“被透明”时代的隐私安全

近日,中国多家互联网巨头企业频频被爆出隐私保护隐患:支付宝使用“年终盘点账单”悄悄收集和利用用户的个人隐私数据 ;微信面对“偷看用户微信记录” 的舆论质疑;百度旗下的两款 APP 被指控涉嫌监听消费者电话......这让不少人陷入了“网上裸奔”的恐慌之中。在互联网时代,我们一边享受着大数据带来的红利和人工智能技术带来的惊喜,一边也不免担忧,隐私泄露事件频现,大数据挖掘个人隐私的边界在哪?个人隐私和数据安全该怎么保护?科技能找到隐私安全与商业价值之间的平衡点吗?

北京科技报记者就此采访了奇虎360、北京邮电大学信息安全中心、北京信息科技大学信息管理学院、清华大学信息科学技术学院计算机科学与技术系、蓝信移动(北京)科技有限公司的专家和教授。

一、守不住的隐私

“个人数据”被越界索取

像许多人一样,记者在 2017 年年底也打开了“ 支付宝年度账单”,看到了许多意想不到的事。

他告诉我这一年“为他人充了 7 次手机”“总出行 12 次”“横扫了北京、牡丹江的大街小巷”“最常光顾乐天玛特(通州八里桥店)”...而如果不仔细看账单协议,去掉勾选的话,“支付宝年度账单”就默认记者已经同意《芝麻服务协议》,把一项账单查询服务变成了悄悄套取公民个人隐私和信息数据的把戏。

在这个时代,想要遮挡住自己的隐私成为了一件难事。互联网巨头纷纷“ 犯案 ”,2018 年 1 月 11 日,百度、支付宝、今日头条,一同被工业和信息化部信息通信管理局约谈。

管理局指出,三家企业均存在对用户个人信息收集使用规则、目的告知不充分的情况,要求三家企业立即整改。《2017 个人信息保护年度报告》(以下简称《报告》),指出手机 APP 过度获取用户信息的现象已经泛滥。

《南方都市报》曾做过这样一个测试,以某热门游戏名为关键词,按照排名前后的顺序,选取 50 款其周边应用 APP 作为研究样本。这 50 款 APP 中,应用简介列出的权限共有 28 个——拍摄照片和视频、读取通讯录、读取 / 收发短信、录音、获取精准位置、修改 SD 卡中的内容...测试发现,仅有 2 款 APP 列出的权限是“核心”权限,即获取具有合理性,不获取就无法正常为用户服务。其他 APP 列出的所有权限均系“越界”,它们所要求获取的权限是非必要的。

奇虎 360 技术副总裁、首席隐私官谭晓生说 :“举个例子,我过去曾经使用过一个叫‘最亮手电筒’的 APP,它曾经要求我提供 GPS 坐标,这与它的服务完全没有任何关系,是越界的。”

而作为普通的个人用户,想知晓 APP 获得了自己哪方面的信息并不容易。《报告》显示,以“某热门游戏视频网 ”APP 为例,该 APP 简介中提到只会读取用户 6 项权限,但在安装时,弹出的提示中却列出了 20 项权限。经技术检测发现,它实际上至少向安卓系统申请了 21 项权限的许可。

“绝对隐私”已经不存在

这些APP目标很明确,就是为了搜集用户的个人信息。谭晓生认为:“用户的姓名、身份证号、电话号码、住址、健康状况等,其实都是个人信息。它们具有指向性, 能确认你是谁。举个例子,如果说‘这里面有几个乙肝患者’,并没有具体说是谁,就不算涉及个人信息。”谭 晓生解 释,“ 个人信息与隐私并不是一回事,隐私首先是一种权利,如果一个人想过不为人知的生活,他有这种权利,比如我不想让别人知道我的收入等。”

北京邮电大学信息安全中心主任杨义先也认为,“隐私”是因人而异的,同时也不是一成不变的,他在其著作《安全简史》中表示:“隐私本身就是一个与时间、地点、民 族、宗教、文化等有关的东西,在 某种意义上也是一种约定俗成的东西,从来就没有过永恒不变的‘隐 私’,特别是当某种东西已经不可保密时,无论如何它也不该再被看成是‘隐私’了,就像非洲某些部落妇女的乳房,至今仍然不是隐私一样。”

我们也能深刻感受到“贡献”数据带来的种种好处。通过对用户的衣食住行、家庭职业等进行统计分析,精准地描绘出一幅幅个性化的“数据画像”:推送的新闻是我们最爱看的,推荐的商品是我们最想买的,这边刚搜索租房、买票等资讯,那头就接到中介、代购公司的电话......

在“比我们更了解自己”的诱惑之下,“个人隐私”的边界可能确实需要重新定义。不过,个人信息被获取,是否属于侵犯了用户隐私的违法行为? 这基于有两个要点的评判标准。谭晓生表示,一是看获得相应个人信息,是否具有业务必要性。

“举个例子,比如说你要使用一个征婚网站,如果不提供收入、年龄、性别,网站就没法给你做匹配介绍,再比如你去淘宝买东西,就必须要给一个收货地址,企业要想提供服务,它们是必须具备的信息。”谭晓生说,而另一要点,就是企业使用用户的个人信息,一定要保障用户的知情权和选择权。

我们的隐私如何被“动”了

当这种关于个人信息的获取,忽然转向个人隐私的“腹地”时,“被透明”的不安感成为了大众的本能反应。一般情况下,企业个人信息收集得越多,用户隐私泄露的隐患就越大,哪些渠道容易出现个人信息的泄露隐患?

“个人信息”要从企业与用户手中流转到第三方,有 3 种主要的途径。首先,是第三方通过合法的方式与企业合作,获得个人信息。” 北京邮电大学信息安全中心副主任辛阳说,比如说第三方授权登录就是个例子。

其次,企业或企业的员工,也可能将个人信息非法透漏给第三方。2017 年年初,公安部破获了一起特大窃取贩卖公民个人信息案。

被窃取的用户信息达数亿条, 随后这些用户个人信息被通过各种方式在网络黑市进行贩卖。这起案件的主犯是,发生信息泄露的企业员工。

最后,能够“偷取”个人信息的不只有人,还有——病毒。“黑客的攻击行为,是个人信息泄漏的一大来源,如果黑客获取了企业和政府的数据库,就会把大量个人信息暴露在网络环境中,从而被第三者获得。”辛阳说。“举个例子, 2017 年 11 月美国五角大楼意外暴露美国国防部 分类数据库事件,泄露数据包含美国当局在全球社交媒体平台中收集到的至少 18 亿用户的个人信息。”

目前,漏洞与病毒的情况令人困扰,《2017 年中国手机安全风险报告》表示,基于“360 透视镜” 应用用户主动上传的 70 万份漏洞检测报告,此次系统安全分析结果显示:99.1%的Android设备受到中危级别漏洞的危害。2017 年第一季度,360 互联网安全中心共截获安卓平台新增恶意程序样本 222. 8 万个,移动恶意程序总体进入平稳高发期。

而大量个人信息的泄露,同时会进一步助长各类网络诈骗 :“徐玉玉遭电信诈骗致死”就是一个典型案例,犯罪分子通过网络购买学生信息和公民购房信息,以高考学生为主要诈骗对象,拨打电话骗取他人钱款,金额共计人民币 56 万余元,通话次数共计2. 3 万余次,并造成山东省临沂市罗庄区高考学生徐玉玉死亡。

二、被抢夺的大数据

普通用户的个人信息之所以会成为各大企业争相搜集的“宝物”,根本在于它是大数据的原料。“大数据中的大部分数据来源于人和传感器,包括用户上网浏览的资料、社交网络 上用户的信息和评论、传感器数据和监视数据等,这些数据往往都是以个人信息为基础的。”辛阳说。

包含了个人信息的大数据是核心竞争力

《经济学人》将大数据类比为 21 世纪的石油,大数据的重要性已经不言而喻,而在互联网企业,大数据的商业价值愈发凸显。

“拿阿里巴巴来说,2016 年阿里巴巴的员工大概有四五万,其中仅淘宝就有 3000 名员工的工作与数据相关。淘宝系统无处不在应用大数据,比如如何让商品在网页中浮现出来 ;广告如何出现 ;人工智能如何为客户带来更优质的服务,背后都是大数据在做支撑。”红杉中国专家合伙人、原阿里巴巴副总裁车品觉说 :“如果没有大数据, 淘宝明天就不活了!”在车品觉看来,大数据的存在已经不是一件新鲜事儿了,而是一种常态,“目前,基本上没有一家互联网企业不使用大数据。”他说。

从线上到线下,实体店的经营也开始依赖大数据。基于中国不同地域消费者的消费信息,运动品牌阿迪达斯发现了很多有趣的事 : 在中国南部,部分城市受香港风尚影响非常大,而另一些地方则更愿意追随韩国潮流;同是一线城市,北京和上海消费趋势不同,气候是主要的影响因素等。而有了用户画像的大数据之后,企业更容易去制定个性化的精准销售策略,从而帮助用户选择最适合的产品,比如“在某个地区,普通跑步鞋比添加了减震设备的跑鞋更好卖”“比起红色,某地消费者更偏爱蓝色”......

而在人工智能领域,大数据也扮演起“幕后推手”的角色。“许多人工智能机器人,比如获得公民身份的‘索菲亚’,都在很多方面应用了大数据,一个简单的问题便可以看出这点 :当你问人工智能机器人——从上海到北京最晚的航班是什么,它要想给出你准确的回复必须做到三点。第一,理解你的问题;第二,在理解之后要能够找到答案;第三,能用语言将答案告诉你。而想要机器人做到这三点,都离不开大数据。”车品觉说,“同时目前备受瞩目的无人驾驶,也体现了人工智能技术与大数据的结合。当车辆凭借摄像头,获得周围的交通情况时,会对如何行驶做出判断,而这种判断就是基于大数据产生的。”

目前,作为企业竞争力的核心资产,传统领域和新兴领域的企业达成了共识——大数据很重要!他们开始将“数据”视为核心资产,着手收集和分析。与此同时,政府也正在进行同样的工作。

数据安全是未来重要课题

大数据在创造利益,推进技术的同时,还有助于解决一系列社会公共问题,其中涉及医疗保健、失业、教育和经济增长等各个领域。工业和信息化部赛迪智库软件与信息服务业研究所所长安晖曾将大数据的作用归结为 3 点——推动实现巨大经济效益、有助于增强社会管理水平,推动提高安全保障能力。

2017 年 1 月,中国公布了《大数据产业发展规划(2016-2020 年)》,提出到 2020 年的发展目标:大数据相关产品和服务业务收入突破 1 万亿元。数据驱动创新发展已成为全球共识,各个国家都开始将其加入到国家发展战略中。目前,美国、欧盟、英国、日本等国,皆出台了大数据领域的助推政策。

世界级的数据角逐战,已经打响。

美国 2014 年的“窃听门”事件,让世界重新审视网络安全,从对公众造成的恐慌也可以 看出信息安全对于个人有多么重要。个人如此,国家信息安全更是如此,对那些关系着国家安危的政府、军队以及事业单位来讲,信息安全一旦出现问题,将极有可能导致整个国家的安危,甚至国际社会的动荡。

去年年末,在推动实施国家大数据战略时也重点强调,推进数据资源整合和开放共享的同时也要保障数据安全。随着5G 时代加速来临,在收集数据的基础上分析和使用数据、如何保障个人隐私和数据安全,将成为未来大数据应用的重要课题。

三、“企业级”迷茫的解决之道

在关于信息安全的这一波讨论中,浙江吉利控股集团董事长李书福日前在 2018 正和岛新年论坛上的发言尤其值得关注,他直言,“马化腾肯定天天在看我们的微信”。虽然微信随即做出回应,表示微信聊天内容只保存在本地设备上,不会将用户的聊天内容用于大数据分析,但李书福作为企业家的担忧,将数据安全上升到了另外一个层面。如果说普通用户的信息安全风险仅仅限于隐私泄露,那么作为政府机关、企业等公有数据所有者来说,数据安全则有可能关系到企业的商业秘密保护,甚至是国家的战略安全。

公有数据者的迷茫与焦虑

随着互联网、大数据的发展与繁荣,越来越多的企业与政府机关,主动或被迫“接入”了互联网信息时代,但公有数据持有者的迷茫和焦虑,却并未随着大数据的繁荣而减缓。越来越多的企业信息、数据资料被存储在第三方终端上,终于引起了李书福这样企业家的不满与不安。

实际上,普通用户与企业政府机关等公共机构对于信息安全需求的矛盾正在日益凸显——普通公众对于端到端加密等隐私保护方式并不十分在意,甚至有意地希望减缓这种保护,例如在QQ花钱购买 VIP服务就可以在云端保存 1-2 年的聊天记录;但企业的需求则恰恰相反,他们不希望云平台能够看到数据资料,特别是大型国企、事业单位、政府机关,许多涉密信息一旦泄露,或者被不法分子盗取窃用,后果必然不堪设想。

一份调查资料展示的数据让人不寒而栗,全球58%的企业承认在过去的 12 个月里至少遇到过一次数据泄露事件,而其中一半的企业表示,它们至少遭遇了一次内部事件。 超过三分之一的企业至少遭受了一次涉及商业伙伴或第三方供应商的攻击。某企业老总更是直言“我们无法把企业数据都存储在某个具有外资背景的办公软件服务终端上”。

加密信息在服务器上并未加密?

几年前,作家麦家的几部长篇小说口碑奇佳,其中《风语》更是让人印象深刻,小说中,除了展示天才数学家陈家鹄的传奇人生之外,更是让读者领略到了密码学的高深与奥妙,从原始密码、移位密码再到替代密码,一部小说几乎浓缩了整个密码学的发展历史。

虽然谍战小说中的密码破译离我们很远,但现实生活中,特别是互联网信息社会里——密码学却无时无刻不存在着。随着经济社会的发展,密码学极大地促进了计算机科学, 特别是电脑与网络安全所使用技术的发展,一些转化成果、加密技术,早已被广泛应用在生活当中,我们熟悉的微信,传输技术中的“加密环节”,就是密码学的直接应用。

私有化部署+端到端加密

基于商业机密和对数据安全的需求,技术上来看将数据进行私有化部署是一个有效的技术手段。大型企业移动工作平台服务提供商,蓝信移动(北京)科技有限公司产品总监董玉斌告诉记者,在数据的传输上,蓝信是移动互联网时代的企业专属移动工作平台,可采用国内最先进的国密算法保障链路安全,并能对使用者的数据进行私有化部署,而存储本身也使用国密算法。

“简而言之,就是将数据部署在使用组织手中,在外不落地,既满足了他们对云数据存储的要求,又很好的兼顾了隐私性与安全性,诸如新华社、中色股份等对信息安全要求高的政府机关、央企国企、大型企业及组织机构都是这么做的。” 董玉斌认为,微信的数据处理方式,并非完全意义上的端到端加密。微信可以对聊天内容做大数据分析,有针对性地推送广告,公安机关也可以获取到聊天信息。

董玉斌介绍,所谓“端到端加密”是一种不经过服务器,通过终端之间传输加解密的一种传输方式,与之相对应的是普通链路传输方式,这种传输方式,就是要通过服务器进行“连接”的。而在主流的加密通信应用中,也分别有两种模式,其一为默认端到端加密,另一种则是选择性端到端加密。记者了解到,目前为止Telegram和FBMessanger已经只提供选择性端到端加密模式,其他的 iMessage、WhatsApp、Signal、 Wire、Line 均是默认端到端加密,保障每一条通信的安全性。

公有云潜在风险

云端成为网络犯罪分子的目标也并不奇怪,因为这里存储着大量的数据,尤其是公有云。对此,相关云安全专家也指出“公有云的应用正在快速增长,因此不可避免地会出现更多的潜在风险”。此外,我们常说“家贼难防”,许多威胁更是来自于企业内部,心怀鬼胎的内部人员拥有更多查看并访问数据的权利,也就增加了更多不确定性。

随着云应用不断增长,人们的关注点正在从迁移到云环境转变成云环境安全性和数据可视性,各企业也逐渐意识到,实施全面云端可视性解决方案至关重要。董玉斌认为,人肯定是安全最核心的因素,但是平台和系统不可能完全依靠人或者管理来解决。系统和平台必须也要有很强的结构和安全防护能力。

“蓝信已经通过了 ISO27001:2013 国际安全认证。此外,蓝信已经通过了ISO27001:2013 国际安全认证,这是公司运营和管理上的约束条件之一,另外蓝信内部也有很严格的信息安全管理制度和巡检制度。同时还会定期进行侵入测试,每周出具系统安全评估报告,保障企业移动工作平台的安全。”

北京信息科技大学信息管理学院教授康海燕则认为,加强网络信息安全,除了必要的技术手段以外,规范政策和提高安全意识缺一不可,支付宝获取个人信息做大数据分析以后,网信办对相关负责人进行了约谈,未来有关法规势必会更加完善。个人方面,提高安全意识同样必不可少,他建议“用户在使用这类服务之前要充分阅读相关政策协议,有选择性地使用一些功能,要加强个人信息安全的保护意识”。

四、安全与便捷的平衡点

“中国多家互联网巨头企业被爆出隐私保护隐患”的背后,反映出目前个人数据权益保护现状不容乐观。 但从一个侧面也彰显了国人对于网络隐私需求的不断加强,与其担忧自己会不会成为“灰色大数据”的收集对象,不如严以自律、主动防御,把“隐私被泄”的风险降到最低。

面对数字经济矛盾,个人提高防范意识

清华大学计算机系教授黄连生认为,在互联网大数据时代,安全与便捷,实际上是一对矛盾,对个人及公共用户而言,在追求更好用户体验的同时,个人隐私或商业机密、 甚至国家机密都存在泄露的风险 。“ 淘宝根据浏览习惯推送产品,方便用户购买的同时,代价就是侵犯用户隐私,支付宝微信的扫码支付让人们免去了钱包的烦恼,却也在一定程度带来了货币资产风险的隐患。”

近几年对于网络安全、个人信息保护机制的法律法规不断出台更新,可界定细节模糊,处罚机制不全的情况一直存在,导致部分服务商反而愈演愈烈。此外,目前我国并没有专门的大数据方面的立法,所谓隐私政策条款,用户几乎没有议价能力,要注册就只能“同意”, 而条款内容有些语焉不详,有些晦涩难懂,对自己的“隐私权”更是根本难以控制。

大数据时代信息的保护 , 是全世界共同面临的问题。在国外,不少知名公司也曾因搜集用户的位置信息而惹上麻烦,甚至是面临诉讼。例如谷歌公司曾计划推出一项新的隐私条款,对旗下 60 多款产品各自的隐私条款实行统一化,结果引起 了美国两党共计 8 人组成的立法调查委员会的质疑,最终不得不停止 了计划 ;苹果公司也曾因为手机定位事件,受到了来自韩国有关部门的罚单。

对于普通用户来说,除了提高自我隐私的防范意识以外,尽最大可能地把隐私控制在合理范围之内,就是相关制度建设亟待完善的地方。业界和政府部门应强化教育责任,使普通用户在别无选择的情况下,具备起码的隐私保护意识和技能,做好理性判断、留存证据和数据备份等方面的防范措施。

黄连生建议,“可以把公众经常 使用的手机软件进行细化的安全等级分级,并严格规定安全区间和服务标准,对于违反的企业和个人,要有严格的处罚和管理措施,严惩不怠。”

构建成熟的数据保护制度

据 2017 年麦肯锡全球研究所报告显示,全球跨境数据规模由 2005 年的每秒 5 万亿比特 (bit) 蹿升至 2016 年的每秒 397 万亿比特,11 年间增长了近 80 倍。未来跨境数据 2021 年将达到每秒 1914 万亿比特。而作为信息革命的领跑者,无论是从维护国家利益的角度,还是从构建更为公平合理的全球治理体系的角度,中国都应该加强个人数据保护制度的构建。

2015 年 12 月 15 日,欧盟执行委员会曾通过一份《一般数据保 护条例》,被认为是目前最严格的数据保护法律。尤其是巨额的惩罚上限 :对于不太严重的违法,罚款上限是一千万欧元或前一年全球营业收入的2%(两值中取大者);对于严重的违法,罚款上限是两千万欧元或前一年全球营业收入的 4%(两值中取大者)。

事实上,在我国新出台的网络安全法当中,对于个人隐私数据的保护已经大大加强,例如规定基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据,应当在境内存储就是个很好的例子。

从今年 3 月起,中国内地的 iCloud服务将转由云上贵州负责运营,通过 iCloud 存储的所有数据(包括照片、视频、文稿和备份等)都将受到 iCloud(由云上贵州运营)条款和条件的约束。而亚马逊 AWS 早已在去年,就把国内业务交由光华新网负责。

找到“平衡点”的最佳状态

未来的竞争将是在“云端”之上,依赖大数据的 AI 竞争,谁掌控了数据,谁就掌控了竞争格局,其重要性不言而喻。但在以大数据为基础的信息社会,一方面大数据产业的繁荣很好地促进了经济社会的发展,另一方面伴随大数据而来的安全问题,特别是隐私保护的问题并未真正解决,这已经成为阻碍大数据进一步发展的重要问题。

业内人士指出,大数据安全问题 大致可以归为两类,一类是数据泄露和数据丢失,例如影星汤唯就曾经因为个人信息泄露,遭遇过电话诈骗 ; 第二类是由于多元数据的应用,导致个人业务的隐私泄露更加严重,人们的一些行为和状态更能被预测,今年支付宝年度账单的事情,就是个很好的例子。

实际上,诸如个人隐私这一类信息安全问题,与以往的任何信息安全问题都有所不同,并非“进单元楼刷门禁卡”这么简单,而是一种全新的“个人安全观”,这种新安全观,需要在利用大数据时,找到开放和保护的平衡点。数据开放和共享是驱动创新发展的前提,而保卫数据安全和个人隐私则是这前提的必要条件。在其中,找到用户体验和商业价值的平衡点才是最佳状态,同时也是未来的大趋势。

中国信息通信研究院总工程师余晓晖认为,除了推进法律制度建设健全以外,风险评估和安全审查机制同样必不可少。余晓晖强调,要确保数据安全与个人隐私安全,强化数据收集、使用的规则 ;要明确数据产权,抓紧确立数据交易的规则 ;要建立风险评估和安全审查的机制 ;还要就重点问题制定针对性制度,以此寻找到相应的平衡点。

据了解,在这方面,国外的做法通常是设置安全机制,采用第三方信息安全审计,并对数据的使用作出明确规定。就国内而言,个人信息保护方面的工作实则才刚刚开始,如何应对大数据时代的个人隐私信息的保护,对于政府和个人来说,都将是巨大的任务和挑战。

免责声明:本文为厂商推广稿件,企业发布本文的目的在于推广其产品或服务,安科网发布此文仅为传递信息,不代表安科网赞同其观点,不对对内容真实性负责,仅供用户参考之用,不构成任何投资、使用等行为的建议。请读者使用之前核实真实性,以及可能存在的风险,任何后果均由读者自行承担。

相关推荐