全球保衛數據隱私之戰再升級 數據安全監管亟待完善

　　最近，數據洩露事件再次引起公眾關注。瑞典遭遇史上最嚴重的數據洩露事件，印度電信運營商Jio一億多用戶資訊“裸奔”。在英國新數據法案下，掌握大量數據和用戶資訊的谷歌、臉譜等公司已接到重罰警告。全球保衛數據隱私之戰進一步升級。

　　數據洩露無處不在 

　　近期發生多起數據洩露事件，涉及多個國家的各類數據，表明全球數據洩露風險並未受到充分重視。

　　上個月，瑞典遭遇史上最大規模數據洩露事件。瑞典首相勒文宣佈免去內政大臣安德斯·于耶曼和基礎設施大臣安娜·約翰松的職務，理由是二人對一起交通數據洩露事件處理不當。瑞典媒體援引勒文的話説，這簡直是場災難。

　　7月24日，瑞典政府承認，在網際網路工程服務外包中發生了大規模資料外泄。據瑞典電視臺報道，為簡化流程節省成本，瑞典交通管理局2015年將IT系統管理和維護工程進行外包，但外包過程中違規操作，將未經加密處理的交通資料庫上傳至外包公司位於他國的數據庫。

　　其中一家外包公司為IBM瑞典分公司，該公司伺服器實際放置在捷克，意味著受雇于該公司的捷克電腦工程師可以輕而易舉地接觸到敏感數據。另一外包公司是一家塞爾維亞的通訊公司，負責維護瑞典交通管理局網路防火牆和通訊系統，也擁有查看相關數據的許可權。

　　這些可能已遭洩露的資訊包括瑞典全國的機動車駕駛人資訊，橋梁、地鐵、道路和港口等敏感資訊，甚至還有瑞典警方和軍方的車輛資訊和防禦計劃等。

　　另有消息披露，瑞典交通管理局在上傳數據過程中也存在重大安全風險，比如，工作人員先將所有數據上傳到未受保護的雲端伺服器，然後再通過電子郵件將連結發給外包公司。

　　瑞典交通管理局前局長瑪麗亞·阿格倫已於今年1月被解職，並被處以7萬瑞典克朗(約合5.8萬元人民幣)的罰款，但政府並未在第一時間公開原因。瑞典交通管理局最近才承認，阿格倫在外包工程過程中，繞過了多項保護敏感資訊的法律法規和內部章程。

　　駭客入侵也使用戶資訊出現洩露。美國《財富》網站報道，美國特朗普國際酒店管理公司7月11日表示，由於一家服務提供商的系統遭到駭客入侵，旗下14 處酒店的客戶信用卡支付細節遭到外泄。

　　這家酒店網站上的一份通知顯示，駭客攻擊了酒店服務提供商——Sabre的中央預訂處理系統，從而造成部分連鎖酒店的客戶預訂資訊洩露，這些被洩露的資訊包括支付卡號以及卡安全密碼。此次攻擊，是今年 5月份所披露Sabre預訂系統遭到網路攻擊的一部分。全球範圍內，Sabre公司的預訂系統被近3.2萬家酒店使用。Sabre公司在6月5日告知特朗普酒店，拉斯維加斯、芝加哥等多個城市的特朗普連鎖酒店的客戶資訊遭到外泄。Sabre公司稱，泄密僅僅發生在酒店所使用的預訂服務系統Sabre Hospitality Solutions，酒店電腦系統本身並未受到影響。

　　值得一提的是，去年特朗普酒店就曾出現7萬多張信用卡號碼和300多個社安號碼外泄事件，因未立即通知客人，特朗普酒店被紐約州罰款5萬美元。作為達成和解協議的一部分，當時酒店表示同意支付罰金，也同意更新安全技術。顯然，系統再度受到攻擊意味著酒店未能很好完成其保護系統安全的承諾。

　　另據英國的科技新聞網站The Register報道稱，今年7月，data.gov.uk網站使用者的姓名、郵箱和密碼等資訊被發現能在第三方網站上接入獲取。2015年6月20日前註冊這家網站的用戶都受到了影響。英國政府數字服務機構表示，立刻將這些數據從公共區域移除並向相關機構進行了彙報。英國政府則建議，被洩露資訊的使用者需要重置密碼。

　　印度出現了類似的情況，但規模更大，危害更嚴重。7月初，有媒體報道説，印度電信運營商Jio超過1億用戶的資訊遭到洩露，用戶發現，在magicapk.com網站上輸入一個Jio網路下的手機號碼進行查詢，會出現包括這個號碼使用者的姓名、電子郵箱、號碼激活日期和入網地點、個人身份證號碼等多項個人資訊。這被視為印度電信行業史上最大規模數據外泄事件。隨後，這個涉嫌洩露資訊的網站已無法打開。

　　網路安全分析師斯裏尼瓦斯·科達伊説，這些用戶資訊早在今年6月就出現在一個網路論壇上，在“暗網”(網際網路上數量龐大的“隱身”網站)中，還出現了用戶資訊的截屏圖片。Jio隸屬印度信實工業公司，是印度行動通訊市場上的後起之秀。信實董事長穆凱什·安巴尼被《福布斯》雜誌評為印度最富有的人。

　　數據安全監管亟待完善 

　　數據洩露事件頻發，暴露出網際網路時代的治理漏洞，也暴露出網際網路時代中數據隱私的保護與監管、保護與共用等諸多矛盾，對各國相關法律法規的制定和實施提出了更高要求。

　　在瑞典交通管理局資訊洩露事件曝光後，儘管尚未有證據顯示這些資料落入不法分子之手，但已引發瑞典政壇震蕩，反對黨主席在新聞發佈會上嚴厲指責現政府在保護瑞典國家安全方面存在嚴重失責。反對黨聯盟計劃對國防大臣等官員發起不信任投票，要求他們下臺為泄密事件負責。

　　瑞典首相勒文承認，泄密事件是瑞典網路安全的一場失敗。他透露，瑞典政府正在擬定一項新的安全法案，對涉及國家安全的外包業務提出更加嚴格的規定。該法案將於2019年1月生效。

　　事實上，在歐盟，對於數據安全的保護條例在不斷完善之中。

　　2015年12月，歐盟通過了《一般數據保護條例》，以歐盟法規的形式確定了對個人數據的保護原則和監管方式，避免個人數據陷入“裸奔”的尷尬。對於困擾歐盟與美國之間的資訊自由流動問題，歐洲法院也做出了否決歐盟與美國《資訊安全港》協議的裁決。

　　“棱鏡門”事件後，美國掀起了個人資訊保護的高潮，除了《隱私保護法》，還陸續出臺了《兒童線上隱私保護法》、《電子郵件隱私法案》、寬頻用戶隱私保護新規等法律法規。此外，美國還和歐盟聯手打造《歐美隱私盾牌》協定，取代此前的《資訊安全港》協議，以保護跨國個人數據安全。

　　英國一些大機構今年以來遭到不同程度的駭客襲擊。例如英國國民保健制度服務系統5月遭勒索軟體病毒入侵後，多家醫院電腦癱瘓，不得不停止接收患者，救護車等醫療服務也受到影響，這使得不少專家呼籲政府加強數據保護。

　　英國本身也早就有數據保護法案。但多年前，英國曾有一個“時代”計劃，並和美國國家安全局在嫌疑目標的確定、對民眾通訊記錄的獲取等方面互通有無，如讀取通話記錄、電子郵件內容、社交網站的登錄方式等資訊。一些電信企業被迫選擇將“部分或全部”通信服務轉移到海外，企業及海外通信服務商不得不與英國當局私下達成協定，允許情報機構在“適當法律授權”下接觸到英國境外的通信數據。

　　隨著數據隱私及安全問題越來越突出，英國政府宣佈將修改相關法律條文，加強對個人數據隱私的保護。

　　英國的情況多少反映出監管和隱私保護逐步從不和諧走向完善。事實上，這種情況在其他國家也存在。

　　例如，為了防止有組織的恐怖主義行為，澳大利亞《強制保留通訊數據法案》于2015年3月生效。通過立法，澳大利亞政府要求其國內的通信運營商Telstra和Optus保存用戶的通信數據，例如電話記錄、IP地址、短信的詳細資訊、數據的地址等，保存期限是2年。

　　對此，澳大利亞人各持己見。大部分人對此表示支援，同意用納稅人的錢來分攤網路公司儲存數據需要的每年約為1.31億澳元的高昂成本。也有公民自由倡導者認為，這反而可能洩露個人隱私。這部新數據法在爭議中開始實施。

　　在印度，2013年，其政府啟動了覆蓋面廣闊的監控系統，這一系統允許政府竊聽錄音電話中的對話，閱讀私人電子郵件和短信，監控臉譜和推特等社交網路平臺上的發帖，並追蹤個人在谷歌上的搜索目標和痕跡。安全部門不需要法院的監控命令，也無須告訴運營商，就可以獲取通訊材料。直到目前，印度並沒有正式的隱私法。

　　德國擁有世界上最嚴格的隱私保護法。1977年，德國聯邦政府出臺了適用於整個德國的《聯邦數據保護法》，約束範圍包括電子通信、網際網路等領域，防止因個人資訊洩露導致的侵犯隱私行為。政府內部還設立了聯邦數據保護與資訊自由專員，來監督政府機構在保護個人數據方面的行為；德國各州也有數據保護專員，以類似的方式監督各州政府機構的行為。

　　即便如此，關於個人資訊保護也存在爭議。著名的“德國之翼”墜機事件發生後，這一爭議在德國始終沒有停止過。

　　商機與禁區並存 

　　保護數據隱私，越來越受重視，這對用戶而言無疑是個福音。對不同企業來説，數據隱私的保護工作，既意味著商機，也意味著可能受到更多限制。

　　數據隱私保護帶來了商機。英特爾公司最近在紐約舉行的“英特爾Xeon可擴展處理器發佈會”上宣佈，正與金融創新公司R3合作，加強其Corda區塊鏈平臺的數據隱私和安全性。

　　作為解決Corda數據隱私和安全的一部分，該平臺只向“需要知道”的人發送數據，這與大多數區塊鏈應用程式不同。這一特點源自金融機構的要求，需要確保貿易和協議的保密性。Corda解決了全球80多個成員識別的多個問題。對英特爾和R3來説，數據隱私保護的需求無疑催生了新商機。

　　新興企業也在涉足數據隱私保護行業。

　　英國金融科技初創企業Privitar最近宣佈，公司已獲得1600萬美元A輪融資，將用於擴大其技術平臺和拓展美國市場的業務。這家公司的聯合創始人兼首席執行官簡森·佈雷茨將其定性為“隱私工程”公司，表示其目標是在確保客戶隱私資訊得到嚴格保密的前提下，通過大數據分析預測客戶行為，將手中的數據增值變現。

　　與此同時，由於數據隱私問題，一些企業遭到警告或者被判違法。

　　英國媒體8月份報道稱，英國政府將推出一項新法律，旨在監督和強制社交媒體公司和線上交易商刪除民眾的個人資料，保護他們的權益。英國數字國務部長馬特·漢考克表示，這是這些公司們“被遺忘的權利”，從此以後，他們再也無法通過默認的線上“勾選框”無限制地利用民眾的個人資訊。

　　依據該法案，英國資訊專員辦公室有權對違反該項數據法的公司施以高達1700萬英鎊(約合人民幣1.49億元)的罰款，或者收繳該公司4%的全球營業額。但該法案的主要目的之一是取代數據保護法，確保英國的法律符合歐盟的《一般數據保護法》，以便在英國“脫歐”後，數據可以繼續自由流通。“個人數據”的定義範圍也將擴大，包括IP地址，網際網路Cookie和DNA，同時，也定義新的刑事犯罪行為，阻止部分公司故意或罔顧後果地識別匿名人士資訊。

　　儘管數據新法案還有待公佈更多細節，但外界認為，英國此舉無疑是向谷歌、臉譜等科技公司利用用戶數據推送廣告、銷售産品等行為發出了最強警告。臉譜時不時彈出的廣告資訊將會在英國地區頁面上消失，用戶有望從被迫標記不接受商業廣告郵件變換到如有需要在明確同意的前提下獲取這些資訊的模式。

　　今年7月初，英國最高隱私保護監管部門還裁定， DeepMind一項重要的醫學實驗違反了英國的數據保護法。

　　谷歌旗下的DeepMind與英國國家醫療服務系統NHS信託機構達成協定，允許訪問NHS旗下三家醫院約160萬病人的醫療記錄。然而，英國最高隱私保護監管部門表示，這項實驗並沒有告訴患者醫療記錄數據的使用方式。

　　該部門認為，在DeepMind展開實驗時，主要目的是想看看移動應用APP是否正常工作，以及醫務人員是否喜歡其界面，而不是嘗試改善治療效果。英國資訊專員伊麗莎白·登海姆表示：“患者並不希望他們的資訊以這種方式被使用。”之後，DeepMind和NHS根據要求籤署了改變數據處理方式的承諾。