在大數據時代,任何一個你想象不到的機構,都有可能獲取你的個人信息,因此個人隱私保護更加重要。更值得警惕的是,這些信息可能會落到網絡“黑灰產”的手中,給你帶來切實的經濟損失。5月26日~29日,2019中國國際大數據產業博覽會在貴陽舉行,多位行業人士在“數據安全”高端對話上闡述了他們對于信息安全的理解。
網絡犯罪每年增長30%
中國科學院院士、清華大學高等研究院“楊振寧講座”教授王小云表示,在數字經濟時代,大數據安全和個人隱私保護的問題是比較嚴峻的。“比如說,我們在無人超市里留下了購物記錄,在手機里存著很多個人隱私,在醫院里有疾病的診斷和治療記錄。智慧城市產生了敏感的統計信息,我們的生物特征被廣泛采用濫用,越來越多場景的泄密行為更加隱蔽。”而這些被泄露的信息,很可能會成為網絡黑灰產的“金礦”。
對此,國際上重視度也越來越高。“三年前,聯合國成員國中,提出關于網絡關切的成員國不到33個,現在提升到166個,網絡犯罪趨勢基本覆蓋了全球。”北京師范大學網絡法治國際中心執行主任吳沈括說。
吳沈括還稱,目前英國網絡犯罪每年增長率是50%,而在中國,公安部公布的相關數字是30%以上。“目前從犯罪總量上來說,網絡犯罪已占到全部犯罪總量的1/3以上,問題非常嚴峻。從這個意義上來說,當我們講到數據保護時,有效網絡犯罪打擊,尤其是對侵害個人信息、侵害數據安全的網絡犯罪打擊,是不可忽視的重要問題。”
更讓人驚心的是,醫療數據泄露也正在全球廣泛發生。“對黑客而言,隨著時間的推移,醫療數據的價值越來越大。關于醫療信息的黑市價比信用卡信息高50倍。我們國家曾經發現過,醫療行業網站被黑客攻擊的次數在行業中排首位。”中國工程院院士、中國互聯網協會理事長鄔賀銓介紹。他提到了一個數據:美國統計過,醫療信息的泄露會給美國醫療行業帶來每年大約60億美元損失。
防止數據泄露已是一個非常困難的事情,但還有更困難的事情——防止數據被鎖。“為了防止數據被盜,我們把數據分布式存儲,然后加密,這樣數據不容易被盜,即便被盜也打不開,看不出里面是什么東西。”鄔賀銓說,“但實際上,黑客木馬有些攻擊不完全是要解析你的數據,而是希望用數據進行勒索。美國洛杉磯長老會醫院曾被黑客攻擊,黑客打電話給長老會醫院,告知醫院病歷全部被鎖死了,醫院院長召集一批人來解密,結果十天沒有破解,最后醫院不得不向黑客交錢。所以不僅僅是怕別人盜竊數據,還得防止數據被別人鎖死。”
精準營銷=隱私侵犯?
為什么保護網絡數據安全如此困難?
在阿里巴巴集團技術副總裁、阿里巴巴首席安全專家杜躍進看來,我們正處于“工業革命中間階段”,一切都在快速變化,充滿不確定性。這就給安全工作、社會治理工作帶來巨大挑戰。在數據安全領域,他提到了兩個詞——“數據恐慌”“一片混亂”。
“看到各種各樣數據泄露、數據濫用,看到各種精準化服務,我們會認為背后是不是有人隨時隨地偷看我們隱私,我們并不清楚背后真相是什么。與此同時,我們也正在陷入一片混亂之中,在快速變化、充滿不確定情況下出臺各種各樣的法律政策,但并不知道(結果)會怎么樣。”
杜躍進表示,混亂之中,關于數據安全有六大誤解:“第一個誤解,限制數據采集就能保護數據安全;第二個誤解,精準營銷就等于隱私侵犯;第三個誤解,大數據安全能防止數據被偷;第四個誤解,DT時代和IT時代一樣,先有應用后有數據;第五個誤解,過去的思路和方法,能夠解決今天的數據安全;第六個誤解,數據是石油,所以應該像保護石油一樣保護數據。”
這些誤解都較為常見,比如“精準營銷就等于隱私侵犯”。在杜躍進看來,人們如今擔心,甚至恐慌,隨便說一句話當天就有一個應用進行相關推銷。其實這是一種誤解。“精準營銷這件事,是第四次工業革命一定會存在的基本特點,未來一定是個性化服務。”
問題本質還在于,當企業提供個性化服務、精準營銷時,有沒有意識到這個過程中不要侵犯隱私,有沒有能力做到不侵犯隱私。“其實技術上可以做到的,但很多企業可能現在沒有做。所以,問題不在于個性化服務、精準營銷,更在于是怎么做的。”杜躍進說。
杜躍進還表示,企業未來都面臨數據安全問題,安全不再僅僅是成本和責任,安全意味著更好的商業機會。更好的模式是把安全變成內在動力,只有這樣,企業才更愿意提升自己數據安全,而不是等著別人開罰單。
個人提高認知最重要
那么,我們的信息究竟是怎樣被利用的?作為普通消費者,有沒有什么訣竅可以保護自身不被信息泄露所害?
“我之前在阿里就是做情報,對(黑灰產)這些手段很了解。”全知科技(杭州)有限責任公司CEO方興介紹稱,“可能出乎大家意料,大家可能覺得盜竊數據是靠漏洞,其實黑灰產更多是靠的應用層攻擊,他們用大數據能力把很多數據‘爬’回去之后搞分析,用海量數據推理和關聯。”
方興舉了個例子:在某平臺開店有很多規則,比如一個庫存規則,如果只有10件貨,別人再拍第11件貨就賣不出來。這時騙子就來做“新商家保證金詐騙”,把10件貨拍完,再偽裝成客戶拍11件,商家賣不出去,他就來投訴你,店鋪等級低要被封店。商家就很著急,騙子再偽裝成阿里小二聯系商家說,你交5000塊保證金,就可以提你信用。如果是新商家,有20%的可能性上當受騙。老商家基本就不會上當。
那騙子如何識別新商家?就靠‘爬’ID,因為用戶生成ID是用遞增字節。“ID的數據是敏感的嗎?是重要的嗎?但不經過這樣的攻防,就不知道這個數字對騙子意味著什么。如果對應用層數據外控沒有做好管控,可能很多數據被‘爬’走。但是,應用層數據安全在業界基本上都不提,這是最嚴峻的問題。”
對個人而言,為此可以做些什么?方興覺得,從技術層面,很難做到數據不被利用,個人應當提高認知。“各種不明的APP要少裝,少提供必要的個人信息,這是最重要的。”方興說,“還有一個就是不同網站,不同級別的密碼最好不要一樣。很多黑灰產獲取數據時,拿到一個數據,通過賬戶把所有其他密碼數據都拿到了。還有就是要有主權維護意識,當發現有隱私遭到了侵害,要主動反饋。”
在王小云看來,除個人提高警惕外,法律保障是基礎。目前我國已制定了三部法律——電子簽名法、網絡安全法和去年公布的電子商務法,現在還有個人信息保護法等三部法律可以期待。這些法律的制定,將會為大數據安全提供法律保障。
“兩高關于網絡犯罪的司法解釋,主要是涉及到刑法修正案九的三個罪名的解釋,不出意外會在2019年出爐。”吳沈括說,這對打擊網絡黑產,保護個人信息,都有非常重要的作用。