数据安全“黑洞”令我们身陷险境
大数据时代,人们或许会依据一家公司运用数据的能力来评价它是否成功。全国政协委员、苏宁云商董事长张近东就透露,苏宁目前组建了5000名研发人员组成的大数据部门。
不过,恰恰是由于对海量数据进行挖掘整合背后存在的商业价值,让用户的个人数据安全出现了巨大隐忧。
前不久,北京朝阳法院审结了一起借助“静默插件”非法获取系统数据的案件。案发时,警方从该公司查获非法获取的手机通讯录达2000万条。
“静默插件”主要是用户购买水货手机需要重新安装操作系统时,在并不知情的情况下被安装的。之所以称作“静默插件”,是因为装了它,手机会自动联系服务器,下载并安装服务器所推广的软件及广告,整个过程手机用户是不知情的。
北京通达首城司法鉴定所鉴定确认,“静默插件”能更改用户网络状态,删除用户手机内安装的应用软件,安装其他应用软件,访问互联网,强制关闭正在运行的应用软件,唤醒用户手机,读写用户存储卡等信息,上传手机收发短信、通话信息、通讯录以及GPS定位信息。
使用这一“静默插件”获取用户数据的公司包括了大部分知名的互联网公司,京东商城、高德地图、大众点评、糯米网、搜狗市场、91市场等等。由于B(百度)A(阿里巴巴)T(腾讯)三大巨头与这些公司有或多或少的投资关系,也就意味着三大巨头在这一问题上无一幸免。
不只是“静默插件”,早在2013年央视就曝光网易公司通过邮箱cookie收集用户隐私的案例。Cookie本来是一种方便用户上网的技术。用户登录某一网站时,网站会将用户的浏览记录、IP地址、网卡号、用户名、密码等信息,存放到用户电脑一个叫cookie的数据包中,当用户下次登入该网站时,网站便可以自动识别用户。
但是这种技术却被第三方公司用来对用户进行跟踪分析,包括用户非常隐私的邮件内容。美国谷歌公司就因为跟踪用户的上网行为,被美国联邦贸易委员会判罚2250万美元。在国内,2013年,网上就曝出过一款名为“查查开房网”的软件,该软件集成了2000万份开房记录,人们可以在网上免费查看。
一些掌握大数据的行业或部门也面临着信息泄露的风险。2014年11月19日,海康威视(Hikvision)监控设备被曝有严重漏洞,攻击者可以通过弱口令进入后台对设备进行查看或配置。而监控设备的后台往往包含大量的个人或企业隐私数据。
根据补天漏洞响应平台收录的数据,目前该平台已知漏洞就可导致23.6亿条隐私信息泄漏,包括个人隐私信息、账号密码、银行卡信息、商业机密信息等。导致大量数据泄露的主要是:互联网网站、游戏以及录入了大量身份信息的政府系统。
全球最大的风险代理机构达信在2015年世界经济论坛上发布的《2015年全球风险报告》表示,“建立能充分适应新技术发展的监管环境,确保技术能快速发展并惠及民众,避免技术滥用可导致的意外后果,这些都是领导者面临的重要挑战。”
《大数据:正在到来的数据革命》一书也提到:1977年,美国隐私研究委员会研究指出,“我们有很多小的、独立的信息记录系统。这些系统,就单个而言,它们可能无关痛痒,甚至是很有用的、完全合理的。但一旦把它们通过自动化的技术整合连接起来,它们就会渐渐蚕食我们的个人自由。这才是真正的危险。”
一些美国研究者也表示,个人信息在不同时段、分散零碎地出现在互联网上,对个人隐私并不会形成威胁,但一旦把这些信息整合起来进行分析,这个人的一切就无可遁形了。这也是美国中央数据银行系统一直难以推进的一个重要原因。
著名电商专家、北京泛洋律师事务所主任合伙人刘春泉表示,目前在企业信息保护方面,除了从商业秘密角度进行的保护之外,基本上处于立法空白。但是,伴随互联网时代企业对大数据的日益重视,海量数据被积累并被挖掘,企业信息的保护立法有待提上日程。因为这些企业信息里面集成了大量的个人用户的信息,企业信息与个人信息的边界已经日渐模糊,并存在大量交叉。
刘春泉所说的立法空白,很重要的一个表现就是对企业服务器设置的要求,目前我国对企业服务器的放置地点并没有特别的要求,而在俄罗斯以及其他一些国家,都会要求企业必须将服务器放在本国,因为这与数据安全密切相关。前面提到的“静默插件”案件,其服务器就是放置在国外。
2014年,全国人大财经委启动了《电子商务法》立法工作,随后将立法的调研课题分派给了国家工信部和地方上的上海市人大财经委,上海市人大财经委已经进行过一轮讨论,并出具了课题报告,这份报告的主要执笔者就是刘春泉。
在这份报告中,刘春泉提出了“企业对信息安全应该有合理的注意义务。”
“在信息时代,计算机内的每一个数据、每一片字节,都是构成一个人隐私的血肉。信息加总和数据整合,对隐私的穿透力不仅仅是‘1+1=2’,很多时候,是大于2的。一旦企业通过数据挖掘获得用户个人的大量信息,这些信息的安全性就显得极为重要。”
刘春泉表示,最新的《消费者权益保护法》引入了对消费者的安全保障义务,而信息安全应该也是安全保障义务之一。
刘春泉也认为,网上商业信息的保护不能仅仅依靠技术,一些企业通过购买安全软件来实现信息安全,这并不完整,企业还需要引入相关专业的法律人员进行制度上的建构,比如进行信息的安全授权等等。
责任过低是数据安全存在黑洞的重要原因,基于此,刘春泉等在有关电商立法的课题报告中提出了“递进式惩罚赔偿”原则,“我们的立法理念一直比较限制惩罚性赔偿,但对于侵犯隐私权的问题来说,却可能出现屡禁不止的问题,递进式惩罚赔偿有助于制止这种屡犯的行为。”
无独有偶,全国人大代表、中国电信湖南公司总经理廖仁斌在两会期间也提出类似的建议:加快国家对大数据时代个人信息安全的统一立法工作,规范政府、企业、个人等大数据产业链参与者的行为准则;在国家层面建立统一的监管体系。
来自两会的信息也显示,网络安全法已经列入相关立法计划。
(屈丽丽)