“暗網(wǎng)”流量持續(xù)攀升 “數(shù)據(jù)資產(chǎn)”監(jiān)管保護(hù)待加強(qiáng)

　　本報(bào)記者 楊清清 北京報(bào)道

　　2018年的數(shù)據(jù)安全行業(yè)頗不平靜。

　　2018年3月，F(xiàn)acebook被曝出8700多萬用戶數(shù)據(jù)泄露，此事被視為Facebook歷來遭遇的最大型數(shù)據(jù)泄露事件，導(dǎo)致其市值大幅縮水；6月，AcFun發(fā)布公告稱，服務(wù)器受黑客攻擊，致使近千萬條用戶數(shù)據(jù)在暗網(wǎng)販賣；8月，網(wǎng)曝華住旗下酒店用戶數(shù)據(jù)信息交易行為，泄露數(shù)據(jù)涉及到1.3億人次；11月，萬豪國際集團(tuán)官方聲明稱，喜達(dá)屋旗下酒店最多約5億名客人的信息或被泄露。

　　數(shù)據(jù)泄露事件頻頻發(fā)生，也令數(shù)據(jù)安全問題再次被擺在臺(tái)前。“互聯(lián)網(wǎng)在為用戶帶來便利的同時(shí)，由于信息傳播與交易成本極低，企業(yè)如若對(duì)數(shù)據(jù)處理不當(dāng)，將帶來巨大風(fēng)險(xiǎn)。”圍繞2018年眾多數(shù)據(jù)安全事件，百度安全產(chǎn)品總經(jīng)理韓祖利表示。

　　需要注意的是，作為數(shù)據(jù)交易的“黑市”所在，2018年暗網(wǎng)整體流量在持續(xù)攀升，用戶數(shù)也在不斷增長(zhǎng)。在韓祖利看來，當(dāng)前用戶數(shù)據(jù)正在逐步變?yōu)樯鐣?huì)資產(chǎn)，而該過程面臨的巨大問題在于，數(shù)據(jù)資產(chǎn)化的同時(shí)需要強(qiáng)化政策監(jiān)管及企業(yè)對(duì)數(shù)據(jù)的保護(hù)，如何在保護(hù)用戶隱私的前提下發(fā)揮數(shù)據(jù)價(jià)值。

　　暗網(wǎng)流量攀升

　　何謂暗網(wǎng)？

　　根據(jù)互聯(lián)網(wǎng)信息分布情況來看，Web網(wǎng)可分為表網(wǎng)及深網(wǎng)（Deep Web）。與表網(wǎng)所區(qū)別的是，深網(wǎng)是指服務(wù)器上可通過標(biāo)準(zhǔn)網(wǎng)絡(luò)瀏覽器和連接方法訪問的頁面和服務(wù)，但主流搜索引擎不會(huì)收錄這些頁面和服務(wù)。

　　目前，表網(wǎng)的互聯(lián)網(wǎng)信息占比僅10%，約九成信息都分布在深網(wǎng)上。

　　暗網(wǎng)（Dark Web）則是深網(wǎng)的一個(gè)子集，用戶無法使用標(biāo)準(zhǔn)瀏覽器直接訪問其服務(wù)和頁面，僅能通過Tor （The Onion Routing）和I2P（Invisible Internet Project）等特定網(wǎng)絡(luò)訪問。

　　同時(shí)，暗網(wǎng)中的數(shù)據(jù)傳輸方式類似于“接力”，數(shù)據(jù)接收者無法了解數(shù)據(jù)首位發(fā)送者，從而實(shí)現(xiàn)互聯(lián)網(wǎng)匿名交流與溝通，也滋生出數(shù)據(jù)泄露與交易的“溫床”。據(jù)韓祖利介紹，暗網(wǎng)中約45%的信息為不合規(guī)的違法犯罪信息。

　　“當(dāng)前暗網(wǎng)整個(gè)流量在持續(xù)攀升，2018年日均流量達(dá)到每秒1.1G，為暗網(wǎng)提供服務(wù)器的規(guī)模大約為10萬臺(tái)左右。”韓祖利指出，“整個(gè)暗網(wǎng)用戶數(shù)也在不斷爬升，全球日均用戶大約為243萬，其中使用中文的用戶比例很高。”

　　根據(jù)百度安全鎖觀察到的情況而言，2018年暗網(wǎng)中文社區(qū)主要的交易類型為個(gè)人信息和公司泄露數(shù)據(jù)。其中個(gè)人信息交易占比達(dá)到48%，公司泄露數(shù)據(jù)占比為20%。

　　“我們將個(gè)人信息分為A類和B類，A類是指極其敏感的基礎(chǔ)個(gè)人信息，能夠描述自然人的屬性，這樣的信息交易占比達(dá)60%。B類是指?jìng)€(gè)人行為、標(biāo)簽類信息，大約占比40%。”韓祖利表示。

　　據(jù)韓祖利介紹，在個(gè)人信息交易中，以基本資料（29.4%）、身份證信息（21.4%）、網(wǎng)貸信息（13.2%）為占比前三，其余還包括社工庫、銀行卡、網(wǎng)購信息、郵箱、個(gè)人投資理財(cái)?shù)阮愋汀?/p>

　　在他看來，這些基本能夠描述一個(gè)自然人的基本情況，亦使得數(shù)據(jù)信息的價(jià)值極高。同時(shí)，這樣的信息在網(wǎng)絡(luò)傳輸中的成本低，從而成為數(shù)據(jù)交易的重點(diǎn)。

　　數(shù)據(jù)治理方向

　　2018年7月，曾被視為新三板大數(shù)據(jù)第一股的數(shù)據(jù)堂陷入數(shù)據(jù)泄露風(fēng)波。

　　經(jīng)警方查獲，數(shù)據(jù)堂在八個(gè)月時(shí)間內(nèi)日均傳輸公民個(gè)人信息1.3億余條，累計(jì)傳輸數(shù)據(jù)壓縮后為4000GB左右，數(shù)據(jù)量巨大。案件所涉數(shù)據(jù)隱私性高，涉及的上網(wǎng)URL數(shù)據(jù)包含了手機(jī)號(hào)、上網(wǎng)基站代碼等40余項(xiàng)信息要素。

　　同時(shí)，數(shù)據(jù)堂記錄手機(jī)用戶具體的上網(wǎng)行為，部分?jǐn)?shù)據(jù)甚至能夠直接進(jìn)入公民個(gè)人賬號(hào)主頁。

　　這樣的數(shù)據(jù)安全風(fēng)險(xiǎn)事件不在少數(shù)，也造成巨大影響。這也不由引人深思：究竟當(dāng)前哪些環(huán)節(jié)出了問題，導(dǎo)致數(shù)據(jù)泄露頻發(fā)？

　　韓祖利直言，當(dāng)前企業(yè)在數(shù)據(jù)保護(hù)方面的意識(shí)仍在啟蒙階段。“企業(yè)數(shù)據(jù)管理委員會(huì)已建立2年以上的占比很小，絕大部分都是在2年之內(nèi)或根本尚未建立。”

　　因此，在數(shù)據(jù)資產(chǎn)化的過程中，企業(yè)如何自發(fā)保護(hù)用戶安全隱私成為重中之重。韓祖利介紹稱，暗網(wǎng)交易的基礎(chǔ)信息中，許多都是因?yàn)槠髽I(yè)數(shù)據(jù)存儲(chǔ)不當(dāng)導(dǎo)致的，企業(yè)應(yīng)當(dāng)重點(diǎn)考慮數(shù)據(jù)如何進(jìn)行安全存放。

　　此外，在整個(gè)交易社區(qū)中，許多數(shù)據(jù)是企業(yè)內(nèi)部員工個(gè)人所泄露出來的，由此引發(fā)數(shù)據(jù)的可信與可流轉(zhuǎn)問題。“數(shù)據(jù)是否會(huì)被員工拿走及私下傳播，傳播后如何確定傳播出口等，這些均為數(shù)據(jù)資產(chǎn)化流通過程中的重要障礙。”

　　監(jiān)管力量在數(shù)據(jù)安全中也正日益發(fā)揮作用，當(dāng)前數(shù)據(jù)安全方向的全球政策都在收緊。

　　據(jù)中國互聯(lián)網(wǎng)協(xié)會(huì)法工委副秘書長(zhǎng)胡鋼向21世紀(jì)經(jīng)濟(jì)報(bào)道記者介紹，中國在個(gè)人信息保護(hù)方面已有若干法律。早在2012年便出臺(tái)了《全國人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，此后包括《民法總則》、《消費(fèi)者權(quán)益保護(hù)法》、《電子商務(wù)法》、《網(wǎng)絡(luò)安全法》也紛紛涉及對(duì)個(gè)人信息的保護(hù)條款。

　　不過從國際上來看，最為嚴(yán)厲的還當(dāng)屬2018年正式生效的《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡(jiǎn)稱GDPR），其對(duì)用戶隱私內(nèi)容、數(shù)據(jù)處理流程規(guī)范、數(shù)據(jù)泄露問責(zé)機(jī)制等進(jìn)行了清晰界定。

　　2019年，類似隱私法律頒布可能會(huì)提速。2018年11月1日，美國參議院 Ron Wyden 提交了《消費(fèi)者數(shù)據(jù)保護(hù)法案》（CDPA），該法案對(duì)隱私違法行為的處罰非常嚴(yán)厲，甚至包括了入獄。此外，被認(rèn)為與GDPR高度契合的《加州消費(fèi)者隱私法案》已被通過，將在2020年生效。

　　韓祖利則指出，當(dāng)前暗網(wǎng)中的大量數(shù)據(jù)交易的購買方，所購數(shù)據(jù)是為求應(yīng)用于企業(yè)，數(shù)據(jù)存在的價(jià)值終歸將用于生產(chǎn)，因此，可以考慮數(shù)據(jù)提供方與數(shù)據(jù)使用方能否在不傳輸敏感信息的前提下使用數(shù)據(jù)。

　　這就需要搭建安全的數(shù)據(jù)交易中心。數(shù)據(jù)提供方進(jìn)入安全交易中心后，將手中數(shù)據(jù)進(jìn)行一系列脫敏處理，在現(xiàn)有監(jiān)管框架可接受、并未侵犯用戶隱私安全的前提下，將輸出結(jié)果提供給數(shù)據(jù)使用方，“這樣的價(jià)值流動(dòng)就是成功的，目前來看也是有可能實(shí)現(xiàn)的。”

責(zé)任編輯：李鋒