数据安全的内部和外部视角初探
在昨天推送的文章【《数据安全管理办法》的监管诉求及文本改进建议:DPO社群的现场讨论】中,许多朋友觉得所谓的“新数据安全”很扎眼。
传统的数据安全就是如何保护数据的完整性、保密性、可用性,业界统称CIA三性。因此,有一种观点认为《数据安全管理办法》中所谓的“新数据安全”的规定,是越厨代庖了,根本不是数据安全的事情。
对这样的观点,公号君有不同的看法,借着这篇文章和大家讨论。公号君曾在【“数据安全管理视角下的数据分类研究”立项汇报】中提出了数据安全的基本要求存在两个层次:
一是“传统的数据安全”:保障数据作为资产的安全,即保障数据完整性、保密性、可用性,以及避免数据泄露、损毁、篡改、丢失等安全事件,对个人、组织、社会、国家造成。此即数据安全的内部视角。
二是“新的数据安全”:在数据处理过程中,管控数据滥用行为对外部可能造成的危害。此即数据安全的外部视角。
第二个层次“新的数据安全”中的外部又可以分解为:
个人安全:即数据滥用行为危害到个人安全,包括人身、财产、名誉等合法权益。此方面为个人信息保护法律管控的主要内容。
组织安全:即数据处理行为危害到其他组织的合法利益,包括知识产权、商业秘密,以及其他竞争和名誉等方面的利益。例如企业非法爬取其他企业的数据。企业非法窃取其他企业的商业秘密。企业非法使用其他企业的知识产权(比如商标、专利等)。
公共安全、公共利益、公共秩序:即数据处理行为危害到公共安全、公共利益、公共秩序。例如企业公开发布统计信息影响行政管理、经济秩序。
国家主权、安全、发展利益:即数据处理行为危害到“国家在政治、经济、国防、外交等领域的安全和利益”。例如企业通过数据聚合分析,推论出国家秘密,进而影响国防、国际关系等。
为什么有所谓的第二层次,原因就是技术、关键信息基础设施、数据在不发生CIA三性的情况下,被滥用而导致外部危害的例子越来越多。
肯定也会有观点认为:外部视角还是不用数据安全来管,其他各种既有、现成的法律法规,已经在保护数据滥用侵害的法益(即上述四方面)。公号君觉得该观点一定程度上是对的,但保护上述法益的既有、现成法律法规,在制定时并没有考虑互联网、信息技术、人工智能、大数据等可用于实施不法侵害的“手段”,保护法益仅从目的着手而不考虑“手段”,不仅会造成法律适用的不确定性,还会造成保护不周延的情况。当然,这是个大题目,得通过学术论文来开展论证。
其实不仅数据是这样,关键信息基础设施也是这样,存在一个内部视角和外部视角。
内部视角也是保护关键信息基础设施(CII)足够的安全防护能力,以及在遭受安全事件后恢复得足够快。总的来说:保障CII持续运行的resilience,以保障国家、经济、社会、人民学习生活的正常运转。
外部视角,在【被武器化的大数据】这篇文章中,公号君有所论述:
Facebook平台日活数超过20亿,掌握如此海量的数据。无论是该平台被“攻击、侵入、干扰和破坏”,都可能在社会、国家层面产生严重后果。记得一个数据,香港700万人口,有将近500万人都在用Facebook。因此,把Facebook当成CII没有任何问题。
对于CII,我们通常关注的是其自身的安全。但是在上文,以及美国媒体报道关于俄罗斯利用facebook平台投放了很多定向广告影响了大选的事件中,facebook没有发生任何信息泄露,也就是没有我们经常强调的CII遭受“攻击、侵入、干扰和破坏”这样的安全事故。这也是为什么在上述事件中,Facebook不认为发生了数据泄露事件。
但很显然,Facebook确确实实被恶意利用了,对Facebook平台之外的更大的环境造成了严重的危害。
Facebook在美国大选问题上饱受指责,原因是美国不少人认为其被俄罗斯利用了。媒体报道,俄罗斯通过第三方在Facebook上购买政治广告,并定向提供给特定人群,帮助川普当选。注意:在美国,购买、发布政治广告是合法的,且Facebook盈利的主要模式就是收集、分析个人信息后,对特定人群定向投放广告。因此,在国会的听证中,Facebook高管抱怨,其实商业模式是合法的,政治广告内容是合法的,只不过问题出在了谁买了并要求投放这些广告。言下之意,让我来审查谁买了这个广告,这个问题平台根本做不了。【以下是Facebook高管的原话】
实际上对于这个情况来说,Facebook这个平台及其掌握的数据,在安全性、保密性、完整性三个方面来说,完全没有问题。问题出在了谁利用了这些数据。由于CII的数据资源肯定不能静止不动、封存不用,将来一定会遇到类似的问题。
换句话说,平台本身没有任何安全风险(这是我们主要关注的内容),但是利用平台对外界造成安全危害,这个方面我们关注非常不够。再由于关键信息基础设施如此重要,就算设施本身没有被破坏,但是一旦被恶意利用后,很可能造成非常严重的后果。
上面是发生在国外的事例,昨天公号君在读到一篇文章【头条的官司与互联网时代的个人隐私】时,发现了另外一个发生在国内的例子,非常有意思。从这篇文章中摘录如下:
说了这么多枯燥的逻辑,我给大家讲讲现在的黑产们是怎么用个人隐私配合通讯录抓取来牟利的。
都知道现在流行的二类电商吧?不同于猫狗多多这种完整的官方集中管理模式,只有一个单页,没有APP,没有售后,只有一个单页,很多三无产品,黑五类产品都靠二类电商发财。网红拍一堆小视频,直接挂着二类电商的单页卖,吸引大家冲动消费。之前特别火的抖音三无大虾事件,就是二类电商在头条电商平台上搞的鬼。
那么如何利用二类电商在抖音上赚钱?
都知道抖音的通讯录推荐功能吧?就是读取你的通讯录,把你看过的/发布过的短视频推荐给你身边的人,之前我被人盗图做了减肥药视频,就因为这个功能,搞的我整个朋友圈都以为我在卖减肥药。
所以你看,我们现在知道了2件事情。1.二类电商在短视频平台卖三无产品容易赚钱。2.抖音会读取用户通讯录,自动给通讯录里的人推荐你发布或者观看的视频(功能需要用户同意开启)。
OK,骚操作来了。
黑产们通过黑产渠道购买大量定向用户信息,只买号码。例如4S店车主信息,商品快递信息,装修业主信息,学校学生家长信息之类的,过去这些号码买来都是打骚扰电话做营销的,现在有更好玩的玩法。
当获取到这些信息之后,黑产们会利用软件,把这些信息都录入准备好的手机中,然后伪造通讯录,通话记录,短信记录,都是十来块就能买到的软件。
手机A里全都是学生家长的联系方式,通话记录,短信。
手机B里全都是车主的联系方式,通话记录,短信。
手机C里全都是网购过零食的买家的联系方式,通话记录,短信。
然后给手机ABC安装抖音,所有权限开放。然后开始不停的发布带二类电商的广告短视频。
手机A就发布网络教育类视频。
手机B就发布车辆配件,汽油类视频。
手机C就发布美食推广类视频。
抖音会自动拿到你的通讯录和相关信息,然后就会给里面的号码主人,推送相关的短视频,他们会刷到 “你在对方通讯录”、“你们有共同好友”的视频。
要知道这些被推送的号码主人可都是精准筛选过的用户,他们的需求是精准的,他们的转化率会非常高。更厉害的是,这些被精准筛选过人,他们的通讯录中同样潜在着大量的精准用户。
例如学生家长或者老师的通讯录里,必然还有大量的老师和学生家长;有车一族的通讯录里可能有大量车友会的人的号码。
只要他们给视频点了赞或者产生了购买,甚至只是完整地看完。那么他们通讯录里的人,也会收到这种推送,也会被诱惑购买产品。
然后再一层关系网,再一层关系网,循环下去。
最终,只需要一些号码和软件,就可以进行短视频平台的精准推广。
二类电商产品的毛利本身就高,虽然大部分都要交给平台,但利润依然非常可观。而平台本身也乐见其成,因为反正坐着收钱,而且还是大头。
至于被骚扰的用户,信息被泄露的用户的权利,谁在乎?没有人在乎,甚至这些人都不知道自己的信息是怎么泄露的。当你刷短视频刷到莫名其妙的好友推荐的广告时,一定要警惕,你的信息可能已经被拿来玩儿出花样了。
是不是和Facebook平台上发生的事情有异曲同工之妙?当然,任何主打社交推荐的平台均有上述风险,关键信息基础设施安全和数据安全的外部视角,我们不应该忽略。(完)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已经超过200人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点