信息泄露事件頻發(fā)，拷問AI時代的數據安全

來源：THU數據派 時間：2018-09-12 11:34:40 作者：

一、數據泄露事件頻發(fā)，個人企業(yè)損失慘重

隨著大數據時代的到來，數據信息在給我們生活帶來便利的同時，個人信息泄露的問題也日漸凸顯，尤其是網絡黑色產業(yè)鏈日益猖獗，讓我們的個人信息形如裸奔。

華住酒店集團共140G約5億條個人信息遭泄露、并在境外黑市中以8個比特幣標價售賣的新聞剛過去不久，最近順豐也傳出被用戶在“暗網”上以兩個比特幣售賣3億條快遞數據的消息。盡管順豐回應暗網所售非順豐數據，不過，有機構實測發(fā)現，網上兜售的數據真實性較高，在隨機撥打的20條信息中，有17人姓名、電話、地址與文件內容一致，且也曾用過順豐收發(fā)快遞。另外，今年八月底，浙江紹興越城警方破獲的一起案件也涉及了公民30億數據遭剽竊的嚴峻問題。新三板上市公司瑞智華勝及其關聯(lián)公司通過非法軟件清洗流量、獲取用戶的cookie，然后從中提取公民個人信息、相關賬號密碼、搜索的關鍵詞等內容，涉及了百度、騰訊、阿里、京東等全國96家互聯(lián)網公司產品的數據。

不只是國內，數據泄露已成為困擾全球企業(yè)和個人用戶的難題。僅2018上半年，在全球范圍內泄露的數據超過千萬條以上、并造成嚴重影響的事件不下10起。例如今年3月爆發(fā)的給Facebook帶來無盡麻煩的 “劍橋分析”丑聞，其中超過8700萬名用戶的數據遭到泄露。隨著對Facebook應用程序更深入的審查，“劍橋分析”可能只是冰山一角。6月27日，安全研究員Inti DeCeukelaire透露了另一個名為Nametests.com的應用程序，它已經暴露了超過1.2億用戶的信息。目前，Facebook已接受英國信息專員辦公室（ICO）開出的50萬英鎊罰單，然而這可能只是開始。

至于數據泄露所造成的影響，目前個人信息泄露帶來的直接危害主要是各類騷擾電話、詐騙電話的增加。此外，大規(guī)模的信息泄露事件發(fā)生時，泄露的數據庫會不斷完善黑客手中的密碼字典，令幾乎所有人的密碼失效。阿里安全歸零實驗室提供的數據顯示，因用戶信息泄露而產生的電信詐騙案件處于頻發(fā)狀態(tài)，僅在2017年4月至12月的8個月中就觀測到電信詐騙超過43萬起，案發(fā)資損達1億9千萬元，受害人員超過5萬人。2017年，全國公安機關共破獲電信網絡詐騙案件13.1萬起，查處違法犯罪人員5.3萬名。

除了個體用戶，企業(yè)也是數據泄露的受害者。大多數網絡攻擊都是以竊取錢財為目的，據《2018數據泄露損失研究》評估顯示，大型數據泄露代價高昂，百萬條記錄可致?lián)p失4000萬美元，5000萬條記錄可致?lián)p失3.5億美元。遭遇數據泄露事件的公司企業(yè)平均要損失386萬美元，同比去年增加了6.4%。

二、為什么數據容易發(fā)生竊取和攻擊？

在愈發(fā)頻繁的數據泄露事件中，企業(yè)數據庫安防力量薄弱、責任意識淡薄以及數據市場需求旺盛等因素為大規(guī)模數據泄露埋下伏筆。

1. 防力量薄弱，防范意識不強。360互聯(lián)網安全中心發(fā)布的《WannaCry一周年勒索軟件威脅形勢分析報告》顯示，去年勒索病毒爆發(fā)前夕，各機構有58天的時間可以進行補丁升級等安全布防工作，但一些機構錯誤認為自身隔離措施足夠安全、打補丁太麻煩，致使其最終遭受勒索病毒攻擊。同時，一些企業(yè)認為自己并非互聯(lián)網行業(yè)主要參與者，不會成為被攻擊對象，因此在用戶數據保管上沒有做好安全措施，最終導致大批量用戶數據泄露。此次華住集團數據泄露，可能原因就是開發(fā)人員安全意識不強，將公司程序代碼上傳到了GitHub（一個軟件托管平臺）上，加之酒店數據庫密碼過于簡單才導致。

2. 用戶數據市場需求旺盛。隨著互聯(lián)網的迅速發(fā)展，網絡平臺的人口紅利逐漸消失，當用戶普及度已經足夠，剩下的只是如何利用信息賺錢的問題，因此根據用戶畫像進行精準信息推送就顯得尤為重要。如今，不管功能是否相關，下載任何軟件都需開通訊錄權限、地理位置權限、攝像機權限等等，類似“××，你的手機聯(lián)系人在某APP上將你設置為‘念念不忘的對象’，詳情見××APP”這種短信，大概有5億人都曾收到過。中國消費者協(xié)會在8月29日發(fā)布的《APP個人信息泄露情況調查報告》顯示，遇到過個人信息泄露情況的人數占比為85.2%。

三、應該制定更為嚴厲、健全的數據保護法

分析這些數據泄露事件的起因，大多是由于開發(fā)人員安全意識不強，或者因為公司存在“內鬼”導致。但開發(fā)人員安全意識不強的背后，則是整個企業(yè)對信息安全的重視程度不夠。而企業(yè)及其負責人對信息安全的不重視，則是源于我國目前針對信息保護的法律法規(guī)還不健全，對于信息泄露缺乏強有力的懲罰措施，往往只會在出事之后做一些補救措施。根據周鴻祎在2018 ISC互聯(lián)網安全大會上發(fā)表的觀點：針對信息泄露事件，需要提前作出預警，事件發(fā)生后進行補救其實沒有意義。

從世界范圍來看，加強數據保護與利用相關立法已成趨勢。美國通過修訂《兒童在線隱私保護法案》為兒童等特殊敏感信息提供更加嚴格的法律保護；歐盟、新加坡等以專門立法形式，加強對個人信息的法律保護。今年5月25日，《歐盟一般數據保護條例》（GDPR）生效實施，進一步加強了對個人信息的保護力度。與此同時，大數據技術和產業(yè)的興起引發(fā)了對數據開放的強烈需求，許多國家或地區(qū)通過立法規(guī)范和促進包括政府在內的公共部門提供透明、公平的信息再利用服務。

至于我國，近年來涉及數據保護與利用的立法活動主要圍繞個人信息保護并且是基于個人信息安全而展開的。在我國現行的法律法規(guī)中，與個人信息及隱私的保密和保護相關的主要包括刑法、民法、網絡安全法、消費者權益法、郵政法、統(tǒng)計法等。其中針對個人信息保護的責任認定及處罰主要集中在刑法、民法、網絡安全法等大法當中，然而這些大法因為涉及內容較廣，針對個人信息保護的責任認定和處罰缺乏可操作的細節(jié)，量刑也相對較輕。根據公布的案例，騰訊微信、新浪微博、百度貼吧等都因涉嫌違反《網絡安全法》被立案調查，BOSS直聘網因涉嫌信息泄露被網信辦責令整改，這些就算目前比較重大的執(zhí)法案件了，但最后法律責任很多是賠禮道歉而已。

另外，個人信息保護固然是數據保護與利用立法的重中之重，但并非全部，尤其是在大數據與人工智能成為國家發(fā)展戰(zhàn)略的背景下。大數據技術與人工智能技術相輔相成，都需要海量數據作為支撐。因此，如何保證既能維護數據安全，嚴厲打擊針對數據或者濫用數據而導致的違法犯罪行為，又可以使海量數據資源所蘊含的信息價值得到充分利用成為立法的關鍵。

同時，數據安全合規(guī)責任的落實還要考慮為中小企業(yè)提供一定的政策保障。數據安全合規(guī)責任的落實需要相應配置的人力、資金和技術，中小企業(yè)可能難以達到法定要求，或者成本過高。因此，需要國家提供一定的配套政策，激勵和保障中小企業(yè)能夠現實地具備數據安全合規(guī)能力。如歐盟委員會在發(fā)布《一般數據保護條例》的同時，還提供一定的資金用于幫助企業(yè)特別是鼓勵中小企業(yè)并推出旨在幫助其實現合規(guī)的“實用在線工具”。

在互聯(lián)網幾乎已經成為現代人類生活的必需之后，在大規(guī)模地數據泄露事件面前，個人用戶作為弱勢群體，除了勤更換賬號密碼、不在陌生網站或服務商輸入個人敏感信息外，其實很難起到什么作為。

因此，作為互聯(lián)網服務的提供商，企業(yè)在數據保護面前有著不可替代的責任；作為人民安居樂業(yè)的依靠，政府對企業(yè)行為有毋庸置疑的嚴格監(jiān)管義務。當互聯(lián)網、人工智能的浪潮帶來全球居民生活方式發(fā)生徹底改變，當自動駕駛、智能家居、AI醫(yī)療等成為構建智慧城市的標配時，健全完善的規(guī)章制度是讓這個智能社會正常運轉的準繩。

四、去中心化的惡果

對于最近幾起數據泄露事件，還有一點值得注意的是販賣者在“暗網”上兜售數據，只接受比特幣或門羅幣進行交易。

從9年前誕生起，比特幣就一直運作良好，從未因政府或監(jiān)管者或硬件問題而停止運行過。比特幣通過去中心化設計實現了抵制審查，這個特性賦予了比特幣非常高的價值，同時也會導致大量的問題。比如基于虛擬貨幣的經濟犯罪頻發(fā)，區(qū)塊鏈的技術特性和跨國作案導致在取證查案的過程中會面對極大的復雜性和阻力。就以這次華住案為例，黑客用比特幣的方式在境外網站上售賣非法數據，給警方帶來了很大的辦案難度。

隨著基于虛擬貨幣的犯罪案件持續(xù)發(fā)生，在未來，或許去中心化的區(qū)塊鏈技術也必須接受中心化的政府或機構的監(jiān)管。完全的去中心化是不現實的，也是種災難。對于虛擬貨幣的監(jiān)管必須持續(xù)加碼，并建立國際間的合作組織來共同將這個主張無政府主義的技術栓住，使它不能作惡，在可控的范圍內實現它的技術目的。

原本區(qū)塊鏈技術作為一種非常有前景的底層技術，吸引各大互聯(lián)網巨頭紛紛開發(fā)布局。依賴其去中心化、不可篡改的特性，可以應用于保險、物流、選舉、公益等各行各業(yè)，也包括酒店管理，可以極大改善用戶敏感數據保護中存在的安全隱患，提供金融級的數據安全保障。而如今，區(qū)塊鏈技術恰恰是以為盜取酒店用戶數據的銷贓手段出現，結果令人惋惜。

或許，無論是大數據還是區(qū)塊鏈，任何一種新技術、新理念在誕生之初都是美好的，只是隨著不斷的發(fā)展，野蠻生長的同時往往伴隨著濫用情況。只有完善法律法規(guī)，才能讓它如誕生之初所希望的一樣造福于人類。

此前，“Y Combinator中國01號員工”陸奇在媒體采訪中提到了一個理想中的“數據生態(tài)”：“我希望以后會有一個數據生態(tài)，讓與人有關的數據最終屬于個人，他有權利決定在什么情況下、出于什么目的，讓某個企業(yè)使用他的數據。在這個生態(tài)里，創(chuàng)業(yè)公司也可以得到用戶的支持，例如用戶對教育有熱忱并且希望支持教育公司創(chuàng)業(yè)，他就可以將自己的數據開放給這家公司使用。”

實現這個理想的“數據生態(tài)”是一個道阻且長的過程，也許來勢洶洶的GDPR是一個先行的實踐，最終的平衡很可能要在很多的爭論和矛盾中才能逐漸達到吧。

?

責任編輯：方茶云