数据安全的危与机：2020年85%的数据泄露涉及人的因素

　　数据安全的危与机

　　2020年85%的数据泄露涉及人的因素；未来五年安全产业年复合增长15%

　　日前，某知名汽车企业发生了一起影响 330万客户的数据泄露事件。大部分受影响的客户都是该汽车企业当前或潜在买家。泄露的数据主要包括姓名、邮寄地址、电子邮件、电话号码以及有关“购买、租赁或询问的车辆”的信息，如车辆号码、品牌、型号、年份以及颜色。

　　据媒体公开报道显示，这次泄露的数据库是该企业 2014年~2019年期间的销售和营销数据。这些数据在2019年8月~2021年5月内被“在线公开”。随后，该汽车企业收到通知，这些数据被“未经授权的第三方”访问了。  

　　据媒体报道，梅赛德斯-奔驰美国公司6月24日表示，近1000名客户和潜在买家的敏感个人信息在一个云存储平台上被无意间获取。此次的数据包括2014年1月~2017年6月期间客户和潜在买家在经销商和公司网站上输入的自报信用分数、驾驶执照和社会保险号码以及信用卡信息。

　　中国网络空间安全协会副理事长、上海交通大学网络空间安全学院教授李建华告诉新京智库，纵观过去多年，全球(包括国内)频发的数据安全泄露事件，其实跟“黑产”、“灰产”都有关。估计70%~80%是发生在内部，要么是管理出现了问题，要么是技术上有问题，也可能是受利益驱使。

　　国际咨询机构IDC预测，2025年全球数据量将高达175ZB(1ZB相当于10亿TB)。其中，中国数据量增速最为迅猛，预计2025年将增至48.6ZB，占全球数据圈(即被创建、采集或是复制的数据集合)的27.8%，平均每年的增长速度比全球快3%。中国将成为全球最大的数据圈。

　　罗兰贝格(上海)信息技术与高科技行业负责人李冰对新京智库表示，数据是数字经济时代的核心资产，是新的“石油”，无论是个人隐私数据还是非个人数据均具有社会与经济价值。从频发的数据泄露事件来看，不法分子对数据的经济价值已经有了充分的认识，无论在国家或企业层面都需加强数据安全建设。

　　6月10日，我国《数据安全法》正式发布，并将于9月1日起实施。参与立法工作的中国人民大学法学院副教授、博导，未来法治研究院副院长丁晓东对新京智库表示，《数据安全法》出台最重要的一个意义是，为数字经济以及数据产业的发展提供安全制度保障。

　　无处不在的隐私信息收集App

　　工业和信息化部网络安全产业发展中心副主任李新社告诉新京智库，随着数据搜集方法的不断发展，数据泄露的方式、途径也越来越不可预测，而且越来越多样。

　　对此，南开大学前校长、新一代人工智能发展战略研究院执行院长龚克深有体会。龚克向新京智库介绍，前不久他就遇到过这样的事。

　　龚克在某城高铁站上车前，逛了家红酒商店，觉得酒店卖的红酒不错，但又不想自己拎着坐高铁。他便咨询了售货员有没有网上购买的渠道。售货员告诉他可以扫码上网。上网后，要求使用摄像头功能，还要使用通讯录，龚克感到无法接受。“我买你的红酒，你管我跟谁通信。这就没有道理，非必要了”，龚克回忆说。拒绝使用通讯录后，龚克发现，这个网上购物平台就不让他继续购买红酒了。

　　龚克还经历了另外一件事，也同样让他无法接受擅自搜集个人隐私信息的行为。他在某电商平台买了件商品，让他做评价。因为龚克对购买的商品挺满意的，不过做评价希望上传产品照片，他也准备上传一张照片，但该平台还要使用手机的音频。

　　“使用音频是什么意思？就是用我的麦克风。你知道有很多人可能有这种体会，当你在谈论怀孕、生孩子时，马上就收到什么孕妇产品的广告。这就是它(App)使用你的麦克风在听，而且很可能是你曾经不自觉地授权过了。”龚克拒绝了该平台App使用手机的麦克风功能，结果照片也就无法上传。

　　“提供服务往往需要采集某些必要的数据以及使用某些必要的功能，关键在于‘必要’”，龚克认为，对于这类问题，一方面需要对于数据采集的必要性以及相关的时间、范围等等有所规制；另一方面，希望市场上能有各种软件产品和服务来查找和封堵非必要的采集数据、超越时间地点等必要使用范围的存储、传输数据的毛病，就像当年的防病毒、查病毒软件的一样。在人工智能算法时代，也要有一批这样的应用软件诞生。

　　龚克建议，国家需要开发出一些技术来保护个人、组织的数据安全。希望这些技术能够变成产品，而且这些产品要给用户使用，不只是给服务提供商使用，要让用户通过这些产品来检验市场上的各种软件是否正在侵犯个人隐私、窃取机构信息。“就像测电笔，既可以给专业人员用，也可以让用户使用，一检测就知道电器产品是不是漏电，而不是厂家说产品合格就是合格。当然，还需要第三方来检测数字化产品在数据采集、存储、传输、清楚等方面的合规性。”