黑色數據產業也許永遠不能根除,但若能讓數據產業的參與各方強制性地承擔起自己的責任,就能扭轉目前數據黑產泛濫的局面。
(擁有越多的數據,承擔越大的責任,應該成為數字化產業發展的核心原則。圖/視覺中國)
在移動互聯網時代,數據中所蘊含的強大能力前所未有地被釋放出來,如果希望未來的數字化產業有序發展,就必須在互聯網產業涉及數據的各個環節,建立對數據這一核心資源的有效約束。
那么,包括數據獲取者、數據運營者、數據使用者、數據監管者都應該承擔什么樣的責任呢?
數據獲取者:責任承擔者
數據獲取者,是面向客戶采集數據的企業和組織。它們需要承擔的責任最為復雜,包括客戶數據知情權的保障、客戶數據遺忘權的保障,乃至貫穿整個企業的客戶數據操作與管理從流程到組織的一系列要求。
客戶數據知情權,指的是企業在收集客戶數據時,必須獲得客戶授權,并明確告知通過什么手段收集哪些類別的客戶數據,這些客戶數據包含的具體內容,企業將如何使用這些客戶數據,在什么樣的范圍使用這些數據。對于未告知或告知不充分甚至故意隱瞞后超范圍收集數據的,需要承擔相應的責任。
客戶數據遺忘權,指的是企業承諾當客戶撤回數據收集授權或要求刪除全部客戶數據時,向客戶提供簡單的操作手段,徹底刪除企業擁有的客戶數據。企業不得以技術實現困難為理由,在客戶提出刪除數據后仍然在內部保留部分客戶數據。
客戶數據操作與管理要求包括從數據加密規范、操作日志規范、向監管機構開放審計規范乃至數據泄露發生時的應急處理流程。該流程應該基于行業標準設計、定期接受合規性檢查,并由首席數據官等數據管理的專職崗位負責承擔相應的合規責任。
在客戶數據保護和對數據獲取企業的監管方面,英美等發達國家已經積累了很多經驗。
2015年英國的通信運營商TalkTalk因為系統遭遇黑客入侵泄露了近16萬條客戶數據,2016年10月被英國信息專員公署罰款40萬英鎊。本月初,因為對客戶數據管控不力致使2萬條客戶數據在未經授權下被印度外包服務商訪問,TalkTalk再次被罰款10萬英鎊。在這第二次罰款中,受影響的客戶數據其實只包括姓名、住址和電話號碼這些基本信息。
2015年4月,美國聯邦通信委員會(FCC)對美國電話電報公司(AT&T)罰款2500萬美元,懲罰其內部管理混亂導致近28萬名客戶的數據被泄露。FCC發現,AT&T位于墨西哥等地的三處呼叫中心的多名員工,通過非法手段訪問內部公司多達28萬名客戶的數據,并將這些個人賬戶相關聯的一些信息,比如客戶名稱、社會保障號碼的后四位數出售給了第三方。作為客戶數據獲取企業,AT&T必須承擔重大的管理失誤責任,并接受了美國歷史上最高額的客戶數據泄露罰單。
在互聯網數據不斷豐富的今天,歐盟進一步加大了客戶數據保護的力度。即將在2018年5月生效的歐盟《一般數據保護條例》明確規定,對于個人數據被持續和系統收集并使用的情況下,相關企業或組織應該任命有專門的數據保護專員。企業與機構在發生用戶數據泄露后72小時內,必須遵循條例規定向監管部門報告,并評估數據泄露有可能帶來的損失和相應的補救措施。數據泄露一旦發生,企業有可能被處以全球年營業額4%的高額罰款。
數據運營者:秘密守護者
數據運營者,指的是面向企業客戶提供數據運營與管理平臺的云服務提供商。現在越來越多的企業選擇把自己的數據中心配置在云計算平臺上,其中包含大量的客戶數據。作為數據的實際管理者和運營者,云計算服務提供商責無旁貸。
云服務提供商需要承擔的責任非常直接,就是按照數據獲取者提供的規范,承擔從數據加密、數據操作、數據審計、數據流入流出乃至數據刪除等一系列系統服務相關的技術實現和具體的合規性支持。
今年7月,美國最大的移動通信公司Verizon泄露了600萬客戶數據。其中包括客戶姓名、地址、聯系電話,部分記錄中還包含了通信服務重置使用的PIN碼。這次數據泄露事故是由Verizon的云服務公司管理疏忽所導致的,該云服務公司的一名員工在修改系統配置時,因操作失誤導致外部用戶可進入云存儲區域訪問本不能訪問的信息。
6月,由于亞馬遜云存儲服務器上的配置錯誤,包括《華爾街日報》訂戶在內的220萬道瓊斯用戶“私密信息”遭到未經授權的訪問,這類事件此前就發生過。
因此,監管當局必須強制其通過數據加密的方式存儲數據,并配合以數據訪問日志與跟蹤記錄,這樣一方面能做到真實數據信息安全保護,另一方面即使數據被外泄,也能第一時間了解并控制影響范圍。這些工作絕不是數據獲取企業單方面的責任,而需要云計算服務商配合完成。
目前國內的云服務平臺,從底層的IaaS到上層的SaaS都沒有針對敏感客戶數據從加密到操作再到審計的支持。這一方面是由于國內云服務平臺還處于低水平競爭階段,另一方面也是由于國內從監管機構到企業都沒有成體系的數據管理需求。
數據使用者:監管真空
數據使用者需要承擔的責任是合法獲取數據、合法使用數據。
合法獲取數據,是指對于來源不清或者是超范圍獲取的數據,將承擔相應的責任。合法使用數據,是指禁止非合規的數據外流和數據交易。
對數據使用企業的監管,目前看來是最難也是最弱的。
今年5月,因其在收購WhatsApp時提供誤導性信息,歐盟對Facebook罰款1.1億歐元。
2014年,Facebook以218億美元收購移動通訊運用程序WhatsApp,該收購當年10月獲歐盟批準。之前,Facebook在提交給歐盟的文件中表示,Facebook與WhatsApp之間不會建立用戶賬號信息的自動化匹配。
但在2016年8月,Facebook對WhatsApp的隱私政策作出調整,允許WhatsApp與其分享部分用戶的手機號碼,打通了兩套社交系統的客戶數據,此舉招致歐盟不滿,并在當年12月啟動調查。
反觀中國,對企業數據使用的約束從法律法規到具體執行幾乎都是空白。客戶數據泄露相關的案例都是以懲罰數據泄露方為主,對于購買不明來源數據的企業幾乎沒有任何懲罰。未來,中國數據監管部門首先要建立數據來源追索機制,并應勇于出手懲罰。
數據監管者:輕重不當
數據監管者主要有兩個主體:數據交易平臺、數據產業監管機構。
作為互聯網產業的核心資源,數據的交易需求是永遠存在不可限制的。進行引導并規范管理的重要手段之一就是建立公開透明的數據交易平臺。作為數字化產業鏈核心的數據交易平臺,需要審核交易雙方的資質,尤其是數據獲取者的數據來源,并對交易數據的合規性予以認定。
2015年4月掛牌運營的貴陽大數據交易所,是中國第一家數據交易平臺。未來政府要整頓數據交易市場的亂象,必須借助公開的數據交易平臺來促成規范的數據交易,同時堵住不合規的地下交易行為。
數據產業監管機構是整個體系中最重要的環節,他們必須制定面向數據獲取者、數據運營者、數據使用者和數據交易平臺的一系列監管規范,并制定合規審計細則和相應的懲罰措施,從而維護有序的數字化產業生態環境。
中國數據產業監管起步較晚,目前存在的問題主要有兩點,一是重懲罰輕監管,二是重個體輕企業。
重懲罰輕監管,指的是監管部門重在打擊事后違法行為,但未能建立數據監管規范。未雨綢繆比亡羊補牢效果要好很多。數據產業監管機構如果能夠提出一整套客戶數據監管規范強制數據獲取者、數據運營者和數據使用者依法行事,將大大減少目前猖獗的數據黑市的生存空間。
重個體輕企業,指的是重在打擊泄露數據交易數據的個體,而對應承擔客戶數據安全管理的企業和組織懲罰不足,甚至在很多案例中,這些企業還以受害者的面目出現。
2017年3月,央視《新聞直播間》報道了一起重大數據泄露事件,近50億條包含姓名、賬號、密碼、手機號、身份證號、銀行卡號、地址等個人信息的數據在互聯網上流傳,其中很多來自京東。公安機關后來抓獲犯罪團伙主要嫌疑人鄭某,其為京東網絡安全部的員工,屬于典型的內鬼。
這起案件,雖然鄭某得到了應有的懲罰,但根據公開報道,監管部門并未要求數據獲取者與管理者京東承擔任何責任。反觀美國,摩根士丹利前員工利用公司安全漏洞向個人的服務器轉移了與大約73萬個客戶賬戶相關的數據,2016年6月,美國證券交易委員會對摩根士丹利罰款100萬美元,以懲罰其管理不善。
就在8月初,華為和騰訊因為在手機上獲取客戶微信數據再起爭端。部分原因就是因為中國企業可通過收集客戶數據獲取巨大利益,卻無需承擔客戶數據安全與管理的任何責任。正是這種利益與責任的巨大反差,讓企業不遺余力地收集客戶數據,甚至直接推動黑色數據產業的膨脹。
“能力越大,責任越大”(With great power comes great responsibility),這是電影《蜘蛛俠》的經典臺詞。為什么英雄電影那么賣座,因為每個人都夢想成為超人。但超人該承擔哪些與自己能力相對應的責任與義務,我想不是每個人都考慮過。
擁有越多的數據,承擔越大的責任,應該成為數字化產業發展的核心原則。互聯網世界里,黑色數據產業也許永遠不能根除。但如果我們能夠強制讓數字產業的參與各方真正承擔起自己的責任,就能扭轉目前數據黑產泛濫的局面。
京公網安備 11010502049343號