向数据黑产亮剑
2022-05-26毛振华
毛振华
尽管《个人信息保护法》等法律法规的实施以及各方对个人信息保护的重视程度不断提升,但隐私泄露难以在短时间内“急刹车”,亟待利剑出鞘,彻底斩断“数据黑产”链条,还消费者一個清朗、可信赖的开放空间。
个人信息安全话题热度不减
信息安全成为“3·15”国际消费者权益日近些年关注的焦点。记者梳理近十年的“3·15”国际消费者权益日主题发现,从2015年主题“携手共治畅享消费”到2017年旗帜鲜明地倡导“网络诚信消费无忧”,再到今年主题“共促消费公平”,积极引导“科技向善”,杜绝一些平台和经营者违背伦理价值追求,对消费者的消费信息进行不当采集、筛选、使用。
带有风向标意义的是,今年的央视“3·15”晚会现场首次设立了“3·15信息安全实验室”,象征着面向个人信息保护全方位立体推进已成为大势所趋。
以免费WiFi的名义诱导下载并欺骗用户提供个人信息,只要浏览过网页就能锁定手机号码,小小儿童手表成为窥探个人隐私的“定时炸弹”……今年的央视“3·15”晚会上曝光的窃取个人信息的手段令人不寒而栗。
很难想象,看似平常的多款儿童智能手表使用低版本操作系统后,就能被恶意程序轻松操控,获取孩子的位置、人脸、录音等信息,甚至调用摄像头权限,家中隐私一览无余。中国电子技术标准化研究院网安中心测评实验室副主任何延哲表示:“低版本操作系统背后有低成本考虑,但是它忽略了用户使用的安全性,给消费者带来无穷的后患。”
“保障个人信息安全不是高标准要求,而是一个值得信赖的品牌底线。”曹操出行品牌公关中心总经理朱韬认为,网约车是行业个人信息泄露的重灾区,为守住安全底线,给消费者带来更好的体检,曹操出行专门在司乘之间设立“95129”这来电服务功能,在接听司机来电这一环节时,乘客方的手机屏幕一律显示为“95129”号码,从源头端杜绝隐私泄露,减轻顾客的后顾之忧。
回顾这些年“3·15”曝光的典型案例,网易等公司曾被曝追踪用户cookie、分析邮件内容、收集用户隐私,曝光后的网易股价大跌;大唐电信旗下手机安装恶意软件,造成恶意扣费和信息泄漏,导致百度决定终止与其合作,其股票一度临时停牌;智联招聘等部分网络求职招聘平台因对求职者个人简历管理存在严重漏洞被“点名”,智联招聘成立专项团队对相关内容进行调查处理……信息安全底线失守的企业终究要为自己的错误埋单,这给互联网行业敲响了警钟。
屡屡“破防”背后利益链条不容忽视
“我们时刻绷紧个人隐私保护这根弦,就是为了让消费者能够踏踏实实消费。”旗下拥有多家新消费平台的乐信信息安全中心总监刘志诚说,公司内部专门建立了数据安全管理制度,明确数据分级分类标准,形成不同安全保护级别。乐信还发布业内首个专门针对合作商的数据安全管理办法,将数据在内外部流转过程中的安全隐患降到最低,为用户隐私提供双重保障。办法试行期间,乐信就清退了不合格合作商27个。
随着《个人信息保护法》的正式生效,乐信宣布从评估审计、资产梳理、数据保护、预警响应等维度推出升级版的“数据安全治理体系”,进一步夯实公司数据安全管理能力,对用户个人信息安全形成了更有力的保护。
越来越多品牌商家已经意识到,数据安全关乎品牌形象、企业信誉、消费体验,开始将个人信息安全保护贯穿业务始终。不过,仍有不少消费者吐槽,刚买完房就能接到装修公司电话,孩子一出生各种奶粉、摄影、保险推销就源源不断。即便是《个人信息保护法》正式生效后,这种现象仍未完全禁绝。
一方面,个人信息保护举措施行不久,一些企业仍存有惯性和侥幸心理。某知名互联网公司负责人曾公开表态,中国人愿意用隐私换便利。这一观点虽然遭到口诛笔伐,但在一定程度上代表了相当一部分企业人员的认知。“很多企业在收集数据时不遗余力,但在谈到数据安全治理时往往两手一摊,无能为力。”天空卫士高级技术总监杨明非形象地说。
如今,随着政府相关部门将个人信息保护放到重要位置,这种不负责任的态度将越来越没有市场。
2021年1月8日,杭州互联网法院公开审理并宣判全国首例适用《民法典》的个人信息保护案。被告孙某未经他人许可,在互联网上公然非法买卖、提供个人信息4万余条,导致相关人员信息长期面临受侵害风险,被判处赔偿违法所得34000元。相信随着类似判例不断增多,将倒逼数据收集方不得不收手。
另一方面,“数据黑产”链条长且利益巨大。记者梳理发现,这些年曝光出来的多起个人信息泄露事件中,动辄有几百万甚至上亿条信息,且通常是在末端销售环节被发现。从窃取到中间层层出售,背后暗藏巨大利益,这才驱使一些人铤而走险。
此外,一些平台企业及第三方公司打着技术服务的旗号,参与到数据买卖中,手段愈发隐蔽,导致查处难度加大。从“3·15”曝光的信息安全泄露事件看,其中不乏大量第三方技术公司的身影。无论是通过加放代码窃取用户cookie的公司,还是给售楼处及卫浴店面提供人脸识别摄像头系统的企业,皆是这样的存在。
中国电子信息产业发展研究院网络安全研究所所长刘权指出,个人信息是平台企业发展的重要战略资产,有的平台企业以牺牲消费者权益为代价,通过数据贩卖进行商业谋利。例如有的公司通过爬虫技术垄断所有公开简历信息,在未经用户明确同意情况下,共享给第三方进行价值变现。
创造清朗、可信赖的消费环境
随着《网络安全法》《数据安全法》《个人信息保护法》先后落地生效,个人信息保护的法律之网越织越密。业内人士认为,在现有法律制度框架下,要将个人信息安全保护真正落到实处,关键是严格执法,通过一些案例警醒更多违法违规数据收集方收手,提高全社会的数据安全意识。
上述法律的共通原则就是对数据的使用收集要克制,非必要不过分收集,一旦收集就要切实负起责任。这对于有信誉的品牌企业更应如此。
去年10月,深圳市举行App个人信息共护大会。腾讯等20余家重点App运营企业承诺将严守用户个人隐私边界,保护用户公平交易权,不利用大数据杀熟,未经用户同意,不利用敏感個人信息进行线上精准营销和线下推销等。
“新兴技术快速发展使得网络安全风险全面泛化。特别是随着新冠肺炎疫情的蔓延,企业加速数字化转型,也让网络安全风险出现在越来越多的场景之中。”腾讯公司副总裁谢呼表示,腾讯将充分发挥技术创新优势,建立用户信息安全体系,充分保障用户合法权益,并带动引领互联网企业加强个人信息保护。
腾讯还宣布将成立“个人信息保护外部监督委员会”,作为腾讯的隐私保护工作第三方独立监督机构,工作内容将包括但不限于独立评议腾讯公司及各产品隐私保护相关工作、提出指导和修改意见等,不断完善提高腾讯个人信息保护工作的机制建设与透明度水平。
刘权呼吁,更多企业要重视制定和规范隐私条款政策,使用浅显易懂的表达方式,建立用户反馈投诉入口。夯实企业个人信息保护责任,将个人信息保护理念融入企业运营管理全流程。
在“3·15”曝光的一些企业中,压缩成本是一些企业降低技术风险防控能力的借口,但这其实也在压缩企业的信誉。成本不应当成为“破防”的理由,企业完全可以积极探索个人信息安全防护的新技术、新手段,进一步加强防攻击、防泄漏、防窃取的监测、预警、控制和应急处置能力。
金城银行信息安全相关负责人透露,在数字化转型发展中,金城银行面向主要的数据使用部门,可以提供便捷的数据可控运用方式,包括数据安全访问、安全传输、访问控制、数据防泄露、安全清理销毁等“一站式”功能,小到违规查询、打印个人金融信息的行为能无处遁形。
乐信通过数据库安全审计产品,实现对数据库操作、访问用户及外部应用用户的全量审计,可以实现全面、准确、高效的数据库监控管理和审计追踪。
数据驱动创新,数据保护筑牢信任。只有提高全社会个人数据保护意识,持之以恒斩断“数据黑产”链条,用技术创新赋能数据安全保护,“放心消费”才能不只是一句空话。
【相关法规】
《中华人民共和国网络安全法》
《中华人民共和国网络安全法》于2017年6月1日起施行, 是我国网络领域的基础性法律,明确了公民个人信息保护的基本权利。
《中华人民共和国数据安全法》
《中华人民共和国数据安全法》于2021年9月1日起施行,确立了数据分类分级管理制度,建立了数据安全风险评估、监测预警、应急处置制度,是我国首部有关数据安全的基础性法律。
《中华人民共和国个人信息保护法》
《中华人民共和国个人信息保护法》于2021年11月1日正式施行,填补了我国法律在个人信息保护方面的空白,为个人信息处理活动提供了明确的法律依据。
《互联网信息服务算法推荐管理规定》
《互联网信息服务算法推荐管理规定》于2022年3月1日正式施行,明确了不得利用算法实施影响网络舆论、规避监督管理以及垄断和不正当竞争行为,是我国首个互联网信息服务领域具有针对性的算法推荐规章制度。