解读周鸿祎的用户信息安全三原则:奇点走向的关键是安全
[核心提示] 我们已经来到了信息时代的一个奇点阶段,下一步走向的关键在哪里?我们应当遵循怎样的原则让其走向正确的方向?
“在未来两三年里,这个情况会变得特别严重……一旦再出重大安全事故,那甚至将导致一定程度的社会混乱。如果没有足够强大的安全保障,云计算和大数据向未来发展,必将付出惨重的代价。”4 月 21 日,周鸿祎在极客公园奇点大会上表示。
如今网络安全的形态已经发生了巨大变化。过去,网络安全影响的,只有你的电脑;而在现在,网络安全所影响的,是你的电脑、你的手机、你的谷歌眼镜、你的智能手表,你的家电、你家的智能安防系统、你的汽车,甚至更多更多……
过去,黑客最多知道,你硬盘里存了多少小电影,而现在,他们可以知道你的手机号、你的银行卡号、你的通讯录,知道你在哪里,在做什么,喜欢做什么……
用周鸿祎的话来说,中国已经有 10 亿互联网用户,而未来联网的智能设备可能是 100 亿台,1000 亿台甚至更多,它们产生的数据会让所有的人越来越透明。
而现在,一个混乱的情况是,所有人都在采集数据,所有人都在保存数据,所有人都在使用数据,这导致了大量的混乱与危机潜伏。
这就是雷·库兹韦尔所预言的“奇点临近”:当人类文明经过这么多年发展,在本世纪的中叶会经过奇点。奇点是一个拐点,人类文明可能会进入一个分岔,可能会进入一个新的文明高度,也可能会急转直下,人类就此灭亡。
决定这个方向的关键,正是安全,而安全的核心,则是信息的安全。
周鸿祎的定义未必绝对准确,也未必绝对全面,但至少,走在正确的方向上。
下面,让我们再回看一下,周鸿祎的发言原文:
我们所有的互联网从业者都要考虑一下,如何在憧憬大数据产生商业效益的时候,也考虑一下如何更好的保护用户信息这个问题。当年阿西莫夫在很多科幻小中提出了著名的机器人三原则,就是为了防范机器人取代人类等安全问题。
那么现在,我认为也需要在大数据来临的时候,大家一起抛弃门户之间,携手共同制定一个用户信息安全三原则,来自我约束,自我监督。
第一,用户的信息是用户的个人资产。很多互联网大公司可能比较抵制我这个观点,因为互联网大公司在用户协议里说:因为用户号码是我给的,所以用户是我的,用户的好友列表也是我的,用户产生的内容也是我的。但是,它又发表一个免责声明,说用户产生的任何法律问题,都与自己无关。先不说这种自相矛盾的逻辑,我的观点是,用户使用厂商的服务产生的信息,是属于用户自己的个人资产。用户使用各种设备、各种软件产生的数据,虽然存储在厂商的服务器上,但是从所有权方面讲,它应该明确地属于用户,是用户的财产。
解读:从该原则出发的话,可以假设这样一个场景。一旦用户将自己在某个网站上的帐户注销,那么此网站就有义务将该用户的所有相关信息清除掉,因为用户拥有对自己财产的完全处理权。如果在此之后此网站仍在向用户发送信息或邮件,或是因网站被黑客攻击导致此前已注销帐户的用户的信息泄露,就可以判定其并未履行清除用户资料的责任。说的再严重些,这是对用户财产权的非法占有。
所以这项原则不仅限于商业和技术范畴,更会上升到法理层面。如果用户存储在厂商服务器上的数据被法律确认为合法个人资产的话,那么像“用户死亡后 QQ 号怎么处理”之类的问题就有了能够参照的文本。
二是平等交换的原则。在大数据时代,通过云端的数据交换,厂商为用户提供服务。只要用户使用了厂商的服务,就会有相关的数据产生。你用微信的时候,为了匹配朋友,你的地址本自然要上传。为了与朋友聊天,你的聊天记录自然会保存在厂商的服务器上。但是,用户的信息和厂商之间,应该遵循平等交换的原则。什么叫平等交换?用户享受服务,厂商获取信息,但在这个过程中,用户要有知情权,厂商要得到用户授权才能使用用户信息,也就是说,用户要有选择权,有拒绝权。
举个例子,如果是一个类似大众点评这样的应用,因为要根据用户的地点给他找饭馆,自然它需要用户的位置信息,我认为这是合理的。这就是平等交换。但如果是一个小说阅读软件,也要获取用户的位置信息,我认为这个服务就不再是一个平等的交换,实际上它要了不该要的东西。平等交换原则也符合《消费者权益保护法》的基本原则,就是消费者要有知情权、选择权。
解读:其实该原则已经在 iOS 和 Windows 的 UAC 中得以体现,系统会对软件所申请的权限进行必要性和安全性判断,然后让用户来选择是否赋权。但是在 Android 这样的系统里,动辄十几条用户很难看懂的权限描述,所以像 360 手机卫士、LBE 之类的手机安全软件都将权限管理作为重点功能。
一旦该原则成立,可以说现有的很多移动互联网服务的合法性都将受到拷问。就像周鸿祎所举的例子,某些应用获取看似不相关的权限,如位置信息,其实是为了推送其它增值服务。如果按照平等交换原则进行检查的话,很多现有服务将面临极大的「用户同意」成本(比如小说软件需要获取位置,有的用户同意有的不同意,那么该软件到底该怎么设定权限;同时也不能指望所有用户都对这些权限背后的含义有所了解)。
这里也可以看出 360 未来在安全领域可能会进行的战略举措:正因为「用户同意」成本高居不下,360 将代替用户履行监控职能。360 体系下的安全产品会对市场上的各类软件应用进行检测,这些软件不得不主动向 360 提交自己的权限需求以免于被查杀。
(当然很多人肯定也会说,别的软件都跟用户平等交换了,360 自己会吗?)
三是安全处理原则。有的人认为安全就是互联网安全公司干的事,就是杀毒软件的事,我觉得这个观点是错的。任何一家互联网公司,包括现在做可穿戴硬件的公司,都会变成一个互联网服务公司,用户会使用这些硬件产生大量的数据。所以,任何一家互联网公司都有责任保护用户信息的安全,要在云端对用户数据进行足够强度的加密,包括安全存储和安全传输。
只有用户觉得自己的信息是安全的,用户放心,他们才会更大胆地去尝试各种新的互联网服务。如果像大家每天在网上看到的,都是你说我的支付不安全,我说你的红包有危险。最后的结果是什么?很多人会说,反正在网上用手机支付不安全,那我就不用了。如果是这样,互联网想繁荣,我觉得是不可能的。
解读:正如本文开头所说的,如今的互联网安全形势已经发生根本性变化,攻击者对个人用户不再感兴趣,而是把目标对准了拥有海量信息的公司和厂商。虽然周鸿祎并没有明确说出,单从他对安全处理原则的表述中可以看出,对于公司泄露用户数据的事件,应当通过法律手段进行惩罚和制裁。
从实际情况来看,尤其是在中国,厂商因自身安全措施不到位导致用户信息泄露,往往只是道歉、声明了事,很多因此受到波及的用户并没有获得相应的赔偿。也就是说,当厂商发生安全过失,不仅要承受来自用户和舆论的谴责,法律惩罚亦不可缺席。这将倒逼互联网公司全面重视用户数据的安全问题。
其实周鸿祎所提的用户信息安全三原则早已有之,只不过在云计算、云存储、大数据等技术开始广泛运用的今天,这些原则背后所体现的问题越来越暴露出来,并且已经多次产生不利影响,曾经的危言耸听正在逐渐变为现实。互联网空间在深度融入世界的同时,也应该像传统行业那样经历法律和伦理的拷问,这样才能让信息时代的「奇点」阶段向正确的方向前行。
转自:极客公园
- 目前还没评论,等你发挥!