苹果、DeepMind爆发隐私数据泄露案,数据隐私安全不容忽视!
不久前英国医疗服务体系(NHS)医院向Alphabet旗下DeepMind提供了约160万患者的详细资料,DeepMind因数据隐私问题被英国信息安全员判定为违法。与此同时苹果公司也被爆“内鬼”倒卖20万条信息,涉案金额超5000万美元。数据隐私安全再度被关注。我们正在进入数据社会,当一切变得越来越数据化时,我们应该如何规范数据隐私的保护,如何制定相关数据保护政策,如何利用技术来保护数据隐私安全?
数据监管如何跟上数据创新的脚步
尽管英国医疗服务体系(NHS)医院向Alphabet旗下DeepMind提供患者的详细资料,是用于开发和完善急性肾损伤(AKI)诊断和检测系统,与苹果公司“内鬼”倒卖20万条信息出发点完全不一样,但它依旧被裁定违法。英国最高隐私保护监管部门认为,这些医疗记录数据使用时并没有告诉医疗患者数据将被使用的方式。
眼下,我们正在利用人工智能技术来攻克一个又一个的难题,而在解决这些难题的过程里,除了算法,非常重要的一个维度就是需要大量的数据。但是这些数据的归属权界定与去隐私化问题就需迫切需要解决了。
近日,IBM Watson和云平台高级副总裁David Kenny向美国国会议员发出了一封公开信,概述IBM就人工智能技术兴起所引发的相关政策问题的看法,谈到数据隐私与归属权时他表示:“IBM 始终认为,个体数据为个人所有,相关的数据政策应公平合理、优先考虑开放性,并尊重知识产权。”AI协作共事的人员需负责地管理公共和私人数据。
NHS与DeepMind的数据合作与苹果公司“内鬼”倒卖信息,在阿里数据经济研究中心秘书长、阿里研究院高级专家潘永花看来,涉及数据监管的不同维度,一个是政府和行业监管,一个是企业内部的数据管理。DeepMind事件是由于数据流通和数据开发利用导致了隐私泄露,苹果公司内部“内鬼”事件是因内部数据管理制度不健全而致。
“从数据监管的维度看,个体数据其实是进行数据创新最有价值的数据,也是数据安全等级最高的数据,我们利用数据的同时必须保障数据隐私,数据监管如何跟上数据创新的步伐,在法律上、在管理模式上需要进行更多的探索。”潘永花在接受《中国电子报》记者采访时表示,就像个人医疗数据,不仅仅与个人身份有关,更与个人的身体状况有关,是我们进行精准医疗、个性化医疗,推进人工智能进行疾病诊疗的关键基础。如何将这些数据实现匿名化收集,进行匿名化处理,这涉及技术问题,也涉及监管模式和法律的问题。
赛迪智库互联网研究所副所长陆峰对《中国电子报》记者表示,这两个事件再次警示我们要加强对数据安全的全生命周期管理,数据从产生到消亡整个生命周期过程中都有可能发生数据隐私泄露,要求我们制定相关措施,从技术保障、规范管理、法律法规等多方面入手,加强数据采集、传输、存储、流通、交易、开发和利用等全生命周期管理。
中国信息化推进联盟委员、国标委金融标准化专家、数秦科技首席科学家王毛路在接受《中国电子报》记者采访时表示,数据隐私事件已成为社会的焦点,侵犯数据隐私问题的不断发生说明了几个问题:个人针对数据隐私的意识还不够完善,数据保护政策未能完全贯彻落实,监管层面暂时还未能实现隐私数据的安全监管。要想更好地保护数据隐私,需要从数据分类、数据采集、数据存储、数据流通等环节制定相应的措施。
比如分类措施,需要将数据进行分类,明确数据类型,划定隐私数据边界。比如数据采集,要制定隐私数据采集规定,明确在何场景下通过何种方式进行数据采集。比如数据存储,凡需存储隐私数据的单位和企业,需制定严格的数据存储规范。比如制定数据流通规则,明确各类数据的流通标准。比如制定数据安全保护制度,构建物理安全保护体系及网络安全保护体系。
也就在记者稿件成文之际,外电报道印度电信运营商Jio超过1亿用户的信息遭到泄露,成为印度电信行业有史以来最大规模数据外泄事件。这究竟是“内鬼”,是外部黑客,还是“内外勾结”所致,目前尚在调查中。
印度运营商用户信息泄露不是全球大规模数据泄露的第一个也不是最后一个事件。事实上,中国在此之前也爆发过多次互联网用户数据泄露案件,比如12306用户信息泄露、国家电网旗下App用户信息泄露等。
潘永花表示,过往几年中,基于数据买卖的地下灰黑产业非常猖獗,带动了消费者个人和国家对个人信息保护的关注,目前来看我国个人信息保护相关的法律规范尚不完善,只在一些法律中有零散规定,仍然存在效力层级低、法律法规协调性弱、保护内容片面等立法不足,有待于加强和完善。
企业内部如何进行数据管理
在数据的全生命周期管理中,企业内部是非常关键的一个环节。陆峰表示。苹果“内鬼”事件中,如果我们采用相关的加密或认证技术对内部人员数据查看和拷贝采取严格的认证措施,就能从一定程度上降低数据被窃取的风险。不过,千万别迷信仅从技术入手就能保障数据绝对安全。
潘永花认为,苹果内鬼倒卖数据问题涉及的主要是在企业的内部如何进行数据安全管理的问题,企业内部的问题通过组织、规章与标准的规范以及技术的采用是可以避免的。
未来所有的企业都会变成数据企业,如何找到适合自己的数据管理的组织架构、规章制度、标准以及技术,需要进行更多的探索。互联网企业是目前拥有数据最多,也是基于数据进行业务创新和探索最早的一批企业。它们数据管理的方法、路径对其他企业进行数据管理有一定的借鉴意义。
“以阿里巴巴为例,在阿里巴巴这样的互联网公司,数据事实上是一切业务的来源,所以必须非常重视数据安全,会从组织架构、规章制度到标准以及技术等维度来规范和保障数据的安全。”潘永花说。
据介绍,目前阿里巴巴在集团层面设有CRO(首席数据风险官)以及数据安全管理小组来管理数据,除了顶层设计,在各个业务部门都设有数据安全保障岗位,每一个进入阿里的员工都要进行数据安全考试。在阿里,数据是按四个等级来进行分级的,涉及隐私的最高安全等级的数据谁都不能碰。涉及数据隐私的数据,需要利用技术的手段进行脱敏、打标等。据透露,目前阿里基于自己经验生成的“数据安全成熟度模型”已经开始对外输出服务,应用到国家电网以及蒙牛等企业。
技术如何能够为数据保护发挥更多作用
王毛路认为,身份认证、数据加密、区块链等技术能够在保护数据隐私安全上起到很好的作用,其中区块链是新技术,可在保护数据隐私安全上起到积极的作用。因为区块链技术具备不对称加密、安全传输、不可篡改、可追溯等特点,可以很好地应用于保护数据隐私安全。通过区块链技术,在授权的前提下,可实现数据的加密传输,且能实现中间节点不留存数据;可实现数据的授权管理、传输管理、数据追溯等。
陆峰认为,区块链技术从安全、成本、效率三个角度考虑应用场景,最为适合银行间点对点支付清算系统、证券交易过程中券商点对点支付清算系统。目前上述两个系统都是点对点进行支付清算,都是央行和证交所集中式的清算。随着业务量的与日俱增,集中式清算模式瓶颈问题日益严重,加快区块链技术应用,推进银行间点对点支付清算、证券交易过程中券商点对点支付清算,能够提高效率。因为涉及点对点清算,需要防止参与清算的各个主体之间出现数据窃取、篡改和抵赖等问题,区块链技术正好能够保证这个应用场景数据安全,所以国外金融系统应用区块链技术保障数据安全的呼声很高。
但陆峰也强调,区块链技术不是万能的安全技术,针对具体的数据安全问题,需要我们对症下药。
(《中国电子报》版权所有,转载请注明出处)