還記得《唐人街探案2》里兇手是如何鎖定受害者的嗎？

我們?cè)谶@部電影中除了看到小鮮肉劉昊然和老臘肉王寶強(qiáng)這對(duì)經(jīng)典CP，還有兇手通過(guò)醫(yī)療數(shù)據(jù)記錄的受害人的生辰八字，甚至五行屬性等數(shù)據(jù)和信息，就輕而易舉地對(duì)受害人實(shí)施了攻擊。

大數(shù)據(jù)時(shí)代下，個(gè)人隱私和數(shù)據(jù)安全隱患正在牽動(dòng)著大眾敏感的神經(jīng)。“數(shù)據(jù)金礦”的另一面意味著，企業(yè)更加有責(zé)任保護(hù)會(huì)員及用戶數(shù)據(jù)安全。個(gè)人信息泄露風(fēng)險(xiǎn)的增加，以及公眾恐慌情緒的發(fā)酵，使得企業(yè)一旦發(fā)生類似信息泄露事件，即可能受到毀滅性影響。

曾經(jīng)有一句很經(jīng)典的話：在互聯(lián)網(wǎng)上，沒(méi)人知道你是一條狗。

但現(xiàn)在的局面似乎不是這樣了。

人們很容易就能知道你姓甚名誰(shuí)，從基本的水電煤繳費(fèi)、網(wǎng)絡(luò)購(gòu)物、外賣(mài)打車，到精準(zhǔn)的個(gè)性化廣告，互聯(lián)網(wǎng)不僅承包了你當(dāng)下的吃喝玩樂(lè)，甚至還可能影響你的未來(lái)。

毫無(wú)疑問(wèn)，基于個(gè)人信息數(shù)據(jù)的利用極大地提高了我們工作、生活、娛樂(lè)等的便利性。但同時(shí)也意味著：與用戶個(gè)人數(shù)據(jù)相關(guān)的任何一家企業(yè)都面臨潛在的數(shù)據(jù)風(fēng)險(xiǎn)。

扎克伯格的煎熬

就在過(guò)去的幾周里，因數(shù)據(jù)泄露丑聞，全球最大社交網(wǎng)站Facebook的首席執(zhí)行官馬克?扎克伯格在兩次國(guó)會(huì)聽(tīng)證會(huì)上被“拷問(wèn)”了10個(gè)小時(shí)。其數(shù)千萬(wàn)用戶數(shù)據(jù)遭第三方數(shù)據(jù)公司違規(guī)濫用，這些數(shù)據(jù)被用于推送政治廣告，影響美國(guó)大選、英國(guó)脫歐等重大政治事件。

因違背了用戶協(xié)議，侵犯了用戶隱私，F(xiàn)acebook正在承受一系列嚴(yán)峻后果：

• 公司遭到大眾輿論的強(qiáng)烈批評(píng)和抵制！
• 推特上掀起“刪除 Facebook”運(yùn)動(dòng)！
• 股票市值兩天內(nèi)縮水500億美金！
• 接受來(lái)自美國(guó) FTC、英國(guó)國(guó)會(huì)，未來(lái)或更多國(guó)家、組織機(jī)構(gòu)的調(diào)查！
• 面臨約市值4 倍的超兩萬(wàn)億天價(jià)罰金！
• 而這些可能還遠(yuǎn)沒(méi)有結(jié)束......

“泄露門(mén)”源起

Facebook“泄露門(mén)”被稱作是其成立以來(lái)面臨的最大危機(jī)、目前最嚴(yán)重的數(shù)據(jù)泄露事件，可是它并非是一起突發(fā)的偶然事件，而是源自于企業(yè)內(nèi)部數(shù)據(jù)管理的漏洞。

事件起因追溯至2014年，一位叫做Aleksandr Kogan的劍橋大學(xué)學(xué)者與劍橋分析（Cambridge Analytica）公司合作，開(kāi)發(fā)了一款名為“this is your digital life”的性格測(cè)試應(yīng)用，發(fā)布在Facebook上。

這一應(yīng)用是通過(guò)有償征集的方式，很快就有大約27萬(wàn)用戶參加測(cè)試，錄入了自己的姓名、興趣愛(ài)好等信息。最關(guān)鍵的是，在問(wèn)卷的最后，有一個(gè)小小的授權(quán)，授權(quán)應(yīng)用不僅可以獲得用戶自己的信息，還包括用戶好友的資料。

就是通過(guò)這個(gè)授權(quán)，應(yīng)用實(shí)際上抓取了5000萬(wàn)用戶的數(shù)據(jù)！劍橋分析公司通過(guò)對(duì)掌握的大量用戶數(shù)據(jù)進(jìn)行分析，進(jìn)而選擇最合適的政治廣告進(jìn)行精準(zhǔn)投放，最終幫助特朗普贏得2016年美國(guó)大選。

在本次事件中，F(xiàn)acebook是合法收集用戶個(gè)人信息，第三方應(yīng)用“this is your digital life”也是通過(guò)Facebook平臺(tái)的第三方應(yīng)用規(guī)則，合法地從Facebook平臺(tái)以“共享”的模式收集用戶個(gè)人信息。

但是，“this is your digital life”并沒(méi)有按照Facebook的平臺(tái)規(guī)則合法地使用用戶個(gè)人信息，而是擅自將用戶個(gè)人數(shù)據(jù)提供給了劍橋分析公司。而劍橋分析公司，無(wú)疑是在未獲得用戶同意及關(guān)于轉(zhuǎn)讓授權(quán)的前提下，非法獲取了這些數(shù)據(jù)。

顯然，第三方應(yīng)用“this is your digital life”及其背后的劍橋分析公司是這次事件的始作俑者，但Facebook對(duì)此也有不可推卸的責(zé)任。

Facebook的漏洞

從合規(guī)角度上看，F(xiàn)acebook其實(shí)一直在收緊關(guān)于用戶隱私數(shù)據(jù)的政策，包括對(duì)第三方入駐平臺(tái)的管理政策。但是因?yàn)榱饔谛问交騼?nèi)部缺乏有力監(jiān)管和追責(zé)機(jī)制，這些措施并沒(méi)有真正起效。

Facebook要求第三方應(yīng)用在抓取已授權(quán)用戶社交關(guān)系上的好友公開(kāi)信息時(shí)，同時(shí)必須得到被抓取好友的授權(quán)，但這一步驟從上述事件中來(lái)看可能并沒(méi)有得到實(shí)施，或者存在漏洞。

此外，在第三方應(yīng)用入駐時(shí)，F(xiàn)acebook已經(jīng)通過(guò)簽署協(xié)議的形式禁止第三方應(yīng)用向其他平臺(tái)提供其從Facebook平臺(tái)合法獲取的用戶數(shù)據(jù)，并針對(duì)第三方應(yīng)用部署了在出現(xiàn)大規(guī)模收集用戶個(gè)人信息數(shù)據(jù)時(shí)的監(jiān)控機(jī)制并對(duì)其目的進(jìn)行追查。但后來(lái)Facebook發(fā)現(xiàn)向劍橋分析公司提供數(shù)據(jù)的第三方應(yīng)用存在大規(guī)模收集用戶個(gè)人信息數(shù)據(jù)的行為時(shí)，僅在得到一個(gè)“用于研究”的答復(fù)后，便沒(méi)有再進(jìn)行追查，就應(yīng)用開(kāi)發(fā)者是否真正刪除數(shù)據(jù)也并沒(méi)有進(jìn)行監(jiān)督和審計(jì)。

這些監(jiān)管上的不足也在第一場(chǎng)聽(tīng)證會(huì)上得到驗(yàn)證。在聽(tīng)證會(huì)上，扎克伯格重申，F(xiàn)acebook正在針對(duì)大約1萬(wàn)個(gè)應(yīng)用展開(kāi)全面調(diào)查，并表示如果發(fā)現(xiàn)任何應(yīng)用不正當(dāng)?shù)靥幚頂?shù)據(jù)，將對(duì)其加以封鎖。同時(shí)表示，需要在監(jiān)管整個(gè)生態(tài)系統(tǒng)的問(wèn)題上采取更加積極的立場(chǎng)。而未來(lái)總會(huì)有“一個(gè)版本”的Facebook服務(wù)將是免費(fèi)的。換而言之，這意味著未來(lái)Facebook可能會(huì)推出收費(fèi)版的服務(wù)。

Facebook教科書(shū)

在號(hào)稱“史上最嚴(yán)”的歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）即將生效之際，這樣一起損失慘重的數(shù)據(jù)泄露事件，可以說(shuō)是給全世界的企業(yè)敲響警鐘：我們?cè)撛趺醋?，才能避免成為下一個(gè)Facebook？

Facebook也身體力行地向世界展示了它的應(yīng)對(duì)辦法，各大企業(yè)可以借此完善自己的數(shù)據(jù)保護(hù)措施，防微杜漸。

• 增加數(shù)千名內(nèi)容審查人員；
• 對(duì) Facebook 廣告投放、內(nèi)容發(fā)布規(guī)則的修改和完善；
• 對(duì)APP數(shù)據(jù)和定向廣告的安全措施的完善；
• 對(duì)應(yīng)用程序API進(jìn)行一系列修改；
• 定向廣告對(duì)廣告商增加注意反歧視政策的提示；
• 發(fā)布了一份 8000 字的內(nèi)容指南，對(duì)以往模糊的可發(fā)布內(nèi)容范圍作了較為明確的規(guī)定，禁止用戶發(fā)布暴力相關(guān)、非醫(yī)療藥物等交易信息。

Facebook多次重申，其首要任務(wù)是對(duì)“使用Facebook平臺(tái)的個(gè)人、開(kāi)發(fā)者和企業(yè)”的數(shù)據(jù)保護(hù)。

而在此前，為了挽回用戶信任，F(xiàn)acebook設(shè)立了“舉報(bào)數(shù)據(jù)濫用獎(jiǎng)金”，鼓勵(lì)用戶舉報(bào)App開(kāi)發(fā)商濫用數(shù)據(jù)的行為，并在 9 家英美報(bào)紙上包下整版，以白底黑字的形式刊登扎克伯格的道歉信，還發(fā)布了一支名為“Facebook Here Together” 的視頻廣告。

你的數(shù)據(jù)安全嗎？

Facebook“泄露門(mén)”只是冰山一角。近年來(lái)，國(guó)內(nèi)外均發(fā)生多起嚴(yán)重的信息數(shù)據(jù)安全事件。

國(guó)外如Target 1.1億顧客數(shù)據(jù)失竊；Linked In賬戶信息被售賣(mài)。

國(guó)內(nèi)如京東內(nèi)部員工涉嫌竊取50億條用戶數(shù)據(jù)；順豐內(nèi)部人員泄漏用戶數(shù)據(jù)；支付寶年度賬單默認(rèn)允許收集用戶信息并供第三方使用；攜程、滴滴等互聯(lián)網(wǎng)公司相繼被爆出利用其掌握的大數(shù)據(jù)殺熟......

你的外賣(mài)信息正在被泄露！

甚至網(wǎng)上有人公開(kāi)叫賣(mài)餓了么、美團(tuán)等外賣(mài)平臺(tái)的用戶信息，涉及姓名、住址、電話等十分詳盡的個(gè)人隱私，令人震驚！

個(gè)人信息數(shù)據(jù)一旦泄露，無(wú)論對(duì)數(shù)據(jù)源的提供者（比如消費(fèi)者或擁有一手用戶數(shù)據(jù)的企業(yè)），中間環(huán)節(jié)的數(shù)據(jù)獲取、存儲(chǔ)、管理、分析等服務(wù)提供者，還是各類數(shù)據(jù)使用者，都將造成威脅。

特別是對(duì)互聯(lián)網(wǎng)企業(yè)而言，平臺(tái)數(shù)據(jù)規(guī)模一般較大，一旦泄露往往使企業(yè)聲譽(yù)受損，關(guān)乎生死存亡！需要重點(diǎn)防范！

網(wǎng)上能搜到的數(shù)據(jù)只占數(shù)據(jù)總量的20%，還有80%在企業(yè)手中。
——李彥宏 · 百度CEO

對(duì)信息數(shù)據(jù)安全和個(gè)人隱私的保護(hù)，除了政府監(jiān)管，還有賴于行業(yè)的自律，包括建立及完善平臺(tái)的監(jiān)管制度和技術(shù)，企業(yè)內(nèi)部有持續(xù)有力的自我監(jiān)督和追責(zé)機(jī)制等。

相比歐美互聯(lián)網(wǎng)公司的數(shù)據(jù)監(jiān)管，中國(guó)互聯(lián)網(wǎng)公司相對(duì)具有較大的空間，但是隨著相關(guān)法律法規(guī)的出臺(tái)和完善，對(duì)企業(yè)的要求及標(biāo)準(zhǔn)也將提高。

《中國(guó)網(wǎng)絡(luò)安全法》對(duì)個(gè)人信息保護(hù)有著明確規(guī)定：任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。此外，對(duì)于向他人出售或者提供公民個(gè)人信息情節(jié)嚴(yán)重的，將對(duì)相關(guān)責(zé)任人處有期徒刑，并處罰金。

《個(gè)人信息安全規(guī)范》今年5月1日起開(kāi)始實(shí)施，“個(gè)人信息”及“敏感信息”的法律定義和范疇都得到了更加明確的界定，而對(duì)于一直處于監(jiān)管灰色地帶的“數(shù)據(jù)畫(huà)像”的合法授權(quán)及要求、敏感信息數(shù)據(jù)的用戶授權(quán)及許可等也有了具體規(guī)范。

細(xì)分行業(yè)規(guī)范操作及條例也相繼出臺(tái)，最新發(fā)布的《快遞暫行條例》規(guī)定，泄露用戶信息最高可罰10萬(wàn)元。

---

企業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)成因復(fù)雜，既有外部攻擊，也有內(nèi)部泄露；既有技術(shù)漏洞，也有管理缺陷；既有新技術(shù)新模式觸發(fā)的新風(fēng)險(xiǎn)，也有傳統(tǒng)安全問(wèn)題的忽視。

在大數(shù)據(jù)時(shí)代的今天，民眾對(duì)個(gè)人信息和隱私的保護(hù)意識(shí)提升，企業(yè)應(yīng)首先確保自身合法合規(guī)，避免像Facebook一樣造成重大的經(jīng)濟(jì)損失及無(wú)法估量的聲譽(yù)影響。

這次Facebook“泄露門(mén)”事件理應(yīng)是各類企業(yè)的前車之鑒，企業(yè)應(yīng)當(dāng)積極從中總結(jié)經(jīng)驗(yàn)教訓(xùn)，在GDPR到來(lái)之前，在國(guó)內(nèi)相關(guān)政策法規(guī)不斷完善前，搭建起自己的數(shù)據(jù)安全屏障。

Webpower權(quán)益申明

Webpower中國(guó)區(qū)版權(quán)所有，轉(zhuǎn)載請(qǐng)注明出處

更多營(yíng)銷資訊，歡迎關(guān)注微信公眾號(hào)Webpower威勃龐爾（微信號(hào)：webpowerasia）

或登錄官網(wǎng)了解詳情>>>