解讀周鴻祎的用戶(hù)信息安全三原則:奇點(diǎn)走向的關(guān)鍵是安全
[核心提示] 我們已經(jīng)來(lái)到了信息時(shí)代的一個(gè)奇點(diǎn)階段,下一步走向的關(guān)鍵在哪里?我們應(yīng)當(dāng)遵循怎樣的原則讓其走向正確的方向?
“在未來(lái)兩三年里,這個(gè)情況會(huì)變得特別嚴(yán)重……一旦再出重大安全事故,那甚至將導(dǎo)致一定程度的社會(huì)混亂。如果沒(méi)有足夠強(qiáng)大的安全保障,云計(jì)算和大數(shù)據(jù)向未來(lái)發(fā)展,必將付出慘重的代價(jià)?!? 月 21 日,周鴻祎在極客公園奇點(diǎn)大會(huì)上表示。
如今網(wǎng)絡(luò)安全的形態(tài)已經(jīng)發(fā)生了巨大變化。過(guò)去,網(wǎng)絡(luò)安全影響的,只有你的電腦;而在現(xiàn)在,網(wǎng)絡(luò)安全所影響的,是你的電腦、你的手機(jī)、你的谷歌眼鏡、你的智能手表,你的家電、你家的智能安防系統(tǒng)、你的汽車(chē),甚至更多更多……
過(guò)去,黑客最多知道,你硬盤(pán)里存了多少小電影,而現(xiàn)在,他們可以知道你的手機(jī)號(hào)、你的銀行卡號(hào)、你的通訊錄,知道你在哪里,在做什么,喜歡做什么……
用周鴻祎的話(huà)來(lái)說(shuō),中國(guó)已經(jīng)有 10 億互聯(lián)網(wǎng)用戶(hù),而未來(lái)聯(lián)網(wǎng)的智能設(shè)備可能是 100 億臺(tái),1000 億臺(tái)甚至更多,它們產(chǎn)生的數(shù)據(jù)會(huì)讓所有的人越來(lái)越透明。
而現(xiàn)在,一個(gè)混亂的情況是,所有人都在采集數(shù)據(jù),所有人都在保存數(shù)據(jù),所有人都在使用數(shù)據(jù),這導(dǎo)致了大量的混亂與危機(jī)潛伏。
這就是雷·庫(kù)茲韋爾所預(yù)言的“奇點(diǎn)臨近”:當(dāng)人類(lèi)文明經(jīng)過(guò)這么多年發(fā)展,在本世紀(jì)的中葉會(huì)經(jīng)過(guò)奇點(diǎn)。奇點(diǎn)是一個(gè)拐點(diǎn),人類(lèi)文明可能會(huì)進(jìn)入一個(gè)分岔,可能會(huì)進(jìn)入一個(gè)新的文明高度,也可能會(huì)急轉(zhuǎn)直下,人類(lèi)就此滅亡。
決定這個(gè)方向的關(guān)鍵,正是安全,而安全的核心,則是信息的安全。
周鴻祎的定義未必絕對(duì)準(zhǔn)確,也未必絕對(duì)全面,但至少,走在正確的方向上。
下面,讓我們?cè)倩乜匆幌拢茗櫟t的發(fā)言原文:
我們所有的互聯(lián)網(wǎng)從業(yè)者都要考慮一下,如何在憧憬大數(shù)據(jù)產(chǎn)生商業(yè)效益的時(shí)候,也考慮一下如何更好的保護(hù)用戶(hù)信息這個(gè)問(wèn)題。當(dāng)年阿西莫夫在很多科幻小中提出了著名的機(jī)器人三原則,就是為了防范機(jī)器人取代人類(lèi)等安全問(wèn)題。
那么現(xiàn)在,我認(rèn)為也需要在大數(shù)據(jù)來(lái)臨的時(shí)候,大家一起拋棄門(mén)戶(hù)之間,攜手共同制定一個(gè)用戶(hù)信息安全三原則,來(lái)自我約束,自我監(jiān)督。
第一,用戶(hù)的信息是用戶(hù)的個(gè)人資產(chǎn)。很多互聯(lián)網(wǎng)大公司可能比較抵制我這個(gè)觀點(diǎn),因?yàn)榛ヂ?lián)網(wǎng)大公司在用戶(hù)協(xié)議里說(shuō):因?yàn)橛脩?hù)號(hào)碼是我給的,所以用戶(hù)是我的,用戶(hù)的好友列表也是我的,用戶(hù)產(chǎn)生的內(nèi)容也是我的。但是,它又發(fā)表一個(gè)免責(zé)聲明,說(shuō)用戶(hù)產(chǎn)生的任何法律問(wèn)題,都與自己無(wú)關(guān)。先不說(shuō)這種自相矛盾的邏輯,我的觀點(diǎn)是,用戶(hù)使用廠商的服務(wù)產(chǎn)生的信息,是屬于用戶(hù)自己的個(gè)人資產(chǎn)。用戶(hù)使用各種設(shè)備、各種軟件產(chǎn)生的數(shù)據(jù),雖然存儲(chǔ)在廠商的服務(wù)器上,但是從所有權(quán)方面講,它應(yīng)該明確地屬于用戶(hù),是用戶(hù)的財(cái)產(chǎn)。
解讀:從該原則出發(fā)的話(huà),可以假設(shè)這樣一個(gè)場(chǎng)景。一旦用戶(hù)將自己在某個(gè)網(wǎng)站上的帳戶(hù)注銷(xiāo),那么此網(wǎng)站就有義務(wù)將該用戶(hù)的所有相關(guān)信息清除掉,因?yàn)橛脩?hù)擁有對(duì)自己財(cái)產(chǎn)的完全處理權(quán)。如果在此之后此網(wǎng)站仍在向用戶(hù)發(fā)送信息或郵件,或是因網(wǎng)站被黑客攻擊導(dǎo)致此前已注銷(xiāo)帳戶(hù)的用戶(hù)的信息泄露,就可以判定其并未履行清除用戶(hù)資料的責(zé)任。說(shuō)的再?lài)?yán)重些,這是對(duì)用戶(hù)財(cái)產(chǎn)權(quán)的非法占有。
所以這項(xiàng)原則不僅限于商業(yè)和技術(shù)范疇,更會(huì)上升到法理層面。如果用戶(hù)存儲(chǔ)在廠商服務(wù)器上的數(shù)據(jù)被法律確認(rèn)為合法個(gè)人資產(chǎn)的話(huà),那么像“用戶(hù)死亡后 QQ 號(hào)怎么處理”之類(lèi)的問(wèn)題就有了能夠參照的文本。
二是平等交換的原則。在大數(shù)據(jù)時(shí)代,通過(guò)云端的數(shù)據(jù)交換,廠商為用戶(hù)提供服務(wù)。只要用戶(hù)使用了廠商的服務(wù),就會(huì)有相關(guān)的數(shù)據(jù)產(chǎn)生。你用微信的時(shí)候,為了匹配朋友,你的地址本自然要上傳。為了與朋友聊天,你的聊天記錄自然會(huì)保存在廠商的服務(wù)器上。但是,用戶(hù)的信息和廠商之間,應(yīng)該遵循平等交換的原則。什么叫平等交換?用戶(hù)享受服務(wù),廠商獲取信息,但在這個(gè)過(guò)程中,用戶(hù)要有知情權(quán),廠商要得到用戶(hù)授權(quán)才能使用用戶(hù)信息,也就是說(shuō),用戶(hù)要有選擇權(quán),有拒絕權(quán)。
舉個(gè)例子,如果是一個(gè)類(lèi)似大眾點(diǎn)評(píng)這樣的應(yīng)用,因?yàn)橐鶕?jù)用戶(hù)的地點(diǎn)給他找飯館,自然它需要用戶(hù)的位置信息,我認(rèn)為這是合理的。這就是平等交換。但如果是一個(gè)小說(shuō)閱讀軟件,也要獲取用戶(hù)的位置信息,我認(rèn)為這個(gè)服務(wù)就不再是一個(gè)平等的交換,實(shí)際上它要了不該要的東西。平等交換原則也符合《消費(fèi)者權(quán)益保護(hù)法》的基本原則,就是消費(fèi)者要有知情權(quán)、選擇權(quán)。
解讀:其實(shí)該原則已經(jīng)在 iOS 和 Windows 的 UAC 中得以體現(xiàn),系統(tǒng)會(huì)對(duì)軟件所申請(qǐng)的權(quán)限進(jìn)行必要性和安全性判斷,然后讓用戶(hù)來(lái)選擇是否賦權(quán)。但是在 Android 這樣的系統(tǒng)里,動(dòng)輒十幾條用戶(hù)很難看懂的權(quán)限描述,所以像 360 手機(jī)衛(wèi)士、LBE 之類(lèi)的手機(jī)安全軟件都將權(quán)限管理作為重點(diǎn)功能。
一旦該原則成立,可以說(shuō)現(xiàn)有的很多移動(dòng)互聯(lián)網(wǎng)服務(wù)的合法性都將受到拷問(wèn)。就像周鴻祎所舉的例子,某些應(yīng)用獲取看似不相關(guān)的權(quán)限,如位置信息,其實(shí)是為了推送其它增值服務(wù)。如果按照平等交換原則進(jìn)行檢查的話(huà),很多現(xiàn)有服務(wù)將面臨極大的「用戶(hù)同意」成本(比如小說(shuō)軟件需要獲取位置,有的用戶(hù)同意有的不同意,那么該軟件到底該怎么設(shè)定權(quán)限;同時(shí)也不能指望所有用戶(hù)都對(duì)這些權(quán)限背后的含義有所了解)。
這里也可以看出 360 未來(lái)在安全領(lǐng)域可能會(huì)進(jìn)行的戰(zhàn)略舉措:正因?yàn)椤赣脩?hù)同意」成本高居不下,360 將代替用戶(hù)履行監(jiān)控職能。360 體系下的安全產(chǎn)品會(huì)對(duì)市場(chǎng)上的各類(lèi)軟件應(yīng)用進(jìn)行檢測(cè),這些軟件不得不主動(dòng)向 360 提交自己的權(quán)限需求以免于被查殺。
(當(dāng)然很多人肯定也會(huì)說(shuō),別的軟件都跟用戶(hù)平等交換了,360 自己會(huì)嗎?)
三是安全處理原則。有的人認(rèn)為安全就是互聯(lián)網(wǎng)安全公司干的事,就是殺毒軟件的事,我覺(jué)得這個(gè)觀點(diǎn)是錯(cuò)的。任何一家互聯(lián)網(wǎng)公司,包括現(xiàn)在做可穿戴硬件的公司,都會(huì)變成一個(gè)互聯(lián)網(wǎng)服務(wù)公司,用戶(hù)會(huì)使用這些硬件產(chǎn)生大量的數(shù)據(jù)。所以,任何一家互聯(lián)網(wǎng)公司都有責(zé)任保護(hù)用戶(hù)信息的安全,要在云端對(duì)用戶(hù)數(shù)據(jù)進(jìn)行足夠強(qiáng)度的加密,包括安全存儲(chǔ)和安全傳輸。
只有用戶(hù)覺(jué)得自己的信息是安全的,用戶(hù)放心,他們才會(huì)更大膽地去嘗試各種新的互聯(lián)網(wǎng)服務(wù)。如果像大家每天在網(wǎng)上看到的,都是你說(shuō)我的支付不安全,我說(shuō)你的紅包有危險(xiǎn)。最后的結(jié)果是什么?很多人會(huì)說(shuō),反正在網(wǎng)上用手機(jī)支付不安全,那我就不用了。如果是這樣,互聯(lián)網(wǎng)想繁榮,我覺(jué)得是不可能的。
解讀:正如本文開(kāi)頭所說(shuō)的,如今的互聯(lián)網(wǎng)安全形勢(shì)已經(jīng)發(fā)生根本性變化,攻擊者對(duì)個(gè)人用戶(hù)不再感興趣,而是把目標(biāo)對(duì)準(zhǔn)了擁有海量信息的公司和廠商。雖然周鴻祎并沒(méi)有明確說(shuō)出,單從他對(duì)安全處理原則的表述中可以看出,對(duì)于公司泄露用戶(hù)數(shù)據(jù)的事件,應(yīng)當(dāng)通過(guò)法律手段進(jìn)行懲罰和制裁。
從實(shí)際情況來(lái)看,尤其是在中國(guó),廠商因自身安全措施不到位導(dǎo)致用戶(hù)信息泄露,往往只是道歉、聲明了事,很多因此受到波及的用戶(hù)并沒(méi)有獲得相應(yīng)的賠償。也就是說(shuō),當(dāng)廠商發(fā)生安全過(guò)失,不僅要承受來(lái)自用戶(hù)和輿論的譴責(zé),法律懲罰亦不可缺席。這將倒逼互聯(lián)網(wǎng)公司全面重視用戶(hù)數(shù)據(jù)的安全問(wèn)題。
其實(shí)周鴻祎所提的用戶(hù)信息安全三原則早已有之,只不過(guò)在云計(jì)算、云存儲(chǔ)、大數(shù)據(jù)等技術(shù)開(kāi)始廣泛運(yùn)用的今天,這些原則背后所體現(xiàn)的問(wèn)題越來(lái)越暴露出來(lái),并且已經(jīng)多次產(chǎn)生不利影響,曾經(jīng)的危言聳聽(tīng)正在逐漸變?yōu)楝F(xiàn)實(shí)。互聯(lián)網(wǎng)空間在深度融入世界的同時(shí),也應(yīng)該像傳統(tǒng)行業(yè)那樣經(jīng)歷法律和倫理的拷問(wèn),這樣才能讓信息時(shí)代的「奇點(diǎn)」階段向正確的方向前行。
轉(zhuǎn)自:極客公園
- 目前還沒(méi)評(píng)論,等你發(fā)揮!