”最近不斷有泄密的事情��,我們有更大的擔(dān)心就是如果我們的服務(wù)器使用公有云的服務(wù)器���,這個(gè)數(shù)據(jù)都在云里��,他會不會偷看我���,我們網(wǎng)絡(luò)都要經(jīng)過公有云,這個(gè)數(shù)據(jù)有沒有可能被惡意的使用��。“
譚曉生現(xiàn)場講話 實(shí)錄:
原來打算講網(wǎng)絡(luò)安全���,后來看是數(shù)據(jù)�,我就講講數(shù)據(jù)安全和數(shù)據(jù)的隱私問題���。講到大數(shù)據(jù)�����,首先想到云計(jì)算����。最近不斷有泄密的事情����,我們有更大的擔(dān)心就是如果我們的服務(wù)器使用公有云的服務(wù)器���,這個(gè)數(shù)據(jù)都在云里,他會不會偷看我����,我們網(wǎng)絡(luò)都要經(jīng)過公有云,這個(gè)數(shù)據(jù)有沒有可能被惡意的使用�。還有云服務(wù)商,萬一哪天它虧欠倒閉了怎么辦�����?我這些數(shù)據(jù)轉(zhuǎn)移起來是不是非常困難����。如果現(xiàn)在玩大數(shù)據(jù)��,這些數(shù)據(jù)通過網(wǎng)絡(luò)傳輸很困難�,甚至這個(gè)數(shù)據(jù)是半年產(chǎn)生的,你可能還要花很長時(shí)間把它傳走�����,這種情況下都是問題。還有通過大數(shù)據(jù)分析幾乎可以知道我們的一切信息�����。
其實(shí)�,對云服務(wù)商的職業(yè)的問題的解決是幾個(gè),第一����、寧可看兩個(gè)魔鬼跳雙人舞,也不要看一個(gè)天使跳單人舞�����。還有共同制定云服務(wù)的規(guī)范�,第三、有第三方的監(jiān)督審計(jì)的產(chǎn)品����,以及推動產(chǎn)業(yè)的法規(guī)出臺。我們依然要呼吁相應(yīng)的法律的出臺�����。對于云安全要有相互防護(hù)軟件的開發(fā)�,這個(gè)還是處于初級階段�,和過去企業(yè)的防御���,以及個(gè)人終端的防御來說�����,云的安全防御目前還是處于相當(dāng)初級的階段�。今年開始����,有基于云服務(wù)的位置威脅的法律有出臺,比如我們做的天眼��,這種東西其實(shí)都是說要主動的發(fā)現(xiàn)我過去還不知道的東西���,這種攻擊手段是新的��,但是通過技術(shù)手段也能夠檢測到,知道被攻擊了��,再分析被用什么方式供給�。以及今年提的一個(gè)概念,就是由大數(shù)據(jù)的方法對抗這個(gè)領(lǐng)域����。對于云服務(wù)商的服務(wù)延續(xù)性的問題����,其實(shí)亞馬遜在美國有先例���,比如美國的亞馬遜有一個(gè)大客戶是一個(gè)非常著名的網(wǎng)上視頻的����,它是買亞馬遜的���,如果說亞馬遜哪天不給它提供服務(wù)怎么辦����?實(shí)際它們之間會簽署一些特殊的協(xié)議�����,如果哪天出于什么什么樣的原因��,它可以怎么處理這些資產(chǎn)����。還有其實(shí)這里面也是一個(gè)新的對保險(xiǎn)業(yè)的機(jī)會���,將來可能大家用云服務(wù)還捎帶的買保險(xiǎn)。
說到個(gè)人隱私問題來說����,中國差不多有40部法律都涉及到關(guān)于個(gè)人信息泄露的問題,但是法律里面就一兩句話��,非常難以真正的保護(hù)用戶隱私��,執(zhí)法方面的操作余地很大�。刑法修整案(七)確定出售非法提供公民個(gè)人信息貴,以及非法獲取公民個(gè)人信息罪���,首次將公民個(gè)人信息納入刑法保護(hù)范圍�����,就是要追究泄密�、泄露和出售隱私信息的責(zé)任����。去年年底全國人大常委會出臺了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》�,但是沒有規(guī)定的很細(xì)����。這是今年開始生效的一個(gè)指導(dǎo)的國家標(biāo)準(zhǔn)���,這個(gè)是GB/Z���,這是一個(gè)指導(dǎo)性的文件,它第一個(gè)是界定了個(gè)人信息是什么�,個(gè)人信息是可為信息系統(tǒng)所處理,與特定自然人相關(guān)�,能夠單獨(dú)或者通過與其他信息結(jié)合識別該特定自然人的計(jì)算機(jī)數(shù)據(jù)。這里面有八大原則�����,其實(shí)這個(gè)指導(dǎo)性的國家標(biāo)準(zhǔn)是一個(gè)非常好的標(biāo)準(zhǔn)�,只是目前它的指導(dǎo)性不夠強(qiáng)。但是�,真正在比如云服務(wù)的廠商,或者互聯(lián)網(wǎng)服務(wù)的廠商是可以好好的看一看����,它的八大原則,第一條目的明確���,就是這個(gè)信息干什么用�����?必須要有非常清晰的目的����,就是你收集這些信息,使用這些信息要和你的業(yè)務(wù)相關(guān)�。第二、最少夠用原則���,就是你需要什么信息�,不要更多的���。比如在互聯(lián)網(wǎng)網(wǎng)站上面����,有沒有房子�,有沒有車子,年齡多大��,這些問題都是合理的,如果到一個(gè)購物網(wǎng)站���,非比如到京東,非要問你有沒有房子和車子�����,年齡多大����,其實(shí)這些是不行的。第三����、公開告知原則,你要收集公開用戶的信息��,用戶要明確的知道��。第四���、個(gè)人同意原則��,你告訴用戶了��,用戶必須明顯的告訴你���,我同意�,你才可以收集信息��。第五��、質(zhì)量保證原則�����,就是你收集的信息很多有錯(cuò)誤�,用戶是否可以修改,如果你把用戶的信息收集錯(cuò)了��,我是不是投訴無門��。第六�、安全保障原則,就是你收了這些信息�,你就得保證這些信息的安全。其實(shí)在中國的大的互聯(lián)網(wǎng)網(wǎng)站也是屢屢出現(xiàn)脫庫的事件���,出現(xiàn)這種事情其實(shí)就沒有履行好它的數(shù)據(jù)保護(hù)���。這種情況其實(shí)就應(yīng)該承擔(dān)相應(yīng)的責(zé)任�。第七��、誠信履行原則�����,就是你收集的時(shí)候是怎么說的���,后面就怎么做。而不是收集的時(shí)候說自己用�,回頭又賣了。第八�、責(zé)任明確原則,在整個(gè)的信息處理過程中間的責(zé)任要采取相關(guān)的措施��。
如果回過頭�����,我們把這八大原則理一理�����,其實(shí)是什么?收集信息必須和你的業(yè)務(wù)相關(guān)�,你是干什么業(yè)務(wù)的,你要什么信息���,這個(gè)你有需要��,還得經(jīng)過用戶的同意��,用戶如果不同意�����,你可以拒絕給他提供服務(wù)�,這是你作為服務(wù)提供商的權(quán)利���,但是你必須要明確告訴用戶����,并且是經(jīng)過用戶的同意�。把信息收集到之后,原來說干什么用就干什么用����,哪怕說你把信息專賣����,如果經(jīng)過用戶同意了����,專賣它也是合法,但是如果你沒有經(jīng)過用戶同意�,把信息交給第三方去用,這就出現(xiàn)問題了��。還有信息你拿過來�����,就要妥善的保護(hù)���,用戶如果要改,他能夠改�,這種規(guī)定如果說嚴(yán)格執(zhí)行,它會讓信息本身變成一個(gè)燙手山芋����,你是不是有足夠的安全保護(hù)措施,你的網(wǎng)站是不是做到別人無法入侵等等�����,這是非常好的一個(gè)原則。
今年工信部又在做電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)的規(guī)定����,從最近可以看到各個(gè)主管部門對用戶隱私信息保護(hù)有非常大的重視。什么是隱私�����?隱私是什么東西�?是不是涉及到我的姓名、身份證號�����,我的生日����、收入、房子�����、車子等等這些都是屬于隱私信息呢�����?其實(shí)在中國的老百姓,一般來說����,你的信息,說你的隱私被偷了��,其實(shí)什么東西是你的隱私�����?真正知道的人并不是很多�����。這是美國白宮今年2月份有一個(gè)消費(fèi)數(shù)據(jù)在網(wǎng)絡(luò)世界中用戶的數(shù)據(jù)保護(hù)這樣一個(gè)東西�,其實(shí)這里邊來說����,隱私權(quán)一是種權(quán)利,這種權(quán)利是我要獨(dú)立的生活�,我要孤獨(dú)的生活,我有這種權(quán)利�����,假如不希望別人知道我是誰,也不希望別人知道我是誰�����,我要能做到�。如果他無法做到這一點(diǎn),他想行使這個(gè)權(quán)利的時(shí)候就侵犯了隱私權(quán)�,但是不是強(qiáng)迫所有人都孤獨(dú)1生活。但是���,現(xiàn)在的網(wǎng)絡(luò)社會里面對過去的隱私權(quán)有了更大的拓展�����,還包括商務(wù)信息�����、政治信息�、健康信息�����,財(cái)經(jīng)信息等等這些東西,這些信息你要進(jìn)行保護(hù)�����,是為了他受到一個(gè)公平的待遇�。比如說我的健康信息,比如有人有乙肝����,咱們國家說你不能因?yàn)橐腋纹缫曇粋€(gè)員工,但是如果你在面試之前就能查到這個(gè)人有乙肝�����,我可能就篩選掉了�,這個(gè)人就受到不公平的對待。隱私是一種權(quán)利���,咱們一提到個(gè)人信息,往往和隱私統(tǒng)一為一體�����。
再有就是隱私權(quán)�����,這是美國的《隱私權(quán)法》,它1974年就有了《隱私權(quán)法》����,這個(gè)《隱私權(quán)法》其實(shí)是要把政府的權(quán)利關(guān)在籠子里,就是政府也不能通過這些信息對公民實(shí)現(xiàn)怎么樣的一種東西���,就是你多想一點(diǎn)�����,你會知道它背后很多的背景�����,為什么《隱私權(quán)法》在中國真正出臺實(shí)施還會遇到不少的困難��,還會有很長的路要走����。隱私保護(hù)的框架是什么樣子�����,是不是有一部《隱私權(quán)法》,中國的隱私保護(hù)問題就解決了��?不是的���,因?yàn)椴煌臉I(yè)務(wù)領(lǐng)域���,用戶的隱私不一樣,其實(shí)它正常的框架應(yīng)該是有一個(gè)隱私保護(hù)的原則�����,然后在不同的領(lǐng)域里面會有不同的隱私保護(hù)的規(guī)定��。比如電信�����,對電信業(yè)務(wù)來說�,主叫號碼,被叫號碼什么時(shí)候給別人���,我的家庭地址這都屬于隱私,比如呼叫記錄����,這在別的公司是沒有的�。那么��,對于醫(yī)療信息來說���,我各種各樣的檢查結(jié)果���,我的身體的健康狀況等等這些東西是需要作出保護(hù)的。將來其實(shí)一個(gè)正常的框架��,應(yīng)該有一個(gè)通行的隱私保護(hù)框架���,再有各個(gè)具體不同的業(yè)務(wù)中會有針對它的隱私權(quán)的一些規(guī)定�。
我們給的性的建議��,第一�����、要制定法規(guī)或者國家標(biāo)準(zhǔn)����,要界定各個(gè)業(yè)務(wù)領(lǐng)域的隱私信息����。這樣大家提出來�����,不是說身分證號碼泄露了�����,這就叫隱私泄露��。第二��、將隱私權(quán)條款作為互聯(lián)網(wǎng)服務(wù)的必備法律��,隱私權(quán)條款必須要有���。第三���、對各種互聯(lián)網(wǎng)服務(wù)的隱私權(quán)條款合理性進(jìn)行監(jiān)督審查。對各互聯(lián)網(wǎng)服務(wù)的隱私權(quán)條款執(zhí)行情況進(jìn)行監(jiān)督審查等��。這個(gè)立法保護(hù)不說了,中國估計(jì)還有很長的路要走��,雖然有各種各樣的法律�����,但是還是比較茫然����。
作為360來說�,我們其實(shí)一直是在隱私方面站在風(fēng)口浪尖上,遇到的職責(zé)也比較多����,我們在這個(gè)方面做的工作最多,2011年10月份就發(fā)布了用戶隱私保護(hù)的白皮書����,2012年3月15號,任命我為中國互聯(lián)網(wǎng)第一個(gè)首席隱私官�����,其實(shí)2000年開始美國舊已經(jīng)有了首席隱私官了��,美國基本上是以律師為主,但是中國比較有意思�,我這個(gè)首席隱私官是搞技術(shù)的。最終是讓我學(xué)一些法律的知識�,回過頭用技術(shù)手段在公司中做隱私方面的管理。這是過去所做的各種各樣的措施����,不多說了。過去干了很多事情���,怎么樣的防御是一個(gè)襲擊�����,怎么樣對自己的漏洞進(jìn)行檢測����,包括我們也是花錢買漏洞����,我們的漏洞也是誰發(fā)現(xiàn)了,報(bào)告�����,給獎勵,還有怎么防內(nèi)鬼���,怎么監(jiān)督內(nèi)部的各個(gè)應(yīng)用程序���,提取用戶隱私,或者提取用戶信息的時(shí)候是不是有問題����,都有一套非常繁雜的技術(shù)手段�。我們網(wǎng)絡(luò)服務(wù)對外出口100G的流量提供流量偵聽,從這個(gè)偵聽里面判斷我們的程序提取的信息有沒有涉及到侵犯隱私的事情��,這些事情都是超乎大家想象的�����。本身360在我們自己的主網(wǎng)上鋪了一張?zhí)炝_地網(wǎng)����,在他寫的程序里面有沒有泄露隱私的問題,謝謝大家�!
360公司副總裁 譚曉生
