数据安全“坏棋”

来源: 发布时间:2019-01-14 08:24 浏览次数: 【字体:

新闻来源:《环球》杂志,作者方家喜刚刚过去的一年,跨国信息网络巨头的数据安全事件不绝于耳。

2018年3月,英国《卫报》、美国《纽约时报》等多家媒体报道了一场规模极大的数据泄露事件:超过5000万脸书用户的信息数据被一家名为剑桥分析的公司泄露。2018年10月,谷歌母公司“字母表”公司宣布,将关闭旗下社交网站“谷歌+”的消费者版本。这一决定源于媒体对“谷歌+”安全漏洞的曝光。

据观察,目前全球范围内的数据采集、存储、交易等环节均存在安全隐患,数据隐私管理法规不健全,数据产权立法滞后。有专家认为,数据安全“红与黑”的博弈仍将长期持续,我们需要从技术创新和法制完善两方面保障大数据安全,推动大数据产业发展。

数据泄露重创科技巨头

2018年,对于脸书来说是灾难性的一年,也是数据安全面临持续考验的一年。

2018年3月底,英美媒体披露,脸书放任为特朗普选举活动工作的剑桥分析公司,在没有得到脸书用户授权的情况下获取数百万用户的数据。脸书随后承认超过5000万用户的个人数据被这家英国公司获取且用于政治目的。这次事件在脸书历史上是一个重大的转折,脸书股价遭到沉重打击。

2018年夏天,脸书被曝出可能曾向美国众多银行建议开发其用户的数据。脸书可能同主要银行机构,比如摩根大通、富国银行、花旗银行等接触以谈判共享银行数据。脸书一名发言人回应称,“就像很多有商业活动的互联网企业一样,我们同银行和银行卡发卡机构协作,提供客户聊天或账户管理等服务”。

9月底,脸书称近5000万账户被黑客侵入。根据脸书博客的说法,一处安全漏洞可能是导致被黑的原因。

就在2018年行将结束之时,有关用户个人数据的最新事件让脸书再度陷入困境。12月19日,《纽约时报》的一篇调查揭示脸书在对待用户数据上再一次显得过于慷慨了。脸书让美国科技巨头(微软、雅虎、奈飞、亚马逊等)可以阅读到网民的私信以及查看好友的帖子。据统计,尽管脸书在全球的用户不断增长,但增速相比以前已大幅放缓。

另一家科技巨头谷歌公司,同样在2018年因为数据安全事件遭受质疑。美国“字母表”公司10月8日说,旗下社交网络应用“谷歌+”存在安全漏洞,至少50万用户的隐私数据可能“不设防”,定于2019年8月关闭这一应用的“消费者版本”即面向个人用户的免费版本。

谷歌公司披露,那处系统安全漏洞可能导致用户姓名、电子邮箱地址、性别、年龄等隐私信息暴露;由于这类信息只保留两个星期,无法估算有多少用户受影响。

在中国,数据安全形势同样不容忽视。2018年8月,绍兴警方破获了一起涉及30亿条用户数据遭窃取的案件,受害者涉及百度、腾讯、阿里、今日头条等全国96家互联网公司的用户。经过技术侦查,北京瑞智华胜科技股份有限公司等三家涉案公司相继浮出水面。警方初步查明,三家公司背后运营系同一伙人且分工明确。瑞智华胜用于流量数据处理、推广获利变现,另外两家涉案公司则通过与运营商合作,劫持流量,清洗用户cookie等各种数据。

保障数据安全的技术手段

有业内人士透露,出于个性化服务和精准营销的目的,一些企业希望全面了解自己的用户,但每家公司从自有渠道收集的数据都是片面的,从而滋生购买数据或与其他公司交换数据的需求。据了解,除了政府开放的数据和企业自身收集的数据,市场交易也是数据的重要来源,但这也在某种程度上催生了黑色产业链。

多年来,以贩卖个人信息为主的地下数据黑产业链十分活跃,这在一定程度上制约了合法大数据交易产业的发展。据了解,正规交易的数据需要经过采集、清洗、脱敏、脱密、融合等流程,数据的合法性、真实性和安全性有保障,成本较高。黑市交易的大部分数据多由“内鬼”或黑客窃取而来,成本低利润高。

有业内人士指出,在全球范围内,大数据交易均面临数据产品未授权复制,数据被泄密、伪造和篡改,交易行为抵赖等安全威胁,而密码技术和人工智能技术是保障大数据交易安全的核心和关键。

根据美国韦克菲尔德研究中心和网络安全厂商Webroo最近对400名安全专家的查询,99%的受访者认为选用人工智能在总体上可以改进其组织的网络安全。87%的受访者表明他们的组织已将人工智能作为其网络安全策略的一部分。实际上,美国74%的网络安全专业人士认为,在未来3年内,假设没有人工智能,他们的公司将无法保护数字资产的安全。

美国网络安全厂商Imperva公司首席技术官特里·雷说:“人工智能选择一个需要在一系列条件下进行保护的新程序,并自动编写所需的防火墙规则以强化这个新程序从一个数据中心移动到另一个数据中心。当然,也可以在同一个数据中心内搬家。”

“数据确权”是立法关键

大数据和信息安全方面的专家表示,要想遏制数据泄露问题,就应尽快推进大数据安全的法律建设。首先是个人信息安全与隐私权保护问题、数据权属及应用中的法律问题;第二是人工智能、区块链等新兴产业中的数据应用法律问题;第三是行业内部大数据的法治问题。

中国政法大学副校长时建中表示,“数据生产、采集、存储、加工、分析、服务等相关经济活动中如何确保数据安全,应该是立法的重点,是规范数据行为和促进数据行业发展的法治需求。”

在法律专家看来,数据确权是个新兴法律课题,挑战巨大。例如,数据的采集、加工、控制、利用、交易等环节可能有多个参与方,什么情况下什么类型的参与方可以获得数据,所拥有的权利中哪些是排他性的权利(即绝对禁止他人抄袭和模仿)等,每一步设计都关系到多种利益的博弈和平衡,在实践中尚未形成共识和惯例。

大数据流通与交易技术国家工程实验室大数据政策法律研究中心主任高富平指出,应当建立民事、行政和刑事多种手段,国家法治和行业自治协同的全面的个人信息保护体系,在保护个人权益的前提下规范、安全、有序地利用个人信息,释放大数据的红利。

扫一扫在手机打开当前页
【打印正文】