2018年3月,F(xiàn)acebook被曝出8700多萬用戶數(shù)據(jù)泄露,此事被視為Facebook歷來遭遇的最大型數(shù)據(jù)泄露事件,導(dǎo)致其市值大幅縮水;6月,AcFun發(fā)布公告稱,服務(wù)器受黑客攻擊,致使近千萬條用戶數(shù)據(jù)在暗網(wǎng)販賣;8月,網(wǎng)曝華住旗下酒店用戶數(shù)據(jù)信息交易行為,泄露數(shù)據(jù)涉及到1.3億人次;11月,萬豪國際集團(tuán)官方聲明稱,喜達(dá)屋旗下酒店最多約5億名客人的信息或被泄露。
數(shù)據(jù)泄露事件頻頻發(fā)生,也令數(shù)據(jù)安全問題再次被擺在臺前。“互聯(lián)網(wǎng)在為用戶帶來便利的同時,由于信息傳播與交易成本極低,企業(yè)如若對數(shù)據(jù)處理不當(dāng),將帶來巨大風(fēng)險。”圍繞2018年眾多數(shù)據(jù)安全事件,百度安全產(chǎn)品總經(jīng)理韓祖利表示。
需要注意的是,作為數(shù)據(jù)交易的“黑市”所在,2018年暗網(wǎng)整體流量在持續(xù)攀升,用戶數(shù)也在不斷增長。在韓祖利看來,當(dāng)前用戶數(shù)據(jù)正在逐步變?yōu)樯鐣Y產(chǎn),而該過程面臨的巨大問題在于,數(shù)據(jù)資產(chǎn)化的同時需要強化政策監(jiān)管及企業(yè)對數(shù)據(jù)的保護(hù),如何在保護(hù)用戶隱私的前提下發(fā)揮數(shù)據(jù)價值。
暗網(wǎng)流量攀升
何謂暗網(wǎng)?
根據(jù)互聯(lián)網(wǎng)信息分布情況來看,Web網(wǎng)可分為表網(wǎng)及深網(wǎng)(Deep Web)。與表網(wǎng)所區(qū)別的是,深網(wǎng)是指服務(wù)器上可通過標(biāo)準(zhǔn)網(wǎng)絡(luò)瀏覽器和連接方法訪問的頁面和服務(wù),但主流搜索引擎不會收錄這些頁面和服務(wù)。
目前,表網(wǎng)的互聯(lián)網(wǎng)信息占比僅10%,約九成信息都分布在深網(wǎng)上。
暗網(wǎng)(Dark Web)則是深網(wǎng)的一個子集,用戶無法使用標(biāo)準(zhǔn)瀏覽器直接訪問其服務(wù)和頁面,僅能通過Tor (The Onion Routing)和I2P(Invisible Internet Project)等特定網(wǎng)絡(luò)訪問。
同時,暗網(wǎng)中的數(shù)據(jù)傳輸方式類似于“接力”,數(shù)據(jù)接收者無法了解數(shù)據(jù)首位發(fā)送者,從而實現(xiàn)互聯(lián)網(wǎng)匿名交流與溝通,也滋生出數(shù)據(jù)泄露與交易的“溫床”。據(jù)韓祖利介紹,暗網(wǎng)中約45%的信息為不合規(guī)的違法犯罪信息。
“當(dāng)前暗網(wǎng)整個流量在持續(xù)攀升,2018年日均流量達(dá)到每秒1.1G,為暗網(wǎng)提供服務(wù)器的規(guī)模大約為10萬臺左右。”韓祖利指出,“整個暗網(wǎng)用戶數(shù)也在不斷爬升,全球日均用戶大約為243萬,其中使用中文的用戶比例很高。”
根據(jù)百度安全鎖觀察到的情況而言,2018年暗網(wǎng)中文社區(qū)主要的交易類型為個人信息和公司泄露數(shù)據(jù)。其中個人信息交易占比達(dá)到48%,公司泄露數(shù)據(jù)占比為20%。
“我們將個人信息分為A類和B類,A類是指極其敏感的基礎(chǔ)個人信息,能夠描述自然人的屬性,這樣的信息交易占比達(dá)60%。B類是指個人行為、標(biāo)簽類信息,大約占比40%。”韓祖利表示。
據(jù)韓祖利介紹,在個人信息交易中,以基本資料(29.4%)、身份證信息(21.4%)、網(wǎng)貸信息(13.2%)為占比前三,其余還包括社工庫、銀行卡、網(wǎng)購信息、郵箱、個人投資理財?shù)阮愋汀?/p>
在他看來,這些基本能夠描述一個自然人的基本情況,亦使得數(shù)據(jù)信息的價值極高。同時,這樣的信息在網(wǎng)絡(luò)傳輸中的成本低,從而成為數(shù)據(jù)交易的重點。
數(shù)據(jù)治理方向
2018年7月,曾被視為新三板大數(shù)據(jù)第一股的數(shù)據(jù)堂陷入數(shù)據(jù)泄露風(fēng)波。
經(jīng)警方查獲,數(shù)據(jù)堂在八個月時間內(nèi)日均傳輸公民個人信息1.3億余條,累計傳輸數(shù)據(jù)壓縮后為4000GB左右,數(shù)據(jù)量巨大。案件所涉數(shù)據(jù)隱私性高,涉及的上網(wǎng)URL數(shù)據(jù)包含了手機號、上網(wǎng)基站代碼等40余項信息要素。
同時,數(shù)據(jù)堂記錄手機用戶具體的上網(wǎng)行為,部分?jǐn)?shù)據(jù)甚至能夠直接進(jìn)入公民個人賬號主頁。
這樣的數(shù)據(jù)安全風(fēng)險事件不在少數(shù),也造成巨大影響。這也不由引人深思:究竟當(dāng)前哪些環(huán)節(jié)出了問題,導(dǎo)致數(shù)據(jù)泄露頻發(fā)?
韓祖利直言,當(dāng)前企業(yè)在數(shù)據(jù)保護(hù)方面的意識仍在啟蒙階段。“企業(yè)數(shù)據(jù)管理委員會已建立2年以上的占比很小,絕大部分都是在2年之內(nèi)或根本尚未建立。”
因此,在數(shù)據(jù)資產(chǎn)化的過程中,企業(yè)如何自發(fā)保護(hù)用戶安全隱私成為重中之重。韓祖利介紹稱,暗網(wǎng)交易的基礎(chǔ)信息中,許多都是因為企業(yè)數(shù)據(jù)存儲不當(dāng)導(dǎo)致的,企業(yè)應(yīng)當(dāng)重點考慮數(shù)據(jù)如何進(jìn)行安全存放。
此外,在整個交易社區(qū)中,許多數(shù)據(jù)是企業(yè)內(nèi)部員工個人所泄露出來的,由此引發(fā)數(shù)據(jù)的可信與可流轉(zhuǎn)問題。“數(shù)據(jù)是否會被員工拿走及私下傳播,傳播后如何確定傳播出口等,這些均為數(shù)據(jù)資產(chǎn)化流通過程中的重要障礙。”
監(jiān)管力量在數(shù)據(jù)安全中也正日益發(fā)揮作用,當(dāng)前數(shù)據(jù)安全方向的全球政策都在收緊。
據(jù)中國互聯(lián)網(wǎng)協(xié)會法工委副秘書長胡鋼向21世紀(jì)經(jīng)濟(jì)報道記者介紹,中國在個人信息保護(hù)方面已有若干法律。早在2012年便出臺了《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護(hù)的決定》,此后包括《民法總則》、《消費者權(quán)益保護(hù)法》、《電子商務(wù)法》、《網(wǎng)絡(luò)安全法》也紛紛涉及對個人信息的保護(hù)條款。
2019年,類似隱私法律頒布可能會提速。2018年11月1日,美國參議院 Ron Wyden 提交了《消費者數(shù)據(jù)保護(hù)法案》(CDPA),該法案對隱私違法行為的處罰非常嚴(yán)厲,甚至包括了入獄。此外,被認(rèn)為與GDPR高度契合的《加州消費者隱私法案》已被通過,將在2020年生效。
韓祖利則指出,當(dāng)前暗網(wǎng)中的大量數(shù)據(jù)交易的購買方,所購數(shù)據(jù)是為求應(yīng)用于企業(yè),數(shù)據(jù)存在的價值終歸將用于生產(chǎn),因此,可以考慮數(shù)據(jù)提供方與數(shù)據(jù)使用方能否在不傳輸敏感信息的前提下使用數(shù)據(jù)。
這就需要搭建安全的數(shù)據(jù)交易中心。數(shù)據(jù)提供方進(jìn)入安全交易中心后,將手中數(shù)據(jù)進(jìn)行一系列脫敏處理,在現(xiàn)有監(jiān)管框架可接受、并未侵犯用戶隱私安全的前提下,將輸出結(jié)果提供給數(shù)據(jù)使用方,“這樣的價值流動就是成功的,目前來看也是有可能實現(xiàn)的。”
本報記者 楊清清 北京報道