在这个数字化的时代下,数据就是财富。近年来,很多人利用不法手段盗取其它公司信息,对其被盗公司造成巨大损失。这种事件经常发生,2013年雅虎事件30亿账户信息泄露,2017年,两次大规模的勒索病毒的出现都验证了其数据泄露的危险性。
“关于大数据的隐私,具体能够用到什么程度、哪些数据可以用、哪些数据不可以用没有特别清晰的概念。”腾讯金融华东区总监罗浩日前在上海浦东金融学会与上海市信用服务行业协会主办的相关活动上表示,大数据行业个人用户隐私是最为敏感的话题,目前对于涉及个人隐私的数据脱敏上没有清晰的规则,如何脱敏、脱敏到什么程度数据可以运用都存在争议。
大数据未来将逐步发展成一个基础性行业,越来越多的行业需要数据支撑其多方面优化,例如产品推陈出新、服务精准定制化、用户获取信息更为便利。随着行业运用范围的扩大以及运用程度的加深,数据的价格也在水涨船高,其中能够构成商业机会的契机点也在不断丰富。
除征信行业外,大量的消费金融机构、信用贷款机构、电商平台等均在自建数据库,利用自有或公开数据进行二次开发,推出个性化服务。与此同时,曾经被认定没有过高商业价值的数据也纷纷重新披上了外衣,既包含拥有大量数据的运营商、金融机构、社保中心,也包含一些为了从零开始积攒数据的小数据公司。
“我们的主要业务是卖数据。”上海一家刚刚起步的征信公司渠道负责人对《第一财经日报》记者表示,公司成立不久,目前业务比较单一,就是利用爬虫技术抓取互联网上的公开数据卖给需要这些数据的机构,这些机构既包含新兴的互联网金融平台也包含银行。
数据获取、打包、出售这样一个简单的链条已经成为一个行业。在记者咨询是否对数据进行二次开发处理的时候,上述征信公司员工表示,数据仅仅是简单处理形成字段,供数据能够在售卖客户间传输。
数据需要脱敏以保护用户个人隐私已经取得了一定的共识。数据脱敏,指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。这样,就可以在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集。
但是从知道到执行还有一段路要走。由于缺乏明确的惩处责任,大量的机构打着政策擦边球,对于是否脱敏以及脱敏的程度并不重视。
当前,没有统一的脱敏标准,更没有脱敏流程的统一标准。相同数据存在不同的脱敏方式,脱敏后的形式也多种多样,是否完全可逆、部分可逆、不可逆,没有统一指导规则。部分数据即便是经过简单脱敏,但是未达到一定的脱敏标准仍然可以通过技术手段拼接、恢复至原信息。
罗浩表示,当前的技术已经达到对于零碎化信息可以拼接使用,例如通过短信拼接的方式拼接出用户的个人的收入、信用卡还款情况。“数据公司在出售数据的时候将月收入15000元数据出售明确属于违规,但是简单将数据分级,该用户属于收入在10000元-15000元这一级,是否还属于用户隐私有待明确。”罗浩表示,无论是腾讯QQ还是微信聊天记录都不在使用范畴之内,“即便是政府机构、公安部门来要数据聊天记录也不会提供。”罗浩说。
苏宁消费金融有限公司大数据管理部副总经理朱正祥对《第一财经日报》记者表示,在大数据收集的过程中,用户隐私泄露是大数据行业存在的劣势之一。
朱正祥指出隐私的泄露路径是多渠道的,一方面是数据获取的来源,例如采集用户非授权数据,或从非合法渠道获取数据。另一方面则是再数据使用过程中造成数据泄露。采集数据与互联网互联,容易导致数据库被攻破。此外数据管理公司人员流动较大,人为泄露的风险正在逐步加大。但是面对种种风险,目前尚没有明确而严苛的管理制度。
数据脱敏建立统一的规则和标准迫在眉睫,一方面行业层面应该增强数据安全手段,进一步强化数据的分层、分类、防篡改等技术研发,另一方面,相关法律法规建设需加强,当前关于网络安全管理方面的法律法规更多停留在原则性、基础性规范。除数据脱敏保准外,数据共享原则、数据出售标准、数据运用环境等配套规则规范均亟待完善。
(原标题:数据脱敏暂无标准 用户信息安全保障缺失)
