没有任何松懈的余地 再谈信息安全话题
2021-12-09
因为“任性的滴滴”,个人信息安全乃至扩展到整个互联网行业信息安全的话题再一次被摆到了台面——虽然“滴滴”的问题并不仅仅局限于对网络信息安全的保护不足。趁着这个舆情热点,我们也来再次谈谈广义的网络信息安全的话题。实际上,最近一段时间,多家互联网公司因涉嫌泄露用户个人隐私,接连接受网络安全审核,一时间成为舆论关注焦点。先是国家网信办一日之内发布对“运满满”“货车帮”“BOSS直聘”实施网络安全审查,随后又对“滴滴出行”重拳出击。审查期间,上述这些企业停止新用户注册,其中一家企业APP还被要求下架整改。众所知周,许多互联网企业都掌握大量用户隐私数据,并且业务与关键信息基础设施有关。在这个海量数据汇集的互联网时代,我们的个人信息都是透明化的,如何加强个人信息保护已成为当前亟待解决的问题。
有关数据显示,近十年来超过600起以上上市公司曾发生过的网络或信息安全事件,每起事件的平均损失都超过一亿美元。尤其在近些年,就算不提“滴滴”的事,国内信息防范安全事件也年均造成损失超百亿,且仍有持续增长趋势。所以,今天我们聊的话题并非是“滴滴”,而是老生常谈的“互联网信息安全”,从广义的角度来聊。
全方位的信息安全挑战
从2005年到2020年,中国数字经济总体规模由2.6万亿元增加至39.2万亿元,数字经济在GDP的占比也由14.2%提升至38.6%。随着数字经济蓬勃发展,数据已经成为当之无愧的关键生产要素,是基础性资源和战略性资源。随着社会各行各业产生越来越多高价值数据,业务一刻也不能等、不能停、关键数据一点都不能丢。若不重视为数据筑起一道安全防线,那么关键数据的丢失可能会给企业致命一击,而个人的信息数据与AI化的数据分析相结合,所得出的分析结论甚至会上升到危害国家安全的层面——当然,这取决于数据的掌握权在谁的手里。
2021年5月和6月,国家网信办接连两次点名违法违规收集使用个人信息的 APP,曾对猎豹清理大师、Keep、今日头条、虎牙直播、Nike 等213款APP进行了通报,并要求相关APP运营者在15个工作日内完成整改。另据工信部方面的数据显示,今年以来已累计完成29万款APP技术检测,对1862款违规APP提出整改要求,公开通报319款整改不到位APP,组织下架了107款拒不整改的APP。据《2020年度数据泄漏态势分析报告》显示,2020年度个人信息泄漏占据全年数据泄漏事件的60%。今年“315”晚会曝光了九大行业乱象,其中个人信息安全问题曝光率高居榜首。
数字化时代对个人信息保护意识和能力提出了更高的要求,因为隐私是人类文明的底线,需要集体守护。今年以来,工信部、国家网信办等部门对违规收集、使用个人信息的APP进行点名并要求整改。
回想起今年3月份的时候,在国务院发展研究中心主办的中国发展高层论坛上,美国电动汽车巨头特斯拉公司CEO马斯克通过视频连线表示,特斯拉公司不会收集敏感或私人數据,他保证中国客户的数据会得到充分保护。这段表述迅速引发舆论关注,特斯拉遭到的质疑其实也是所有大数据、人工智能技术发展中共性的安全困境。近年来,各种App肆无忌惮收集个人信息成为众矢之的,面对新技术的快速发展,迫切需要政府加快相关立法进程,最大限度保护个人信息安全。类似电动汽车高精度定位的传感器收集信息,可以展开大数据分析的情况并不少见。随着互联网App应用的普及和人们对互联网的依赖,互联网的安全问题确实日益凸显。
同时,恶意程序、各类钓鱼和欺诈信息继续保持高增长,同时黑客攻击和大规模的个人信息泄露事件频发,与各种网络攻击大幅增长相伴的是大量网民个人信息的泄露与财产损失的不断增加。面对这种局面,相关主管部门多年来从未放松监管,App专项治理步伐不断加快。中央网信办、工信部、公安部、市场监管总局等部门持续开展了相关工作,包括制定相关国家标准规范,指导督促企业平台落实个人信息保护义务,开展App违法违规收集使用个人信息的专项治理。目前,《个人信息保护法》草案已提请全国人大常委会审议,这一法律的颁布和实施,将对个人信息安全保护发挥重要的作用。
立法是安全意识的根本保障和信心早在2016年11月,我国就颁布了《中华人民共和国网络安全法》,个人隐私信息的保护是国家网信办等部门的关注重点。
特别是近两年,新一代信息技术的发展与广泛应用,个人信息安全亟待立法保护,其中,2020年颁布的《民法典》确立的现代人格权,为隐私和个人信息保护提供了法理基础,随后《个人信息保护法(草案)》提请审议、《网络安全审查办法》实施;2021年,国家四部门联合印发《常见类型移动互联网应用程序必要个人信息范围规定》《移动互联网应用程序个人信息保护管理暂行规定》公开征求意见、《中华人民共和国数据安全法》颁布等。这一系列相关法律的出台,表明我国已经形成一个比较完善的法律体系,全面开启“依法治数”的新时代。
同样是这几年,全国政协围绕个人信息安全和隐私保护开展了大量工作。很多政协委员提交了相关的提案,去年全国政协还专门召开了“加强大数据时代个人信息保护”网络议政远程协商会以及“人工智能发展中的科技伦理和法律问题”双周协商座谈会。委员们认为,要加大整治工作的力度,严格落实好各项文件规范,要加快完善法律制度,进一步加强监管和执法,对侵犯个人隐私与个人信息安全的行为要进行严厉打击和惩处。采取系列措施加快构建个人信息安全的“防火墙”,让个人信息安全、让社会公众满意。
换句话说,虽然我国宪法、民法、刑法均对泄露公民个人隐私问题明令禁止,但是个人信息获取的技术革新速度更快,这给相关立法工作确实带来更加严峻的挑战。这意味着,立法保护的工作时刻不能放松。有必要的情况下,可以从国家层面建立专门性的个人信息保护系统,自上而下形成一条从中央到地方的个人信息保护网络。
我们每个人都应该意识到,要保障信息安全,首先在技术方面要做强,我们可以通过加解密技术、防火墙技术、入侵检测技术等科技手段进行防护。另外在安全管理方面,针对广大群众,开展信息安全教育,提高安全意识就显得尤为重要。针对国家信息安全,我们应当建立完善的组织管理体系,做到在信息的传递过程中不会对信息进行泄露与非法利用。
当然,保证个人信息安全是一个需要长期坚持的重要任务,需要根据各方面技术的发展以及个体和社会数据安全的状态,及时做出有针对性的调整。因此,各相关方要有足够清醒的认识。同时需要明确的是,坚持这个长期工作的根本目的,是持续促进经济、社会的健康发展和国家安全基石的稳固。在这个过程中,诸多相关产业的发展、壮大,才能得到基础性保障。
技术层面的进化从未停滞
毋庸置疑,数字化、信息化浪潮为各大产业及领域,带来了效率的革新,也激活了产能蛰伏在未来的潜力。但与此同时,传统信安体系的防御力量却已捉襟见肘,无法跟随新时代前行的脚步,“难守”已成为迫在眉睫的严峻考验。这归结于数字化转型和云计算推动的业务生态无形中扩大可攻击面,以传统安全技术(防火墙和VPN)构建的企业边界,无法阻挡不断向企业内部渗透的威胁,且很容易在云业务场景下瓦解。亦如在去年疫情初期,发生的较为典型的事例就是遠程办公、线上会议等形式成为被普遍接受的协作与沟通方式,但国内外多家平台被爆出用户私密信息泄露等重大安全漏洞事件,犹如不定时炸弹,正在逐步腐蚀、瓦解大众对传统信安系统的信任。漏洞频繁显现、外部黑客觊觎、内部不轨者难防……如今世界正进入一个泛数据时代,隐私、秘密、安全等变得越来越奢侈,“泄露”“破解”“窃取”等词汇更是让业界闻之色变——如何在高效率通讯、确保价值持续产出的基础上,让信安的堡垒坚如磐石,任重而道远。
我们还应该看到,软件是存储系统的重要组成部分,由于我国基础软件研发起步晚,技术积累不足,众多厂家不得不在其软件开发中广泛使用开源技术,比较出名的开源软件有Ceph、Lustre等。开源软件的应用在一定程度上降低了开发门槛,带来了商业便利,但是也需要清醒地认识到,开源软件不一定意味着永远可获得,并且由于缺乏明确的安全责任主体,以及开源漏洞数量每年持续增长,开源软件存在较大安全隐患,因此对于核心业务存储,要谨慎使用开源软件。
同时,5G、云计算、大数据、物联网、人工智能等新技术,持续推动了数据的爆炸式增长,面对海量数据,许多企业面临着数据存不下的问题。业内普遍共识是,传统的大数据存算一体建设模式,计算与存储紧耦合,由于无法独立扩展,资源利用率低、建设成本高,大数据计算、存储分离已势在必行。
旧安全观的存续,无疑让信安事业的更迭力不从心、举步维艰,而新一代网络及信息安全防护理念的“零信任”将深入人心。量子通讯、密码安全等概念的蓬勃兴起,将逐步粉碎当下技术壁垒,成为未来互联网信息安全的中坚力量。也可以说,数字化时代如果没有网络安全,价值将毫无意义,看似高耸入云的经济个体,也可在顷刻间土崩瓦解。不仅是现在,在未来数字化浪潮中,安全体系建设的重要性同样不言而喻。
后记
总之,随着智能时代的加速到来,用户安全隐私问题将依然严峻,如何有效规范相关机构、规范互联网企业等依法依规采集、储存和使用个人信息,有效保护个人信息安全十分重要,加快构建个人信息安全的“防火墙”,从技术、法规、个人意识方面都缺一不可。毕竟,“十四五”规划纲要已经明确在加快数字发展的同时,特别要加强个人信息保护。除加强立法、加大打击力度外,守护个人信息安全,还需关口前移,落实监管、企业、网络主体等信息采集方的主体责任,尤其需要强化内部监管和自律,形成协调保障之局面。