面对智能设备，其实很多年前，人们心里就在“打鼓”——那些看似乖巧人畜无害的家伙，究竟是又听话又聪明的工具，还是默默“接管”人类一切的终极反派大BOSS？

就像电影《终结者》里的“天网”，这场对于人类社会逐渐失控的侧写，似乎早就预言了那双自带“上帝视角”俯视苍生的眼睛，正在谋划着一场惊天动地的“审判日”……

纳尼？！人工智能“良心变坏”？

原本只存在于科幻世界中的噩梦，似乎正在渐渐成真。

12月20日，德国媒体《c’t》报道称，亚马逊承认因“人为错误”，导致德国一位用户接收到了1700份亚马逊语音助手“Alexa”用户的隐私音频……此消息一出，再次震惊全球。

今年8月，这位德国用户曾根据欧盟《通用数据保护条例（GDPR）》，要求亚马逊向自己开放所有存储在云端的数据，没想到两个多月后，亚马逊竟给他发来了1700份陌生人的录音。

《c’t》杂志听取了其中部分录音发现，仅凭这些语音对话就完全可以“拼凑”出一个人的生活细节及个人习惯，甚至还听见了男女对话，甚至沐浴的声音。

更可怕的是，这家媒体仅根据这些录音，就联系上了两位私密音频的当事人……了解完原委，这两位“Alexa”的用户大为光火。

对于这起事件，亚马逊的回应是“这是一起不幸的人为失误事件，也是一起个别事件”，但却避而不谈录音对外流出的过程和细节。

企业到底掌握了用户多少数据？数据流动到了哪里？哪些人在使用这些数据？这一切有风险吗？……

面对以上问题，如果连企业自己都说不清楚，那么“覆巢之下，焉有完卵”？

我建议各位在思考这个问题之前，先把自己从情绪中抽离出来，冷静地想一想问题本质在哪里：

1. 不是智能音箱“良心变坏”了，而是数据安全的管理失控了，使得用户隐私一不小心就“裸奔”。
2. 同在数字经济大潮中，没有一家企业能“关起门来”做数据安全，更没有人能仅凭一己之力“独善其身”。

随着移动互联网、云计算、大数据、区块链、人工智能这些新技术的发展，数据的采集成本越来越低，而采集效率却越来越高，范围广到覆盖全网，信息的边界也变得愈发模糊。“数据安全”也从新鲜的词汇和概念，变成了所有企业都必须重视的“新生短板”。

单就亚马逊这次重大数据泄露事件来看，眼下没有人敢说数据安全已经做到了“足够好”，甚至，我们必须承认对数据安全的认识还有很多不足。

数据安全是“面子工程”？

就在德国媒体爆出亚马逊这起惊天事故的前一天，12月19日，蚂蚁金服在杭州邀请生态合作伙伴举行了“数据安全与隐私保障联盟”的首次大会，目的就是探讨当前数据安全与隐私保护所面临的挑战，并联合更多企业共建生态数据安全。

当时，笔者就坐在台下，听到了许多真知灼见。

也许有人会说，数据是一种“静态资产”，就像保险柜里的金条，车库里的豪车，只要别人得不到密码和钥匙，那么就可以保证它绝对的安全。

说这话的，恐怕是刚刚实现了互联网化的行业和企业，他们其实并未意识到：数字经济时代，数据的属性已经从本质上发生了改变——数据已经从过去的“静态资产”，变成了始终处于流动状态的“能源”——一如工业时代的煤炭和石油。

过去“修城堡”式的静态保护策略，早已无法适用于今天新技术的发展，传统的数据安全，也很难安然应对各种数据开放流动场景中层出不穷的新问题。

数据来源：中国裁判文书网

这是近年国内侵犯公民个人信息一审裁判案件数量的统计，可以看到的是，2017年相比较过去，案件数量有了非常明显的提高。

当部分敏锐的企业开始转变对数据的认知并重视数据安全后，新的问题又摆在眼前：业务使用数据的方式不断的在变化，根本不知道从何下手……

回顾即将过去的2018年，亚马逊并不是第一个因为数据安全问题而“上热搜”的巨头：从年初Facebook 8700万用户数据被滥用而引发全球诉讼，到年底万豪酒店喜达屋约5亿个人数据被窃；欧盟《通用数据保护条例（GDPR）》5月生效，再到美国《加州消费者隐私法案》于6月发布……数据安全的风险挑战下，全球已经进入空前重视个人数据与隐私保护的时代。今年，中国也相继把《个人数据保护法》、《数据安全法》纳入立法计划，公安部也开展了首次针对大数据安全的整治工作。

可以预见的是，企业面临的个人信息保护责任、监管合规要求会越来越严格，监管机关的管理力度也会越来越强。

欧盟《GDPR》里就明确要求：“个人数据是必须属于个人的，即便企业采集了个人数据并进行存储，数据的主体权利依然还属于个人本身，企业要具备给主体权利提供保护的能力。”

与此同时，原本一直笑称对隐私泄露“习以为常”的用户们，开始越来越在意自己的信息通过各种方式“被泄露”出去：

绝大多数用户已经开始主动关注隐私保护的内容，更有超过一半的用户会拿起法规作武器，保护自己的隐私权益。

如果企业还把用户当傻子，当韭菜，殊不知，用户早就挥起镰刀，反杀你于马下。

也许还会有部分企业觉得侥幸，认为自己的业务与大数据无关，就与数据安全无缘。但实际上，数据安全绝不仅仅只是“大数据技术平台的安全”，更不是只有拥有“大数据”的产品或企业才需要做好数据安全——因为每个企业都在不可避免地被“数字经济”大潮推动，往往“牵一发而动全身”。

除了来自外部的各种压力，企业还应该看到：

“数据安全和隐私保护”绝不仅仅是应付法规和监管的“面子工程”，更关系到企业自身行稳致远的基础能力，这不是企业额外的负担，而是面对未来更大挑战的积极投资。

“数据是否安全，已经成为企业竞争力的重要组成部分。”在这个全新的维度，很多已经建立起传统行业优势的“大厂”已经和一些新兴行业“小店”站在了一道全新划出的起跑线上，接受市场和用户的苛刻审视。

企业有没有必要做数据安全，这个问题已然有了明确的答案。

抱团生态：大家好 才是真的好

一旦“数据安全”成为全行业共识，大家就会发现：没人能凭一己之力实现“全局”安全，更没有人能保证在数字经济的大潮中“独善其身”——这就需要所有数字经济的参与者分享能力与经验，共担使命和责任。

今年8月，蚂蚁金服正式成立“数安联盟”：基于自身对数据安全管理的理解，以及将安全能力逐步产品化，联合了各方力量开始向生态合作伙伴输出数据安全体系建设的经验和技术。短短四个月的时间里，已有近400家企业加入了“数安联盟”，其中不乏天弘基金、国泰保险等等这样的行业巨头。

蚂蚁金服副总裁 芮雄文

蚂蚁金服副总裁芮雄文表示，“数安联盟”正在通过安全评估、产品赋能、安全众测、方案建议与交流、安全培训、体系共建等多种方式，协助行业企业提升数据安全能力，降低个人数据泄露风险。

当时，坐在会场的我陷入了思考：为什么“数安联盟”能够在短时间里取得这么快的进展？为什么会有这么多企业选择加入联盟？

企业有没有必要加入“数安联盟”，本质上在于联盟能给企业带来什么好处，有没有值得企业加入的价值。我们不妨先来看看“数安联盟”是怎么做的？

据我了解，在帮助生态伙伴加强数据安全能力这件事儿上，蚂蚁金服分成了三个方面来实施。

一是推动“标准化”，建立行业统一的数据安全与隐私保障基线，建立动态风险监测与管理能力；二是将自身在数据安全上的能力通过“产品化”对外输出，给企业提供服务；最后则是将这一切“体系化”，为企业提供数据安全的解决方案。

蚂蚁“数安联盟”认为：企业的数据安全和隐私保护工作，可以分为“可感”、“可控”和“可治”三个部分。诸如“有什么数据？数据在哪里？谁在用数据？”就属于数据“可感”的范畴。

一切围绕数据安全的工作，都是以能够感知数据为前提的，企业只有对自己存储的数据，在完整的数据生命周期上有一个清楚的认识，才能进行之后的一系列控制和治理工作。

根据研究，全球范围内只有15%的公司实现了安全自动化，而这些公司在面临数据安全问题时，损失比未实现安全自动化的公司低了35%。

另一项研究报告则显示，有53%的医疗数据泄露，实际上是由内部泄露所导致。因此，内部作案也逐渐成为数据安全事件的一大潜在威胁。因而落实到每个企业，对于数据安全产品的诉求其实都是十分明确的：“数据防泄漏、操作可审计、敏感可识别、数据可分级”。

区别于过去只有应用和运维人员才可以接触数据库，未来可能会有越来越多的业务和分析人员，甚至第三方数据处理人员，都会有必要获得接触数据的权限。这样一来，对人员操作风险的审计，就成了企业必须重视的工作。

对数据做好分类分级，不仅可以有助于企业随时感知数据，还能够区分不同数据类别所面临的风险和威胁，更有针对性地予以保护和控制。

蚂蚁“数安联盟”表示，目前以《数据安全能力成熟度模型（DSMM）》为参考，已经为国内国际超过120家生态企业完成了数据安全的风险评估与改进工作。更重要的是，蚂蚁金服的行业技术部门，将负责技术解决方案的产出，向蚂蚁的合作伙伴们输出包括安全能力在内的技术服务，帮助他们低门槛地构建完整的安全技术体系。

在这个技术体系中，居于核心的产品包括：整体数据安全解决方案“数安大脑”，聚焦数据安全的专业化产品“数据保护伞”，管理权限安全的产品“虎符”，防控人员风险的产品“天眼”等等。“数安联盟”从多个角度入手，来满足企业对于数据安全工作的不同诉求。

最后，“数安联盟”通过市场机制、社会共治的模式建设生态数据安全能力，有利于形成个人信息保护方面的优胜劣汰的良性筛选机制，共同提升整个行业的个人数据安全与隐私保护的水位。

那么有没有必要加入联盟，作为企业经营者，我想每个人心中也都有了答案。

另外，还有一件事，让我琢磨了很久：蚂蚁成立这个联盟，做这件事他图什么？

站在蚂蚁自身业务的角度，成立“数安联盟”，确实既可满足用户的安全感需求，又同时解决生态企业的数据安全问题。但是，要花大气力将安全能力转化为技术体系和安全产品对外开放和输出，我想，这还是有很大一部分来自社会责任的担当，以及普惠的基因吧。

截稿前，我听说这件事现在被蚂蚁越做越大了，“数安联盟”已经与支付宝小程序进行了有机结合——支付宝小程序开发者都可以在“蚂蚁开放平台-开发者中心-安全中心”，申请加入蚂蚁“数安联盟”，快速接入蚂蚁金服成熟的数据安全能力，从而提升广大用户的安全体验。

正如蚂蚁金服副总裁芮雄文在演讲中所说：每一个企业都是数字经济大潮的参与者，在共筑社会隐私保护能力和提升数据安全水位方面，有着共同的使命和责任。

他说，蚂蚁金服作为一家科技企业，坚信改变世界的不仅是技术，而是技术背后的使命、愿景和价值观。

作者：安在 蓝河