谁为数字裸奔者披上了外套?

  在数据隐私保障有缺陷的智能时代,买房买车的骚扰电话只是冰山一角,进阶版的还有被央视点名的“窃听风云”:你今天与朋友闲聊时提到想买房,明天就有App给你推荐房产信息。这种看似贴心的个性化服务却令人细思极恐:App正在“窃听”你们的谈话。

  所见、所听、所说,一举一动都在监控之下,用户就像在智能时代裸奔的透明人,或许最开始沉醉于这种自由奔放的科技体验,但被无数双眼睛“视奸”后就会感觉瑟瑟发抖。

  不久前,周鸿祎提及“数据裸奔”的概念,再次唤起了人们对隐私数据及网络安全的反思。

  对于用户来说,拒绝使用一切智能产品可以有效避免该问题,但这种因噎废食的处理方式几乎不可能实现。

  那么,如何既保护数据安全,又不影响发展?法律法规的强硬干预则是一剂猛药。



  没有规矩不成方圆


  近年来正在发生社会生产方式的革命,智能化时代来势汹汹,而数据就是这个新时代的建设基石。有人将数据形象地比作石油,一方面,AI的模型训练离不开数据,数据也是云计算的主体,数据与众多新技术的诞生与爆发有莫大的渊源。另一方面, AIoT等技术在应用过程中有在不断地产生新的海量数据。再加上新基建的推动,大数据中心被称为海量信息时代的诺亚方舟,数据也自然成为新基建的底层建筑。

  用户是数据原生产和应用的主体,企业用技术加持不断挖掘数据价值,提供服务,逻辑上来说这是一个积极向上的正循环,两个角色合力,高度智能化时代指日可待。但事实上是,双方对于数据的掌控权极度不平衡,友谊的小船说翻就翻。

  中国互联网网络信息中心数据显示,截止到2020年3月,中国手机网民共9.04亿。这意味着海量的位置信息、个人信息、购物支付信息,都会留下痕迹。此外,随着物联网设备的渗透,许多私密的的生活场景也被数据化。

  消费升级需求导致服务转化,逃不过马斯洛需求理论,用户群体正在寻求个性化的服务与产品。既然是个性化,那么企业必须通过海量、全方位的数据来进行用户画像刻画,这样才能做到千人千面。所以,一方面,企业疯狂地收集多类型的用户数据,并拿到数据的主要控制权;另一方面,市场上科技巨头的竞争也以数据为圆心,辐射到智能化,局面逐渐白热化。


  但作为数据的较大受益方,企业从主观和客观两方面却有数据安全保障的风险。


  首先,企业应用数据的本质是商业掘金,越能主导数据,自由使用数据对企业的商业发展更加有利。当然,也并非是所有的企业都是“盲目趋利者”,许多大企业也在安全方面做了努力。从客观因素方面来看,目前的安全防护技术还需要进一步优化,特别是大型企业这样的大目标,备受攻击者青睐,风险是长期存在的。

  2019年上半年,大约有8亿条个人信息在暗网上出售,7亿个邮件地址及密码被窃,6亿中国人的简历被泄露。 支付宝年度账单“蚂蚁服务”窥探隐私事件、百度身陷隐私权限门事件……数据安全事件此起彼伏。


  当然,关于保护数据安全的责任,用户自身也需要承担。


  在2018年的中国发展高层论坛上,李彦宏曾说:中国人对于隐私问题比较开放,或者说没那么敏感。如果通过交换隐私而获得便捷、效率、安全,很多情况下他们是愿意这么做的。当时李彦宏这段“大实话“几乎引起了“公愤”,不过可怕的是:这种现象的确大量存在。

  据《2020应用便捷与安全曲线报告:隐私与便利间的悖论》显示,亚太地区的用户在使用应用时更注重体验,因此常会忽略安全风险;七成以上的用户会在应用程序上共享或存储个人数据,以此获得个性化的服务与更好体验。平均69%的亚太地区用户选择以数据隐私为代价以换取更好的体验。比如,来自中国(82%)、印度(79%)和印度尼西亚(79%)的受访者最愿意分享他们的数据。一个最简单的例子:应用程序的用户协议几乎很少有人会认真看完,我们面临的协议漏洞或者霸权主义威胁竟然是自己当时默认的。

  用户的数据、隐私安全意识提高是一项长远工程,不可能一朝一夕实现,而企业本质是追逐更大化的商业利益,也不可能实现数据方面的“绝对自觉“或”绝对安全”。没有规矩不成方圆,法律法规成为了数据安全市场的破局之道。


  有法可依,数据不再裸奔


  面临数据、隐私安全问题,《中华人民共和国网络安全法》的出台成为了市场健康化的重要里程碑。

  首先,该法案明确了对公民个人信息安全进行保护,这是基本的原则。此外,法案也明确了各主体的义务与责任,增加并细化了相关政府部门的职责,加大了监管力度。紧接着,各地方的网络安全相关的法律法规不断出台,甚至针对多个细节场景有专门的规定。

  有法可依,令种种劣迹行为浮出水面,执法必严,打击了相关的违法行为。种种努力的效果显著,近年来,相关政府部门高频地通报、公示违法APP,并监督其合规。如滥采用户个人信息屡禁不止,相关部门则展开地毯式的监管,隐藏的违法行为被频频点名,如:

  去年7月,由相关组织发布了《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》;

  今年5月,21款App涉嫌超范围采集个人隐私被查;

  7月,工信部发布通知称,工信部部决定开展纵深推进App侵害用户权益专项整治行动。此次行动中,2020年8月底前上线运行全国APP技术检测平台管理系统,12月10日前完成覆盖40万款主流APP检测工作。

  网络安全法从大方向上拦截了部分数据、隐私的潜在犯罪,近期发布的首部《数据安全法(草案)》则进行了精细化地管理,有望有效防护细枝末节的违法行为。

  其主要内容包括:确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度;明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;坚持安全与发展并重,规定支持促进数据安全与发展的措施;建立保障政务数据安全和推动政务数据开放的制度措施。

  可以预测,未来针对数据安全责任的划分将会更加明确。简单来说,《数据安全法》生效后,企业、单位出现数据重大数据涉密事件,其责任人会被问责!此前,国内的企业对于数据泄露并不重视。如前不久中信银行因泄露脱口秀明星池子的个人信息,被后者在微博声讨。随后被扒出该银行的泄露行为并非首次,2018年,其就曾因类似问题遭行政处罚罚款50万元。


  是什么让犯罪行为屡禁不止?


  打击力度不够。50万罚款,对于一个大型银行来说仅仅是不痒不痛,并不会让其足够忌惮。相比之下,众所周知,令科技巨头忌惮三分的GDPR在该方面的惩罚力度就颇为铁腕。该组织因Google 的定向广告向其开出了五千万欧元的罚单。此外, FTC因Facebook隐私违规行为,欲对其进行高达数十亿美元的罚款。高额的罚款总会令犯罪行为望而却步。

  随着GDPR的实施,越来越多的企业高管开始意识到了隐私法规的重要性,法律法规的细化令企业日常运营如履薄冰。Gartner2019年度的一项调查显示,在网络安全方面,“加速隐私监管”的优先级已经超过了“人才短缺”,成为了2019年第一季度的风险监测调查中的最新风险。

  Gartner管理副总裁兼风险实践负责人Matt Shinkman表示,法律和信息安全行业的预算基本都用于解决GDPR合规问题,加利福尼亚州生效的消费者隐私法案(CCPA)就是个很好的例子。

  该法律的一些重要条款包括:企业必须披露收集的信息、商业目的以及共享这些信息的所有第三方;企业需依据消费者提出的正式要求删除相关信息;消费者可选择出售信息,企业不能随意改变价格或服务水平;政府有权对违法企业给予罚款,每次违法行为将被处以7500美元的罚款。


  在强监管的国际数据安全氛围中,以政府机构牵头的国内数据安全新环境,会发生哪些微妙的变化?


  首先,对于掌握大数据的企业来说,基于社会责任和法律红线,都需要内而外的安全体系构建。据《数据泄露典型判例分析报告》显示,数据泄露角色80%来自内部人员,企业的“内鬼”生存空间会越来越狭窄。此外,外部人员中90%的攻击来源是黑客,黑客利用漏洞或者开展社会工程学攻击。为了避免这些风险,企业可以借力AI、区块链等新技术打造坚实的防御体系。当然,他们可能会增加内部安全团队的投入,也可能会加大第三方安全产品的采购。

  此外,个人用户层面,安全隐私的保护意识会有大幅度提高,这或许会体现到用户的需求中——今后,用户的产品使用要求不仅强调个性体验,还需要安全保障。新的需求会反馈驱动企业的产品设计。

  总而言之,政府、企业、与个人的共同参与才是相对健康的生态,当正循环开启以后,整个市场发展会驶向快车道。

  【参考来源:freebuf】