2018年3月,Facebook被曝出8700多万用户数据泄露,此事被视为Facebook历来遭遇的最大型数据泄露事件,导致其市值大幅缩水;6月,AcFun发布公告称,服务器受黑客攻击,致使近千万条用户数据在暗网贩卖;8月,网曝华住旗下酒店用户数据信息交易行为,泄露数据涉及到1.3亿人次;11月,万豪国际集团官方声明称,喜达屋旗下酒店最多约5亿名客人的信息或被泄露。
数据泄露事件频频发生,也令数据安全问题再次被摆在台前。“互联网在为用户带来便利的同时,由于信息传播与交易成本极低,企业如若对数据处理不当,将带来巨大风险。”围绕2018年众多数据安全事件,百度安全产品总经理韩祖利表示。
需要注意的是,作为数据交易的“黑市”所在,2018年暗网整体流量在持续攀升,用户数也在不断增长。在韩祖利看来,当前用户数据正在逐步变为社会资产,而该过程面临的巨大问题在于,数据资产化的同时需要强化政策监管及企业对数据的保护,如何在保护用户隐私的前提下发挥数据价值。
暗网流量攀升
何谓暗网?
根据互联网信息分布情况来看,Web网可分为表网及深网(Deep Web)。与表网所区别的是,深网是指服务器上可通过标准网络浏览器和连接方法访问的页面和服务,但主流搜索引擎不会收录这些页面和服务。
目前,表网的互联网信息占比仅10%,约九成信息都分布在深网上。
暗网(Dark Web)则是深网的一个子集,用户无法使用标准浏览器直接访问其服务和页面,仅能通过Tor (The Onion Routing)和I2P(Invisible Internet Project)等特定网络访问。
同时,暗网中的数据传输方式类似于“接力”,数据接收者无法了解数据首位发送者,从而实现互联网匿名交流与沟通,也滋生出数据泄露与交易的“温床”。据韩祖利介绍,暗网中约45%的信息为不合规的违法犯罪信息。
“当前暗网整个流量在持续攀升,2018年日均流量达到每秒1.1G,为暗网提供服务器的规模大约为10万台左右。”韩祖利指出,“整个暗网用户数也在不断爬升,全球日均用户大约为243万,其中使用中文的用户比例很高。”
根据百度安全锁观察到的情况而言,2018年暗网中文社区主要的交易类型为个人信息和公司泄露数据。其中个人信息交易占比达到48%,公司泄露数据占比为20%。
“我们将个人信息分为A类和B类,A类是指极其敏感的基础个人信息,能够描述自然人的属性,这样的信息交易占比达60%。B类是指个人行为、标签类信息,大约占比40%。”韩祖利表示。
据韩祖利介绍,在个人信息交易中,以基本资料(29.4%)、身份证信息(21.4%)、网贷信息(13.2%)为占比前三,其余还包括社工库、银行卡、网购信息、邮箱、个人投资理财等类型。
在他看来,这些基本能够描述一个自然人的基本情况,亦使得数据信息的价值极高。同时,这样的信息在网络传输中的成本低,从而成为数据交易的重点。
数据治理方向
2018年7月,曾被视为新三板大数据第一股的数据堂陷入数据泄露风波。
经警方查获,数据堂在八个月时间内日均传输公民个人信息1.3亿余条,累计传输数据压缩后为4000GB左右,数据量巨大。案件所涉数据隐私性高,涉及的上网URL数据包含了手机号、上网基站代码等40余项信息要素。
同时,数据堂记录手机用户具体的上网行为,部分数据甚至能够直接进入公民个人账号主页。
这样的数据安全风险事件不在少数,也造成巨大影响。这也不由引人深思:究竟当前哪些环节出了问题,导致数据泄露频发?
韩祖利直言,当前企业在数据保护方面的意识仍在启蒙阶段。“企业数据管理委员会已建立2年以上的占比很小,绝大部分都是在2年之内或根本尚未建立。”
因此,在数据资产化的过程中,企业如何自发保护用户安全隐私成为重中之重。韩祖利介绍称,暗网交易的基础信息中,许多都是因为企业数据存储不当导致的,企业应当重点考虑数据如何进行安全存放。
此外,在整个交易社区中,许多数据是企业内部员工个人所泄露出来的,由此引发数据的可信与可流转问题。“数据是否会被员工拿走及私下传播,传播后如何确定传播出口等,这些均为数据资产化流通过程中的重要障碍。”
监管力量在数据安全中也正日益发挥作用,当前数据安全方向的全球政策都在收紧。
据中国互联网协会法工委副秘书长胡钢向21世纪经济报道记者介绍,中国在个人信息保护方面已有若干法律。早在2012年便出台了《全国人民代表大会常务委员会关于加强网络信息保护的决定》,此后包括《民法总则》、《消费者权益保护法》、《电子商务法》、《网络安全法》也纷纷涉及对个人信息的保护条款。
2019年,类似隐私法律颁布可能会提速。2018年11月1日,美国参议院 Ron Wyden 提交了《消费者数据保护法案》(CDPA),该法案对隐私违法行为的处罚非常严厉,甚至包括了入狱。此外,被认为与GDPR高度契合的《加州消费者隐私法案》已被通过,将在2020年生效。
韩祖利则指出,当前暗网中的大量数据交易的购买方,所购数据是为求应用于企业,数据存在的价值终归将用于生产,因此,可以考虑数据提供方与数据使用方能否在不传输敏感信息的前提下使用数据。
这就需要搭建安全的数据交易中心。数据提供方进入安全交易中心后,将手中数据进行一系列脱敏处理,在现有监管框架可接受、并未侵犯用户隐私安全的前提下,将输出结果提供给数据使用方,“这样的价值流动就是成功的,目前来看也是有可能实现的。”
本报记者 杨清清 北京报道