大数据时代如何防止信息“裸奔”?
连日来,家住重庆九龙坡区的林小姐碰到了一桩烦心事:为照看家中宠物,她在网上购买了一套具有夜视功能的智能监控设备。几天前,她在家中和宠物玩,明明没开监控,手机却突然提示“摄像机上线了”。“这是谁在操作啊?”林小姐心里起了疑问。随后,她将手机APP登录密码更改了一下,但几天后类似的情况又出现了。“这东西我不敢再用了,万一隐私被拍下,那麻烦就大了。”
林小姐的担心不是多余的。业内专家告诉记者,一般智能摄像头会将拍摄的东西优先传递到云端,然后用户可以通过手机上网查看。也就是说,如果在云端出现问题,就意味着你毫无秘密可言了。
8月28日,一张“华住旗下酒店开房数据”的截图在网上疯狂流传。合计约5亿条数据信息,具体包括1.23亿条官网注册资料、1.3亿条入住登记身份信息以及2.4亿条详细开房记录历历在目。
而就在前几天,浙江绍兴越城警方侦破史上最大规模用户数据窃取案。黑产公司利用从电信运营商处非法截流、窃取的30亿条用户个人信息,在各大互联网平台恶意刷粉、刷赞及“精准营销”,事涉百度、腾讯、阿里、今日头条等96家互联网公司,国内几乎所有互联网平台均被波及。
大数据对信息安全产生巨大影响
网约车、移动支付、网购外卖……短短几年时间,网络颠覆了我们的生活方式,也对信息安全产生了巨大影响。
早在2013年,汉庭等酒店就被曝出数据泄露,不过当时是因为酒店所使用的 WiFi 管理和认证管理系统存在漏洞,数据传输过程并未加密导致的。2015年,7天连锁酒店也卷入用户信息安全事件中。据报道,当时有市民的7天连锁酒店账户,在不到两个月的时间里,莫名出现了700多个订房信息,积分变成负数,用户信用变得极差。2016年,凯悦酒店集团也曾遭遇了支付卡数据等信息泄露事件,且波及了全球约50个国家的250家酒店,约占凯悦运营中酒店数量的40%,其中中国有22家凯悦集团旗下酒店被波及。
“酒店偏向于传统行业,在走向互联网化的过程中,技术上会难免出现‘跟不上’的情况。如果酒店类企业要自己做与酒店相关的互联网业务,开发成本很高,因而多数酒店会选择第三方服务。在信息化推动酒店行业发展的过程中,难免会出现很多问题。”一位不愿具名的互联网安全专家表示。
根据近日DCCI互联网数据中心发布的报告显示,2017年手机APP获取个人信息呈现常态化趋势,高达96.6%的Android应用会获取用户手机隐私权限,而iOS应用的这一数据也达到69.3%。此外,25.3%的Android应用存在越界获取用户手机隐私权限的情况。
“数据门”敲响信息安全警钟
华住酒店用户信息泄露一案,只是揭露出信息安全问题的冰山一角。
侦破史上最大规模用户数据窃取案的浙江绍兴越城警方称,该起案件首次暴露出一贯对用户数据保护高度重视的电信运营商管理上的严重缺失,更加重了近年相对恶劣的个人隐私保护环境下,公众对整个产业链诚信度的怀疑。从运营商层面进行流量劫持和清洗,等于数据从源头丢失。警方通过数据反查发现,电信运营商均未对具体项目进行必要的约束、监督,才让犯罪团伙有机可乘。
大数据赋能酒店,使华住每开一家酒店,都能获得足够的盈利。依靠大数据吸引用户的同时,华住似乎忽视了更为重要的信息安全问题。尽管客户资料泄密多次发生,然而华住在数据安全部分的投入始终有限。数据显示,2018年第一季度,华住的其他酒店经营费用仅达4%,其中包括了APP建设、IT系统的维护等等。而整个2017全年,此费用均没有超过9%。
据从事网络安全工作的专业人士指出,暗网需要使用一个特殊的浏览器才可以访问,此次华住数据若全部属实是很严重的数据泄露事件。“个人信息是互联网经济最宝贵的资源之一,不仅是商业竞争的角力点,更是众多诈骗活动的‘金矿’,如果流向黑产市场,后果不堪设想。”
大数据时代如何披上盔甲
近年来,业界也不断有声音呼吁要加强用户信息安全,今年年初,作为全国政协委员的360 集团董事长兼 CEO周鸿祎便在全国两会上提出“用户隐私保护三原则”,其中互联网公司要明确:数据所有权的归属问题;互联网公司采集数据、利用数据时,用户应有知情权和选择权;互联网公司应保护好用户的个人数据。可见,关于信息安全的呼声与日俱增。
2007年公安部、国家保密局等四部委就下发《信息安全等级保护管理办法》,根据信息系统的重要程度及被破坏后的危害程度,将信息分为五个安全等级,予以规范保护。而到了2017年6月,网络安全法颁布,强调严惩泄露个人信息、非法买卖信息等犯罪行为。
中国人民大学金融科技与互联网安全研究中心主任杨东认为:“怎样能既把数据有效地利用,形成数据的价值,同时又有效保护每位消费者、用户的隐私,是当前各大企业和政府面临的问题。”
科技部早已意识到对科学数据共享的立法和政策,并已立项多个研究课题,北京大学法学院教授张平多年来一直承担其中的课题。她建议,进一步细化个人信息保护的相关法律规定,建立规范合理的个人信息采集使用制度,信息、数据的采集使用必须得到当事人的授权。此外,要进一步加大对非法采集使用个人信息行为的惩处力度。(记者 李国 实习生 李俊)
责任编辑:方茶云