沒有任何松懈的余地　再談信息安全話題

因?yàn)椤叭涡缘牡蔚巍保瑐€(gè)人信息安全乃至擴(kuò)展到整個(gè)互聯(lián)網(wǎng)行業(yè)信息安全的話題再一次被擺到了臺(tái)面——雖然“滴滴”的問題并不僅僅局限于對(duì)網(wǎng)絡(luò)信息安全的保護(hù)不足。趁著這個(gè)輿情熱點(diǎn)，我們也來再次談?wù)剰V義的網(wǎng)絡(luò)信息安全的話題。實(shí)際上，最近一段時(shí)間，多家互聯(lián)網(wǎng)公司因涉嫌泄露用戶個(gè)人隱私，接連接受網(wǎng)絡(luò)安全審核，一時(shí)間成為輿論關(guān)注焦點(diǎn)。先是國家網(wǎng)信辦一日之內(nèi)發(fā)布對(duì)“運(yùn)滿滿”“貨車幫”“BOSS直聘”實(shí)施網(wǎng)絡(luò)安全審查，隨后又對(duì)“滴滴出行”重拳出擊。審查期間，上述這些企業(yè)停止新用戶注冊(cè)，其中一家企業(yè)APP還被要求下架整改。眾所知周，許多互聯(lián)網(wǎng)企業(yè)都掌握大量用戶隱私數(shù)據(jù)，并且業(yè)務(wù)與關(guān)鍵信息基礎(chǔ)設(shè)施有關(guān)。在這個(gè)海量數(shù)據(jù)匯集的互聯(lián)網(wǎng)時(shí)代，我們的個(gè)人信息都是透明化的，如何加強(qiáng)個(gè)人信息保護(hù)已成為當(dāng)前亟待解決的問題。

有關(guān)數(shù)據(jù)顯示，近十年來超過600起以上上市公司曾發(fā)生過的網(wǎng)絡(luò)或信息安全事件，每起事件的平均損失都超過一億美元。尤其在近些年，就算不提“滴滴”的事，國內(nèi)信息防范安全事件也年均造成損失超百億，且仍有持續(xù)增長趨勢。所以，今天我們聊的話題并非是“滴滴”，而是老生常談的“互聯(lián)網(wǎng)信息安全”，從廣義的角度來聊。

全方位的信息安全挑戰(zhàn)

從2005年到2020年，中國數(shù)字經(jīng)濟(jì)總體規(guī)模由2.6萬億元增加至39.2萬億元，數(shù)字經(jīng)濟(jì)在GDP的占比也由14.2%提升至38.6%。隨著數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，數(shù)據(jù)已經(jīng)成為當(dāng)之無愧的關(guān)鍵生產(chǎn)要素，是基礎(chǔ)性資源和戰(zhàn)略性資源。隨著社會(huì)各行各業(yè)產(chǎn)生越來越多高價(jià)值數(shù)據(jù)，業(yè)務(wù)一刻也不能等、不能停、關(guān)鍵數(shù)據(jù)一點(diǎn)都不能丟。若不重視為數(shù)據(jù)筑起一道安全防線，那么關(guān)鍵數(shù)據(jù)的丟失可能會(huì)給企業(yè)致命一擊，而個(gè)人的信息數(shù)據(jù)與AI化的數(shù)據(jù)分析相結(jié)合，所得出的分析結(jié)論甚至?xí)仙轿：野踩膶用妗?dāng)然，這取決于數(shù)據(jù)的掌握權(quán)在誰的手里。

2021年5月和6月，國家網(wǎng)信辦接連兩次點(diǎn)名違法違規(guī)收集使用個(gè)人信息的 APP，曾對(duì)獵豹清理大師、Keep、今日頭條、虎牙直播、Nike 等213款A(yù)PP進(jìn)行了通報(bào)，并要求相關(guān)APP運(yùn)營者在15個(gè)工作日內(nèi)完成整改。另據(jù)工信部方面的數(shù)據(jù)顯示，今年以來已累計(jì)完成29萬款A(yù)PP技術(shù)檢測，對(duì)1862款違規(guī)APP提出整改要求，公開通報(bào)319款整改不到位APP，組織下架了107款拒不整改的APP。據(jù)《2020年度數(shù)據(jù)泄漏態(tài)勢分析報(bào)告》顯示，2020年度個(gè)人信息泄漏占據(jù)全年數(shù)據(jù)泄漏事件的60%。今年“315”晚會(huì)曝光了九大行業(yè)亂象，其中個(gè)人信息安全問題曝光率高居榜首。

數(shù)字化時(shí)代對(duì)個(gè)人信息保護(hù)意識(shí)和能力提出了更高的要求，因?yàn)殡[私是人類文明的底線，需要集體守護(hù)。今年以來，工信部、國家網(wǎng)信辦等部門對(duì)違規(guī)收集、使用個(gè)人信息的APP進(jìn)行點(diǎn)名并要求整改。

回想起今年3月份的時(shí)候，在國務(wù)院發(fā)展研究中心主辦的中國發(fā)展高層論壇上，美國電動(dòng)汽車巨頭特斯拉公司CEO馬斯克通過視頻連線表示，特斯拉公司不會(huì)收集敏感或私人數(shù)據(jù)，他保證中國客戶的數(shù)據(jù)會(huì)得到充分保護(hù)。這段表述迅速引發(fā)輿論關(guān)注，特斯拉遭到的質(zhì)疑其實(shí)也是所有大數(shù)據(jù)、人工智能技術(shù)發(fā)展中共性的安全困境。近年來，各種App肆無忌憚收集個(gè)人信息成為眾矢之的，面對(duì)新技術(shù)的快速發(fā)展，迫切需要政府加快相關(guān)立法進(jìn)程，最大限度保護(hù)個(gè)人信息安全。類似電動(dòng)汽車高精度定位的傳感器收集信息，可以展開大數(shù)據(jù)分析的情況并不少見。隨著互聯(lián)網(wǎng)App應(yīng)用的普及和人們對(duì)互聯(lián)網(wǎng)的依賴，互聯(lián)網(wǎng)的安全問題確實(shí)日益凸顯。

同時(shí)，惡意程序、各類釣魚和欺詐信息繼續(xù)保持高增長，同時(shí)黑客攻擊和大規(guī)模的個(gè)人信息泄露事件頻發(fā)，與各種網(wǎng)絡(luò)攻擊大幅增長相伴的是大量網(wǎng)民個(gè)人信息的泄露與財(cái)產(chǎn)損失的不斷增加。面對(duì)這種局面，相關(guān)主管部門多年來從未放松監(jiān)管，App專項(xiàng)治理步伐不斷加快。中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局等部門持續(xù)開展了相關(guān)工作，包括制定相關(guān)國家標(biāo)準(zhǔn)規(guī)范，指導(dǎo)督促企業(yè)平臺(tái)落實(shí)個(gè)人信息保護(hù)義務(wù)，開展App違法違規(guī)收集使用個(gè)人信息的專項(xiàng)治理。目前，《個(gè)人信息保護(hù)法》草案已提請(qǐng)全國人大常委會(huì)審議，這一法律的頒布和實(shí)施，將對(duì)個(gè)人信息安全保護(hù)發(fā)揮重要的作用。

立法是安全意識(shí)的根本保障和信心早在2016年11月，我國就頒布了《中華人民共和國網(wǎng)絡(luò)安全法》，個(gè)人隱私信息的保護(hù)是國家網(wǎng)信辦等部門的關(guān)注重點(diǎn)。

特別是近兩年，新一代信息技術(shù)的發(fā)展與廣泛應(yīng)用，個(gè)人信息安全亟待立法保護(hù)，其中，2020年頒布的《民法典》確立的現(xiàn)代人格權(quán)，為隱私和個(gè)人信息保護(hù)提供了法理基礎(chǔ)，隨后《個(gè)人信息保護(hù)法（草案）》提請(qǐng)審議、《網(wǎng)絡(luò)安全審查辦法》實(shí)施;2021年，國家四部門聯(lián)合印發(fā)《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定》公開征求意見、《中華人民共和國數(shù)據(jù)安全法》頒布等。這一系列相關(guān)法律的出臺(tái)，表明我國已經(jīng)形成一個(gè)比較完善的法律體系，全面開啟“依法治數(shù)”的新時(shí)代。

同樣是這幾年，全國政協(xié)圍繞個(gè)人信息安全和隱私保護(hù)開展了大量工作。很多政協(xié)委員提交了相關(guān)的提案，去年全國政協(xié)還專門召開了“加強(qiáng)大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)”網(wǎng)絡(luò)議政遠(yuǎn)程協(xié)商會(huì)以及“人工智能發(fā)展中的科技倫理和法律問題”雙周協(xié)商座談會(huì)。委員們認(rèn)為，要加大整治工作的力度，嚴(yán)格落實(shí)好各項(xiàng)文件規(guī)范，要加快完善法律制度，進(jìn)一步加強(qiáng)監(jiān)管和執(zhí)法，對(duì)侵犯個(gè)人隱私與個(gè)人信息安全的行為要進(jìn)行嚴(yán)厲打擊和懲處。采取系列措施加快構(gòu)建個(gè)人信息安全的“防火墻”，讓個(gè)人信息安全、讓社會(huì)公眾滿意。

換句話說，雖然我國憲法、民法、刑法均對(duì)泄露公民個(gè)人隱私問題明令禁止，但是個(gè)人信息獲取的技術(shù)革新速度更快，這給相關(guān)立法工作確實(shí)帶來更加嚴(yán)峻的挑戰(zhàn)。這意味著，立法保護(hù)的工作時(shí)刻不能放松。有必要的情況下，可以從國家層面建立專門性的個(gè)人信息保護(hù)系統(tǒng)，自上而下形成一條從中央到地方的個(gè)人信息保護(hù)網(wǎng)絡(luò)。

我們每個(gè)人都應(yīng)該意識(shí)到，要保障信息安全，首先在技術(shù)方面要做強(qiáng)，我們可以通過加解密技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)等科技手段進(jìn)行防護(hù)。另外在安全管理方面，針對(duì)廣大群眾，開展信息安全教育，提高安全意識(shí)就顯得尤為重要。針對(duì)國家信息安全，我們應(yīng)當(dāng)建立完善的組織管理體系，做到在信息的傳遞過程中不會(huì)對(duì)信息進(jìn)行泄露與非法利用。

當(dāng)然，保證個(gè)人信息安全是一個(gè)需要長期堅(jiān)持的重要任務(wù)，需要根據(jù)各方面技術(shù)的發(fā)展以及個(gè)體和社會(huì)數(shù)據(jù)安全的狀態(tài)，及時(shí)做出有針對(duì)性的調(diào)整。因此，各相關(guān)方要有足夠清醒的認(rèn)識(shí)。同時(shí)需要明確的是，堅(jiān)持這個(gè)長期工作的根本目的，是持續(xù)促進(jìn)經(jīng)濟(jì)、社會(huì)的健康發(fā)展和國家安全基石的穩(wěn)固。在這個(gè)過程中，諸多相關(guān)產(chǎn)業(yè)的發(fā)展、壯大，才能得到基礎(chǔ)性保障。

技術(shù)層面的進(jìn)化從未停滯

毋庸置疑，數(shù)字化、信息化浪潮為各大產(chǎn)業(yè)及領(lǐng)域，帶來了效率的革新，也激活了產(chǎn)能蟄伏在未來的潛力。但與此同時(shí)，傳統(tǒng)信安體系的防御力量卻已捉襟見肘，無法跟隨新時(shí)代前行的腳步，“難守”已成為迫在眉睫的嚴(yán)峻考驗(yàn)。這歸結(jié)于數(shù)字化轉(zhuǎn)型和云計(jì)算推動(dòng)的業(yè)務(wù)生態(tài)無形中擴(kuò)大可攻擊面，以傳統(tǒng)安全技術(shù)（防火墻和VPN）構(gòu)建的企業(yè)邊界，無法阻擋不斷向企業(yè)內(nèi)部滲透的威脅，且很容易在云業(yè)務(wù)場景下瓦解。亦如在去年疫情初期，發(fā)生的較為典型的事例就是遠(yuǎn)程辦公、線上會(huì)議等形式成為被普遍接受的協(xié)作與溝通方式，但國內(nèi)外多家平臺(tái)被爆出用戶私密信息泄露等重大安全漏洞事件，猶如不定時(shí)炸彈，正在逐步腐蝕、瓦解大眾對(duì)傳統(tǒng)信安系統(tǒng)的信任。漏洞頻繁顯現(xiàn)、外部黑客覬覦、內(nèi)部不軌者難防……如今世界正進(jìn)入一個(gè)泛數(shù)據(jù)時(shí)代，隱私、秘密、安全等變得越來越奢侈，“泄露”“破解”“竊取”等詞匯更是讓業(yè)界聞之色變——如何在高效率通訊、確保價(jià)值持續(xù)產(chǎn)出的基礎(chǔ)上，讓信安的堡壘堅(jiān)如磐石，任重而道遠(yuǎn)。

我們還應(yīng)該看到，軟件是存儲(chǔ)系統(tǒng)的重要組成部分，由于我國基礎(chǔ)軟件研發(fā)起步晚，技術(shù)積累不足，眾多廠家不得不在其軟件開發(fā)中廣泛使用開源技術(shù)，比較出名的開源軟件有Ceph、Lustre等。開源軟件的應(yīng)用在一定程度上降低了開發(fā)門檻，帶來了商業(yè)便利，但是也需要清醒地認(rèn)識(shí)到，開源軟件不一定意味著永遠(yuǎn)可獲得，并且由于缺乏明確的安全責(zé)任主體，以及開源漏洞數(shù)量每年持續(xù)增長，開源軟件存在較大安全隱患，因此對(duì)于核心業(yè)務(wù)存儲(chǔ)，要謹(jǐn)慎使用開源軟件。

同時(shí)，5G、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新技術(shù)，持續(xù)推動(dòng)了數(shù)據(jù)的爆炸式增長，面對(duì)海量數(shù)據(jù)，許多企業(yè)面臨著數(shù)據(jù)存不下的問題。業(yè)內(nèi)普遍共識(shí)是，傳統(tǒng)的大數(shù)據(jù)存算一體建設(shè)模式，計(jì)算與存儲(chǔ)緊耦合，由于無法獨(dú)立擴(kuò)展，資源利用率低、建設(shè)成本高，大數(shù)據(jù)計(jì)算、存儲(chǔ)分離已勢在必行。

舊安全觀的存續(xù)，無疑讓信安事業(yè)的更迭力不從心、舉步維艱，而新一代網(wǎng)絡(luò)及信息安全防護(hù)理念的“零信任”將深入人心。量子通訊、密碼安全等概念的蓬勃興起，將逐步粉碎當(dāng)下技術(shù)壁壘，成為未來互聯(lián)網(wǎng)信息安全的中堅(jiān)力量。也可以說，數(shù)字化時(shí)代如果沒有網(wǎng)絡(luò)安全，價(jià)值將毫無意義，看似高聳入云的經(jīng)濟(jì)個(gè)體，也可在頃刻間土崩瓦解。不僅是現(xiàn)在，在未來數(shù)字化浪潮中，安全體系建設(shè)的重要性同樣不言而喻。

后記

總之，隨著智能時(shí)代的加速到來，用戶安全隱私問題將依然嚴(yán)峻，如何有效規(guī)范相關(guān)機(jī)構(gòu)、規(guī)范互聯(lián)網(wǎng)企業(yè)等依法依規(guī)采集、儲(chǔ)存和使用個(gè)人信息，有效保護(hù)個(gè)人信息安全十分重要，加快構(gòu)建個(gè)人信息安全的“防火墻”，從技術(shù)、法規(guī)、個(gè)人意識(shí)方面都缺一不可。畢竟，“十四五”規(guī)劃綱要已經(jīng)明確在加快數(shù)字發(fā)展的同時(shí)，特別要加強(qiáng)個(gè)人信息保護(hù)。除加強(qiáng)立法、加大打擊力度外，守護(hù)個(gè)人信息安全，還需關(guān)口前移，落實(shí)監(jiān)管、企業(yè)、網(wǎng)絡(luò)主體等信息采集方的主體責(zé)任，尤其需要強(qiáng)化內(nèi)部監(jiān)管和自律，形成協(xié)調(diào)保障之局面。