特約撰稿人|宋向東

IPv6互聯(lián)網(wǎng)和物聯(lián)網(wǎng)時代即將來臨，如果信息安全工作跟不上，其后果將是災(zāi)難性的。

隨著信息技術(shù)的飛速發(fā)展，信息安全也越來越重要。此前Facebook數(shù)據(jù)泄露事件爆發(fā)，更是引發(fā)世界震蕩。

個人數(shù)據(jù)泄露觸目驚心

Facebook數(shù)據(jù)泄露源于其在2007年為增強用戶粘性推出的應(yīng)用編程接口。通過這個接口，第三方軟件開發(fā)者可以開發(fā)Facebook網(wǎng)站上運行的應(yīng)用程序，而用戶可通過這一平臺在線使用相關(guān)應(yīng)用程序并進行互動。英國數(shù)據(jù)分析公司劍橋咨詢正是利用了當時Facebook的平臺數(shù)據(jù)共享的漏洞，致使Facebook上5000萬用戶數(shù)據(jù)泄露。劍橋咨詢在收集到上述數(shù)據(jù)后，分析出了用戶的行為模式、性格特征、價值觀取向、成長經(jīng)歷等，便針對特定用戶推送競選廣告，這種行為足以影響大眾取向。

數(shù)據(jù)泄露丑聞?wù)痼@世界，歐盟、英國紛紛做出強烈反應(yīng)，要求對數(shù)據(jù)泄露事件進行調(diào)查。英國信息委員會于2018年7月10日做出決定，對Facebook處以66.4萬美元罰款。他們認為Facebook缺乏強有力的隱私保護措施，而且忽視了有望阻止劍橋分析操縱輿論的重要信號，其中也包括2016年英國脫歐公投。

因受2018年3月發(fā)現(xiàn)的個人信息不正當使用丑聞和歐盟（EU）實施GDPR（一般數(shù)據(jù)保護規(guī)則）的影響，F(xiàn)acebook在歐洲的MAU（活躍用戶數(shù)/月）比前期減少了100萬戶。

互聯(lián)網(wǎng)用戶數(shù)據(jù)泄露風(fēng)險加大

無獨有偶，在此前Equifax公司的黑客事件中，有多達1.43億美國公民的數(shù)據(jù)被泄露，成為美國企業(yè)歷史上最嚴重的個人信息泄露事件。佛羅里達州的數(shù)據(jù)公司Exactis早已指明，在Exactis的服務(wù)器上有超過3.4億條個人數(shù)據(jù)，任何人都可看到，安全專家Vinny Troia用一種名為“Shodan”的工具發(fā)現(xiàn)了這一事實。依據(jù)該公司網(wǎng)站的資料，Exactis是全球最大的營銷公司，存儲有35億條數(shù)據(jù)，并從事公司和個人的信息聚合業(yè)務(wù)。根據(jù)Troia的說法，Exactis服務(wù)器上的個人信息不僅包括姓名和電話號碼，還包括性別、有無兒童、有無寵物、吸不吸煙等各種信息，對有關(guān)信用卡信息和收入方面的記述等未說明，但這已是一個非常嚴重的個人信息泄露事件。

現(xiàn)在，隨著廣告技術(shù)的發(fā)展，可精確把握特定的消費層，個人信息泄露事件風(fēng)險已經(jīng)越來越大。例如，Google通過搜索、郵件和日歷等免費服務(wù)，盡可能地吸收了個人信息。據(jù)說他們在完成“數(shù)據(jù)洗錢”之后，已經(jīng)進入了用AI賺錢的階段。

歐盟率先以GDPR立法阻擊個人信息泄露

歐盟率先以立法形式制定了GDPR，以設(shè)法阻擊個人信息泄露，這在互聯(lián)網(wǎng)上具有里程碑意義，GDPR關(guān)鍵點如下。

●GDPR的目標：關(guān)閉巨型公司的入口

GDPR自2016年頒布以來，就瞄準了巨型企業(yè)。當時，歐洲議會議長馬丁·舒爾茨講話中強調(diào)：“如果個人信息是21世紀最重要的商品，那么就應(yīng)強化對個人數(shù)據(jù)所有權(quán)的保護。特別是要反制無需支付任何代價就把個人信息這個‘商品’弄到手的公司?！彼貏e提到谷歌、蘋果、亞馬遜、Facebook、阿里巴巴等，這些公司不應(yīng)該破壞個人隱私。GDPR將從源頭上抑制個人信息泄露。

●GDPR的歷史背景

GDPR在歐洲歷史上的作用已從數(shù)字監(jiān)視社會到守護歐盟公民。歐盟并沒有終結(jié)GDPR，而是為推進創(chuàng)建出以個人做主體的新信息基礎(chǔ)設(shè)施的政策，這也是一個由美國主導(dǎo)的“下一代互聯(lián)網(wǎng)”概念。歐盟已經(jīng)準備提供800億歐元的創(chuàng)新項目資助金，實施“展望2020”項目，它的目標是建設(shè)一個數(shù)字經(jīng)濟區(qū)，提供新的信息基礎(chǔ)設(shè)施，可以在保護隱私的同時，廣泛共享數(shù)據(jù)。在GDPR中，“AI的隱私”也將涵蓋在內(nèi)。例如，當機器人自動駕駛發(fā)生事故時，誰應(yīng)負責(zé)？如果AI完全獨立于人的指令，一旦出事，那么法律責(zé)任和法人是誰？應(yīng)該不是AI本身，歐盟認為應(yīng)由法律進行規(guī)范。

●歐盟推動數(shù)據(jù)可移植性權(quán)利發(fā)展

2018年5月生效的歐盟GDPR定義了“數(shù)據(jù)可移植性的權(quán)利”，在日本引起高度關(guān)注。

所謂“數(shù)據(jù)可移植性”，就是某些服務(wù)收集和存儲的特定用戶數(shù)據(jù)，可以在其他服務(wù)中重用，也被稱為便攜式（可移植性）。更具體地說，每個服務(wù)用戶都可以行使自身的個人數(shù)據(jù)管理員功能。為了實現(xiàn)這個技術(shù)，要對多個服務(wù)之間共同可用的數(shù)據(jù)格式整合，并實現(xiàn)管理員之間數(shù)據(jù)發(fā)送/接收的通用化。如果數(shù)據(jù)可移植性的權(quán)力已經(jīng)確立，管理員就可以行使這個權(quán)力，這將推動格式的標準化。

其實數(shù)據(jù)可移植性的權(quán)利問題業(yè)界早有探索。例如，早在2017年2月，新西蘭隱私委員會主席約翰·愛德華茲便提出在全國創(chuàng)建數(shù)據(jù)可移植性權(quán)利的提案；2017年11月，日本經(jīng)濟產(chǎn)業(yè)省和總務(wù)省共同舉辦了“數(shù)據(jù)可移植性權(quán)利研討會”。

●建立數(shù)據(jù)可移植權(quán)利的背景

由于谷歌和Facebook等美國平臺事業(yè)者的壟斷地位不斷強化，這不利于市場競爭。推出數(shù)據(jù)可移植性權(quán)利就是為市場競爭創(chuàng)造出良好的市場環(huán)境。其實，歐盟委員會在2015年12月公布的數(shù)據(jù)保護規(guī)則中，就闡述了如何讓創(chuàng)業(yè)公司和小企業(yè)訪問數(shù)碼巨頭主導(dǎo)的數(shù)據(jù)市場，并能夠通過隱私保護措施吸引更多的消費者。對于使用web服務(wù)的各個用戶來說，服務(wù)選擇的自由度增加了，這是它最大的優(yōu)點。

另外，通過企業(yè)之間的競爭，用戶直接獲得經(jīng)濟利益的機會也擴大了。例如，在移動電話通信服務(wù)中，引進攜號專網(wǎng)后，運營商為了用戶轉(zhuǎn)移到自己網(wǎng)中，紛紛推出優(yōu)惠措施，從別的運營商中挖用戶。此外，人們可以自己管理自己的個人數(shù)據(jù)，這可能會創(chuàng)造新的商業(yè)機會。這就是被稱為“信息銀行”的機制。日本2015年就創(chuàng)建了個人信息保護法的可行機制。

美國政府加大查處數(shù)據(jù)泄露力度

據(jù)外媒報道，美國證券交易委員會（SEC）、聯(lián)邦貿(mào)易委員會（FTC）和聯(lián)邦調(diào)查局（FBI）等政府機構(gòu)紛紛加入了對Facebook和咨詢公司Cambridge Analytica盜用數(shù)據(jù)指控的調(diào)查。

其中參與美國總統(tǒng)特朗普陣營大選的數(shù)字咨詢公司Cambridge Analytica非法使用了Facebook多達8700萬用戶的個人信息，司法部開始進行調(diào)查。Facebook的首席執(zhí)行官馬克·扎克伯格在4月的兩次美國國會聽證會上，就此問題做出回應(yīng)。

此外，2018年7月9日，眾議院能源和商務(wù)委員會主席格雷格·瓦爾登和共和黨3個議員致函蘋果和谷歌，對其位置數(shù)據(jù)和智能手機的個人信息處理等問題，向蘋果和谷歌的行政部門發(fā)了一份調(diào)查問卷。調(diào)查問卷中指出，“好谷歌（Okay Google）”和“海西里（Hey Siri）”等這些接聽功能有可能從用戶的交談中收集呼叫以外的數(shù)據(jù)。需要指出的是，該數(shù)據(jù)在不通知用戶的情況下會被使用，第三方應(yīng)用程序也可以訪問這些數(shù)據(jù)。此外谷歌的“Android”和蘋果的“iPhone”在未經(jīng)用戶同意的情況下收集用戶數(shù)據(jù)，是否存在影響公民隱私的商業(yè)行為？眾議院委員會要求谷歌和蘋果在2018年7月23日前回復(fù)調(diào)查問卷，并對委員會成員進行解釋。在回答委員會的問題時，谷歌評論說“保護用戶的隱私，這些對谷歌來說是最重要的”。目前，蘋果公司發(fā)言人拒絕發(fā)表評論。

數(shù)據(jù)保護進展迅速

IPv6互聯(lián)網(wǎng)和物聯(lián)網(wǎng)時代即將來臨，如果信息安全工作跟不上，其后果將是災(zāi)難性的。為此，業(yè)界紛紛出臺措施保障信息安全。

據(jù)2018年6月27日日本媒體報道，日本Underworks公司與美國Ensighten公司在對應(yīng)GDPR的隱私數(shù)據(jù)管理解決方案方面進行合作，并作為日本市場的總代理，開始進行Ensighten公司GDPR解決方案的銷售和售后服務(wù)。Ensighten公司的“Privacy GDPR(個人隱私)”和“Privacy Enterprise -total website data governance(企業(yè)隱私- 全面的網(wǎng)站數(shù)據(jù)治理)”兩項產(chǎn)品，可以對網(wǎng)站上收集到客戶的所有Cookie數(shù)據(jù)實施集中管理，而且能夠安全地收集和使用客戶數(shù)據(jù)。歐洲已正式實施GDPR，要求使用Cookie數(shù)據(jù)時，必須取得用戶同意，基于此進行數(shù)據(jù)管理，已刻不容緩。

Ensighten公司的GDPR解決方案作為網(wǎng)站上所有Cookie的“守門員”，能夠?qū)崿F(xiàn)在“客戶同意之前阻止讀取Cookie（零Cookie加載）”、在“客戶拒絕使用Cookie時，還能夠允許用戶繼續(xù)瀏覽網(wǎng)站”，這也可以通過使用白名單實現(xiàn)，以“防止通過第四方供應(yīng)商，泄漏Cookie數(shù)據(jù)”。Ensighten的隱私數(shù)據(jù)管理解決方案已被全球25000多個網(wǎng)站使用。

日本媒體反復(fù)告誡本國公司，若涉及歐盟個人信息，一定要遵守GDPR規(guī)定。NTT數(shù)據(jù)公司于2018年7月26日發(fā)布了“全球安全趨勢季度報告”，闡述了2018財年第一季度發(fā)生的事件的摘要，重點是虛擬貨幣問題和GDPR的濫用。網(wǎng)絡(luò)罪犯很可能會利用GDPR的規(guī)則威脅到公司。具體來說，網(wǎng)絡(luò)攻擊者從公司竊取歐盟居民的個人信息，向公司進行訛詐。目前存在著網(wǎng)絡(luò)釣魚電子郵件攻擊威脅，因此全球的公司都需要謹慎處理公司內(nèi)部和外包的信息。此外，與GDPR有關(guān)的網(wǎng)絡(luò)釣魚欺詐和以GDPR為題材的企業(yè)電子郵件欺詐也值得關(guān)注。