det365和万博

315过后,我们的隐私数据谁来维护

作者:   深圳市网安计算机安全检测技术有限公司 2019/03/18 15:50:54 210次阅读 国际
文章来源:http://netsecurity.51cto.com/art/201903/593469.htm

如今,数据正成为数字化世界中的强大经济引擎。这时如何确保数据保护和数据安全,尤其涉及到用户敏感的隐私信息,都是摆在企业面前的重要挑战。

作者:郑伟来源:中关村在线|2019-03-18 07:56

替广大消费者撑腰的315过后,每每此时你最想吐槽爆料的那些问题曝光了没?买到一款伪劣产品?受到虚假广告蒙骗?还是被借贷、房产等骚扰电话所折磨?如果说前面两条让你直接遭受了经济损失,那么第三条却在无情地消费你的隐形资产。因为你的个人隐私数据已遭受泄露并被转手贩卖了。

alt

谁在拥有并控制你的隐私数据

“您好,超低利率银行贷款需要吗?”、“香河低价房20万首付”、“本公司有行业正规发票”……估计每天不少网友都会接到类似的电话。那么这些人究竟是如何拿到我们的电话信息的呢?

从2012年起,315晚会就开始不断曝出“个人信息安全”问题,7年间共被提及了11次。其中,三大运营商中国移动、中国电信、中国联通都曾榜上有名;而中国银行、招商银行、农行等也登过黑榜。此外,因泄露或窃取用户隐私,有道科技、网易、高德地图、高鸿股份也被央视点过名。

除了运营商、金融机构强制收集你的身份信息外,实际上现在不论是想刷微博、玩抖音还是逛淘宝,或是登录电商甚至外卖平台之前,都需要将自己的电话信息进行绑定了。而当上述这些有能力收集用户信息的企业获取到隐私数据后,是否能做到有效保护呢?这里怕是必须要打个大大的问号了。

据调查,目前一些网络卖家、骑手在所谓的电话销售群当中,专门出售外卖订餐客户的信息。还有网络运营公司借助软件来搜集用户的订餐信息,打包之后倒卖给电话销售公司等案例,不一而足。

暗网不断有人兜售个人信息

还记得今年春运伊始,网上曝出470余万条疑似12306铁路订票网站的用户数据吗?犯罪嫌疑人就是从暗网购得60余万条用户注册信息后,再利用这些信息,通过第三方网络订票平台非法获取到410余万条铁路乘客信息的。

不仅在国内,有统计显示,在2018年中就已有50%的美国零售商遭遇到数据泄露事件,而在2017年的这个统计数字还仅为19%。而刚过完佩奇春节,就又曝出了16个网站的6.17亿条个人信息在暗网开售的消息。

其中被贩卖的用户信息包括了用户名称、电子邮件地址,以及加密密码,而且都来自较为知名的互联网服务供应商,比如摄影社群500px、线上游戏入口网站Armor Games、跳舞影片分享平台Dubsmash、健身平台MyFitnessPal、族谱平台MyHeritage、网络分享按键ShareThis、会员制购物网站HauteLook、影片制作平台Animoto、照片社群与市集EyeEm、健身服务8fit、寻人网站Whitepages、照片分享平台Fotolog、电子书城BookMate、交友服务CoffeeMeetsBagel、艺术作品市集Artsy,以及程序语言学习网站DataCamp等等。

数据保护监管需提上日程

虽然说走过必留下,但对于涉事的平台来说,是不是该负起起码的用户隐私信息安保工作呢?即便一般人对自己的数据隐私不甚了解,但企业平台则有义务为用户提供必要的知情权和选择权。在这个层面上,从立法、监管等各环节上加强对收集用户信息企业的制约,就显得尤为重要了。

以立法为例,欧盟的《通用数据保护规范》(GDPR)提供了可参考范本。有调查发现,企业对于该法案的准备程度越高,其数据泄露的机率与规模就越小,而且还会为业务带去诸多益处。在一项面向全球18个国家3200名隐私与安全专家调查的调查中,有59%表示已全面或大部分符合GDPR的需求,29%表示还要1年才能符合GDPR的规范,还有9%说仍要一年以上的时间才能准备好。

如果按国家来看,各国企业GDPR的准备程度占比介于42%到76%之间。其中欧洲国家的GDPR准备程度最高,如西班牙的76%、意大利的72%、英国的69%、法国的62%与德国的58%,而印度也有65%,俄罗斯与日本均为45%,最低的则是中国的42%。那么我国针对隐私数据的保护监管是不是也要提上日程了,所幸随着《网络安全法》的实施,相关立法与规范也在加速落地中了。

对隐私数据企业该加密脱敏

为了应对数据安全与隐私保护挑战,企业除了应用传统的加解密技术外,还在根据不同的业务场景和需求,积极探索匿名化、数据脱敏和数字水印等新型技术,甚至一些前沿技术的实践与落地,如保留格式加密(Format-Preserving Encryption,简称FPE)和差分隐私等关键技术。

最关键是确保即使在云环境下,数据始终保持加密状态,用户无需解密即可生成数据洞察结果。比如在云计算场景中,数据拥有方将数据加密存储在云计算平台中,数据拥有方提交数据统计或处理任务,直接对加密数据进行操作即可,不需要在云平台中进行解密,因此存储方无法获取真实的数据内容,降低了数据泄露风险,同时完全遵守隐私保护法规。

结语

如今,数据正成为数字化世界中的强大经济引擎。这时如何确保数据保护和数据安全,尤其涉及到用户敏感的隐私信息,都是摆在企业面前的重要挑战。可以说,一旦企业做好了用户数据的防护,不仅能够有效避免上述的数据泄露的危害,还能够大幅消除用户对于个人隐私泄露的疑虑。而这样不仅可以切实提升用户数据的安全性,而且还能够有效规避在营销层面上带来的各类风险,实际或可收获更多好处也未可知。

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室