解讀周鴻祎的用戶信息安全三原則:奇點走向的關鍵是安全

0 評論 7566 瀏覽 1 收藏 11 分鐘

[核心提示] 我們已經來到了信息時代的一個奇點階段,下一步走向的關鍵在哪里?我們應當遵循怎樣的原則讓其走向正確的方向?

“在未來兩三年里,這個情況會變得特別嚴重……一旦再出重大安全事故,那甚至將導致一定程度的社會混亂。如果沒有足夠強大的安全保障,云計算和大數據向未來發展,必將付出慘重的代價?!? 月 21 日,周鴻祎在極客公園奇點大會上表示。

如今網絡安全的形態已經發生了巨大變化。過去,網絡安全影響的,只有你的電腦;而在現在,網絡安全所影響的,是你的電腦、你的手機、你的谷歌眼鏡、你的智能手表,你的家電、你家的智能安防系統、你的汽車,甚至更多更多……

過去,黑客最多知道,你硬盤里存了多少小電影,而現在,他們可以知道你的手機號、你的銀行卡號、你的通訊錄,知道你在哪里,在做什么,喜歡做什么……

用周鴻祎的話來說,中國已經有 10 億互聯網用戶,而未來聯網的智能設備可能是 100 億臺,1000 億臺甚至更多,它們產生的數據會讓所有的人越來越透明。

而現在,一個混亂的情況是,所有人都在采集數據,所有人都在保存數據,所有人都在使用數據,這導致了大量的混亂與危機潛伏。

這就是雷·庫茲韋爾所預言的“奇點臨近”:當人類文明經過這么多年發展,在本世紀的中葉會經過奇點。奇點是一個拐點,人類文明可能會進入一個分岔,可能會進入一個新的文明高度,也可能會急轉直下,人類就此滅亡。

決定這個方向的關鍵,正是安全,而安全的核心,則是信息的安全。

周鴻祎的定義未必絕對準確,也未必絕對全面,但至少,走在正確的方向上。

下面,讓我們再回看一下,周鴻祎的發言原文:

我們所有的互聯網從業者都要考慮一下,如何在憧憬大數據產生商業效益的時候,也考慮一下如何更好的保護用戶信息這個問題。當年阿西莫夫在很多科幻小中提出了著名的機器人三原則,就是為了防范機器人取代人類等安全問題。

那么現在,我認為也需要在大數據來臨的時候,大家一起拋棄門戶之間,攜手共同制定一個用戶信息安全三原則,來自我約束,自我監督。

第一,用戶的信息是用戶的個人資產。很多互聯網大公司可能比較抵制我這個觀點,因為互聯網大公司在用戶協議里說:因為用戶號碼是我給的,所以用戶是我的,用戶的好友列表也是我的,用戶產生的內容也是我的。但是,它又發表一個免責聲明,說用戶產生的任何法律問題,都與自己無關。先不說這種自相矛盾的邏輯,我的觀點是,用戶使用廠商的服務產生的信息,是屬于用戶自己的個人資產。用戶使用各種設備、各種軟件產生的數據,雖然存儲在廠商的服務器上,但是從所有權方面講,它應該明確地屬于用戶,是用戶的財產。

解讀:從該原則出發的話,可以假設這樣一個場景。一旦用戶將自己在某個網站上的帳戶注銷,那么此網站就有義務將該用戶的所有相關信息清除掉,因為用戶擁有對自己財產的完全處理權。如果在此之后此網站仍在向用戶發送信息或郵件,或是因網站被黑客攻擊導致此前已注銷帳戶的用戶的信息泄露,就可以判定其并未履行清除用戶資料的責任。說的再嚴重些,這是對用戶財產權的非法占有。

所以這項原則不僅限于商業和技術范疇,更會上升到法理層面。如果用戶存儲在廠商服務器上的數據被法律確認為合法個人資產的話,那么像“用戶死亡后 QQ 號怎么處理”之類的問題就有了能夠參照的文本。

二是平等交換的原則。在大數據時代,通過云端的數據交換,廠商為用戶提供服務。只要用戶使用了廠商的服務,就會有相關的數據產生。你用微信的時候,為了匹配朋友,你的地址本自然要上傳。為了與朋友聊天,你的聊天記錄自然會保存在廠商的服務器上。但是,用戶的信息和廠商之間,應該遵循平等交換的原則。什么叫平等交換?用戶享受服務,廠商獲取信息,但在這個過程中,用戶要有知情權,廠商要得到用戶授權才能使用用戶信息,也就是說,用戶要有選擇權,有拒絕權。

舉個例子,如果是一個類似大眾點評這樣的應用,因為要根據用戶的地點給他找飯館,自然它需要用戶的位置信息,我認為這是合理的。這就是平等交換。但如果是一個小說閱讀軟件,也要獲取用戶的位置信息,我認為這個服務就不再是一個平等的交換,實際上它要了不該要的東西。平等交換原則也符合《消費者權益保護法》的基本原則,就是消費者要有知情權、選擇權。

解讀:其實該原則已經在 iOS 和 Windows 的 UAC 中得以體現,系統會對軟件所申請的權限進行必要性和安全性判斷,然后讓用戶來選擇是否賦權。但是在 Android 這樣的系統里,動輒十幾條用戶很難看懂的權限描述,所以像 360 手機衛士、LBE 之類的手機安全軟件都將權限管理作為重點功能。

一旦該原則成立,可以說現有的很多移動互聯網服務的合法性都將受到拷問。就像周鴻祎所舉的例子,某些應用獲取看似不相關的權限,如位置信息,其實是為了推送其它增值服務。如果按照平等交換原則進行檢查的話,很多現有服務將面臨極大的「用戶同意」成本(比如小說軟件需要獲取位置,有的用戶同意有的不同意,那么該軟件到底該怎么設定權限;同時也不能指望所有用戶都對這些權限背后的含義有所了解)。

這里也可以看出 360 未來在安全領域可能會進行的戰略舉措:正因為「用戶同意」成本高居不下,360 將代替用戶履行監控職能。360 體系下的安全產品會對市場上的各類軟件應用進行檢測,這些軟件不得不主動向 360 提交自己的權限需求以免于被查殺。

(當然很多人肯定也會說,別的軟件都跟用戶平等交換了,360 自己會嗎?)

三是安全處理原則。有的人認為安全就是互聯網安全公司干的事,就是殺毒軟件的事,我覺得這個觀點是錯的。任何一家互聯網公司,包括現在做可穿戴硬件的公司,都會變成一個互聯網服務公司,用戶會使用這些硬件產生大量的數據。所以,任何一家互聯網公司都有責任保護用戶信息的安全,要在云端對用戶數據進行足夠強度的加密,包括安全存儲和安全傳輸。

只有用戶覺得自己的信息是安全的,用戶放心,他們才會更大膽地去嘗試各種新的互聯網服務。如果像大家每天在網上看到的,都是你說我的支付不安全,我說你的紅包有危險。最后的結果是什么?很多人會說,反正在網上用手機支付不安全,那我就不用了。如果是這樣,互聯網想繁榮,我覺得是不可能的。

解讀:正如本文開頭所說的,如今的互聯網安全形勢已經發生根本性變化,攻擊者對個人用戶不再感興趣,而是把目標對準了擁有海量信息的公司和廠商。雖然周鴻祎并沒有明確說出,單從他對安全處理原則的表述中可以看出,對于公司泄露用戶數據的事件,應當通過法律手段進行懲罰和制裁。

從實際情況來看,尤其是在中國,廠商因自身安全措施不到位導致用戶信息泄露,往往只是道歉、聲明了事,很多因此受到波及的用戶并沒有獲得相應的賠償。也就是說,當廠商發生安全過失,不僅要承受來自用戶和輿論的譴責,法律懲罰亦不可缺席。這將倒逼互聯網公司全面重視用戶數據的安全問題。

其實周鴻祎所提的用戶信息安全三原則早已有之,只不過在云計算、云存儲、大數據等技術開始廣泛運用的今天,這些原則背后所體現的問題越來越暴露出來,并且已經多次產生不利影響,曾經的危言聳聽正在逐漸變為現實。互聯網空間在深度融入世界的同時,也應該像傳統行業那樣經歷法律和倫理的拷問,這樣才能讓信息時代的「奇點」階段向正確的方向前行。

轉自:極客公園

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
師妹
美女PM,愛生活,愛微笑
212篇作品 4456531總閱讀量
05-124274 瀏覽
ChatGPT應用爆火,安全的大數據底座何處尋?
08-016095 瀏覽
聊聊如何設計SCRM的公海
05-302687 瀏覽
無人駕駛,走向沉寂or走進現實?
02-0814973 瀏覽
華為供應鏈體系 | 供應鏈管理:ISC流程體系詳解
07-1011013 瀏覽
好玩的B端組件 | 選擇器
評論
評論請登錄
  1. 目前還沒評論,等你發揮!