4月25日,據外媒報道,美國當地時間週五,社交網絡巨頭Facebook發佈官方消息,證實在對劍橋分析公司(Cambridge Analytica)濫用數據醜聞進行了漫長的調查後,聯邦法院正式批准了該公司2019年7月與美國聯邦貿易委員會(FTC)達成的和解協議,認罰50億美元。FTC稱這筆罰款額度創造了“史無前例的紀錄”。
此次Facebook數據洩露事件,涉及5000萬條用戶個人信息,那是否50億美元與5000萬用戶的價值是對等的呢?雖然洩漏的是數據本身,但是此數據洩露事件產生的負面影響是巨大的,已經演變成重大的個人隱私洩露事件、經濟事件、政治事件,事件影響難以用金錢衡量。隨著互聯網的發展,大量的敏感數據在諸如Facebook等超級平臺上積累,如果超級平臺對於用戶信息分享和加工使用缺乏嚴謹細緻的數據管理策略和有效的數據安全監管手段,就會被別有用心的人與團伙非法利用,從而導致侵害個人隱私、威脅個人生命財產安全甚至國家安全的重大數據洩露事件。
數據的價值不能簡單的量化,可以分為直接價值和間接價值兩方面。近些年來層出不窮的數據洩露事件可以作為參考,例如某服務公司在網絡上銷售涉及2億餘條數據,獲利2000餘萬元;某酒店集團1.3億人的個人信息及開房記錄在暗網以37萬元被售賣等,直接價值可在一定程度上參考非法交易價格。但間接價值無法定義,被罰50億美元雖然是一個龐大的數字, 但是與影響美國大選、Facebook市值蒸發幾百億美元的結果相比較,也就不顯得突兀了。可見,數據的間接價值可能遠遠高於直接價值。
近年來,互聯網業務在迅速發展的同時,隨之而來的是數據被大量的濫用、盜用,而當前沒有合適的數據安全監管手段。2020年4月9日,中共中央、國務院印發《關於構建更加完善的要素市場化配置體制機制的意見》(簡稱《意見》),數據作為一種新型生產要素被納入其中,與土地、勞動力、資本、技術等共同構成此次要素市場化改革的重要組成部分。由此表明,國家承認了市場機制中數據的重要性角色與價值,並推動數據在產生層面、在數據源頭的進一步嚴格確權,逐步提升對數據的監管及防護。
天融信作為國內領先的網絡安全廠商,也在一直探索數據安全監管方面的能力。天融信認為數據安全監管將在未來幾年成為各行業重點關注的方向。依據數據屬性、監管角度、監管單位的不同分為對內監管及對外監管兩部分,對內監管屬於企事業單位內部監管,應以數據視角對整個數據生命週期過程進行監管,包含數據資產分佈、數據安全風險分析、業務數據流嚮導圖、安全能力賦能等。對外監管則由行業監管單位負責監管,應以合規要求和相關標準為基準,制定數據安全監管的策略,通過定期巡檢、適度掃描以及用戶上報的方式發現被監管方存在的數據安全風險及問題。
目前天融信已經參與多個行業監管機構的標準及策略的制定,期待能夠協助更多的行業監管機構制定數據安全相關的監管規範和能力建設要求。
