大數(shù)據(jù)“超能力”:數(shù)據(jù)安全和隱私該如何保障?

人人都喜歡超級(jí)英雄。

不論是超人還是鋼鐵俠,又或者是小蜘蛛和綠巨人,幾乎每一個(gè)超級(jí)英雄漫畫及電影的粉絲,都曾為其不公遭遇打抱不平:“他們明明是在用超能力做好事,拯救人類的,為什么電影里的政府和平民會(huì)這么蠢,總對(duì)他們?nèi)狈π湃?,滿是提防?!?/p>

這就是所謂的“葉公好龍”了,因?yàn)楫?dāng)你身邊真出現(xiàn)了個(gè)能把卡車當(dāng)皮球一樣拋來(lái)拋去的人時(shí),你的反應(yīng)恐怕也好不到哪兒去,可能也巴不得有政府出面,逼他接受《超級(jí)英雄注冊(cè)法案》。

超級(jí)英雄和現(xiàn)實(shí)人類的差距就像人和螞蟻的區(qū)別,身為螞蟻,你敢冒險(xiǎn)嗎?

這才是現(xiàn)實(shí)世界和真實(shí)人性面對(duì)超出理解且不可控現(xiàn)象時(shí)的正常反應(yīng),有超能力的人說他們只會(huì)把這些能力用在正道兒上,可誰(shuí)敢百分百相信他們?

再說孰為善何為惡,又有誰(shuí)能黑白分明地定義清楚?

類似的爭(zhēng)論到了這一步,可能就會(huì)有人出來(lái)打圓場(chǎng)說,不要較真兒,畢竟這個(gè)世界上并沒有超能力,又何必對(duì)虛構(gòu)的人物和故事有這么強(qiáng)的帶入感呢?

真的嗎朋友?

這個(gè)世界真的沒有“超能力”嗎?

說這話的人,一定是忘了“被大數(shù)據(jù)死死拿捏”的恐懼。

大數(shù)據(jù)就像威力無(wú)比的超能力,在它面前我們都是螻蟻。

互聯(lián)網(wǎng)上有一個(gè)被復(fù)用到濫的文案,大概意思就是:要發(fā)財(cái),要早早實(shí)現(xiàn)財(cái)務(wù)自由,就要轉(zhuǎn)變思路。

拼體力無(wú)可厚非,但基本無(wú)法出頭;

拼腦力,效率高一些但也有限;

只有擁有信息差上的優(yōu)勢(shì),才是正解。

這種優(yōu)勢(shì),正是數(shù)據(jù)“超能力”的體現(xiàn)。

數(shù)據(jù)體量直接導(dǎo)致了信息差的存在。

這幾年產(chǎn)經(jīng)界對(duì)“數(shù)據(jù)資產(chǎn)化”概念的探索,實(shí)質(zhì)就是開始把蘊(yùn)藏海量、高價(jià)值信息的大數(shù)據(jù)視作一種可以生錢的資產(chǎn)。

在這種觀念的引導(dǎo)下,各行各業(yè)都在大力拓展自己的數(shù)據(jù)儲(chǔ)備,不僅僅是擴(kuò)展容量,還要盡可能地豐富其維度及來(lái)源,來(lái)強(qiáng)化質(zhì)量,也就是它們可供挖掘和利用的價(jià)值屬性。

這種觀念的影響力之大、見效之快,以至于不僅僅是大企業(yè)在修煉它,連街邊的小飯館也搞起了各種各樣的數(shù)據(jù)收集,消費(fèi)的時(shí)候加個(gè)微信,還有用打折的幌子要求你關(guān)注他們的公眾號(hào)或用小程序點(diǎn)餐都成了常規(guī)動(dòng)作。

可以說在這個(gè)時(shí)代,數(shù)據(jù)的資產(chǎn)化已成大勢(shì)所趨。誰(shuí)掌握了更多這樣的資產(chǎn),誰(shuí)就有可能賺到更多錢。

而且數(shù)據(jù)資產(chǎn)化,并不只是說數(shù)據(jù)更值錢了,還在于數(shù)據(jù)的應(yīng)用方法也可以資產(chǎn)化。

今年6月的2021BAAI智源大會(huì)上,清華大學(xué)國(guó)家金融研究院院長(zhǎng)朱民就在演講中剖析了數(shù)據(jù)的經(jīng)濟(jì)學(xué)屬性和資產(chǎn)特性,要點(diǎn)有:

數(shù)據(jù)的虛擬特性,使其可重復(fù)使用,且轉(zhuǎn)移和復(fù)制成本為零,非常適于分享;

數(shù)據(jù)的流通就是知識(shí)的流通,這種流通可以讓它創(chuàng)造更大的價(jià)值;

數(shù)據(jù)雖然開始資產(chǎn)化,但數(shù)據(jù)產(chǎn)權(quán)還是模糊的,如果依然沿用“誰(shuí)采集誰(shuí)擁有”那一套,數(shù)據(jù)隱私和安全問題就很難解決。

這幾點(diǎn)還是很好理解的,即數(shù)據(jù)資產(chǎn)不流通就會(huì)形成孤島,影響其價(jià)值最大化,但要流通順暢,就必須要以解決數(shù)據(jù)產(chǎn)權(quán)及隨之而來(lái)的安全和隱私問題為前提。

如果我們把大數(shù)據(jù)或數(shù)據(jù)資產(chǎn)看作超能力的話,這個(gè)命題就變成了:我們既期待這種超能力足夠強(qiáng)大,可以造福于大眾,又一定要確保它不會(huì)被任何人拿來(lái)作惡。

我看超級(jí)英雄電影的時(shí)候,總在想一個(gè)問題,大家動(dòng)不動(dòng)就飛天遁地炸大樓,那些樓里的人,怎么辦。

畢竟超能力是雙刃劍。

需要關(guān)在籠子里。

讓我們?cè)俣虝禾氐匠?jí)英雄的劇情中,蜘蛛俠的姨父在臨終前對(duì)他說:“能力越大、責(zé)任最大?!?/p>

很正能量是不是?

不過現(xiàn)實(shí)通常是:在能力越大后,能管住自己不濫用這種能力謀私的欲望,也就越難。

這些濫用,有些是有意識(shí)的,例如最近被主管機(jī)構(gòu)頻頻點(diǎn)名的“互聯(lián)網(wǎng)企業(yè)借大數(shù)據(jù)殺熟”現(xiàn)象,雖然借這種小手段能多收個(gè)三五斗,但這還不是真正的危險(xiǎn)。

真正的危險(xiǎn),出在那些無(wú)意識(shí)地,或有意無(wú)意的數(shù)據(jù)泄露上。

正是因?yàn)閿?shù)據(jù)的虛擬特性,還有零成本復(fù)制和轉(zhuǎn)移特性,它即使出現(xiàn)了損失或泄露,也很難被察覺,而等到個(gè)人隱私滿天飛的時(shí)候,再去做溯源,也是千難萬(wàn)難了。

在這種情況下,數(shù)據(jù)“超能力”對(duì)普通人的打擊效果,或者說不對(duì)等性就會(huì)充分暴露出來(lái)了——單個(gè)用戶的數(shù)據(jù)對(duì)掌握它的企業(yè)或機(jī)構(gòu)來(lái)說只是九牛一毛,但其泄露的后果對(duì)這個(gè)用戶而言就如同“三體人”對(duì)上“地球人”,很可能是降維式、摧毀式的。

甚至你被賣了,你都不知道。

更甚至于,賣掉你,與你無(wú)關(guān)。

要知道這兩年,光是國(guó)外的大牌企業(yè)就有幾十家因數(shù)據(jù)泄露而公開道歉,而國(guó)內(nèi)的泄露現(xiàn)象就不用提了,說一句千瘡百孔、瘋狂側(cè)漏,一點(diǎn)都不過分。

咦,前面不是還說企業(yè)都把數(shù)據(jù)當(dāng)成寶藏當(dāng)成資產(chǎn)嘛?為什么數(shù)據(jù)隱私和安全問題還屢見不鮮呢?

原因其實(shí)也很簡(jiǎn)單——這種對(duì)數(shù)據(jù)的重視,有相當(dāng)多數(shù)的企業(yè)還是停留在口頭上,或者說,只愿謀利而不愿負(fù)責(zé)。

國(guó)外此前就有個(gè)調(diào)查,結(jié)論是現(xiàn)在坐擁數(shù)據(jù)最多的互聯(lián)網(wǎng)公司,卻普遍認(rèn)為搞信息安全是負(fù)收益行為,投入越多虧得越多。

他們認(rèn)為數(shù)據(jù)安全是一種防衛(wèi)機(jī)制,而預(yù)防是沒有辦法計(jì)算KPI的,把威脅消滅在剛有苗頭的時(shí)候,在老板眼里就像是光吃飯不干活,這直接導(dǎo)致國(guó)內(nèi)外不少靠數(shù)據(jù)起家的企業(yè)在數(shù)據(jù)安全上基本都有一個(gè)較長(zhǎng)的空窗期,誰(shuí)都不愿意拿寶貴的發(fā)展資金來(lái)鞏固數(shù)據(jù)安全。

而且,我們剛剛還提到“有意無(wú)意”,即有些企業(yè)雖無(wú)意大力投入數(shù)據(jù)安全,因?yàn)檫t遲不見收益,卻難免有內(nèi)鬼蓄意危害數(shù)據(jù)安全,因?yàn)檗D(zhuǎn)手就是真金白銀,這才是最防不勝防的。

面對(duì)數(shù)據(jù)資產(chǎn)化、數(shù)據(jù)流通分享、數(shù)據(jù)安全和隱私保護(hù)這種千頭萬(wàn)緒,彼此交織的復(fù)雜問題時(shí),當(dāng)駝鳥或許也是一種態(tài)度,大不了數(shù)字化不搞了唄。

但回顧人類歷史,大數(shù)據(jù)可遠(yuǎn)不是惟一的“超能力”。

幾乎每種重大技術(shù)發(fā)明都是某種“超能力”。

對(duì)比百多年前的人們,如今的我們活得就像“超人”一樣,僅出行就有汽車、高鐵和飛機(jī),每一樣都能秒殺“八百里加急”。

所以如果大數(shù)據(jù)或數(shù)據(jù)資產(chǎn)化是我們進(jìn)化所必需的“超能力”,那么回避是無(wú)意義的。

就像能力沒有善惡之分,關(guān)鍵是要看如何使用它,或者至少要給它的使用劃出一條底線,即數(shù)據(jù)隱私和安全一定要獲得保障。

道德是上限,法律是底線。確保數(shù)據(jù)安全,立法是關(guān)鍵。

對(duì)大數(shù)據(jù)產(chǎn)業(yè)略有了解的人,可能都聽說過歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR),目前全世界范圍內(nèi)它可能是最嚴(yán)苛的數(shù)據(jù)隱私保護(hù)法規(guī)。

它到底嚴(yán)到什么地步,我們?cè)谶@里不羅列枯燥的法條,就拿德國(guó)最大的醫(yī)療保險(xiǎn)公司AOK正在推進(jìn)的電子病歷(ePA)做個(gè)活生生的例子吧。

ePA頭頂GDPR和德國(guó)《患者數(shù)據(jù)保護(hù)法案》(PDSG)的規(guī)定,又是用于存儲(chǔ)診斷和治療數(shù)據(jù)、藥物治療計(jì)劃、過敏史和個(gè)人健康信息等高度敏感隱私型數(shù)據(jù),因此它將數(shù)據(jù)產(chǎn)權(quán)還給了個(gè)人,規(guī)定ePA所有數(shù)據(jù)歸受保的患者自己所有。

患者們不但有權(quán)自行決定ePA能存儲(chǔ)自己的哪些信息及保存時(shí)間是多久,也有權(quán)決定有哪些醫(yī)生能訪問這些信息。此外,醫(yī)療保險(xiǎn)公司通常只有ePA的寫入權(quán)限而不能讀取,且寫入也要經(jīng)過患者的授權(quán)。

這樣一來(lái),ePA先天就兼顧了數(shù)據(jù)流通方面的靈活性和安全需求,雖然它允許多方訪問其中的信息,但不同方對(duì)信息有不同程度的訪問權(quán)限,且這些權(quán)限及其期限并不固定,完全由患者說了算。

看起來(lái)很完美?

完美的規(guī)劃往往夭折在執(zhí)行中。

沒有“嚴(yán)格執(zhí)法”的“科學(xué)立法”就是開玩笑,數(shù)據(jù)安全保障要想在執(zhí)行中避免“打折”或“變味”,首先要盡量躲開人的因素。

因?yàn)槿耸冀K是人,再怎么努力用制度去限制人,人也做不到百分百的精確,所以在數(shù)據(jù)安全中要用技術(shù)手段跳過不靠譜的人類。

其次,考慮到數(shù)據(jù)資產(chǎn)的應(yīng)用是一個(gè)閉環(huán),從儲(chǔ)存、傳輸?shù)教幚淼娜魏我粋€(gè)環(huán)節(jié)都可能出現(xiàn)安全隱患,因此也要用技術(shù)手段在全鏈路上排除不確定因素,做到全方位的保護(hù)。

要做到這兩點(diǎn),“技術(shù)”變成了關(guān)鍵詞,可數(shù)據(jù)安全領(lǐng)域發(fā)展了這么多年,好像到現(xiàn)在為止也沒有任何一項(xiàng)技術(shù)能夠確保數(shù)據(jù)的絕對(duì)安全呀。

這個(gè)判斷的確不假,不過如果能滿足有機(jī)融合和運(yùn)用多項(xiàng)數(shù)據(jù)安全技術(shù),導(dǎo)入先進(jìn)的基于硬件的安全技術(shù),以及補(bǔ)足數(shù)據(jù)處理階段的安全防護(hù)手段這幾個(gè)條件,還是能有立竿見影的效果。

AOK在推進(jìn)ePA安全技術(shù)部署的過程中是怎么做的?

簡(jiǎn)單來(lái)說,它的做法就是在既有各類數(shù)據(jù)安全防護(hù)方案的基礎(chǔ)上,重點(diǎn)加持了基于硬件的可信執(zhí)行環(huán)境(TEE)技術(shù)。

AOK這一舉措其實(shí)就是對(duì)上面幾個(gè)條件的充分貫徹。

其ePA涉及的數(shù)據(jù)的存儲(chǔ)和傳輸,都有了相對(duì)應(yīng)的加密技術(shù)和安全防護(hù),但這些數(shù)據(jù)在系統(tǒng)內(nèi)的讀取和處理,卻需要以純文本或者說明文的形態(tài)運(yùn)作,所以必須要有一個(gè)由TEE提供的受特別保護(hù)的高安全虛擬區(qū)域來(lái)防止非授權(quán)的應(yīng)用和用戶的訪問。

在TEE的具體技術(shù)實(shí)現(xiàn)上,AOK選擇了英特爾的軟件防護(hù)擴(kuò)展(SGX)技術(shù),這正是一種基于硬件的、被集成在英特爾CPU中的、主要為數(shù)據(jù)處理過程提供安全防護(hù)的技術(shù)。

它可以借助CPU在內(nèi)存等特定硬件環(huán)境中構(gòu)造出一個(gè)可信的“安全隔離區(qū)”,用于容納那些需要在處理中被嚴(yán)密保護(hù)的應(yīng)用代碼和數(shù)據(jù)。

SGX厲害的地方就在于這些隔離區(qū),相當(dāng)于在系統(tǒng)內(nèi)創(chuàng)造了一個(gè)一個(gè)堅(jiān)固的“城堡”,而且這些“城堡”能獨(dú)立于操作系統(tǒng)、虛擬機(jī)、BIOS等系統(tǒng)之外,即使這些底層系統(tǒng)全部淪陷,受保護(hù)的代碼和數(shù)據(jù)在這些“城堡”的保護(hù)下也能盡力擋開竊取或篡改它們的黑手。

SGX還為這些“城堡”的正規(guī)出入設(shè)定了周全的安保手段,只有真正擁有準(zhǔn)入權(quán)限且經(jīng)過嚴(yán)密安保檢查的用戶才能過關(guān)。

在AOK ePA的具體實(shí)施中,SGX的主要任務(wù)就是貼身保護(hù)其文件系統(tǒng),在它的幫助下,這個(gè)系統(tǒng)將授權(quán)、文檔管理和訪問網(wǎng)關(guān)結(jié)合在一起,確保只有經(jīng)過身份認(rèn)證的授權(quán)用戶才能與ePA交互。

當(dāng)然,AOK看中SGX技術(shù)也有其他原因,畢竟英特爾今年發(fā)布的、面向主流單路和雙路服務(wù)器系統(tǒng)的全新第三代至強(qiáng)可擴(kuò)展處理器不但集成了這種技術(shù),讓其部署更加順手,還對(duì)它進(jìn)行了強(qiáng)化,讓它最高能在一個(gè)雙路系統(tǒng)上支持1TB的加密內(nèi)存區(qū)域,也就是上面提到的安全隔離區(qū),有容乃大嘛。

好的技術(shù),不僅國(guó)外在用,開始重視數(shù)據(jù)安全投入的中國(guó)企業(yè)也在嘗鮮。

看中SGX加密內(nèi)存區(qū)域夠大、安全隔離效果夠硬的平安、百度和銀聯(lián)等頭部企業(yè)也開始或已經(jīng)將它用于隱私保護(hù)機(jī)器學(xué)習(xí)或聯(lián)邦學(xué)習(xí)場(chǎng)景。

由于這些場(chǎng)景通常涉及多方參與的數(shù)據(jù)協(xié)同,如共同進(jìn)行AI模型的訓(xùn)練或推理,且每一方都不希望自己提供的數(shù)據(jù)出現(xiàn)安全問題,但又不得不面對(duì)各自的數(shù)據(jù)和共同訓(xùn)練使用的模型在處理前會(huì)被解密,將暴露在真空中的風(fēng)險(xiǎn),為了避開一些專門針對(duì)內(nèi)存下手,從內(nèi)存里竊取過路數(shù)據(jù)的威脅,就離不開像SGX這類技術(shù)的保護(hù)。

因?yàn)閷?duì)于頭部企業(yè)而言,數(shù)據(jù)安全其實(shí)比業(yè)務(wù)更重要。

后者關(guān)乎賺錢多少。

前者是無(wú)法計(jì)算的價(jià)值和責(zé)任。

不論未來(lái)數(shù)據(jù)的產(chǎn)權(quán)是會(huì)明確歸屬其產(chǎn)出者,還是繼續(xù)目前“誰(shuí)收集誰(shuí)擁有”的潛規(guī)則,所有坐擁并享受數(shù)據(jù)資產(chǎn)收益的企業(yè)都不可掉以輕心。

數(shù)據(jù)的規(guī)模越大、質(zhì)量越高,其泄露的問題就越嚴(yán)峻,后果也越惡劣,它傷害的已經(jīng)不僅僅是普通人,企業(yè)再家大業(yè)大,也難逃厄運(yùn)。

現(xiàn)在懈怠一時(shí)爽,等到需要一個(gè)數(shù)據(jù)安全反面典型的時(shí)候,誰(shuí)能知道正在建立健全數(shù)據(jù)安全和隱私保護(hù)法規(guī)的中國(guó)不會(huì)出現(xiàn)一個(gè)價(jià)值700億,甚至更重的罰款案例?

至少有一點(diǎn)已經(jīng)很明確,那就是中國(guó)相關(guān)的立法進(jìn)程正在加速,而且會(huì)更加完善,達(dá)到逼近歐盟標(biāo)準(zhǔn)甚至可能反超歐盟標(biāo)準(zhǔn)的那種完善,如果企業(yè)到那時(shí)才開始研究怎么構(gòu)建安全陣地,就太遲了。

所以要做數(shù)據(jù)安全就要從現(xiàn)在開始,從改變規(guī)則和升級(jí)技術(shù)做起,軟件、硬件、人、流程……方方面面都要完善起來(lái)。

保護(hù)用戶就是保護(hù)自己,越是數(shù)據(jù)發(fā)達(dá),越是應(yīng)該小心翼翼。

野蠻生長(zhǎng)的時(shí)代過去了,一切都要回歸秩序,不管是為了用戶,還是為了自己,或者為了那永無(wú)止境的數(shù)據(jù)分析和算法訓(xùn)練,數(shù)據(jù)安全是時(shí)候跳到工作日程的前面來(lái)了。

失去利潤(rùn),失去很多。

失去安全,失去一切。

免責(zé)聲明:此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章,所有文字和圖片版權(quán)歸作者所有,且僅代表作者個(gè)人觀點(diǎn),與極客網(wǎng)無(wú)關(guān)。文章僅供讀者參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱:editor@fromgeek.com。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2021-09-23
大數(shù)據(jù)“超能力”:數(shù)據(jù)安全和隱私該如何保障?
在這種情況下,數(shù)據(jù)“超能力”對(duì)普通人的打擊效果,或者說不對(duì)等性就會(huì)充分暴露出來(lái)了——單個(gè)用戶的數(shù)據(jù)對(duì)掌握它的企業(yè)或機(jī)構(gòu)來(lái)說只是九牛一毛,但其泄露的后果對(duì)這個(gè)用戶而言就如同“三體人”對(duì)上“地球人”,很

長(zhǎng)按掃碼 閱讀全文