互聯(lián)網(wǎng)用戶數(shù)據(jù)泄露風(fēng)險(xiǎn)加大歐盟率先以GDPR立法阻擊個(gè)人信息泄露

隨著信息技術(shù)的飛速發(fā)展，信息安全也越來越重要。此前Facebook數(shù)據(jù)泄露事件爆發(fā)，更是引發(fā)世界震蕩。

個(gè)人數(shù)據(jù)泄露觸目驚心

Facebook數(shù)據(jù)泄露源于其在2007年為增強(qiáng)用戶粘性推出的應(yīng)用編程接口。通過這個(gè)接口，第三方軟件開發(fā)者可以開發(fā)Facebook網(wǎng)站上運(yùn)行的應(yīng)用程序，而用戶可通過這一平臺(tái)在線使用相關(guān)應(yīng)用程序并進(jìn)行互動(dòng)。英國(guó)數(shù)據(jù)分析公司劍橋咨詢正是利用了當(dāng)時(shí)Facebook的平臺(tái)數(shù)據(jù)共享的漏洞，致使Facebook上5000萬用戶數(shù)據(jù)泄露。劍橋咨詢?cè)谑占缴鲜鰯?shù)據(jù)后，分析出了用戶的行為模式、性格特征、價(jià)值觀取向、成長(zhǎng)經(jīng)歷等，便針對(duì)特定用戶推送競(jìng)選廣告，這種行為足以影響大眾取向。

數(shù)據(jù)泄露丑聞?wù)痼@世界，歐盟、英國(guó)紛紛做出強(qiáng)烈反應(yīng)，要求對(duì)數(shù)據(jù)泄露事件進(jìn)行調(diào)查。英國(guó)信息委員會(huì)于2018年7月10日做出決定，對(duì)Facebook處以66.4萬美元處罰。他們認(rèn)為Facebook缺乏強(qiáng)有力的隱私保護(hù)措施，而且忽視了有望阻止劍橋分析操縱輿論的重要信號(hào)，其中也包括2016年英國(guó)脫歐公投。

因受2018年3月發(fā)現(xiàn)的個(gè)人信息不正當(dāng)使用丑聞和歐盟（EU）實(shí)施GDPR（一般數(shù)據(jù)保護(hù)規(guī)則）的影響，F(xiàn)acebook在歐洲的MAU（活躍用戶數(shù)/月）比前期減少了100萬戶。

互聯(lián)網(wǎng)用戶數(shù)據(jù)泄露風(fēng)險(xiǎn)加大

無獨(dú)有偶，在此前“Equifax”公司的黑客事件中，美國(guó)消費(fèi)者有多達(dá)1.43億個(gè)數(shù)據(jù)被泄露，成為美國(guó)企業(yè)歷史上最嚴(yán)重的個(gè)人信息泄露事件。佛羅里達(dá)州的數(shù)據(jù)公司“Exactis”早已指明，在Exactis的服務(wù)器上有超過3.4億條個(gè)人數(shù)據(jù)，任何人都可看到。安全專家Vinny Troia用一種名為“Shodan”的工具發(fā)現(xiàn)了這一事實(shí)。依據(jù)該公司網(wǎng)站的資料，Exactis是全球最大的營(yíng)銷公司，存儲(chǔ)有35億條數(shù)據(jù)，并從事公司和個(gè)人的信息聚合業(yè)務(wù)。根據(jù)Troia的說法，Exactis服務(wù)器上的個(gè)人信息不僅包括姓名和電話號(hào)碼，還包括性別、有無兒童、有無寵物、吸不吸煙等各種內(nèi)容，對(duì)有關(guān)信用卡信息和收入方面的記述等未說明，但這已是一個(gè)非常嚴(yán)重的個(gè)人信息泄露事件。

現(xiàn)在，隨著廣告技術(shù)的發(fā)展，可精確把握特定的消費(fèi)層，個(gè)人信息泄露事件風(fēng)險(xiǎn)已經(jīng)越來越大。例如，Google通過搜索、郵件和日歷等免費(fèi)服務(wù)，盡可能地吸收了個(gè)人信息。據(jù)說他們?cè)谕瓿伞皵?shù)據(jù)洗錢”之后，已經(jīng)進(jìn)入了用AI賺錢的階段。

歐盟率先以GDPR立法阻擊個(gè)人信息泄露

歐盟率先以立法形式制定了GDPR，以設(shè)法阻擊個(gè)人信息泄露，這在互聯(lián)網(wǎng)上具有里程碑意義，GDPR關(guān)鍵點(diǎn)如下。

GDPR的目標(biāo)：關(guān)閉巨型公司的入口

GDPR自2016年頒布以來，就瞄準(zhǔn)了巨型企業(yè)。當(dāng)時(shí)，歐洲議會(huì)議長(zhǎng)馬丁·舒爾茨講話中強(qiáng)調(diào)：“如果個(gè)人信息是21世紀(jì)最重要的商品，那么就應(yīng)強(qiáng)化對(duì)個(gè)人數(shù)據(jù)所有權(quán)的保護(hù)。特別是要反制無需支付任何代價(jià)就把個(gè)人信息這個(gè)‘商品’弄到手的公司。他特別提到谷歌、蘋果、亞馬遜、Facebook、阿里巴巴等，這些公司不應(yīng)該破壞個(gè)人隱私。GDPR將從源頭上抑制個(gè)人信息泄露。

GDPR的歷史背景

GDPR在歐洲歷史上的作用已由數(shù)字監(jiān)視社會(huì)到守護(hù)歐盟公民。歐盟并沒有終結(jié)GDPR，而是為推進(jìn)創(chuàng)建出以個(gè)人做主體的新信息基礎(chǔ)設(shè)施的政策，這也是一個(gè)由美國(guó)主導(dǎo)的“下一代互聯(lián)網(wǎng)”概念。歐盟已經(jīng)準(zhǔn)備提供總共800億歐元的創(chuàng)新項(xiàng)目資助金，實(shí)施“展望2020”項(xiàng)目，它的目標(biāo)是建設(shè)一個(gè)數(shù)字經(jīng)濟(jì)區(qū)，提供新的信息基礎(chǔ)設(shè)施，可以在保護(hù)隱私的同時(shí)，廣泛共享數(shù)據(jù)。在GDPR中，“AI的隱私”也將涵蓋在內(nèi)。例如，當(dāng)機(jī)器人自動(dòng)駕駛發(fā)生事故時(shí)，誰應(yīng)負(fù)責(zé)？如果AI完全獨(dú)立于人的指令，如果出事，應(yīng)該不是AI本身，那么法律責(zé)任和法人是誰？歐盟認(rèn)為應(yīng)由法律進(jìn)行規(guī)范。

歐盟推動(dòng)數(shù)據(jù)可移植性權(quán)利發(fā)展

2018年5月生效的歐盟GDPR定義了“數(shù)據(jù)可移植性的權(quán)利”，在日本引起高度關(guān)注。

所謂“數(shù)據(jù)可移植性”就是某些服務(wù)收集和存儲(chǔ)的特定用戶數(shù)據(jù)，可以在其他服務(wù)中重用，被稱為便攜式（可移植性）。更具體地說，每個(gè)服務(wù)用戶都可以行使自身的個(gè)人數(shù)據(jù)管理員功能。為了實(shí)現(xiàn)這個(gè)技術(shù)，要對(duì)多個(gè)服務(wù)之間共同可用的數(shù)據(jù)格式整合，并實(shí)現(xiàn)管理員之間數(shù)據(jù)發(fā)送/接收的通用化。如果數(shù)據(jù)可移植性的權(quán)力已經(jīng)確立，管理員就可以行使這個(gè)權(quán)力，這將推動(dòng)格式的標(biāo)準(zhǔn)化。

其實(shí)數(shù)據(jù)可移植性權(quán)利問題業(yè)界早有探索。例如，早在2017年2月，新西蘭隱私委員會(huì)主席約翰·愛德華茲便提出在全國(guó)創(chuàng)建數(shù)據(jù)可移植性權(quán)利的提案；2017年11月，日本經(jīng)濟(jì)產(chǎn)業(yè)省和總務(wù)省共同舉辦了“數(shù)據(jù)可移植性權(quán)利研討會(huì)”。

建立數(shù)據(jù)可移植權(quán)利的背景

由于谷歌和Facebook等美國(guó)平臺(tái)事業(yè)者的壟斷地位不斷強(qiáng)化，這不利于市場(chǎng)競(jìng)爭(zhēng)。推出數(shù)據(jù)可移植性權(quán)利就是為市場(chǎng)競(jìng)爭(zhēng)創(chuàng)造出良好的市場(chǎng)環(huán)境。其實(shí)，歐盟委員會(huì)在2015年12月公布的數(shù)據(jù)保護(hù)規(guī)則中，就闡述了如何讓創(chuàng)業(yè)公司和小企業(yè)訪問數(shù)碼巨頭主導(dǎo)的數(shù)據(jù)市場(chǎng)，并能夠通過隱私保護(hù)措施吸引更多的消費(fèi)者。對(duì)于使用web服務(wù)的各個(gè)用戶來說，服務(wù)選擇的自由度增加了。這是它的最大優(yōu)點(diǎn)。

另外，通過企業(yè)之間的競(jìng)爭(zhēng)，用戶直接獲得經(jīng)濟(jì)利益的機(jī)會(huì)也擴(kuò)大了。例如，在移動(dòng)電話通信服務(wù)中，引進(jìn)攜號(hào)專網(wǎng)后，運(yùn)營(yíng)商為了用戶轉(zhuǎn)移到自己網(wǎng)中，紛紛推出優(yōu)惠措施，從別的運(yùn)營(yíng)商中挖用戶。此外，人們可以自己管理自己的個(gè)人數(shù)據(jù)，這可能會(huì)創(chuàng)造新的商業(yè)機(jī)會(huì)。這就是被稱為“信息銀行”的機(jī)制。日本2015年就創(chuàng)建了個(gè)人信息保護(hù)法的可行機(jī)制。

美國(guó)政府加大查處數(shù)據(jù)泄露力度

據(jù)外媒報(bào)道，美國(guó)證券交易委員會(huì)（SEC）、聯(lián)邦貿(mào)易委員會(huì)（FTC）和聯(lián)邦調(diào)查局（FBI）等政府機(jī)構(gòu)紛紛加入了對(duì)Facebook和咨詢公司Cambridge Analytica盜用數(shù)據(jù)指控的調(diào)查。

其中參與美國(guó)總統(tǒng)特朗普陣營(yíng)大選的數(shù)字咨詢公司Cambridge Analytica非法使用了Facebook多達(dá)8700萬用戶的個(gè)人信息，司法部開始進(jìn)行調(diào)查。Facebook的首席執(zhí)行官馬克·扎克伯格在4月的兩次美國(guó)國(guó)會(huì)聽證會(huì)上，就此問題回答。

此外，2018年7月9日，眾議院能源和商務(wù)委員會(huì)主席格雷格·瓦爾登和共和黨3個(gè)議員致函蘋果和谷歌，對(duì)其位置數(shù)據(jù)和智能手機(jī)的個(gè)人信息處理等問題，向蘋果和谷歌的行政部門發(fā)了一份調(diào)查問卷。調(diào)查問卷中指出，“好谷歌（Okay Google）”和“海西里（Hey Siri）”等這些接聽功能有可能從用戶的交談中收集呼叫以外的數(shù)據(jù)。需要指出的是，該數(shù)據(jù)在不通知用戶的情況下會(huì)被使用，第三方應(yīng)用程序也可以訪問這些數(shù)據(jù)。此外谷歌的“Android”和蘋果的“iPhone”在未經(jīng)用戶同意的情況下收集用戶數(shù)據(jù)，是否存在影響公民隱私的商業(yè)行為？眾議院委員會(huì)要求谷歌和蘋果在2018年7月23日前回復(fù)調(diào)查問卷，并對(duì)委員會(huì)成員進(jìn)行解釋。在回答委員會(huì)的問題時(shí)，谷歌評(píng)論說“保護(hù)用戶的隱私，這些對(duì)谷歌來說是最重要的”。目前，蘋果公司發(fā)言人拒絕發(fā)表評(píng)論。

數(shù)據(jù)保護(hù)進(jìn)展迅速

IPv6互聯(lián)網(wǎng)和物聯(lián)網(wǎng)時(shí)代即將來臨，如果信息安全工作跟不上，其后果將是災(zāi)難性的。為此，業(yè)界紛紛出臺(tái)措施保障信息安全。

據(jù)2018年6月27日日本媒體報(bào)道，日本Underworks公司與美國(guó)Ensighten公司在對(duì)應(yīng)GDPR的隱私數(shù)據(jù)管理解決方案方面進(jìn)行合作，并作為日本市場(chǎng)的總代理，開始進(jìn)行Ensighten公司GDPR解決方案的銷售和售后服務(wù)。Ensighten公司的“Privacy GDPR(個(gè)人隱私)”和“Privacy Enterprise - total website data governance(企業(yè)隱私- 全面的網(wǎng)站數(shù)據(jù)治理)”兩項(xiàng)產(chǎn)品，可以對(duì)網(wǎng)站上收集到客戶的所有Cookie數(shù)據(jù)實(shí)施集中管理，而且能夠安全地收集和使用客戶數(shù)據(jù)。歐洲已正式實(shí)施GDPR，要求使用Cookie數(shù)據(jù)時(shí)，必須取得用戶同意，基于此進(jìn)行數(shù)據(jù)管理，已刻不容緩。

Ensighten公司的GDPR解決方案作為網(wǎng)站上所有Cookie的“守門員”，能夠?qū)崿F(xiàn)在“客戶同意之前阻止讀取Cookie（零Cookie加載）”、在“客戶拒絕使用Cookie時(shí)，還能夠允許用戶繼續(xù)瀏覽網(wǎng)站”，這也可以通過使用白名單實(shí)現(xiàn)，以“防止通過第四方供應(yīng)商，泄漏Cookie數(shù)據(jù)”。Ensighten的隱私數(shù)據(jù)管理解決方案已被全球25000多個(gè)網(wǎng)站使用。

日本媒體反復(fù)告誡本國(guó)公司，若涉及歐盟個(gè)人信息，一定要遵守GDPR規(guī)定。NTT數(shù)據(jù)公司于2018年7月26日發(fā)布了“全球安全趨勢(shì)季度報(bào)告”，闡述了2018財(cái)年第一季度發(fā)生的事件的摘要，重點(diǎn)是虛擬貨幣問題和GDPR的濫用。網(wǎng)絡(luò)罪犯很可能會(huì)利用GDPR的規(guī)則威脅到公司。具體來說，網(wǎng)絡(luò)攻擊者從公司竊取歐盟居民的個(gè)人信息，向公司進(jìn)行訛詐。目前存在著網(wǎng)絡(luò)釣魚電子郵件攻擊威脅，因此全球的公司都需要謹(jǐn)慎處理公司內(nèi)部和外包的信息。此外，與GDPR有關(guān)的網(wǎng)絡(luò)釣魚欺詐和以GDPR為題材的企業(yè)電子郵件欺詐也值得關(guān)注。