最近����,數(shù)據(jù)泄露事件再次引起公眾關注。瑞典遭遇史上最嚴重的數(shù)據(jù)泄露事件�����,印度電信運營商Jio一億多用戶信息“裸奔”。在英國新數(shù)據(jù)法案下��,掌握大量數(shù)據(jù)和用戶信息的谷歌�、臉譜等公司已接到重罰警告。全球保衛(wèi)數(shù)據(jù)隱私之戰(zhàn)進一步升級�����。
(資料圖片 來源于網(wǎng)絡) 數(shù)據(jù)泄露無處不在
近期發(fā)生多起數(shù)據(jù)泄露事件�����,涉及多個國家的各類數(shù)據(jù)���,表明全球數(shù)據(jù)泄露風險并未受到充分重視。
上個月����,瑞典遭遇史上最大規(guī)模數(shù)據(jù)泄露事件。瑞典首相勒文宣布免去內(nèi)政大臣安德斯·于耶曼和基礎設施大臣安娜·約翰松的職務�����,理由是二人對一起交通數(shù)據(jù)泄露事件處理不當。瑞典媒體援引勒文的話說����,這簡直是場災難。
7月24日�,瑞典政府承認,在互聯(lián)網(wǎng)工程服務外包中發(fā)生了大規(guī)模資料外泄�。據(jù)瑞典電視臺報道,為簡化流程節(jié)省成本�����,瑞典交通管理局2015年將IT系統(tǒng)管理和維護工程進行外包��,但外包過程中違規(guī)操作�,將未經(jīng)加密處理的交通資料庫上傳至外包公司位于他國的數(shù)據(jù)庫。
其中一家外包公司為IBM瑞典分公司���,該公司服務器實際放置在捷克�����,意味著受雇于該公司的捷克電腦工程師可以輕而易舉地接觸到敏感數(shù)據(jù)�。另一外包公司是一家塞爾維亞的通訊公司,負責維護瑞典交通管理局網(wǎng)絡防火墻和通訊系統(tǒng)���,也擁有查看相關數(shù)據(jù)的權限����。
這些可能已遭泄露的信息包括瑞典全國的機動車駕駛人信息�����,橋梁�����、地鐵��、道路和港口等敏感信息�����,甚至還有瑞典警方和軍方的車輛信息和防御計劃等�����。
另有消息披露�����,瑞典交通管理局在上傳數(shù)據(jù)過程中也存在重大安全風險���,比如�,工作人員先將所有數(shù)據(jù)上傳到未受保護的云端服務器�,然后再通過電子郵件將鏈接發(fā)給外包公司。
瑞典交通管理局前局長瑪麗亞·阿格倫已于今年1月被解職�,并被處以7萬瑞典克朗(約合5.8萬元人民幣)的罰款,但政府并未在第一時間公開原因����。瑞典交通管理局最近才承認,阿格倫在外包工程過程中�,繞過了多項保護敏感信息的法律法規(guī)和內(nèi)部章程。
黑客入侵也使用戶信息出現(xiàn)泄露���。美國《財富》網(wǎng)站報道���,美國特朗普國際酒店管理公司7月11日表示,由于一家服務提供商的系統(tǒng)遭到黑客入侵��,旗下14 處酒店的客戶信用卡支付細節(jié)遭到外泄�。
這家酒店網(wǎng)站上的一份通知顯示��,黑客攻擊了酒店服務提供商——Sabre的中央預訂處理系統(tǒng)�,從而造成部分連鎖酒店的客戶預訂信息泄露�,這些被泄露的信息包括支付卡號以及卡安全密碼。此次攻擊��,是今年 5月份所披露Sabre預訂系統(tǒng)遭到網(wǎng)絡攻擊的一部分���。全球范圍內(nèi)�����,Sabre公司的預訂系統(tǒng)被近3.2萬家酒店使用��。Sabre公司在6月5日告知特朗普酒店��,拉斯維加斯、芝加哥等多個城市的特朗普連鎖酒店的客戶信息遭到外泄�。Sabre公司稱,泄密僅僅發(fā)生在酒店所使用的預訂服務系統(tǒng)Sabre Hospitality Solutions��,酒店電腦系統(tǒng)本身并未受到影響�����。
值得一提的是,去年特朗普酒店就曾出現(xiàn)7萬多張信用卡號碼和300多個社安號碼外泄事件����,因未立即通知客人,特朗普酒店被紐約州罰款5萬美元�。作為達成和解協(xié)議的一部分,當時酒店表示同意支付罰金���,也同意更新安全技術���。顯然,系統(tǒng)再度受到攻擊意味著酒店未能很好完成其保護系統(tǒng)安全的承諾��。
另據(jù)英國的科技新聞網(wǎng)站The Register報道稱�����,今年7月��,data.gov.uk網(wǎng)站使用者的姓名��、郵箱和密碼等信息被發(fā)現(xiàn)能在第三方網(wǎng)站上接入獲取����。2015年6月20日前注冊這家網(wǎng)站的用戶都受到了影響��。英國政府數(shù)字服務機構表示�����,立刻將這些數(shù)據(jù)從公共區(qū)域移除并向相關機構進行了匯報����。英國政府則建議���,被泄露信息的使用者需要重置密碼��。
印度出現(xiàn)了類似的情況�����,但規(guī)模更大���,危害更嚴重。7月初���,有媒體報道說,印度電信運營商Jio超過1億用戶的信息遭到泄露��,用戶發(fā)現(xiàn),在magicapk.com網(wǎng)站上輸入一個Jio網(wǎng)絡下的手機號碼進行查詢�����,會出現(xiàn)包括這個號碼使用者的姓名�����、電子郵箱�����、號碼激活日期和入網(wǎng)地點����、個人身份證號碼等多項個人信息。這被視為印度電信行業(yè)史上最大規(guī)模數(shù)據(jù)外泄事件����。隨后,這個涉嫌泄露信息的網(wǎng)站已無法打開�����。
網(wǎng)絡安全分析師斯里尼瓦斯·科達伊說�,這些用戶信息早在今年6月就出現(xiàn)在一個網(wǎng)絡論壇上��,在“暗網(wǎng)”(互聯(lián)網(wǎng)上數(shù)量龐大的“隱身”網(wǎng)站)中����,還出現(xiàn)了用戶信息的截屏圖片��。Jio隸屬印度信實工業(yè)公司�,是印度移動通信市場上的后起之秀。信實董事長穆凱什·安巴尼被《福布斯》雜志評為印度最富有的人�����。
數(shù)據(jù)安全監(jiān)管亟待完善
數(shù)據(jù)泄露事件頻發(fā)����,暴露出互聯(lián)網(wǎng)時代的治理漏洞,也暴露出互聯(lián)網(wǎng)時代中數(shù)據(jù)隱私的保護與監(jiān)管����、保護與共享等諸多矛盾,對各國相關法律法規(guī)的制定和實施提出了更高要求���。
在瑞典交通管理局信息泄露事件曝光后��,盡管尚未有證據(jù)顯示這些資料落入不法分子之手���,但已引發(fā)瑞典政壇震蕩,反對黨主席在新聞發(fā)布會上嚴厲指責現(xiàn)政府在保護瑞典國家安全方面存在嚴重失責�。反對黨聯(lián)盟計劃對國防大臣等官員發(fā)起不信任投票,要求他們下臺為泄密事件負責���。
瑞典首相勒文承認�,泄密事件是瑞典網(wǎng)絡安全的一場失敗�����。他透露����,瑞典政府正在擬定一項新的安全法案,對涉及國家安全的外包業(yè)務提出更加嚴格的規(guī)定�。該法案將于2019年1月生效。
事實上����,在歐盟,對于數(shù)據(jù)安全的保護條例在不斷完善之中���。
2015年12月�����,歐盟通過了《一般數(shù)據(jù)保護條例》�����,以歐盟法規(guī)的形式確定了對個人數(shù)據(jù)的保護原則和監(jiān)管方式���,避免個人數(shù)據(jù)陷入“裸奔”的尷尬���。對于困擾歐盟與美國之間的信息自由流動問題,歐洲法院也做出了否決歐盟與美國《信息安全港》協(xié)議的裁決�。
“棱鏡門”事件后,美國掀起了個人信息保護的高潮�,除了《隱私保護法》,還陸續(xù)出臺了《兒童在線隱私保護法》��、《電子郵件隱私法案》��、寬帶用戶隱私保護新規(guī)等法律法規(guī)����。此外,美國還和歐盟聯(lián)手打造《歐美隱私盾牌》協(xié)定,取代此前的《信息安全港》協(xié)議���,以保護跨國個人數(shù)據(jù)安全�。
英國一些大機構今年以來遭到不同程度的黑客襲擊���。例如英國國民保健制度服務系統(tǒng)5月遭勒索軟件病毒入侵后,多家醫(yī)院電腦癱瘓�,不得不停止接收患者,救護車等醫(yī)療服務也受到影響��,這使得不少專家呼吁政府加強數(shù)據(jù)保護�。
英國本身也早就有數(shù)據(jù)保護法案。但多年前�,英國曾有一個“時代”計劃,并和美國國家安全局在嫌疑目標的確定����、對民眾通訊記錄的獲取等方面互通有無,如讀取通話記錄����、電子郵件內(nèi)容、社交網(wǎng)站的登錄方式等信息�����。一些電信企業(yè)被迫選擇將“部分或全部”通信服務轉移到海外,企業(yè)及海外通信服務商不得不與英國當局私下達成協(xié)議����,允許情報機構在“適當法律授權”下接觸到英國境外的通信數(shù)據(jù)。
隨著數(shù)據(jù)隱私及安全問題越來越突出����,英國政府宣布將修改相關法律條文,加強對個人數(shù)據(jù)隱私的保護��。
英國的情況多少反映出監(jiān)管和隱私保護逐步從不和諧走向完善��。事實上�,這種情況在其他國家也存在。
例如����,為了防止有組織的恐怖主義行為,澳大利亞《強制保留通訊數(shù)據(jù)法案》于2015年3月生效����。通過立法,澳大利亞政府要求其國內(nèi)的通信運營商Telstra和Optus保存用戶的通信數(shù)據(jù)�����,例如電話記錄、IP地址���、短信的詳細信息�、數(shù)據(jù)的地址等���,保存期限是2年��。
對此,澳大利亞人各持己見���。大部分人對此表示支持�����,同意用納稅人的錢來分攤網(wǎng)絡公司儲存數(shù)據(jù)需要的每年約為1.31億澳元的高昂成本�����。也有公民自由倡導者認為��,這反而可能泄露個人隱私�����。這部新數(shù)據(jù)法在爭議中開始實施���。
在印度�,2013年��,其政府啟動了覆蓋面廣闊的監(jiān)控系統(tǒng)��,這一系統(tǒng)允許政府竊聽錄音電話中的對話��,閱讀私人電子郵件和短信�����,監(jiān)控臉譜和推特等社交網(wǎng)絡平臺上的發(fā)帖�����,并追蹤個人在谷歌上的搜索目標和痕跡�。安全部門不需要法院的監(jiān)控命令,也無須告訴運營商�,就可以獲取通訊材料。直到目前���,印度并沒有正式的隱私法����。
德國擁有世界上最嚴格的隱私保護法。1977年����,德國聯(lián)邦政府出臺了適用于整個德國的《聯(lián)邦數(shù)據(jù)保護法》,約束范圍包括電子通信����、互聯(lián)網(wǎng)等領域,防止因個人信息泄露導致的侵犯隱私行為�。政府內(nèi)部還設立了聯(lián)邦數(shù)據(jù)保護與信息自由專員���,來監(jiān)督政府機構在保護個人數(shù)據(jù)方面的行為����;德國各州也有數(shù)據(jù)保護專員����,以類似的方式監(jiān)督各州政府機構的行為。
即便如此�����,關于個人信息保護也存在爭議。著名的“德國之翼”墜機事件發(fā)生后��,這一爭議在德國始終沒有停止過���。
商機與禁區(qū)并存
保護數(shù)據(jù)隱私���,越來越受重視,這對用戶而言無疑是個福音�。對不同企業(yè)來說,數(shù)據(jù)隱私的保護工作���,既意味著商機��,也意味著可能受到更多限制����。
數(shù)據(jù)隱私保護帶來了商機���。英特爾公司最近在紐約舉行的“英特爾Xeon可擴展處理器發(fā)布會”上宣布��,正與金融創(chuàng)新公司R3合作���,加強其Corda區(qū)塊鏈平臺的數(shù)據(jù)隱私和安全性����。
作為解決Corda數(shù)據(jù)隱私和安全的一部分����,該平臺只向“需要知道”的人發(fā)送數(shù)據(jù),這與大多數(shù)區(qū)塊鏈應用程序不同����。這一特點源自金融機構的要求,需要確保貿(mào)易和協(xié)議的保密性�。Corda解決了全球80多個成員識別的多個問題。對英特爾和R3來說��,數(shù)據(jù)隱私保護的需求無疑催生了新商機��。
新興企業(yè)也在涉足數(shù)據(jù)隱私保護行業(yè)����。
英國金融科技初創(chuàng)企業(yè)Privitar最近宣布��,公司已獲得1600萬美元A輪融資����,將用于擴大其技術平臺和拓展美國市場的業(yè)務���。這家公司的聯(lián)合創(chuàng)始人兼首席執(zhí)行官簡森·布雷茨將其定性為“隱私工程”公司,表示其目標是在確?�?蛻綦[私信息得到嚴格保密的前提下��,通過大數(shù)據(jù)分析預測客戶行為���,將手中的數(shù)據(jù)增值變現(xiàn)���。
與此同時,由于數(shù)據(jù)隱私問題����,一些企業(yè)遭到警告或者被判違法。
英國媒體8月份報道稱�,英國政府將推出一項新法律,旨在監(jiān)督和強制社交媒體公司和在線交易商刪除民眾的個人資料����,保護他們的權益。英國數(shù)字國務部長馬特·漢考克表示,這是這些公司們“被遺忘的權利”���,從此以后���,他們再也無法通過默認的線上“勾選框”無限制地利用民眾的個人信息。
依據(jù)該法案�����,英國信息專員辦公室有權對違反該項數(shù)據(jù)法的公司施以高達1700萬英鎊(約合人民幣1.49億元)的罰款���,或者收繳該公司4%的全球營業(yè)額�。但該法案的主要目的之一是取代數(shù)據(jù)保護法��,確保英國的法律符合歐盟的《一般數(shù)據(jù)保護法》��,以便在英國“脫歐”后�,數(shù)據(jù)可以繼續(xù)自由流通。“個人數(shù)據(jù)”的定義范圍也將擴大��,包括IP地址���,互聯(lián)網(wǎng)Cookie和DNA,同時���,也定義新的刑事犯罪行為�����,阻止部分公司故意或罔顧后果地識別匿名人士信息��。
盡管數(shù)據(jù)新法案還有待公布更多細節(jié)��,但外界認為����,英國此舉無疑是向谷歌、臉譜等科技公司利用用戶數(shù)據(jù)推送廣告�、銷售產(chǎn)品等行為發(fā)出了最強警告。臉譜時不時彈出的廣告信息將會在英國地區(qū)頁面上消失���,用戶有望從被迫標記不接受商業(yè)廣告郵件變換到如有需要在明確同意的前提下獲取這些信息的模式����。
今年7月初����,英國最高隱私保護監(jiān)管部門還裁定, DeepMind一項重要的醫(yī)學實驗違反了英國的數(shù)據(jù)保護法。
谷歌旗下的DeepMind與英國國家醫(yī)療服務系統(tǒng)NHS信托機構達成協(xié)議����,允許訪問NHS旗下三家醫(yī)院約160萬病人的醫(yī)療記錄。然而�,英國最高隱私保護監(jiān)管部門表示,這項實驗并沒有告訴患者醫(yī)療記錄數(shù)據(jù)的使用方式��。
該部門認為����,在DeepMind展開實驗時,主要目的是想看看移動應用APP是否正常工作�,以及醫(yī)務人員是否喜歡其界面,而不是嘗試改善治療效果�。英國信息專員伊麗莎白·登海姆表示:“患者并不希望他們的信息以這種方式被使用。”之后�,DeepMind和NHS根據(jù)要求簽署了改變數(shù)據(jù)處理方式的承諾。
轉自:經(jīng)濟參考報
【版權及免責聲明】凡本網(wǎng)所屬版權作品��,轉載時須獲得授權并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”�����,違者本網(wǎng)將保留追究其相關法律責任的權力�。凡轉載文章及企業(yè)宣傳資訊���,僅代表作者個人觀點�����,不代表本網(wǎng)觀點和立場���。版權事宜請聯(lián)系:010-65363056����。
延伸閱讀
