數(shù)據(jù)泄露無處不在

　　近期發(fā)生多起數(shù)據(jù)泄露事件，涉及多個(gè)國(guó)家的各類數(shù)據(jù)，表明全球數(shù)據(jù)泄露風(fēng)險(xiǎn)并未受到充分重視。

　　上個(gè)月，瑞典遭遇史上最大規(guī)模數(shù)據(jù)泄露事件。瑞典首相勒文宣布免去內(nèi)政大臣安德斯·于耶曼和基礎(chǔ)設(shè)施大臣安娜·約翰松的職務(wù)，理由是二人對(duì)一起交通數(shù)據(jù)泄露事件處理不當(dāng)。瑞典媒體援引勒文的話說，這簡(jiǎn)直是場(chǎng)災(zāi)難。

　　7月24日，瑞典政府承認(rèn)，在互聯(lián)網(wǎng)工程服務(wù)外包中發(fā)生了大規(guī)模資料外泄。據(jù)瑞典電視臺(tái)報(bào)道，為簡(jiǎn)化流程節(jié)省成本，瑞典交通管理局2015年將IT系統(tǒng)管理和維護(hù)工程進(jìn)行外包，但外包過程中違規(guī)操作，將未經(jīng)加密處理的交通資料庫(kù)上傳至外包公司位于他國(guó)的數(shù)據(jù)庫(kù)。

　　其中一家外包公司為IBM瑞典分公司，該公司服務(wù)器實(shí)際放置在捷克，意味著受雇于該公司的捷克電腦工程師可以輕而易舉地接觸到敏感數(shù)據(jù)。另一外包公司是一家塞爾維亞的通訊公司，負(fù)責(zé)維護(hù)瑞典交通管理局網(wǎng)絡(luò)防火墻和通訊系統(tǒng)，也擁有查看相關(guān)數(shù)據(jù)的權(quán)限。

　　這些可能已遭泄露的信息包括瑞典全國(guó)的機(jī)動(dòng)車駕駛?cè)诵畔ⅲ瑯蛄骸⒌罔F、道路和港口等敏感信息，甚至還有瑞典警方和軍方的車輛信息和防御計(jì)劃等。

　　另有消息披露，瑞典交通管理局在上傳數(shù)據(jù)過程中也存在重大安全風(fēng)險(xiǎn)，比如，工作人員先將所有數(shù)據(jù)上傳到未受保護(hù)的云端服務(wù)器，然后再通過電子郵件將鏈接發(fā)給外包公司。

　　瑞典交通管理局前局長(zhǎng)瑪麗亞·阿格倫已于今年1月被解職，并被處以7萬瑞典克朗(約合5.8萬元人民幣)的罰款，但政府并未在第一時(shí)間公開原因。瑞典交通管理局最近才承認(rèn)，阿格倫在外包工程過程中，繞過了多項(xiàng)保護(hù)敏感信息的法律法規(guī)和內(nèi)部章程。

　　黑客入侵也使用戶信息出現(xiàn)泄露。美國(guó)《財(cái)富》網(wǎng)站報(bào)道，美國(guó)特朗普國(guó)際酒店管理公司7月11日表示，由于一家服務(wù)提供商的系統(tǒng)遭到黑客入侵，旗下14 處酒店的客戶信用卡支付細(xì)節(jié)遭到外泄。

　　這家酒店網(wǎng)站上的一份通知顯示，黑客攻擊了酒店服務(wù)提供商——Sabre的中央預(yù)訂處理系統(tǒng)，從而造成部分連鎖酒店的客戶預(yù)訂信息泄露，這些被泄露的信息包括支付卡號(hào)以及卡安全密碼。此次攻擊，是今年 5月份所披露Sabre預(yù)訂系統(tǒng)遭到網(wǎng)絡(luò)攻擊的一部分。全球范圍內(nèi)，Sabre公司的預(yù)訂系統(tǒng)被近3.2萬家酒店使用。Sabre公司在6月5日告知特朗普酒店，拉斯維加斯、芝加哥等多個(gè)城市的特朗普連鎖酒店的客戶信息遭到外泄。Sabre公司稱，泄密僅僅發(fā)生在酒店所使用的預(yù)訂服務(wù)系統(tǒng)Sabre Hospitality Solutions，酒店電腦系統(tǒng)本身并未受到影響。

　　值得一提的是，去年特朗普酒店就曾出現(xiàn)7萬多張信用卡號(hào)碼和300多個(gè)社安號(hào)碼外泄事件，因未立即通知客人，特朗普酒店被紐約州罰款5萬美元。作為達(dá)成和解協(xié)議的一部分，當(dāng)時(shí)酒店表示同意支付罰金，也同意更新安全技術(shù)。顯然，系統(tǒng)再度受到攻擊意味著酒店未能很好完成其保護(hù)系統(tǒng)安全的承諾。

　　另?yè)?jù)英國(guó)的科技新聞網(wǎng)站The Register報(bào)道稱，今年7月，data.gov.uk網(wǎng)站使用者的姓名、郵箱和密碼等信息被發(fā)現(xiàn)能在第三方網(wǎng)站上接入獲取。2015年6月20日前注冊(cè)這家網(wǎng)站的用戶都受到了影響。英國(guó)政府?dāng)?shù)字服務(wù)機(jī)構(gòu)表示，立刻將這些數(shù)據(jù)從公共區(qū)域移除并向相關(guān)機(jī)構(gòu)進(jìn)行了匯報(bào)。英國(guó)政府則建議，被泄露信息的使用者需要重置密碼。

　　印度出現(xiàn)了類似的情況，但規(guī)模更大，危害更嚴(yán)重。7月初，有媒體報(bào)道說，印度電信運(yùn)營(yíng)商Jio超過1億用戶的信息遭到泄露，用戶發(fā)現(xiàn)，在magicapk.com網(wǎng)站上輸入一個(gè)Jio網(wǎng)絡(luò)下的手機(jī)號(hào)碼進(jìn)行查詢，會(huì)出現(xiàn)包括這個(gè)號(hào)碼使用者的姓名、電子郵箱、號(hào)碼激活日期和入網(wǎng)地點(diǎn)、個(gè)人身份證號(hào)碼等多項(xiàng)個(gè)人信息。這被視為印度電信行業(yè)史上最大規(guī)模數(shù)據(jù)外泄事件。隨后，這個(gè)涉嫌泄露信息的網(wǎng)站已無法打開。

　　網(wǎng)絡(luò)安全分析師斯里尼瓦斯·科達(dá)伊說，這些用戶信息早在今年6月就出現(xiàn)在一個(gè)網(wǎng)絡(luò)論壇上，在“暗網(wǎng)”(互聯(lián)網(wǎng)上數(shù)量龐大的“隱身”網(wǎng)站)中，還出現(xiàn)了用戶信息的截屏圖片。Jio隸屬印度信實(shí)工業(yè)公司，是印度移動(dòng)通信市場(chǎng)上的后起之秀。信實(shí)董事長(zhǎng)穆凱什·安巴尼被《福布斯》雜志評(píng)為印度最富有的人。

　　數(shù)據(jù)安全監(jiān)管亟待完善

　　數(shù)據(jù)泄露事件頻發(fā)，暴露出互聯(lián)網(wǎng)時(shí)代的治理漏洞，也暴露出互聯(lián)網(wǎng)時(shí)代中數(shù)據(jù)隱私的保護(hù)與監(jiān)管、保護(hù)與共享等諸多矛盾，對(duì)各國(guó)相關(guān)法律法規(guī)的制定和實(shí)施提出了更高要求。

　　在瑞典交通管理局信息泄露事件曝光后，盡管尚未有證據(jù)顯示這些資料落入不法分子之手，但已引發(fā)瑞典政壇震蕩，反對(duì)黨主席在新聞發(fā)布會(huì)上嚴(yán)厲指責(zé)現(xiàn)政府在保護(hù)瑞典國(guó)家安全方面存在嚴(yán)重失責(zé)。反對(duì)黨聯(lián)盟計(jì)劃對(duì)國(guó)防大臣等官員發(fā)起不信任投票，要求他們下臺(tái)為泄密事件負(fù)責(zé)。

　　瑞典首相勒文承認(rèn)，泄密事件是瑞典網(wǎng)絡(luò)安全的一場(chǎng)失敗。他透露，瑞典政府正在擬定一項(xiàng)新的安全法案，對(duì)涉及國(guó)家安全的外包業(yè)務(wù)提出更加嚴(yán)格的規(guī)定。該法案將于2019年1月生效。

　　事實(shí)上，在歐盟，對(duì)于數(shù)據(jù)安全的保護(hù)條例在不斷完善之中。

　　2015年12月，歐盟通過了《一般數(shù)據(jù)保護(hù)條例》，以歐盟法規(guī)的形式確定了對(duì)個(gè)人數(shù)據(jù)的保護(hù)原則和監(jiān)管方式，避免個(gè)人數(shù)據(jù)陷入“裸奔”的尷尬。對(duì)于困擾歐盟與美國(guó)之間的信息自由流動(dòng)問題，歐洲法院也做出了否決歐盟與美國(guó)《信息安全港》協(xié)議的裁決。

　　“棱鏡門”事件后，美國(guó)掀起了個(gè)人信息保護(hù)的高潮，除了《隱私保護(hù)法》，還陸續(xù)出臺(tái)了《兒童在線隱私保護(hù)法》、《電子郵件隱私法案》、寬帶用戶隱私保護(hù)新規(guī)等法律法規(guī)。此外，美國(guó)還和歐盟聯(lián)手打造《歐美隱私盾牌》協(xié)定，取代此前的《信息安全港》協(xié)議，以保護(hù)跨國(guó)個(gè)人數(shù)據(jù)安全。

　　英國(guó)一些大機(jī)構(gòu)今年以來遭到不同程度的黑客襲擊。例如英國(guó)國(guó)民保健制度服務(wù)系統(tǒng)5月遭勒索軟件病毒入侵后，多家醫(yī)院電腦癱瘓，不得不停止接收患者，救護(hù)車等醫(yī)療服務(wù)也受到影響，這使得不少專家呼吁政府加強(qiáng)數(shù)據(jù)保護(hù)。

　　英國(guó)本身也早就有數(shù)據(jù)保護(hù)法案。但多年前，英國(guó)曾有一個(gè)“時(shí)代”計(jì)劃，并和美國(guó)國(guó)家安全局在嫌疑目標(biāo)的確定、對(duì)民眾通訊記錄的獲取等方面互通有無，如讀取通話記錄、電子郵件內(nèi)容、社交網(wǎng)站的登錄方式等信息。一些電信企業(yè)被迫選擇將“部分或全部”通信服務(wù)轉(zhuǎn)移到海外，企業(yè)及海外通信服務(wù)商不得不與英國(guó)當(dāng)局私下達(dá)成協(xié)議，允許情報(bào)機(jī)構(gòu)在“適當(dāng)法律授權(quán)”下接觸到英國(guó)境外的通信數(shù)據(jù)。

　　隨著數(shù)據(jù)隱私及安全問題越來越突出，英國(guó)政府宣布將修改相關(guān)法律條文，加強(qiáng)對(duì)個(gè)人數(shù)據(jù)隱私的保護(hù)。

　　英國(guó)的情況多少反映出監(jiān)管和隱私保護(hù)逐步從不和諧走向完善。事實(shí)上，這種情況在其他國(guó)家也存在。

　　例如，為了防止有組織的恐怖主義行為，澳大利亞《強(qiáng)制保留通訊數(shù)據(jù)法案》于2015年3月生效。通過立法，澳大利亞政府要求其國(guó)內(nèi)的通信運(yùn)營(yíng)商Telstra和Optus保存用戶的通信數(shù)據(jù)，例如電話記錄、IP地址、短信的詳細(xì)信息、數(shù)據(jù)的地址等，保存期限是2年。

　　對(duì)此，澳大利亞人各持己見。大部分人對(duì)此表示支持，同意用納稅人的錢來分?jǐn)偩W(wǎng)絡(luò)公司儲(chǔ)存數(shù)據(jù)需要的每年約為1.31億澳元的高昂成本。也有公民自由倡導(dǎo)者認(rèn)為，這反而可能泄露個(gè)人隱私。這部新數(shù)據(jù)法在爭(zhēng)議中開始實(shí)施。

　　在印度，2013年，其政府啟動(dòng)了覆蓋面廣闊的監(jiān)控系統(tǒng)，這一系統(tǒng)允許政府竊聽錄音電話中的對(duì)話，閱讀私人電子郵件和短信，監(jiān)控臉譜和推特等社交網(wǎng)絡(luò)平臺(tái)上的發(fā)帖，并追蹤個(gè)人在谷歌上的搜索目標(biāo)和痕跡。安全部門不需要法院的監(jiān)控命令，也無須告訴運(yùn)營(yíng)商，就可以獲取通訊材料。直到目前，印度并沒有正式的隱私法。

　　德國(guó)擁有世界上最嚴(yán)格的隱私保護(hù)法。1977年，德國(guó)聯(lián)邦政府出臺(tái)了適用于整個(gè)德國(guó)的《聯(lián)邦數(shù)據(jù)保護(hù)法》，約束范圍包括電子通信、互聯(lián)網(wǎng)等領(lǐng)域，防止因個(gè)人信息泄露導(dǎo)致的侵犯隱私行為。政府內(nèi)部還設(shè)立了聯(lián)邦數(shù)據(jù)保護(hù)與信息自由專員，來監(jiān)督政府機(jī)構(gòu)在保護(hù)個(gè)人數(shù)據(jù)方面的行為；德國(guó)各州也有數(shù)據(jù)保護(hù)專員，以類似的方式監(jiān)督各州政府機(jī)構(gòu)的行為。

　　即便如此，關(guān)于個(gè)人信息保護(hù)也存在爭(zhēng)議。著名的“德國(guó)之翼”墜機(jī)事件發(fā)生后，這一爭(zhēng)議在德國(guó)始終沒有停止過。

　　商機(jī)與禁區(qū)并存

　　保護(hù)數(shù)據(jù)隱私，越來越受重視，這對(duì)用戶而言無疑是個(gè)福音。對(duì)不同企業(yè)來說，數(shù)據(jù)隱私的保護(hù)工作，既意味著商機(jī)，也意味著可能受到更多限制。

　　數(shù)據(jù)隱私保護(hù)帶來了商機(jī)。英特爾公司最近在紐約舉行的“英特爾Xeon可擴(kuò)展處理器發(fā)布會(huì)”上宣布，正與金融創(chuàng)新公司R3合作，加強(qiáng)其Corda區(qū)塊鏈平臺(tái)的數(shù)據(jù)隱私和安全性。

　　作為解決Corda數(shù)據(jù)隱私和安全的一部分，該平臺(tái)只向“需要知道”的人發(fā)送數(shù)據(jù)，這與大多數(shù)區(qū)塊鏈應(yīng)用程序不同。這一特點(diǎn)源自金融機(jī)構(gòu)的要求，需要確保貿(mào)易和協(xié)議的保密性。Corda解決了全球80多個(gè)成員識(shí)別的多個(gè)問題。對(duì)英特爾和R3來說，數(shù)據(jù)隱私保護(hù)的需求無疑催生了新商機(jī)。

　　新興企業(yè)也在涉足數(shù)據(jù)隱私保護(hù)行業(yè)。

　　英國(guó)金融科技初創(chuàng)企業(yè)Privitar最近宣布，公司已獲得1600萬美元A輪融資，將用于擴(kuò)大其技術(shù)平臺(tái)和拓展美國(guó)市場(chǎng)的業(yè)務(wù)。這家公司的聯(lián)合創(chuàng)始人兼首席執(zhí)行官簡(jiǎn)森·布雷茨將其定性為“隱私工程”公司，表示其目標(biāo)是在確保客戶隱私信息得到嚴(yán)格保密的前提下，通過大數(shù)據(jù)分析預(yù)測(cè)客戶行為，將手中的數(shù)據(jù)增值變現(xiàn)。

　　與此同時(shí)，由于數(shù)據(jù)隱私問題，一些企業(yè)遭到警告或者被判違法。

　　英國(guó)媒體8月份報(bào)道稱，英國(guó)政府將推出一項(xiàng)新法律，旨在監(jiān)督和強(qiáng)制社交媒體公司和在線交易商刪除民眾的個(gè)人資料，保護(hù)他們的權(quán)益。英國(guó)數(shù)字國(guó)務(wù)部長(zhǎng)馬特·漢考克表示，這是這些公司們“被遺忘的權(quán)利”，從此以后，他們?cè)僖矡o法通過默認(rèn)的線上“勾選框”無限制地利用民眾的個(gè)人信息。

　　依據(jù)該法案，英國(guó)信息專員辦公室有權(quán)對(duì)違反該項(xiàng)數(shù)據(jù)法的公司施以高達(dá)1700萬英鎊(約合人民幣1.49億元)的罰款，或者收繳該公司4%的全球營(yíng)業(yè)額。但該法案的主要目的之一是取代數(shù)據(jù)保護(hù)法，確保英國(guó)的法律符合歐盟的《一般數(shù)據(jù)保護(hù)法》，以便在英國(guó)“脫歐”后，數(shù)據(jù)可以繼續(xù)自由流通。“個(gè)人數(shù)據(jù)”的定義范圍也將擴(kuò)大，包括IP地址，互聯(lián)網(wǎng)Cookie和DNA，同時(shí)，也定義新的刑事犯罪行為，阻止部分公司故意或罔顧后果地識(shí)別匿名人士信息。

　　盡管數(shù)據(jù)新法案還有待公布更多細(xì)節(jié)，但外界認(rèn)為，英國(guó)此舉無疑是向谷歌、臉譜等科技公司利用用戶數(shù)據(jù)推送廣告、銷售產(chǎn)品等行為發(fā)出了最強(qiáng)警告。臉譜時(shí)不時(shí)彈出的廣告信息將會(huì)在英國(guó)地區(qū)頁(yè)面上消失，用戶有望從被迫標(biāo)記不接受商業(yè)廣告郵件變換到如有需要在明確同意的前提下獲取這些信息的模式。

　　今年7月初，英國(guó)最高隱私保護(hù)監(jiān)管部門還裁定， DeepMind一項(xiàng)重要的醫(yī)學(xué)實(shí)驗(yàn)違反了英國(guó)的數(shù)據(jù)保護(hù)法。

　　谷歌旗下的DeepMind與英國(guó)國(guó)家醫(yī)療服務(wù)系統(tǒng)NHS信托機(jī)構(gòu)達(dá)成協(xié)議，允許訪問NHS旗下三家醫(yī)院約160萬病人的醫(yī)療記錄。然而，英國(guó)最高隱私保護(hù)監(jiān)管部門表示，這項(xiàng)實(shí)驗(yàn)并沒有告訴患者醫(yī)療記錄數(shù)據(jù)的使用方式。

　　該部門認(rèn)為，在DeepMind展開實(shí)驗(yàn)時(shí)，主要目的是想看看移動(dòng)應(yīng)用APP是否正常工作，以及醫(yī)務(wù)人員是否喜歡其界面，而不是嘗試改善治療效果。英國(guó)信息專員伊麗莎白·登海姆表示：“患者并不希望他們的信息以這種方式被使用。”之后，DeepMind和NHS根據(jù)要求簽署了改變數(shù)據(jù)處理方式的承諾。