查看原文
其他

数据安全的内部和外部视角初探

洪延青 网安寻路人 2020-02-26

在昨天推送的文章【《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论】中,许多朋友觉得所谓的“新数据安全”很扎眼。


传统的数据安全就是如何保护数据的完整性、保密性、可用性,业界统称CIA三性。因此,有一种观点认为《数据安全管理办法》中所谓的“新数据安全”的规定,是越厨代庖了,根本不是数据安全的事情。



对这样的观点,公号君有不同的看法,借着这篇文章和大家讨论。公号君曾在【“数据安全管理视角下的数据分类研究”立项汇报】中提出了数据安全的基本要求存在两个层次


一是“传统的数据安全”:保障数据作为资产的安全,即保障数据完整性、保密性、可用性,以及避免数据泄露、损毁、篡改、丢失等安全事件,对个人、组织、社会、国家造成。此即数据安全的内部视角。


二是“新的数据安全”:在数据处理过程中,管控数据滥用行为对外部可能造成的危害。此即数据安全的外部视角。


第二个层次“新的数据安全”中的外部又可以分解为:


  1. 个人安全:即数据滥用行为危害到个人安全,包括人身、财产、名誉等合法权益。此方面为个人信息保护法律管控的主要内容。


  2. 组织安全:即数据处理行为危害到其他组织的合法利益,包括知识产权、商业秘密,以及其他竞争和名誉等方面的利益。例如企业非法爬取其他企业的数据。企业非法窃取其他企业的商业秘密。企业非法使用其他企业的知识产权(比如商标、专利等)。


  3. 公共安全、公共利益、公共秩序:即数据处理行为危害到公共安全、公共利益、公共秩序。例如企业公开发布统计信息影响行政管理、经济秩序。


  4. 国家主权、安全、发展利益:即数据处理行为危害到“国家在政治、经济、国防、外交等领域的安全和利益”。例如企业通过数据聚合分析,推论出国家秘密,进而影响国防、国际关系等。


为什么有所谓的第二层次,原因就是技术、关键信息基础设施、数据在不发生CIA三性的情况下,被滥用而导致外部危害的例子越来越多。


肯定也会有观点认为:外部视角还是不用数据安全来管,其他各种既有、现成的法律法规,已经在保护数据滥用侵害的法益(即上述四方面)。公号君觉得该观点一定程度上是对的,但保护上述法益的既有、现成法律法规,在制定时并没有考虑互联网、信息技术、人工智能、大数据等可用于实施不法侵害的“手段”,保护法益仅从目的着手而不考虑“手段”,不仅会造成法律适用的不确定性,还会造成保护不周延的情况。当然,这是个大题目,得通过学术论文来开展论证。




其实不仅数据是这样,关键信息基础设施也是这样,存在一个内部视角和外部视角。


内部视角也是保护关键信息基础设施(CII)足够的安全防护能力,以及在遭受安全事件后恢复得足够快。总的来说:保障CII持续运行的resilience,以保障国家、经济、社会、人民学习生活的正常运转。


外部视角,在【被武器化的大数据】这篇文章中,公号君有所论述:


Facebook平台日活数超过20亿,掌握如此海量的数据。无论是该平台被“攻击、侵入、干扰和破坏”,都可能在社会、国家层面产生严重后果。记得一个数据,香港700万人口,有将近500万人都在用Facebook。因此,把Facebook当成CII没有任何问题。


对于CII,我们通常关注的是其自身的安全。但是在上文,以及美国媒体报道关于俄罗斯利用facebook平台投放了很多定向广告影响了大选的事件中,facebook没有发生任何信息泄露,也就是没有我们经常强调的CII遭受“攻击、侵入、干扰和破坏”这样的安全事故。这也是为什么在上述事件中,Facebook不认为发生了数据泄露事件。


但很显然,Facebook确确实实被恶意利用了,对Facebook平台之外的更大的环境造成了严重的危害。


Facebook在美国大选问题上饱受指责,原因是美国不少人认为其被俄罗斯利用了。媒体报道,俄罗斯通过第三方在Facebook上购买政治广告,并定向提供给特定人群,帮助川普当选。注意:在美国,购买、发布政治广告是合法的,且Facebook盈利的主要模式就是收集、分析个人信息后,对特定人群定向投放广告。因此,在国会的听证中,Facebook高管抱怨,其实商业模式是合法的,政治广告内容是合法的,只不过问题出在了谁买了并要求投放这些广告。言下之意,让我来审查谁买了这个广告,这个问题平台根本做不了。【以下是Facebook高管的原话】

实际上对于这个情况来说,Facebook这个平台及其掌握的数据,在安全性、保密性、完整性三个方面来说,完全没有问题。问题出在了谁利用了这些数据。由于CII的数据资源肯定不能静止不动、封存不用,将来一定会遇到类似的问题。


换句话说,平台本身没有任何安全风险(这是我们主要关注的内容),但是利用平台对外界造成安全危害,这个方面我们关注非常不够。再由于关键信息基础设施如此重要,就算设施本身没有被破坏,但是一旦被恶意利用后,很可能造成非常严重的后果。


上面是发生在国外的事例,昨天公号君在读到一篇文章【头条的官司与互联网时代的个人隐私】时,发现了另外一个发生在国内的例子,非常有意思。从这篇文章中摘录如下:


说了这么多枯燥的逻辑,我给大家讲讲现在的黑产们是怎么用个人隐私配合通讯录抓取来牟利的。


都知道现在流行的二类电商吧?不同于猫狗多多这种完整的官方集中管理模式,只有一个单页,没有APP,没有售后,只有一个单页,很多三无产品,黑五类产品都靠二类电商发财。网红拍一堆小视频,直接挂着二类电商的单页卖,吸引大家冲动消费。之前特别火的抖音三无大虾事件,就是二类电商在头条电商平台上搞的鬼。


那么如何利用二类电商在抖音上赚钱?


都知道抖音的通讯录推荐功能吧?就是读取你的通讯录,把你看过的/发布过的短视频推荐给你身边的人,之前我被人盗图做了减肥药视频,就因为这个功能,搞的我整个朋友圈都以为我在卖减肥药。


所以你看,我们现在知道了2件事情。1.二类电商在短视频平台卖三无产品容易赚钱。2.抖音会读取用户通讯录,自动给通讯录里的人推荐你发布或者观看的视频(功能需要用户同意开启)。


OK,骚操作来了。


黑产们通过黑产渠道购买大量定向用户信息,只买号码。例如4S店车主信息,商品快递信息,装修业主信息,学校学生家长信息之类的,过去这些号码买来都是打骚扰电话做营销的,现在有更好玩的玩法。


当获取到这些信息之后,黑产们会利用软件,把这些信息都录入准备好的手机中,然后伪造通讯录,通话记录,短信记录,都是十来块就能买到的软件。


手机A里全都是学生家长的联系方式,通话记录,短信。

手机B里全都是车主的联系方式,通话记录,短信。

手机C里全都是网购过零食的买家的联系方式,通话记录,短信。


然后给手机ABC安装抖音,所有权限开放。然后开始不停的发布带二类电商的广告短视频。


手机A就发布网络教育类视频。

手机B就发布车辆配件,汽油类视频。

手机C就发布美食推广类视频。


抖音会自动拿到你的通讯录和相关信息,然后就会给里面的号码主人,推送相关的短视频,他们会刷到 “你在对方通讯录”、“你们有共同好友”的视频。


要知道这些被推送的号码主人可都是精准筛选过的用户,他们的需求是精准的,他们的转化率会非常高。更厉害的是,这些被精准筛选过人,他们的通讯录中同样潜在着大量的精准用户。


例如学生家长或者老师的通讯录里,必然还有大量的老师和学生家长;有车一族的通讯录里可能有大量车友会的人的号码。

只要他们给视频点了赞或者产生了购买,甚至只是完整地看完。那么他们通讯录里的人,也会收到这种推送,也会被诱惑购买产品。


然后再一层关系网,再一层关系网,循环下去。


最终,只需要一些号码和软件,就可以进行短视频平台的精准推广。


二类电商产品的毛利本身就高,虽然大部分都要交给平台,但利润依然非常可观。而平台本身也乐见其成,因为反正坐着收钱,而且还是大头。


至于被骚扰的用户,信息被泄露的用户的权利,谁在乎?没有人在乎,甚至这些人都不知道自己的信息是怎么泄露的。当你刷短视频刷到莫名其妙的好友推荐的广告时,一定要警惕,你的信息可能已经被拿来玩儿出花样了。


是不是和Facebook平台上发生的事情有异曲同工之妙?当然,任何主打社交推荐的平台均有上述风险,关键信息基础设施安全和数据安全的外部视角,我们不应该忽略。(完)




数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)

  16. “108号公约”全文翻译(DPO沙龙出品)

  17. 美国司法部“云法案”白皮书全文翻译(DPO社群出品)

  18. EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)

  19. 新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东

  11. 第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南

  12. 第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益

  13. 第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“

  12. 德国最高数据保护官员就美国“云法案”提出警告


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

  20. 数据保护岗位需求与能力发展(DPO社群成员观点)

  21. DPO互助平台对企业数据治理实务的指导(DPO社群成员观点)

  22. 对网络安全负责人岗位的思考(DPO社群成员观点)

  23. 结合良好实践,细说APP自评估指南之一(DPO社群成员观点)

  24. 《个人信息安全规范》的效力与功能

  25. 结合良好实践,细说APP自评估指南之二(DPO社群成员观点)

  26. 《网络安全法》中数据出境安全评估真的那么“另类”吗

  27. 实施已满三月,区块链新规“回头看”(DPO社群成员观点)

  28. 从“布拉格提案”看美国政府的策略

  29. 《欧盟GDPR合规指引》前言:从一个损毁的雕像说起

  30. 对《网络安全审查办法(征求意见稿)》的几点观察

  31. 使命与界限:近期个人信息和数据安全新规的一些思考(DPO社群成员观点)

  32. 解析《个人信息出境安全评估办法(征求意见稿)》实体保护规则背后的主要思路

  33. “惟危惟微,允执厥中”:对《数据安全管理办法》中“定向推送”部分的思考

  34. 《儿童个人信息网络保护规定(征求意见稿)》评析:与美国COPPA对比的视角

  35. 网安法中的“范围”如何理解和落地:从头条案说起

  36. 《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论

Modified on

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存