大規模用戶隱私泄露事件又一次被爆出：萬豪國際集團旗下酒店客房預訂數據庫被黑客入侵，約5億名客人的信息或被泄露。業界稱，這是自之前雅虎30億用戶信息被竊以來規模最大的一次。

今年以來，用戶隱私泄露事件時有發生。從支付寶年度賬單事件、Facebook（臉書）用戶數據泄露，到攜程大數據“殺熟”、華住酒店集團信息泄露案，每一次都引發各界持續熱議。“電子商務迅速發展，增加了個人信息泄露風險﹔互聯網金融新業態涌現，帶來了許多網絡詐騙新形式﹔中國移動支付全球領先，伴隨的風險不容忽視﹔共享單車、網約車等也易引發信息泄露。”中國工程院院士鄔賀銓說。

接連發生的用戶數據泄露事件帶來哪些反思？大數據時代，如何為網民的隱私上一把“安全鎖”？

防御黑客攻擊，嚴查身邊“內鬼”

前段時間，國家信息中心國信衛士網絡空間安全研究院技術發展研究室副主任鄧子健在網絡電商平台上買了一款耳麥，后來他發現，電腦打開的網頁，基本都在推送某品牌的耳機廣告。

鄧子健這個因數據泄露帶來的困擾，引起不少業界人士的共鳴。“大數據特別是個人信息數據在黑色產業中已被看作是高價值資源，數據泄露一大元凶是外部黑客的攻擊。”大數據協同安全技術國家工程實驗室副主任左英男說。

360企業安全集團董事長齊向東表示，互聯網從出現就伴隨著網絡攻擊，有了網絡攻擊才產生了網絡安全技術。“隨著電商等業務發展，黑客要竊取的就是用戶隱私數據。”

此外，從近年來查處案例來看，很多堅固的“堡壘”都是從內部開始被攻破的。“很多客戶信息一般隻有內部員工才能接觸，少數利欲熏心的‘內鬼’作祟，導致用戶信息流入黑色產業，成為被交易的對象。”天空衛士網絡安全專家楊明非說。

但對於“內鬼”的描述，很多只是輕描淡寫。“畢竟‘家丑不外揚’，內部威脅少有披露，並不代表沒有。”一位大型連鎖汽車銷售集團信息安全人員透露，對於內部數據泄露場景，除郵件發送這一主渠道外，還有網盤上傳、終端操作等，尤其對於存有大量客戶信息的企業來說，防“內鬼”壓力非常大。

多數用戶不知數據流向何方

“通過某位明星的幾張微博圖片，隻用了40分鐘，就推理出了明星住址……”去年一位網友的發帖曾一度引人咋舌。“人們在微博、朋友圈等發布位置、照片時，常認為這些信息無關緊要，但不法分子可以多方面重復交叉收集信息，讓這些數據之間互相對照，一旦與其他數據組合，就會得到有價值的信息。比如，了解一個人到過的四個位置，就可以識別出很多精准信息。”鄔賀銓說。

“從最早的‘bug’到后來的黑客職業化、漏洞攻擊專業化、市場開拓產業化，漏洞帶來巨大的地下經濟產業，形成了完整的產業鏈。公開資料顯示，中國網絡黑色產業從業人員已超過150萬人，市場規模高達千億級。”齊向東說。

在美創科技相關負責人沈武林看來，與酒店信息泄露相關的電信詐騙、敲詐勒索、惡意營銷等，已成為社會的一大頑疾，“黑市上很多個人數據明碼標價，甚至幾百塊錢就能買到，獲取隱私數據后再進行精准詐騙等”。

然而，隱私數據究竟怎麼被收集，收集后流向何方，很多用戶都對此一臉茫然。“至少70%以上的人不知道自己數據在哪兒，有的人大致知道，但對數據的詳細分布也不了解﹔另外，多數企業無法為用戶提供一份‘數據地圖’，更別說給出‘數據地圖’中重要數據、敏感數據的分布，以及數據之間的關系。”沈武林說。

完善立法，促進企業內生機制建立

“一家企業如果沒有安全，就談不上發展。用戶個人數據保護應該納入企業安全管理的范疇，並且要建立跨部門業務線的安全保護體系。也就是說，‘安全’必須無縫隙地與每一條業務線，每一個新產品、新應用相融合。”中國社科院法學研究所研究員周漢華坦言，過去說“合規”，往往是產業線下游或末端的合規，但用戶信息保護要從源頭開始。“從近年來爆出的數據泄露案例看，隻要企業機構設置有效的內生機制，其實都是可防可治的。”

在用戶數據保護方面，企業作為數據的收集者、控制者，既做“運動員”又做“裁判員”顯然難以解決問題。“因此不能光靠企業自律，要讓法律推動內生機制生成。尤其通過以個人信息保護法為核心的一整套機制作為保障，形成有效的外部威懾。”周漢華說。

“我們已經步入了‘數權’時代。一次次數據泄露付出的代價，讓我們更加明白用戶隱私保護的重要性，也感受到數據安全法律制度改進與完善的緊迫性。”大數據戰略重點實驗室主任連玉明說。

在連玉明看來，數據保護方面的立法要從數據全生命周期出發，包括數據的採集、存儲、流通、應用等環節，思考如何做到有效地防攻擊、防泄露、防竊取、防篡改、防非法使用，並通過最大限度地限制公權和保護私權，推動大數據安全管理的標准化、規范化。

信息安全“攻防戰”永無止境

近年來，手機應用、智能攝像頭、WiFi等泄露用戶隱私現象讓人防不勝防。如今，支撐智能時代的大數據、雲計算、人工智能等技術，既是創新發展的助推器，也是滋生網絡安全問題的催化劑。“智能時代，新技術是幫凶，也是克星。信息安全的這場‘攻防戰’永無止境。”齊向東說。

一家互聯網企業的技術架構師透露，現在不少企業的IT部門已被弱化，雖然也有雲服務提供商，但整個數據的傳輸、存儲、分享，以及數據處理和管理流程的鏈條過長，涉及中間環節太多，“技術上做不到位，無法談信息安全和隱私保護”。

如何做到“魔高一尺，道高一丈”？“網絡攻擊已是不可避免，數據集中也是未來趨勢，我們能做的就是改變數據保護的方法和技術體系，讓攻擊者哪怕攻進來，也不會盜走數據，還要以最快的速度把網絡威脅檢測出來，並做出快速響應。”齊向東說。

國家密碼行業標准化技術委員會主任委員徐漢良建議，利用密碼技術與數據標識相結合，通過信任管理、訪問控制、數據加密、可信計算、密紋檢索等措施，構建傳輸、分析、應用為一體的數據安全體系，解決隱私保護、數據源真實、防身份假冒等問題。

“在數據流通方面，建議通過使用匿名化，讓脫敏數據去掉標簽﹔也可通過‘差別隱私’機制，在數據裡加入一些‘噪音’，以保護數據的外部識別。”英國勵訊集團全球副總裁Flavio Villanustre說。（李政葳）

分享讓更多人看到