2018年3月,Facebook被曝出8700多萬用戶數據泄露,此事被視為Facebook歷來遭遇的最大型數據泄露事件,導致其市值大幅縮水;6月,AcFun發布公告稱,服務器受黑客攻擊,致使近千萬條用戶數據在暗網販賣;8月,網曝華住旗下酒店用戶數據信息交易行為,泄露數據涉及到1.3億人次;11月,萬豪國際集團官方聲明稱,喜達屋旗下酒店最多約5億名客人的信息或被泄露。
數據泄露事件頻頻發生,也令數據安全問題再次被擺在臺前。“互聯網在為用戶帶來便利的同時,由于信息傳播與交易成本極低,企業如若對數據處理不當,將帶來巨大風險。”圍繞2018年眾多數據安全事件,百度安全產品總經理韓祖利表示。
需要注意的是,作為數據交易的“黑市”所在,2018年暗網整體流量在持續攀升,用戶數也在不斷增長。在韓祖利看來,當前用戶數據正在逐步變為社會資產,而該過程面臨的巨大問題在于,數據資產化的同時需要強化政策監管及企業對數據的保護,如何在保護用戶隱私的前提下發揮數據價值。
暗網流量攀升
何謂暗網?
根據互聯網信息分布情況來看,Web網可分為表網及深網(Deep Web)。與表網所區別的是,深網是指服務器上可通過標準網絡瀏覽器和連接方法訪問的頁面和服務,但主流搜索引擎不會收錄這些頁面和服務。
目前,表網的互聯網信息占比僅10%,約九成信息都分布在深網上。
暗網(Dark Web)則是深網的一個子集,用戶無法使用標準瀏覽器直接訪問其服務和頁面,僅能通過Tor (The Onion Routing)和I2P(Invisible Internet Project)等特定網絡訪問。
同時,暗網中的數據傳輸方式類似于“接力”,數據接收者無法了解數據首位發送者,從而實現互聯網匿名交流與溝通,也滋生出數據泄露與交易的“溫床”。據韓祖利介紹,暗網中約45%的信息為不合規的違法犯罪信息。
“當前暗網整個流量在持續攀升,2018年日均流量達到每秒1.1G,為暗網提供服務器的規模大約為10萬臺左右。”韓祖利指出,“整個暗網用戶數也在不斷爬升,全球日均用戶大約為243萬,其中使用中文的用戶比例很高。”
根據百度安全鎖觀察到的情況而言,2018年暗網中文社區主要的交易類型為個人信息和公司泄露數據。其中個人信息交易占比達到48%,公司泄露數據占比為20%。
“我們將個人信息分為A類和B類,A類是指極其敏感的基礎個人信息,能夠描述自然人的屬性,這樣的信息交易占比達60%。B類是指個人行為、標簽類信息,大約占比40%。”韓祖利表示。
據韓祖利介紹,在個人信息交易中,以基本資料(29.4%)、身份證信息(21.4%)、網貸信息(13.2%)為占比前三,其余還包括社工庫、銀行卡、網購信息、郵箱、個人投資理財等類型。
在他看來,這些基本能夠描述一個自然人的基本情況,亦使得數據信息的價值極高。同時,這樣的信息在網絡傳輸中的成本低,從而成為數據交易的重點。
數據治理方向
2018年7月,曾被視為新三板大數據第一股的數據堂陷入數據泄露風波。
經警方查獲,數據堂在八個月時間內日均傳輸公民個人信息1.3億余條,累計傳輸數據壓縮后為4000GB左右,數據量巨大。案件所涉數據隱私性高,涉及的上網URL數據包含了手機號、上網基站代碼等40余項信息要素。
同時,數據堂記錄手機用戶具體的上網行為,部分數據甚至能夠直接進入公民個人賬號主頁。
這樣的數據安全風險事件不在少數,也造成巨大影響。這也不由引人深思:究竟當前哪些環節出了問題,導致數據泄露頻發?
韓祖利直言,當前企業在數據保護方面的意識仍在啟蒙階段。“企業數據管理委員會已建立2年以上的占比很小,絕大部分都是在2年之內或根本尚未建立。”
因此,在數據資產化的過程中,企業如何自發保護用戶安全隱私成為重中之重。韓祖利介紹稱,暗網交易的基礎信息中,許多都是因為企業數據存儲不當導致的,企業應當重點考慮數據如何進行安全存放。
此外,在整個交易社區中,許多數據是企業內部員工個人所泄露出來的,由此引發數據的可信與可流轉問題。“數據是否會被員工拿走及私下傳播,傳播后如何確定傳播出口等,這些均為數據資產化流通過程中的重要障礙。”
監管力量在數據安全中也正日益發揮作用,當前數據安全方向的全球政策都在收緊。
據中國互聯網協會法工委副秘書長胡鋼向21世紀經濟報道記者介紹,中國在個人信息保護方面已有若干法律。早在2012年便出臺了《全國人民代表大會常務委員會關于加強網絡信息保護的決定》,此后包括《民法總則》、《消費者權益保護法》、《電子商務法》、《網絡安全法》也紛紛涉及對個人信息的保護條款。
2019年,類似隱私法律頒布可能會提速。2018年11月1日,美國參議院 Ron Wyden 提交了《消費者數據保護法案》(CDPA),該法案對隱私違法行為的處罰非常嚴厲,甚至包括了入獄。此外,被認為與GDPR高度契合的《加州消費者隱私法案》已被通過,將在2020年生效。
韓祖利則指出,當前暗網中的大量數據交易的購買方,所購數據是為求應用于企業,數據存在的價值終歸將用于生產,因此,可以考慮數據提供方與數據使用方能否在不傳輸敏感信息的前提下使用數據。
這就需要搭建安全的數據交易中心。數據提供方進入安全交易中心后,將手中數據進行一系列脫敏處理,在現有監管框架可接受、并未侵犯用戶隱私安全的前提下,將輸出結果提供給數據使用方,“這樣的價值流動就是成功的,目前來看也是有可能實現的。”
本報記者 楊清清 北京報道