更加明白使用者隱私保護的重要性,也感受到資料安全法律制度改進與完善的緊迫性。”大資料戰略重點實驗室主任連玉明說。
在連玉明看來,資料保護方面的立法要從資料全生命週期出發,包括資料的採集、儲存、流通、應用等環節,思考如何做到有效地防攻擊、防洩露、防竊取、防篡改、防非法使用,並通過最大限度地限制公權和保護私權,推動大資料安全管理的標準化、規範化。
資訊保安“攻防戰”永無止境
近年來,手機應用、智慧攝像頭、WiFi等洩露使用者隱私現象讓人防不勝防。如今,支撐智慧時代的大資料、雲端計算、人工智慧等技術,既是創新發展的助推器,也是滋生網路安全問題的催化劑。“智慧時代,新技術是幫凶,也是剋星。資訊保安的這場‘攻防戰’永無止境。”齊向東說。
一家網際網路企業的技術架構師透露,現在不少企業的IT部門已被弱化,雖然也有云服務提供商,但整個資料的傳輸、儲存、分享,以及資料處理和管理流程的鏈條過長,涉及中間環節太多,“技術上做不到位,無法談資訊保安和隱私保護”。
如何做到“魔高一尺,道高一丈”?“網路攻擊已是不可避免,資料集中也是未來趨勢,我們能做的就是改變資料保護的方法和技術體系,讓攻擊者哪怕攻進來,也不會盜走資料,還要以最快的速度把網路威脅檢測出來,並做出快速響應。”齊向東說。
國家密碼行業標準化技術委員會主任委員徐漢良建議,利用密碼技術與資料標識相結合,通過信任管理、訪問控制、資料加密、可信計算、密紋檢索等措施,構建傳輸、分析、應用為一體的資料安全體系,解決隱私保護、資料來源真實、防身份假冒等問題。
“在資料流通方面,建議通過使用匿名化,讓脫敏資料去掉標籤;也可通過‘差別隱私’機制,在資料里加入一些‘噪音’,以保護資料的外部識別。”英國勵訊集團全球副總裁Flavio Villanustre說。(記者 李政葳)