最近,數(shù)據(jù)洩露事件再次引起公眾關(guān)注。瑞典遭遇史上最嚴(yán)重的數(shù)據(jù)洩露事件,印度電信運(yùn)營(yíng)商Jio一億多用戶資訊“裸奔”。在英國(guó)新數(shù)據(jù)法案下,掌握大量數(shù)據(jù)和用戶資訊的谷歌、臉譜等公司已接到重罰警告。全球保衛(wèi)數(shù)據(jù)隱私之戰(zhàn)進(jìn)一步升級(jí)。
數(shù)據(jù)洩露無(wú)處不在
近期發(fā)生多起數(shù)據(jù)洩露事件,涉及多個(gè)國(guó)家的各類數(shù)據(jù),表明全球數(shù)據(jù)洩露風(fēng)險(xiǎn)並未受到充分重視。
上個(gè)月,瑞典遭遇史上最大規(guī)模數(shù)據(jù)洩露事件。瑞典首相勒文宣佈免去內(nèi)政大臣安德斯·于耶曼和基礎(chǔ)設(shè)施大臣安娜·約翰松的職務(wù),理由是二人對(duì)一起交通數(shù)據(jù)洩露事件處理不當(dāng)。瑞典媒體援引勒文的話説,這簡(jiǎn)直是場(chǎng)災(zāi)難。
7月24日,瑞典政府承認(rèn),在網(wǎng)際網(wǎng)路工程服務(wù)外包中發(fā)生了大規(guī)模資料外泄。據(jù)瑞典電視臺(tái)報(bào)道,為簡(jiǎn)化流程節(jié)省成本,瑞典交通管理局2015年將IT系統(tǒng)管理和維護(hù)工程進(jìn)行外包,但外包過(guò)程中違規(guī)操作,將未經(jīng)加密處理的交通資料庫(kù)上傳至外包公司位於他國(guó)的數(shù)據(jù)庫(kù)。
其中一家外包公司為IBM瑞典分公司,該公司伺服器實(shí)際放置在捷克,意味著受雇于該公司的捷克電腦工程師可以輕而易舉地接觸到敏感數(shù)據(jù)。另一外包公司是一家塞爾維亞的通訊公司,負(fù)責(zé)維護(hù)瑞典交通管理局網(wǎng)路防火牆和通訊系統(tǒng),也擁有查看相關(guān)數(shù)據(jù)的許可權(quán)。
這些可能已遭洩露的資訊包括瑞典全國(guó)的機(jī)動(dòng)車駕駛?cè)速Y訊,橋梁、地鐵、道路和港口等敏感資訊,甚至還有瑞典警方和軍方的車輛資訊和防禦計(jì)劃等。
另有消息披露,瑞典交通管理局在上傳數(shù)據(jù)過(guò)程中也存在重大安全風(fēng)險(xiǎn),比如,工作人員先將所有數(shù)據(jù)上傳到未受保護(hù)的雲(yún)端伺服器,然後再通過(guò)電子郵件將連結(jié)發(fā)給外包公司。
瑞典交通管理局前局長(zhǎng)瑪麗亞·阿格倫已於今年1月被解職,並被處以7萬(wàn)瑞典克朗(約合5.8萬(wàn)元人民幣)的罰款,但政府並未在第一時(shí)間公開原因。瑞典交通管理局最近才承認(rèn),阿格倫在外包工程過(guò)程中,繞過(guò)了多項(xiàng)保護(hù)敏感資訊的法律法規(guī)和內(nèi)部章程。
駭客入侵也使用戶資訊出現(xiàn)洩露。美國(guó)《財(cái)富》網(wǎng)站報(bào)道,美國(guó)特朗普國(guó)際酒店管理公司7月11日表示,由於一家服務(wù)提供商的系統(tǒng)遭到駭客入侵,旗下14 處酒店的客戶信用卡支付細(xì)節(jié)遭到外泄。
這家酒店網(wǎng)站上的一份通知顯示,駭客攻擊了酒店服務(wù)提供商——Sabre的中央預(yù)訂處理系統(tǒng),從而造成部分連鎖酒店的客戶預(yù)訂資訊洩露,這些被洩露的資訊包括支付卡號(hào)以及卡安全密碼。此次攻擊,是今年 5月份所披露Sabre預(yù)訂系統(tǒng)遭到網(wǎng)路攻擊的一部分。全球範(fàn)圍內(nèi),Sabre公司的預(yù)訂系統(tǒng)被近3.2萬(wàn)家酒店使用。Sabre公司在6月5日告知特朗普酒店,拉斯維加斯、芝加哥等多個(gè)城市的特朗普連鎖酒店的客戶資訊遭到外泄。Sabre公司稱,泄密僅僅發(fā)生在酒店所使用的預(yù)訂服務(wù)系統(tǒng)Sabre Hospitality Solutions,酒店電腦系統(tǒng)本身並未受到影響。
值得一提的是,去年特朗普酒店就曾出現(xiàn)7萬(wàn)多張信用卡號(hào)碼和300多個(gè)社安號(hào)碼外泄事件,因未立即通知客人,特朗普酒店被紐約州罰款5萬(wàn)美元。作為達(dá)成和解協(xié)議的一部分,當(dāng)時(shí)酒店表示同意支付罰金,也同意更新安全技術(shù)。顯然,系統(tǒng)再度受到攻擊意味著酒店未能很好完成其保護(hù)系統(tǒng)安全的承諾。
另?yè)?jù)英國(guó)的科技新聞網(wǎng)站The Register報(bào)道稱,今年7月,data.gov.uk網(wǎng)站使用者的姓名、郵箱和密碼等資訊被發(fā)現(xiàn)能在第三方網(wǎng)站上接入獲取。2015年6月20日前註冊(cè)這家網(wǎng)站的用戶都受到了影響。英國(guó)政府?dāng)?shù)字服務(wù)機(jī)構(gòu)表示,立刻將這些數(shù)據(jù)從公共區(qū)域移除並向相關(guān)機(jī)構(gòu)進(jìn)行了彙報(bào)。英國(guó)政府則建議,被洩露資訊的使用者需要重置密碼。
印度出現(xiàn)了類似的情況,但規(guī)模更大,危害更嚴(yán)重。7月初,有媒體報(bào)道説,印度電信運(yùn)營(yíng)商Jio超過(guò)1億用戶的資訊遭到?jīng)叮脩舭l(fā)現(xiàn),在magicapk.com網(wǎng)站上輸入一個(gè)Jio網(wǎng)路下的手機(jī)號(hào)碼進(jìn)行查詢,會(huì)出現(xiàn)包括這個(gè)號(hào)碼使用者的姓名、電子郵箱、號(hào)碼激活日期和入網(wǎng)地點(diǎn)、個(gè)人身份證號(hào)碼等多項(xiàng)個(gè)人資訊。這被視為印度電信行業(yè)史上最大規(guī)模數(shù)據(jù)外泄事件。隨後,這個(gè)涉嫌洩露資訊的網(wǎng)站已無(wú)法打開。
網(wǎng)路安全分析師斯裏尼瓦斯·科達(dá)伊説,這些用戶資訊早在今年6月就出現(xiàn)在一個(gè)網(wǎng)路論壇上,在“暗網(wǎng)”(網(wǎng)際網(wǎng)路上數(shù)量龐大的“隱身”網(wǎng)站)中,還出現(xiàn)了用戶資訊的截屏圖片。Jio隸屬印度信實(shí)工業(yè)公司,是印度行動(dòng)通訊市場(chǎng)上的後起之秀。信實(shí)董事長(zhǎng)穆凱什·安巴尼被《福布斯》雜誌評(píng)為印度最富有的人。
數(shù)據(jù)安全監(jiān)管亟待完善
數(shù)據(jù)洩露事件頻發(fā),暴露出網(wǎng)際網(wǎng)路時(shí)代的治理漏洞,也暴露出網(wǎng)際網(wǎng)路時(shí)代中數(shù)據(jù)隱私的保護(hù)與監(jiān)管、保護(hù)與共用等諸多矛盾,對(duì)各國(guó)相關(guān)法律法規(guī)的制定和實(shí)施提出了更高要求。
在瑞典交通管理局資訊洩露事件曝光後,儘管尚未有證據(jù)顯示這些資料落入不法分子之手,但已引發(fā)瑞典政壇震蕩,反對(duì)黨主席在新聞發(fā)佈會(huì)上嚴(yán)厲指責(zé)現(xiàn)政府在保護(hù)瑞典國(guó)家安全方面存在嚴(yán)重失責(zé)。反對(duì)黨聯(lián)盟計(jì)劃對(duì)國(guó)防大臣等官員發(fā)起不信任投票,要求他們下臺(tái)為泄密事件負(fù)責(zé)。
瑞典首相勒文承認(rèn),泄密事件是瑞典網(wǎng)路安全的一場(chǎng)失敗。他透露,瑞典政府正在擬定一項(xiàng)新的安全法案,對(duì)涉及國(guó)家安全的外包業(yè)務(wù)提出更加嚴(yán)格的規(guī)定。該法案將於2019年1月生效。
事實(shí)上,在歐盟,對(duì)於數(shù)據(jù)安全的保護(hù)條例在不斷完善之中。
2015年12月,歐盟通過(guò)了《一般數(shù)據(jù)保護(hù)條例》,以歐盟法規(guī)的形式確定了對(duì)個(gè)人數(shù)據(jù)的保護(hù)原則和監(jiān)管方式,避免個(gè)人數(shù)據(jù)陷入“裸奔”的尷尬。對(duì)於困擾歐盟與美國(guó)之間的資訊自由流動(dòng)問(wèn)題,歐洲法院也做出了否決歐盟與美國(guó)《資訊安全港》協(xié)議的裁決。
“棱鏡門”事件後,美國(guó)掀起了個(gè)人資訊保護(hù)的高潮,除了《隱私保護(hù)法》,還陸續(xù)出臺(tái)了《兒童線上隱私保護(hù)法》、《電子郵件隱私法案》、寬頻用戶隱私保護(hù)新規(guī)等法律法規(guī)。此外,美國(guó)還和歐盟聯(lián)手打造《歐美隱私盾牌》協(xié)定,取代此前的《資訊安全港》協(xié)議,以保護(hù)跨國(guó)個(gè)人數(shù)據(jù)安全。
英國(guó)一些大機(jī)構(gòu)今年以來(lái)遭到不同程度的駭客襲擊。例如英國(guó)國(guó)民保健制度服務(wù)系統(tǒng)5月遭勒索軟體病毒入侵後,多家醫(yī)院電腦癱瘓,不得不停止接收患者,救護(hù)車等醫(yī)療服務(wù)也受到影響,這使得不少專家呼籲政府加強(qiáng)數(shù)據(jù)保護(hù)。
英國(guó)本身也早就有數(shù)據(jù)保護(hù)法案。但多年前,英國(guó)曾有一個(gè)“時(shí)代”計(jì)劃,並和美國(guó)國(guó)家安全局在嫌疑目標(biāo)的確定、對(duì)民眾通訊記錄的獲取等方面互通有無(wú),如讀取通話記錄、電子郵件內(nèi)容、社交網(wǎng)站的登錄方式等資訊。一些電信企業(yè)被迫選擇將“部分或全部”通信服務(wù)轉(zhuǎn)移到海外,企業(yè)及海外通信服務(wù)商不得不與英國(guó)當(dāng)局私下達(dá)成協(xié)定,允許情報(bào)機(jī)構(gòu)在“適當(dāng)法律授權(quán)”下接觸到英國(guó)境外的通信數(shù)據(jù)。
隨著數(shù)據(jù)隱私及安全問(wèn)題越來(lái)越突出,英國(guó)政府宣佈將修改相關(guān)法律條文,加強(qiáng)對(duì)個(gè)人數(shù)據(jù)隱私的保護(hù)。
英國(guó)的情況多少反映出監(jiān)管和隱私保護(hù)逐步從不和諧走向完善。事實(shí)上,這種情況在其他國(guó)家也存在。
例如,為了防止有組織的恐怖主義行為,澳大利亞《強(qiáng)制保留通訊數(shù)據(jù)法案》于2015年3月生效。通過(guò)立法,澳大利亞政府要求其國(guó)內(nèi)的通信運(yùn)營(yíng)商Telstra和Optus保存用戶的通信數(shù)據(jù),例如電話記錄、IP地址、短信的詳細(xì)資訊、數(shù)據(jù)的地址等,保存期限是2年。
對(duì)此,澳大利亞人各持己見(jiàn)。大部分人對(duì)此表示支援,同意用納稅人的錢來(lái)分?jǐn)偩W(wǎng)路公司儲(chǔ)存數(shù)據(jù)需要的每年約為1.31億澳元的高昂成本。也有公民自由倡導(dǎo)者認(rèn)為,這反而可能洩露個(gè)人隱私。這部新數(shù)據(jù)法在爭(zhēng)議中開始實(shí)施。
在印度,2013年,其政府啟動(dòng)了覆蓋面廣闊的監(jiān)控系統(tǒng),這一系統(tǒng)允許政府竊聽(tīng)錄音電話中的對(duì)話,閱讀私人電子郵件和短信,監(jiān)控臉譜和推特等社交網(wǎng)路平臺(tái)上的發(fā)帖,並追蹤個(gè)人在谷歌上的搜索目標(biāo)和痕跡。安全部門不需要法院的監(jiān)控命令,也無(wú)須告訴運(yùn)營(yíng)商,就可以獲取通訊材料。直到目前,印度並沒(méi)有正式的隱私法。
德國(guó)擁有世界上最嚴(yán)格的隱私保護(hù)法。1977年,德國(guó)聯(lián)邦政府出臺(tái)了適用於整個(gè)德國(guó)的《聯(lián)邦數(shù)據(jù)保護(hù)法》,約束範(fàn)圍包括電子通信、網(wǎng)際網(wǎng)路等領(lǐng)域,防止因個(gè)人資訊洩露導(dǎo)致的侵犯隱私行為。政府內(nèi)部還設(shè)立了聯(lián)邦數(shù)據(jù)保護(hù)與資訊自由專員,來(lái)監(jiān)督政府機(jī)構(gòu)在保護(hù)個(gè)人數(shù)據(jù)方面的行為;德國(guó)各州也有數(shù)據(jù)保護(hù)專員,以類似的方式監(jiān)督各州政府機(jī)構(gòu)的行為。
即便如此,關(guān)於個(gè)人資訊保護(hù)也存在爭(zhēng)議。著名的“德國(guó)之翼”墜機(jī)事件發(fā)生後,這一爭(zhēng)議在德國(guó)始終沒(méi)有停止過(guò)。
商機(jī)與禁區(qū)並存
保護(hù)數(shù)據(jù)隱私,越來(lái)越受重視,這對(duì)用戶而言無(wú)疑是個(gè)福音。對(duì)不同企業(yè)來(lái)説,數(shù)據(jù)隱私的保護(hù)工作,既意味著商機(jī),也意味著可能受到更多限制。
數(shù)據(jù)隱私保護(hù)帶來(lái)了商機(jī)。英特爾公司最近在紐約舉行的“英特爾Xeon可擴(kuò)展處理器發(fā)佈會(huì)”上宣佈,正與金融創(chuàng)新公司R3合作,加強(qiáng)其Corda區(qū)塊鏈平臺(tái)的數(shù)據(jù)隱私和安全性。
作為解決Corda數(shù)據(jù)隱私和安全的一部分,該平臺(tái)只向“需要知道”的人發(fā)送數(shù)據(jù),這與大多數(shù)區(qū)塊鏈應(yīng)用程式不同。這一特點(diǎn)源自金融機(jī)構(gòu)的要求,需要確保貿(mào)易和協(xié)議的保密性。Corda解決了全球80多個(gè)成員識(shí)別的多個(gè)問(wèn)題。對(duì)英特爾和R3來(lái)説,數(shù)據(jù)隱私保護(hù)的需求無(wú)疑催生了新商機(jī)。
新興企業(yè)也在涉足數(shù)據(jù)隱私保護(hù)行業(yè)。
英國(guó)金融科技初創(chuàng)企業(yè)Privitar最近宣佈,公司已獲得1600萬(wàn)美元A輪融資,將用於擴(kuò)大其技術(shù)平臺(tái)和拓展美國(guó)市場(chǎng)的業(yè)務(wù)。這家公司的聯(lián)合創(chuàng)始人兼首席執(zhí)行官簡(jiǎn)森·佈雷茨將其定性為“隱私工程”公司,表示其目標(biāo)是在確??蛻綦[私資訊得到嚴(yán)格保密的前提下,通過(guò)大數(shù)據(jù)分析預(yù)測(cè)客戶行為,將手中的數(shù)據(jù)增值變現(xiàn)。
與此同時(shí),由於數(shù)據(jù)隱私問(wèn)題,一些企業(yè)遭到警告或者被判違法。
英國(guó)媒體8月份報(bào)道稱,英國(guó)政府將推出一項(xiàng)新法律,旨在監(jiān)督和強(qiáng)制社交媒體公司和線上交易商刪除民眾的個(gè)人資料,保護(hù)他們的權(quán)益。英國(guó)數(shù)字國(guó)務(wù)部長(zhǎng)馬特·漢考克表示,這是這些公司們“被遺忘的權(quán)利”,從此以後,他們?cè)僖矡o(wú)法通過(guò)默認(rèn)的線上“勾選框”無(wú)限制地利用民眾的個(gè)人資訊。
依據(jù)該法案,英國(guó)資訊專員辦公室有權(quán)對(duì)違反該項(xiàng)數(shù)據(jù)法的公司施以高達(dá)1700萬(wàn)英鎊(約合人民幣1.49億元)的罰款,或者收繳該公司4%的全球營(yíng)業(yè)額。但該法案的主要目的之一是取代數(shù)據(jù)保護(hù)法,確保英國(guó)的法律符合歐盟的《一般數(shù)據(jù)保護(hù)法》,以便在英國(guó)“脫歐”後,數(shù)據(jù)可以繼續(xù)自由流通?!皞€(gè)人數(shù)據(jù)”的定義範(fàn)圍也將擴(kuò)大,包括IP地址,網(wǎng)際網(wǎng)路Cookie和DNA,同時(shí),也定義新的刑事犯罪行為,阻止部分公司故意或罔顧後果地識(shí)別匿名人士資訊。
儘管數(shù)據(jù)新法案還有待公佈更多細(xì)節(jié),但外界認(rèn)為,英國(guó)此舉無(wú)疑是向谷歌、臉譜等科技公司利用用戶數(shù)據(jù)推送廣告、銷售産品等行為發(fā)出了最強(qiáng)警告。臉譜時(shí)不時(shí)彈出的廣告資訊將會(huì)在英國(guó)地區(qū)頁(yè)面上消失,用戶有望從被迫標(biāo)記不接受商業(yè)廣告郵件變換到如有需要在明確同意的前提下獲取這些資訊的模式。
今年7月初,英國(guó)最高隱私保護(hù)監(jiān)管部門還裁定, DeepMind一項(xiàng)重要的醫(yī)學(xué)實(shí)驗(yàn)違反了英國(guó)的數(shù)據(jù)保護(hù)法。
谷歌旗下的DeepMind與英國(guó)國(guó)家醫(yī)療服務(wù)系統(tǒng)NHS信託機(jī)構(gòu)達(dá)成協(xié)定,允許訪問(wèn)NHS旗下三家醫(yī)院約160萬(wàn)病人的醫(yī)療記錄。然而,英國(guó)最高隱私保護(hù)監(jiān)管部門表示,這項(xiàng)實(shí)驗(yàn)並沒(méi)有告訴患者醫(yī)療記錄數(shù)據(jù)的使用方式。
該部門認(rèn)為,在DeepMind展開實(shí)驗(yàn)時(shí),主要目的是想看看移動(dòng)應(yīng)用APP是否正常工作,以及醫(yī)務(wù)人員是否喜歡其界面,而不是嘗試改善治療效果。英國(guó)資訊專員伊麗莎白·登海姆表示:“患者並不希望他們的資訊以這種方式被使用。”之後,DeepMind和NHS根據(jù)要求籤署了改變數(shù)據(jù)處理方式的承諾。
[責(zé)任編輯:孫伊靜]