最近,中信银行信息泄漏事件持续发酵。继上海银保监局介入后,5月9日,银保监对各大银行进行监管审查。据银保监公布行政处罚信息公开表显示,中国银行、工商银行、中信银行等在内的8家银行,因监管标准化数据(EAST)系统数据质量及报送存在违法违规行为被罚,共计1770万元。
这起关于个人信息泄露的事件引起了社会的热议。在数据爆炸的当下,我们该如何应对永无止境的信息安全攻防战呢?
数据爆炸带来的困扰
近年来,随着移动互联网的高速发展,海量的数据信息在给我们生活带来便利的同时,个人信息泄露的问题也日渐凸显。最典型的例子就是Facebook等社交网络巨头,近年来,随着全球用户的增长,Facebook一直在为用户的隐私问题而烦恼。
就在5月9日,Facebook用户请求法官同意他们就一项集体诉讼达成5.5亿美元的和解。该诉讼指控Facebook通过照片标记工具非法收集生物识别数据。
据报道,Facebook已同意为集体诉讼成员关闭面部识别功能,删除现有的用户生物识别信息,除非在和解生效后的180天之内用户同意开启该面部识别功能。此外,集体诉讼成员将获得150~300美元的赔偿。
而在此前2018年10月,Facebook被爆8700万用户数据被不当泄露给政治咨询公司剑桥分析,随后FTC对此展开调查,并认为Facebook没有保障好用户的数据安全,违反了公司此前有关于保护用户隐私的承诺。经过长达一年半之久的调查后,Facebook与FTC达成和解协议,罚款50亿美元,并内部成立独立隐私委员会。
除了人为的之外,也有因系统漏洞而出现的隐私泄露问题。如2019年12月,Facebook因API安全漏洞,使黑客在访问受限的情况下也能访问用户的ID和电话号码,从而导致2.67亿个用户的隐私数据被非法售卖;2019年2月,深圳一家人工智能公司深网视界(SenseNets)因没有对人脸识别数据库进行密码保护,导致250万用户信息被"裸奔",包括身份证号码、地址、出生日期、识别其身份的位置等。
随着人工智能、大数据等前沿信息科技的深入发展,对金融数据的风险控制、信息安全和数据防护能力以及技术处理手段都提出了更高的要求。然而,对此常见的防护处理手段,仍然任重而道远。
“谁收集、谁负责”?
随着互联网的迅速发展,隐私问题也越来越受到重视。但面对数据市场需求旺盛,不少人利用买卖数据信息进行谋利。例如,2018年9月,华住酒店集团共140G约5亿条个人信息遭泄露、并在境外黑市中以8个比特币标价售卖;顺丰也被传出在“暗网”上以2个比特币售卖3亿条快递数据的消息,后顺丰辟谣称暗网所售数据非顺丰数据。这也间接说明,3亿条快递数据被售卖是实情。
如今,大量APP无论是否必要,都会要求用户同意“隐私条例”来收集用户手机号码、地理位置等,否则不予使用。据中国消费者协会在2018年8月发布的《APP个人信息泄露情况调查报告》显示,遇到过个人信息泄露情况的人数占比为85.2%。
根据调查结果,个人信息泄露的主要途径有四类:
1.经营者未经本人同意收集个人信息,约占调查总样本的62.2%;
2.经营者或不法分子故意泄露、出售或者非法向他人提供个人信息,约占调查总样本的60.6%;
3.网络服务系统存有漏洞造成个人信息泄露57.4%
4.不法分子通过木马病毒、钓鱼网站等手段盗取、骗取个人信息和经营者收集不必要的个人信息分别占34.4%和26.2%。
与之对应的,在这些数据收集的过程中,企业数据库安防力量薄弱、责任意识淡薄等因素为大规模数据泄露埋下伏笔。
据360互联网安全中心2018年发布的《WannaCry一周年勒索软件威胁形势分析报告》显示,2017年勒索病毒爆发前夕,各机构有58天的时间可以进行补丁升级等安全布防工作。但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦而没有升级,致使其最终遭受勒索病毒攻击。
于此同时,大量传统企业依旧缺乏警惕,自认为不会成为被攻击对象,在用户数据保管上没有做好安全措施,最终导致大批量用户数据泄露。
从上述事件来看,这些数据泄露事件的起因大多是由于开发人员安全意识不强、企业对信息安全的重视程度不够,或者是因为公司存在“内鬼”导致。
实际上,早在2017年发布施行的《网络安全法》中就明确提出了“谁收集、谁负责”的原则。也就是说信息收集方要承担起保障数据安全的义务,但国内到现在也没有让广大公司意识到数据安全严峻性的标志性案件。
科技:只是个工具
从世界范围来看,加强数据保护与利用相关立法已成趋势。例如2018年5月,被称为欧盟那个最严厉的《欧盟一般数据保护条例》(GDPR)生效实施,包含数据保护政策、数据加密等,进一步加强了对个人信息的保护力度。
然而,截至目前,我国依旧没有专门针对数据保护相关的条例,对于信息泄露缺乏强有力的惩罚措施。近年来,涉及数据保护与利用的立法活动,主要围绕个人信息保护并且是基于个人信息安全而展开的,而针对个人信息保护的责任认定及处罚主要集中在刑法、民法、网络安全法等大法当中。
由于这些大法涉及内容较广,针对个人信息保护的责任认定和处罚缺乏可操作的细节,量刑也相对较轻。如此次中信银行信息泄露的问题,最终也只是罚款160万元。而在此前,腾讯微信、新浪微博、百度贴吧等都因涉嫌违反《网络安全法》被立案调查,BOSS直聘网因涉嫌信息泄露被网信办责令整改,但最后大多仅仅只是赔礼道歉而已。
因此,建立健全相关数据保护的法律和法规已经势在必行。同时,当人脸识别、自动驾驶、AI+医疗等应用场景成为构建智慧城市的标配时,构建健全而完善的规章制度是维持智能社会正常运转的必备准绳。
除此之外,目前区块链也已成为保障数据安全的重要技术之一。诸如去中心化、不可篡改等区块链的特性,可应用于保险、物流、选举、公益等各行各业,以改善用户敏感数据保护中存在的安全隐患,保障数据安全。
科技只是工具,其中的善恶都取决于使用技术的人。当前,数据安全已然成为全球性的问题,如何界定科技进步和隐私保护的边界,成为科技界及整合社会共同面临的新挑战和新机遇但毋庸置疑的是,科技向善,要从“人性”出发,以人为本。
(转载)
