还记得《唐人街探案2》里凶手是如何锁定受害者的吗?
我们在这部电影中除了看到小鲜肉刘昊然和老腊肉王宝强这对经典CP,还有凶手通过医疗数据记录的受害人的生辰八字,甚至五行属性等数据和信息,就轻而易举地对受害人实施了攻击。
(图片来源于网络)
大数据时代下,个人隐私和数据安全隐患正在牵动着大众敏感的神经。“数据金矿”的另一面意味着,企业更加有责任保护会员及用户数据安全。个人信息泄露风险的增加,以及公众恐慌情绪的发酵,使得企业一旦发生类似信息泄露事件,即可能受到毁灭性影响。
曾经有一句很经典的话:在互联网上,没人知道你是一条狗。
但现在的局面似乎不是这样了。
人们很容易就能知道你姓甚名谁,从基本的水电煤缴费、网络购物、外卖打车,到精准的个性化广告,互联网不仅承包了你当下的吃喝玩乐,甚至还可能影响你的未来。
毫无疑问,基于个人信息数据的利用极大地提高了我们工作、生活、娱乐等的便利性。但同时也意味着:与用户个人数据相关的任何一家企业都面临潜在的数据风险。
扎克伯格的煎熬
就在过去的几周里,因数据泄露丑闻,全球最大社交网站Facebook的首席执行官马克•扎克伯格在两次国会听证会上被“拷问”了10个小时。其数千万用户数据遭第三方数据公司违规滥用,这些数据被用于推送政治广告,影响美国大选、英国脱欧等重大政治事件。
因违背了用户协议,侵犯了用户隐私,Facebook正在承受一系列严峻后果:
- 公司遭到大众舆论的强烈批评和抵制!
- 推特上掀起“删除 Facebook”运动!
- 股票市值两天内缩水500亿美金!
- 接受来自美国 FTC、英国国会,未来或更多国家、组织机构的调查!
- 面临约市值4 倍的超两万亿天价罚金!
- 而这些可能还远没有结束......
“泄露门”源起
Facebook“泄露门”被称作是其成立以来面临的最大危机、目前最严重的数据泄露事件,可是它并非是一起突发的偶然事件,而是源自于企业内部数据管理的漏洞。
事件起因追溯至2014年,一位叫做Aleksandr Kogan的剑桥大学学者与剑桥分析(Cambridge Analytica)公司合作,开发了一款名为“this is your digital life”的性格测试应用,发布在Facebook上。
这一应用是通过有偿征集的方式,很快就有大约27万用户参加测试,录入了自己的姓名、兴趣爱好等信息。最关键的是,在问卷的最后,有一个小小的授权,授权应用不仅可以获得用户自己的信息,还包括用户好友的资料。
就是通过这个授权,应用实际上抓取了5000万用户的数据!剑桥分析公司通过对掌握的大量用户数据进行分析,进而选择最合适的政治广告进行精准投放,最终帮助特朗普赢得2016年美国大选。
特朗普本人可能都不信
总统当了这么久
当年大选的那点事还能被翻出来
在本次事件中,Facebook是合法收集用户个人信息,第三方应用“this is your digital life”也是通过Facebook平台的第三方应用规则,合法地从Facebook平台以“共享”的模式收集用户个人信息。
但是,“this is your digital life”并没有按照Facebook的平台规则合法地使用用户个人信息,而是擅自将用户个人数据提供给了剑桥分析公司。而剑桥分析公司,无疑是在未获得用户同意及关于转让授权的前提下,非法获取了这些数据。
显然,第三方应用“this is your digital life”及其背后的剑桥分析公司是这次事件的始作俑者,但Facebook对此也有不可推卸的责任。
Facebook的漏洞
从合规角度上看,Facebook其实一直在收紧关于用户隐私数据的政策,包括对第三方入驻平台的管理政策。但是因为流于形式或内部缺乏有力监管和追责机制,这些措施并没有真正起效。
Facebook要求第三方应用在抓取已授权用户社交关系上的好友公开信息时,同时必须得到被抓取好友的授权,但这一步骤从上述事件中来看可能并没有得到实施,或者存在漏洞。
此外,在第三方应用入驻时,Facebook已经通过签署协议的形式禁止第三方应用向其他平台提供其从Facebook平台合法获取的用户数据,并针对第三方应用部署了在出现大规模收集用户个人信息数据时的监控机制并对其目的进行追查。但后来Facebook发现向剑桥分析公司提供数据的第三方应用存在大规模收集用户个人信息数据的行为时,仅在得到一个“用于研究”的答复后,便没有再进行追查,就应用开发者是否真正删除数据也并没有进行监督和审计。
这些监管上的不足也在第一场听证会上得到验证。在听证会上,扎克伯格重申,Facebook正在针对大约1万个应用展开全面调查,并表示如果发现任何应用不正当地处理数据,将对其加以封锁。同时表示,需要在监管整个生态系统的问题上采取更加积极的立场。而未来总会有“一个版本”的Facebook服务将是免费的。换而言之,这意味着未来Facebook可能会推出收费版的服务。
Facebook教科书
在号称“史上最严”的欧盟《通用数据保护条例》(GDPR)即将生效之际,这样一起损失惨重的数据泄露事件,可以说是给全世界的企业敲响警钟:我们该怎么做,才能避免成为下一个Facebook?
Facebook也身体力行地向世界展示了它的应对办法,各大企业可以借此完善自己的数据保护措施,防微杜渐。
- 增加数千名内容审查人员;
- 对 Facebook 广告投放、内容发布规则的修改和完善;
- 对APP数据和定向广告的安全措施的完善;
- 对应用程序API进行一系列修改;
- 定向广告对广告商增加注意反歧视政策的提示;
- 发布了一份 8000 字的内容指南,对以往模糊的可发布内容范围作了较为明确的规定,禁止用户发布暴力相关、非医疗药物等交易信息。
Facebook多次重申,其首要任务是对“使用Facebook平台的个人、开发者和企业”的数据保护。
而在此前,为了挽回用户信任,Facebook设立了“举报数据滥用奖金”,鼓励用户举报App开发商滥用数据的行为,并在 9 家英美报纸上包下整版,以白底黑字的形式刊登扎克伯格的道歉信,还发布了一支名为“Facebook Here Together” 的视频广告。
你的数据安全吗?
Facebook“泄露门”只是冰山一角。近年来,国内外均发生多起严重的信息数据安全事件。
国外如Target 1.1亿顾客数据失窃;Linked In账户信息被售卖。
国内如京东内部员工涉嫌窃取50亿条用户数据;顺丰内部人员泄漏用户数据;支付宝年度账单默认允许收集用户信息并供第三方使用;携程、滴滴等互联网公司相继被爆出利用其掌握的大数据杀熟......
你的外卖信息正在被泄露!
甚至网上有人公开叫卖饿了么、美团等外卖平台的用户信息,涉及姓名、住址、电话等十分详尽的个人隐私,令人震惊!
(图片来源于网络)
个人信息数据一旦泄露,无论对数据源的提供者(比如消费者或拥有一手用户数据的企业),中间环节的数据获取、存储、管理、分析等服务提供者,还是各类数据使用者,都将造成威胁。
特别是对互联网企业而言,平台数据规模一般较大,一旦泄露往往使企业声誉受损,关乎生死存亡!需要重点防范!
网上能搜到的数据只占数据总量的20%,还有80%在企业手中。
——李彦宏 · 百度CEO
对信息数据安全和个人隐私的保护,除了政府监管,还有赖于行业的自律,包括建立及完善平台的监管制度和技术,企业内部有持续有力的自我监督和追责机制等。
相比欧美互联网公司的数据监管,中国互联网公司相对具有较大的空间,但是随着相关法律法规的出台和完善,对企业的要求及标准也将提高。
《中国网络安全法》对个人信息保护有着明确规定:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。此外,对于向他人出售或者提供公民个人信息情节严重的,将对相关责任人处有期徒刑,并处罚金。
《个人信息安全规范》今年5月1日起开始实施,“个人信息”及“敏感信息”的法律定义和范畴都得到了更加明确的界定,而对于一直处于监管灰色地带的“数据画像”的合法授权及要求、敏感信息数据的用户授权及许可等也有了具体规范。
细分行业规范操作及条例也相继出台,最新发布的《快递暂行条例》规定,泄露用户信息最高可罚10万元。
企业数据泄露风险成因复杂,既有外部攻击,也有内部泄露;既有技术漏洞,也有管理缺陷;既有新技术新模式触发的新风险,也有传统安全问题的忽视。
在大数据时代的今天,民众对个人信息和隐私的保护意识提升,企业应首先确保自身合法合规,避免像Facebook一样造成重大的经济损失及无法估量的声誉影响。
这次Facebook“泄露门”事件理应是各类企业的前车之鉴,企业应当积极从中总结经验教训,在GDPR到来之前,在国内相关政策法规不断完善前,搭建起自己的数据安全屏障。
Webpower权益申明
Webpower中国区版权所有,转载请注明出处
更多营销资讯,欢迎关注微信公众号Webpower威勃庞尔(微信号:webpowerasia)
