数字化时代,个人数据何处安家?
作者: 日期:2022年04月06日 阅:1,481

近日,据微博消息,腾讯员工被曝偷看创业公司工作文档的新闻被送上头条热搜,一下子再次点燃了网友紧张的神经,引发了网友对“个人数据如何安家”的激烈讨论。

这名叫王落北的博主在微博中谈到:自己数十人创业团队研发半年的产品文档存放在腾讯文档中,但是一份受限的内部文档出现了腾讯员工的访问记录。也就是说,本来私有权限的文档却被腾讯员工越权访问。

在跟帖区,网友评论到:“腾讯员工偷看创业公司未公开文档,有被偷家的感觉”。也有网友评论到:”国内厂商的基本信任很难建立,你说别人总怀疑你,但好像黑料一堆,尤其是小动作不断。——没办法。”大家一致的指向就是质疑厂商们对“不查看用户数据”信誓旦旦的承诺。

01 数字化时代,需要防范两只眼睛

虽然互联网大厂都承诺不查看用户数据,但用户对此的质疑声并未因厂家的澄清有任何改变。

比如,据中国新闻网报道,2018年,吉利汽车董事长李书福在正和岛新年论坛上上表示:“马化腾肯定天天在看用户的微信,并认为这样很容易暴露商业秘密”。对此,微信表示:微信不留存任何用户的聊天记录,聊天内容只存储在用户的手机、电脑等终端设备上,传言中所说“我们天天在看你的微信”纯属误解。

网上一直流传着钉钉在查看员工轨迹和聊天的消息。钉钉迦卢回应称,这是“完全不存在”。据迦卢介绍,在打卡签到时,员工只是在开启这个功能的那一刻上传所在位置,仅此而已。如果员工不主动进行打卡签到的动作,企业和组织根本无从看到员工位置。

然而,理论上,以上的回应都是无力的,所有的SAAS服务都至少有两只眼睛在默默注视着用户个人数据。

1.左眼——算法

无论是腾讯、还是阿里,作为互联网厂商,基因决定了“用户数据就是企业的生命”。对于用户数据的获取,他们无所不用其极。工信部历次公布的APP数据非法采集名单里,腾讯、阿里都上过“APP非法采集用户数据”整改名单,最近的一次是2021年12月,工信部对腾讯旗下微信产品做出了取消APP市场下载的处罚。对于获取的用户数据,互联网厂商自然不会放过任何一次有效的机会。“千人千面”也许是想让用户体验更好,但无形中,用户数据获取后,结合大数据、人工智能算法手段的应用,也为互联网企业面向用户的“大数据杀熟”、“广告骚扰”提供了土壤。

大数据杀熟:

2022年“3.15”晚会上,“大数据杀熟”再成维权关键词。据北京市消费者协会调查报告显示:86.91%的受访者表示有过被大数据杀熟的经历。而监管手段不强、隐蔽性太强、不容易取证是大数据杀熟屡禁不止的原因。

2021年7月7日,浙江省绍兴市柯桥区法院就审理过一起用户状告携程存在“大数据杀熟”的侵权行为。

根据庭审视频,原告胡女士于2020年7月18日在携程App预定了舟山希尔顿酒店一间豪华湖景大床房,支付价格2889元,次日却发现酒店该房型的实际挂牌价加上税金、服务费仅为1377.63元。

作为携程的钻石贵宾用户,胡女士非但没有享受到会员优惠,却成了携程大数据杀熟的受害者,支付了高于产品实际价格的费用。

多位受访专家指出,互联网平台动辄掌握了亿万公民的生活、生产数据,牵动衣食住行。同时,移动互联网已渗透下至未成年人、上至老年人的各年龄层,要求企业承担更多社会责任势在必行。

但仅就此提出法律和监管措施,能让资本向善吗?

广告推送

相信大家都经历过这样的场景,当你正忙于工作,或急于打开网页,可是,弹窗广告突然出现,遮挡了你正聚精会神看着的界面,且屡次出现,严重拖慢了电脑速度。

用户为此专门下载了360安全卫士、360浏览器、360压缩等等安全软件,本想能够跳出这些骚扰广告的坑,却不想进入了另一个坑。比如360杀毒弹窗过滤器“强力模式”可过滤大部分其他软件的弹窗广告,却不过滤360本身的弹窗广告。即使安装其他杀毒软件,但依然不能完全屏蔽弹窗广告。

用户利用手机的原意是想获得知识、获取资讯,不想却成为厂商商业利用的工具。对此,全国人大代表史浩飞呼吁整治。同时,几年前《互联网广告管理暂行办法》设置了三种互联网广告禁止性行为。但如果没有了广告推送,互联网企业的商业模式如何存在?

2.右眼——人

随着数字化时代的到来,数据的价值越来越得到重视。大量存在云厂商机房的数据也被一些人惦记。比如混入云厂商企业里的间谍还有一些为了获取非法商业利益的企业员工。

间谍

网络间谍通过E-MAIL伪装等方式攻入内部网络,盗取特定账户数据。线下,间谍通过各种途径获取用户数据。2013年,美国《中央情报局的数字化新“黑袋子”》揭示:美国国家安全局和中央情报局合作恢复了冷战时期派遣特工秘密潜入敏感机构的做法。只不过他们现在不再偷窃密码本或者撬开保险箱,而是在电信机房里安装间谍软件。文章称,这些行动最重要的目标是中国。

在这些行动中,间谍软件被秘密安装在服务器上,窃听器被装在保密电话线路上。光纤、数据交换中心和电话交换台的数据被记录,数据备份硬盘和光碟被偷偷窃取并被复制。

违法员工

出于商业利益,互联网公司的员工利用自己获取数据的有利机会,盗取用户数据的案例也频繁发生。

比如,2021年8月,浙江省通信管理局公布了阿里云泄露用户数据的消息。

事后阿里云回应称:根据自查,该事件应为2019年双11前后,阿里云一名电销员工违反公司纪律,利用工作便利私下获取客户联系方式,并透露给分销商员工,从而造成用户数据泄露。

黑客

互联网大厂运营的数据,都是以中心化方式存储在数据机房里。

中心化的存储方式让黑客入侵“一锅端”成为可能,直接影响用户数据安全。黑客通常会选择大平台、大目标进行攻击。比如Facebook、Google、腾讯云、阿里云等大公司数据泄露事件偶有发生。

黑客们利用互联网大厂中心化的便利,采用撞库等黑客技术进行攻击。一旦攻入,获得海量个人数据,就能获取灰色利益。所以,目标越大,受到攻击的风险就越高。

3.政策监管

除以上两只眼睛紧紧地盯着个人数据外,互联网大厂运营的个人用户数据还要服从政策监管的需要。

《个人信息保护法》

2021年11月,《个人信息保护法》的落地实施,明确了个人信息保护涉及到的管理部门主要有四个,中央网信办、工业和信息化部、公安部、市场监管总局。这四部委既会联合发布管理通知,也各自有着具体负责监督管理的对应机构。个人信息保护法的出台,规范了互联网APP数据采集行为,也加强了个人信息的违法保护力度,为用户数据的合法利用做了制度保障。

《网络安全法》

《网络安全法》要求互联网公司对所有用户数据都要实名制。其好处是,经过实名制后,信息真实化、牢靠化,成为国家网络安全的一个重要措施。然而,另一方面,一旦收集的个人信息发生大批量的泄漏,将发生无法预期的数据安全风险。

近年来,随着数据越来越重要。互联网大厂作为巨量的个人数据运营者,成为了信息泄露的重灾区。

其它跟个人数据相关的法律还有《数据安全法》等法律,他们一方面在监督加强平台对个人信息保护的同时,也对个人信息实名制等方面提出了要求。

02 个人数据存储是SAAS还是私有化部署?

在商业互联网场景下,没有哪家互联网大厂可以自证自己的清白。只要以个人体验为要求的互联网模式存在,个人数据就不可能脱离被商业化利用并且存在数据泄露的巨大风险。

那么有没有一种更为安全的个人数据存储方式?相比SAAS服务这种将个人数据存储在厂家那里这种情况,私有化部署无疑有更大的优势。

有人将SAAS服务和私有化部署比喻为:私有化部署≈买房,SaaS≈租房。基本概括了SAAS和私有化部署的特点。与SAAS服务相比,私有化部署相当于一次性买断了某个产品的使用权。使用时间、使用人数等均无限制,会根据功能的定制及部署环境定价,因此成本比SAAS服务更高,但私有化部署的优势也是非常明显的:

  1. 从数据自主性来说,私有化部署>Saas服务

无论是微信、钉钉还是金山云这种产品,都是SAAS服务方式。企业购买服务提供商提供的服务,获得相应的功能,数据存储在服务提供商的服务器中。用户不具有数据自主权。

私有化部署则将服务器等放置在用户自己自建或者可信任的机房里,用户自主拥有数据的自主权,避免了数据泄露事件的发生。

2021年开始,在个人信息保护法的推动下,政企和国企迎来了各地建设国资云的高潮。这种国企云,其实就是系统内自建机房存储数据。将原来存于阿里云、腾讯云的数据放置在自己可控的范围内,从而做到数据自主可控。

一些有实力的企业为了数据安全和政策合规性的需要,正在从原来的SAAS服务转向私有化部署的方式。

  • 从配置自主性来说:私有化部署>SaaS部署

私有化部署:支持定制化部署,可以配合自己的平台进行二次开发,开放性和自由度较高。

SaaS部署:产品和功能是统一的,无法进行定制化开发。

还是以协同办公软件来说,无论是金山办公还是钉钉,都在一定程度上满足了中小企业的协同办公需求,但对于企业个性化的需求,很难有一个SAAS软件能一招遍打天下。

特别是面向涉密企业,安全性是首要需要,如何在满足数据全生命周期的安全防护情况下,将自己的业务系统与安全底座灵活配置,逐渐成为企业在《个人信息保护法》出台后合规性的必然要求。此外,支持音视频会议、移动办公、多办公场景、定制化开发,信源密信这样的私有化部署协同办公产品渐成个人数据安全存储首选。

3.从数据安全性上来说:私有化部署>SaaS部署

私有化部署,专注于服务于本企业个性化需求。它将所有的敏感数据或业务数据部署在内网的本地服务器上,服务的稳定性、数据的安全性得到了极大的保证,为企业的数据安全撑起了一把“保护伞”。

即便如此,SAAS还是私有化部署,都存在被黑客攻击的风险。但相比SAAS服务,私有化部署更能保护用户数据的安全,这也是不争的事实。

03 数字化社会,个人数据何处安家?

为什么原来不被用户关注的个人数据泄露问题近几年频频见诸报端?每个互联网大厂的数据泄露事件都能挑动用户紧张的神经?除了《数据保护法》、《个人信息保护法》等法律在2021年先后落地外,有一个背后被人忽略的逻辑就是“数字化社会已经真正来临了”。

比如2022年两会的《政府工作报告》中,多处提到了数字化。报告中提到的“纵深推进数字化改革”关乎数字经济、数字社会、数字政府。这不仅意味着已有的数字化应用继续迭代升级,意味着改革领域的大拓展,还意味着思维理念的升华,数字化社会真正已经到来了。

1.什么是数字化社会?

数字化社会是信息化基础上升级而来。信息化将物理世界的东西整合起来变成数字信号,以“0,1”的方式存储在物理存储空间。协同办公就是将现实世界中的应用场景搬到网络空间,通过实现流程再造。通过这一功能,办公效率大大提高。

元宇宙,实质上就是数字化社会的概念模型,其目标是将所有物理世界存在的事物搬到网络空间,这无疑是一场人类社会的大变革,社会习惯、社会存在方式都将发生巨大变化。

2.数字化社会具有那些特征?

首先是一切可编程。以数据为基础,软硬件的边界将打破。除了网络和计算机等传统设备之外全部是辅助设备。他们提供的智能基于软件代码,软件存在漏洞越多,其存在的风险越大。数据安全性问题成为行业风口,将会存在于数字化社会的方方面面。

其次是外物互联。可穿戴设备、家用摄像头、人体的内置心脏、甚至科幻世界描述的人脑芯片都将实现互联。攻击者无论是在线上的虚拟空间还是线下的真实世界,只要他们想都可以发动直接的攻击和破坏。

再次是安全问题集中爆发。据 Cybersecurity Ventures 预测,到 2021年全球因网络安全事件导致的损失将高达 6 万亿美元。几乎达到世界经济的10%,数字威胁数倍于我们防护的速度,从网络攻击数量上来看,2021是有史以来最严重的一年。

届时,勒索软件、个人信息泄露、物联网攻击、比特币盗窃、电信诈骗,以及国家间的网络间谍战等网络安全事件屡成话题。网络犯罪活动是人类未来二十年将面临的最大挑战之一。

对此,全球知名安全专家Charlie Miller与Chris Valasek 在一场主题演讲中指出,随着自动驾驶技术以及智能汽车的普及,好莱坞大片中的呈现的场景将很快成为现实。“攻击者一般需要四步来攻击一辆自动驾驶汽车。同时智能汽车自动驾驶程度越来越高,未来用来控制汽车的每一个部分包括方向盘、发动机、刹车系统等都可以被黑,都可以被攻击。”

3.个人数据如何安家?

国家层面,建立个人数据银行。面对个人数据的裸奔,2022年全国两会上有多位人大委员认为:应该建立个人数据银行,由国家成立专门机构统一管控。国家“数据银行”优先收储个人生物特征、医疗健康数据等具有唯一性、不可再生性的数据,按需提供数据应用,严格审计,保证向个人开放数据使用查询,从源头防范滥采滥用,切实降低公众忧虑。

个人层面,建设以个人数据为中心的安全架构体系。在技术手段上加强部署,以切实保障数据安全,为数字社会发展保驾护航。企业在搜集、使用用户个人信息的同时也应该根据实际情况做好防止信息泄露的安全举措。

无论是即将到来的数字化社会还是未来的元宇宙、人工智能社会,人类可悲的是,我们无法再脱离网络独立社会化存在了。我们都被绑上了数字化列车,奔驰而去,终点在哪里,只有云知道?

在数字化社会里,个人数据如何安家,已经是一个不容忽视的社会问题。俗语说,“心安之处即故乡”,而个人数据的故乡在哪里?

无论是SAAS服务还是私有化部署,抑或是未来的“国家数据银行”,只要这种商业利益存在,只要人类的贪欲存在,数据泄露将长期存在,而人类与数据泄露的斗争也将会成为一场惨烈斗争史存在人类记忆深处。

本文作者:夏东威

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章