大数据隐私保护形势不乐观 “云”上的隐私会满天飞吗?
制图:张芳曼
家住北京市昌平区的侯先生是个“手机控”,出门靠网上约车、饿了手机上叫外卖、买火车票飞机票APP搞定……虽然这些手机应用给他的生活带来不少便利,但是他还是有些顾虑——我的位置、住址、手机号码、家庭成员等个人隐私平台上都有,会不会被非法利用?
大数据时代下,个体用户很难对抗个人隐私被暴露的风险,隐私保护比以往任何时候都更加重要。我们该如何保护个人隐私安全,如何合理安全利用大数据?最近召开的2016中国大数据产业峰会,专门设置了“数据安全与个人隐私保护”“中国大数据安全高层论坛”“数据开放与立法”分论坛,专家学者企业家等围绕这一问题进行了深入探讨。
大数据是双刃剑,隐私保护形势不乐观
互联网发展越来越快、APP越来越多,与之相应的是我们的隐私信息被越来越多的机构和大数据平台持有。当某个大数据平台安全上有疏忽,我们的相关信息就可能被泄露。
2013年,2000万条酒店住宿记录因第三方存储漏洞而泄露;2014年,苹果公司iCloud漏洞导致个人照片外传;2015年,俄罗斯某约会网站2000万访客的用户名和电子信箱地址被盗……近些年来,几乎每年世界各地都会发生数据安全事件。5月25日,国家计算机网络应急技术处理协调中心发布的《2015年中国互联网网络安全报告》显示,全年发生网络安全事件126916起,同比增长125.9%,个人信息泄露、网络钓鱼等方面的安全事件数量上升,云平台和大数据安全防护能力值得重点关注。
“隐私不仅指个人信息,基于大数据对人们状态和行为的预测也是隐私。”中国工程院院士、中国互联网协会理事长邬贺铨在2016中国大数据产业峰会上呼吁重视大数据安全。他举例说,手机中安装的百度地图、高德地图在导航时会掌握你的位置信息,“很多APP本身跟位置无关,可是它要强行让你把位置信息提供给它,所以你的位置信息根本屏蔽不了”。
“越是享受数字化的便利,你的隐私越少。”微软中国首席技术官韦青在此次峰会上坦言,我们在追求价钱更低功能更多的产品,这最终会导致设备安全性上的脆弱。他认为,数字化时代与个人隐私保护实际上存在矛盾,“我们还是一个婴儿,但玩了一把非常锋利的双刃剑。”
先进技术和管理措施可有效保护隐私
大数据安全如此重要,又受到多重挑战,我们有什么技术保护大数据安全,那些经常使用的APP又是如何保护包含个人隐私的大数据呢?
“大数据最好是分布式地存储,如果把所有的东西都放在一堆,很容易一进来就全部被盗取了。”邬贺铨认为分布式存储可以更好地保护数据。做到分布式存储后,还应做好架构安全的问题。京东集团首席技术顾问翁志认为:“云的安全是分布式方式。我们面临的问题就是架构安全的问题,即怎样使我们的网络体系当中的每个节点都是安全的。”
“密码是保障大数据安全的有效手段。”国家密码管理局商用密码管理办公室副主任安晓龙在大会上表示,密码技术在身份认证、安全隔离、信息加密等方面有着独特的、不可替代的作用。艾瑞咨询合伙人兼首席技术官郝欣诚坦言,在同态加密技术下,即使窃密者拿得到“珠宝箱”,也不可能把“珠宝”从箱子里拿出来。
在实践应用层面,阿里巴巴集团安全部技术副总裁杜跃进强调了整个产业链上的数据安全问题,“整个产业链安全起不来的话,我们的努力其实也很有限”。去年,阿里巴巴的安全团队共审核了3600多个应用场景,以确保其他公司利用阿里巴巴的数据开发产品时不会侵犯到用户个人隐私。此外,在移动APP方面,阿里巴巴集团移动安全部首席架构师潘爱民认为要对移动APP全流程防护,从设计、开发到测试,再到上线,移动APP在终端上的安全性要有保证,尽可能做到全流程。
滴滴出行拥有海量用户的信息和数据,包括姓名、实时位置、手机号码、出行轨迹、单位地址、家庭住址等。如何保护这些数据安全,滴滴出行副总裁凌亢介绍,滴滴内部有很多规章流程,有着严密的数据分级,不同的人员对数据有不同的权限。
大数据安全管理制度亟待建立
如何在确保安全和隐私保护的前提下,发挥大数据的价值造福社会?“十三五”规划明确提出要实施国家大数据战略,同时也要求“建立大数据安全管理制度,实行数据资源分类分级管理,保障安全高效可信应用”。
“传统安全思路已经没有办法解决大数据安全问题了。”奇虎360科技有限公司总裁齐向东在峰会上讲到,随着移动互联网、云技术的出现,网络边界已经消失了,内网和外网隔离开的传统办法基本失效。现在要用大数据方法解决大数据安全问题。通过大数据技术,我们可以分析网络攻击无法隐藏的行为痕迹,在其找到数据、拿走数据之前及时发现并切断攻击。
北京航空航天大学法学院院长龙卫球呼吁全国人大常委会关注数据资产化立法。法治是保障大数据安全高效可信应用的关键。“技术毕竟是被人所运用,所以规范人的行为很重要。”中国政法大学党委书记石亚军教授认为,目前我国还缺少专门针对数据安全或信息安全之类的相关法律法规。中国互联网协会秘书长卢卫也认为大数据相关的法律法规还有很大的完善和建设空间。
无论是发展技术还是完善机制,最重要的问题是塑造信心。“我们要让全世界的消费者对拥有数据、使用数据的这些企业、行业、政府部门有信心,让他们相信我们在提供精准服务带来便利的时候,没有侵犯个人隐私。”杜跃进认为,只有产生信任,才能够实现保护数据最终目的——让数据流动起来,产生价值。