科技變革下的數據安全之路

◆文/徐懿科

西北農林科技大學學士，美國福特漢姆大學商學院碩士

隨著數字化轉型和科技革命帶來的創新，社交媒體已經成為人們日常生活的一部分。近年來，社交網絡平臺的用戶人數呈指數級的增長，這些平臺提供了極具吸引力的溝通方式，人們也因此更傾向于在網絡平臺上獲取和交換信息。但與此同時，人工智能使得數據痕跡可以被記錄、監控、處理，并被廣泛應用于社會、政治或商業等各種方面。因此，如何保護數據安全和隱私，維護用戶的隱私安全，成為一個不容忽視的主題，引起了社會的廣泛注意。

一.創新的商業模式為數據應用多樣化提供平臺

從商業應用的角度來看，數據本身沒有價值，其價值是在使用過程中實現的。當下，網絡平臺主要聚焦于用戶體驗以及實現用戶數據貨幣化，通過為用戶提供服務，并不斷收集用戶數據來完善自己的產品，提高用戶黏性。雖然用戶使用的網絡平臺服務是免費或者低成本的，但在此過程中用戶也在源源不斷的向平臺反饋數據。通過數據可以研究用戶的行為，分析得到用戶的偏好。一方面可以通過用戶畫像，直接向用戶推送他們感興趣的產品廣告，即精準營銷，并將用戶數據出售給廣告商直接獲得收益，廣告收益是Facebook的主要收入來源；另一方面則可以從用戶數據中提取其支付意愿，從而對售賣的商品可以采用個人定價，這也就是，基于個人數據產生對于相同產品的價格差異，然而這對于某些客戶可能是不利的，這也就是我們通常所說的“大數據殺熟”。

互聯網平臺尤其是有能力收集、保存大量數據的平臺，在某種程度上來說，是數據價值的最大利用者，也是數據價值的最大獲益者。以Google、Facebook、Amazon、Apple（統稱GAFA）為代表的硅谷科技公司為例，他們在這方面有著得天獨厚的優勢：Apple和Google分別控制著移動操作系統iOS和Android；而Facebook控制著最大的社交網絡平臺，此外旗下還有聊天軟件WhatsApp以及基于照片視頻的社交軟件Instagram。Amazon控制著最大的在線購物平臺；Google Chrome瀏覽器也是收集數據的重要來源，收集包含用戶訪問網站和含有購買行為的cookie。Google和Facebook是當今吸引大多數互聯網流量和用戶數據的平臺，也是在線廣告行業最大的運營商。盡管他們的商業模式不盡相同，但他們卻在全球范圍內共同控制著個人數據最主要的來源。

二.數據泄露事件頻發暴露出數據安全存在的隱患

眾所周知，Facebook從用戶中收集大量數據，包括用戶內容、聯系人列表、使用設備信息、位置數據以及來自第三方的信息。然而，Facebook的默認隱私設置漏洞給了惡意行為者可乘之機，他們可以將從所謂的“暗網”中獲取的電子郵件地址和電話號碼，與Facebook公開用戶的個人資料相匹配，泄露用戶的隱私信息。

但該漏洞帶來的負面效應卻不止于此— 數據泄露所帶來的一系列連鎖反應對政治選舉也產生了重大影響:Cambridge Analytica公司在未經其知情或許可的情況下使用了大約8700萬Facebook用戶的個人信息，用于2016年特朗普美國大選的宣傳工作。一個名為“this is your digital life”的測試App用5美元的金錢獎勵誘使Facebook用戶注冊其App，在此過程中獲得了用戶的授權，基于該授權調取用戶在Facebook上的相關數據（用戶信息、朋友關系網和點贊過的內容）。對數據進行分析，進行關于用戶個性和選舉投票行為的研究。而上述事件的發生僅僅因為Facebook開放了數據調用接口。其后App開發者以80萬美元的價格將這些數據賣給了Cambridge Analytica公司。Cambridge Analytica收集這些數據，作為特朗普選舉活動的戰略支持來源。除此之外，Cambridge Analytica還與Internet Research Agency合作，幫助俄羅斯確定目標群體（美國選民）并針對他們進行關于美國大選的宣傳。此次宣傳通過470個Facebook帳戶發布虛假新聞，試圖影響美國政治形勢，大約有1.57億美國人看到了相關內容。雖然在2015年Facebook就要求Cambridge Analytica刪除他們獲得的數據，并獲得了Cambridge Analytica的肯定答復。但是此時數據已經脫離了Facebook的掌控，Facebook也很難對Cambridge Analytica的數據銷毀工作進行檢查。

Google在其社交媒體Google+平臺也遭遇了兩次數據泄露的打擊：在系統安全審核期間發現的一個漏洞，會導致泄露大約50萬用戶的數據；在2018下半年再次發現了會損害信息安全的漏洞，則可能暴露超過5000萬用戶的私人姓名和電子郵件地址。與此同時，App Store的一些中國用戶則成為了賬單信息暴露的受害者。在某些情況下，第三方能夠從包括支付寶在內的含有支付功能的應用程序中提取資金。

而作為零售平臺的Amazon，也存在濫用數據的情況，Amazon是擁有許多自有商品的零售商，同時大量的第三方賣家也在Amazon上出售他們的商品。但Amazon曾被指收集第三方賣家的數據來提升其自有品牌的競爭力，以確保Amazon自有產品始終比第三方賣家的商品的品質更佳。不僅如此，Amazon還要求第三方賣家必須使用平臺提供的數據支持，并向這些第三方賣家收取更多費用。

上述事件的共同點在于，它們不是由于個人疏忽導致的典型數據泄露事件，而是利用網絡平臺創建操縱用戶信息的工具的結果。而此類事件也體現出，網絡平臺用戶可能無法完全理解或理解其個人數據的收集、保護、傳輸、使用和濫用程度。

三.保護數據安全逐漸成為當今社會的共識

大數據時代，維護個人隱私權應當成為公民的一項基本權利，而數據安全也已成為科技公司生存和發展的關鍵。伴隨著數據隱私在全球的監管趨勢加強，科技巨頭在數據安全領域加大投資力度，而各國的立法也在不斷完善關于個人數據隱私方面的保護。

1. 《通用數據保護條例》

歐盟《通用數據保護條例》（即《GDPR》）于 2018年 5 月 25 日正式生效。它不僅取代了 1995 年的《數據保護指令》和歐盟成員國各自制定的相關法律法規，更率先在個人隱私保護方面邁出重要的一步。因為《GDPR》要求企業必須重點保護個人數據而非控制企業內部安全流程，而這打破了企業現有的安全和隱私程序。

《GDPR》的創新之處在于：它擴大了數據保護范圍，此項法規不僅適用于歐盟內成立的企業，還對于任何位于歐盟外但向歐盟境內人士提供數據服務的企業做出了同樣要求；對違規行為加重處罰力度，最高罰款額將大幅增加至企業全球營業額的4% ；對于發生的數據泄露事件，企業有向社會披露的義務，并且還要及時通知相關的歐洲數據保護官方機構，若事故屬于高風險，企業還必須向受影響的個人發出通知；增加對數據隱私管治、數據配置及影響評估的要求；加強個人數據享有的權利：個人將有權要求其個人數據從系統中刪除、免除自動數據分析，以及有權要求獲取其個人數據之副本，企業必須決定個人行使上述權利的方式；加強對供應鏈的合規要求：企業必須選用能確保可實行并滿足《GDPR》要求的安全措施的第三方為其處理個人數據。

2. 《加州消費者隱私法案》

2020 年 1 月 1 日，美國《加州消費者隱私法案》（即《CCPA》）正式生效。這部法律著重于在科技公司收集和使用數據時，能賦予人們更高的信息控制權。

該法律旨在提高加州居民對個人信息相關問題的關注，特別是企業對個人信息的收集和所收集的個人信息如何成為其他企業財產的問題，切實保護加州居民的隱私權。進一步來說，這部法律要求相關企業和機構公開透明地收集、共享和使用用戶數據。加州居民將有權要求知悉企業收集了哪些個人數據、企業是否將這些數據出售給其他企業或與其他企業共享（若存在上述情況，要提供其中具體涉及哪些個人數據），并有權要求企業停止出售個人數據。總的來說，主要保障了用戶的5個權利：用戶有權要求企業公開其個人數據收集及出售情況，包括個人可識別信息的類型、來源、用途以及是否與第三方共享；用戶有權要求企業提供過去12個月內收集的個人可識別信息之副本；用戶有權要求企業刪除所收集的個人身份信息；用戶有權要求企業不得出售其個人數據；用戶有權不受歧視地行使上述權利。

3.互聯網企業的積極響應

在科技巨頭們屢次成為數據泄露事件的受害者，收到相關機構開出的巨額罰單后，互聯網企業也開始著力于維護數據安全。以GAFA公司為代表，為提升信息安全，圍繞各自的產品，進行了不同程度的修改。比如Facebook修改其隱私政策，限制對各種API的數據訪問權，并寄期望人工智能來提升網絡平臺的數據安全性；Google不僅關閉了涉嫌數據泄露的社交媒體平臺Google+，還提升了用戶對其Google帳戶設置和權限的控制權，其中包括增加對試圖訪問Gmail等通信工具的應用程序的限制，并限制了應用程序訪問安卓移動設備上的通話和短信記錄的能力。Google還為高風險用戶創建了高級保護計劃，高風險用戶包括“記者、商業領袖和政治競選團隊”。

Apple則將目光對準了企業級別的用戶數據，致力于解決企業網絡安全問題，2018年宣布與Cisco以及Aon，Allianz兩家保險集團建立合作伙伴關系，協助更多的機構管理與保護自身免受第三方軟件惡意攻擊的網絡風險。而Google的母公司Alphabet則創建了專門構建企業安全管理系統的子公司Chronicle，目標是開發更全面的網絡安全保護產品。

但長久數據安全的建立和維護不應僅僅停留在技術層面，數據泄露的接連發生也在不斷透支著社會各界對于網絡平臺的信任。在關于Facebook虛擬貨幣Libra的聽證會上，幾乎在場的所有議員都表示，Facebook為過去的失敗承擔責任，努力重新獲得信任，才是Libra項目繼續推進的重要前提。回應社會對數據隱私和安全性日益廣泛的擔憂，并恢復公眾的信任是科技企業不可推卸的責任。當問題出現時，內部的算法、商業模式無法解釋其責任，那么政府和社會必然會傾向于讓平臺承擔更多的責任。因此，尊重消費者的選擇是提升科技企業透明度與可信賴度的必經之路。

從歐盟、美國到中國，個人隱私保護已經成為大數據時代的重要命題。科技發展的不斷變遷，使得數據所蘊藏的巨大價值進一步彰顯，但數字化社會關于個人信息保護的探索仍然停留在初期，導致缺乏成熟的監管體系，侵犯用戶隱私和買賣個人數據的事件也層出不窮。不過隨著各國相關法律法規的不斷健全，加強對網絡數據的監管，科技企業對完善隱私保護系統的不斷發掘，用戶對個人隱私的愈發重視，一定能在合理利用數據和維護個人隱私空間之中找到平衡。