360副总裁谭晓生:云计算和大数据发展中安全和隐私保护
|
360副总裁谭晓生 ”最近不断有泄密的事情,我们有更大的担心就是如果我们的服务器使用公有云的服务器,这个数据都在云里,他会不会偷看我,我们网络都要经过公有云,这个数据有没有可能被恶意的使用。“ 谭晓生现场讲话 实录: 原来打算讲网络安全,后来看是数据,我就讲讲数据安全和数据的隐私问题。讲到大数据,首先想到云计算。最近不断有泄密的事情,我们有更大的担心就是如果我们的服务器使用公有云的服务器,这个数据都在云里,他会不会偷看我,我们网络都要经过公有云,这个数据有没有可能被恶意的使用。还有云服务商,万一哪天它亏欠倒闭了怎么办?我这些数据转移起来是不是非常困难。如果现在玩大数据,这些数据通过网络传输很困难,甚至这个数据是半年产生的,你可能还要花很长时间把它传走,这种情况下都是问题。还有通过大数据分析几乎可以知道我们的一切信息。 其实,对云服务商的职业的问题的解决是几个,第一、宁可看两个魔鬼跳双人舞,也不要看一个天使跳单人舞。还有共同制定云服务的规范,第三、有第三方的监督审计的产品,以及推动产业的法规出台。我们依然要呼吁相应的法律的出台。对于云安全要有相互防护软件的开发,这个还是处于初级阶段,和过去企业的防御,以及个人终端的防御来说,云的安全防御目前还是处于相当初级的阶段。今年开始,有基于云服务的位置威胁的法律有出台,比如我们做的天眼,这种东西其实都是说要主动的发现我过去还不知道的东西,这种攻击手段是新的,但是通过技术手段也能够检测到,知道被攻击了,再分析被用什么方式供给。以及今年提的一个概念,就是由大数据的方法对抗这个领域。对于云服务商的服务延续性的问题,其实亚马逊在美国有先例,比如美国的亚马逊有一个大客户是一个非常著名的网上视频的,它是买亚马逊的,如果说亚马逊哪天不给它提供服务怎么办?实际它们之间会签署一些特殊的协议,如果哪天出于什么什么样的原因,它可以怎么处理这些资产。还有其实这里面也是一个新的对保险业的机会,将来可能大家用云服务还捎带的买保险。 说到个人隐私问题来说,中国差不多有40部法律都涉及到关于个人信息泄露的问题,但是法律里面就一两句话,非常难以真正的保护用户隐私,执法方面的操作余地很大。刑法修整案(七)确定出售非法提供公民个人信息贵,以及非法获取公民个人信息罪,首次将公民个人信息纳入刑法保护范围,就是要追究泄密、泄露和出售隐私信息的责任。去年年底全国人大常委会出台了《关于加强网络信息保护的决定》,但是没有规定的很细。这是今年开始生效的一个指导的国家标准,这个是GB/Z,这是一个指导性的文件,它第一个是界定了个人信息是什么,个人信息是可为信息系统所处理,与特定自然人相关,能够单独或者通过与其他信息结合识别该特定自然人的计算机数据。这里面有八大原则,其实这个指导性的国家标准是一个非常好的标准,只是目前它的指导性不够强。但是,真正在比如云服务的厂商,或者互联网服务的厂商是可以好好的看一看,它的八大原则,第一条目的明确,就是这个信息干什么用?必须要有非常清晰的目的,就是你收集这些信息,使用这些信息要和你的业务相关。第二、最少够用原则,就是你需要什么信息,不要更多的。比如在互联网网站上面,有没有房子,有没有车子,年龄多大,这些问题都是合理的,如果到一个购物网站,非比如到京东,非要问你有没有房子和车子,年龄多大,其实这些是不行的。第三、公开告知原则,你要收集公开用户的信息,用户要明确的知道。第四、个人同意原则,你告诉用户了,用户必须明显的告诉你,我同意,你才可以收集信息。第五、质量保证原则,就是你收集的信息很多有错误,用户是否可以修改,如果你把用户的信息收集错了,我是不是投诉无门。第六、安全保障原则,就是你收了这些信息,你就得保证这些信息的安全。其实在中国的大的互联网网站也是屡屡出现脱库的事件,出现这种事情其实就没有履行好它的数据保护。这种情况其实就应该承担相应的责任。第七、诚信履行原则,就是你收集的时候是怎么说的,后面就怎么做。而不是收集的时候说自己用,回头又卖了。第八、责任明确原则,在整个的信息处理过程中间的责任要采取相关的措施。 如果回过头,我们把这八大原则理一理,其实是什么?收集信息必须和你的业务相关,你是干什么业务的,你要什么信息,这个你有需要,还得经过用户的同意,用户如果不同意,你可以拒绝给他提供服务,这是你作为服务提供商的权利,但是你必须要明确告诉用户,并且是经过用户的同意。把信息收集到之后,原来说干什么用就干什么用,哪怕说你把信息专卖,如果经过用户同意了,专卖它也是合法,但是如果你没有经过用户同意,把信息交给第三方去用,这就出现问题了。还有信息你拿过来,就要妥善的保护,用户如果要改,他能够改,这种规定如果说严格执行,它会让信息本身变成一个烫手山芋,你是不是有足够的安全保护措施,你的网站是不是做到别人无法入侵等等,这是非常好的一个原则。 今年工信部又在做电信和互联网用户个人信息保护的规定,从最近可以看到各个主管部门对用户隐私信息保护有非常大的重视。什么是隐私?隐私是什么东西?是不是涉及到我的姓名、身份证号,我的生日、收入、房子、车子等等这些都是属于隐私信息呢?其实在中国的老百姓,一般来说,你的信息,说你的隐私被偷了,其实什么东西是你的隐私?真正知道的人并不是很多。这是美国白宫今年2月份有一个消费数据在网络世界中用户的数据保护这样一个东西,其实这里边来说,隐私权一是种权利,这种权利是我要独立的生活,我要孤独的生活,我有这种权利,假如不希望别人知道我是谁,也不希望别人知道我是谁,我要能做到。如果他无法做到这一点,他想行使这个权利的时候就侵犯了隐私权,但是不是强迫所有人都孤独1生活。但是,现在的网络社会里面对过去的隐私权有了更大的拓展,还包括商务信息、政治信息、健康信息,财经信息等等这些东西,这些信息你要进行保护,是为了他受到一个公平的待遇。比如说我的健康信息,比如有人有乙肝,咱们国家说你不能因为乙肝歧视一个员工,但是如果你在面试之前就能查到这个人有乙肝,我可能就筛选掉了,这个人就受到不公平的对待。隐私是一种权利,咱们一提到个人信息,往往和隐私统一为一体。 (编辑:佛山站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
