个人信息被盗并不罕见。每周都有窃贼闯入网络,窃取人们的数据,往往一次就能窃取数千万条。大多数情况下,这些信息是实施欺诈所必需的,就像 2015 年发生在Experian和IRS的情况一样。
有时是出于尴尬或胁迫的目的而窃取,如 2015 年 Ashley Madison 和美国人事管理办公室的案例。后者暴露了高度敏感的个人数据,影响了数百万政府雇员的安全,很可能是泄露给了中国人。这些都是我们的个人信息,我们在分享这些信息时期望接收者会保守秘密。而在每一个案例中,他们都没有做到。
电信公司 TalkTalk 承认,其去年的数据泄露事件导致犯罪分子利用客户信息实施诈骗。这对于一家在过去 12 个月内三次遭到黑客攻击的公司来说是个坏消息,该公司已经因丢失客户数据而遭受了一些灾难性的影响,包括 6000 万英镑(约 8300 万美元)的损失和超过 10 万名客户。其股价也受到重创。
人们一直将 2015 年称为数据盗窃年。我不确定去年被盗的个人记录是否多于近年来的其他年份,但肯定是数据被盗大事件频发的一年。我还认为,这一年业界开始意识到数据是一种有毒资产。
“大数据 “一词指的是这样一种观点,即由看似随机的个人数据组成的大型数据库是有价值的。零售商保存着我们的购买习惯。手机公司和应用程序提供商保存着我们的位置信息。
电信运营商、社交网络和许多其他类型的公司都保存着我们与谁交谈、与谁分享东西的信息。数据经纪人会保存他们所能掌握的关于我们的一切信息。这些数据被保存、分析、买卖,并被用于营销和其他说服目的。
由于保存这些数据的成本如此低廉,我们没有理由不尽可能多地保存数据,并永远保存下去。要找出哪些数据不值得保存是很难的。因为有一天公司可能会想出如何把数据变成钱,所以直到最近,保存所有数据都没有任何坏处。这种情况在去年发生了变化。
所有这些数据泄露事件告诉我们,数据是有毒资产,保存数据是危险的。
高度个人化的数据
保存位置数据是危险的,因为它是高度个人化的数据。位置数据揭示了我们的居住地、工作地点以及我们如何度过时间。如果我们都拥有智能手机这样的位置跟踪器,那么相关数据就会显示我们在与谁共度时光,包括与谁共度夜晚。
我们的互联网搜索数据揭示了什么对我们最重要,包括我们的希望、恐惧、欲望和秘密。通信数据揭示了谁是我们的亲密伙伴,以及我们与他们谈论的话题。我还可以继续说下去。我们的阅读习惯,或购买数据,或来自摄像头和健身追踪器等各种传感器的数据:所有这些数据都可能是亲密的。
保存它很危险,因为很多人都想要它。公司当然想要,这也是他们收集信息的初衷。但政府也想要。在美国,国家安全局和联邦调查局使用秘密交易、胁迫、威胁和法律强制来获取数据。外国政府只是进来窃取数据。当拥有个人数据的公司破产时,这些数据就会成为被出售的资产之一。
保存它很危险,因为公司很难保证它的安全。由于种种原因,计算机和网络安全非常困难。攻击者比防御者更有先天优势,只要攻击者有足够的技术、资金和动机,就一定能攻进来。
保存它是危险的,因为如果不能确保它的安全,就会造成损害。它将减少公司的利润,降低市场份额,损害股价,使公司在公众面前难堪,有时还会导致昂贵的诉讼,有时甚至是刑事指控。
所有这些都使数据成为有毒资产,而且只要数据存在于公司的计算机和网络中,它就会继续有毒。数据是脆弱的,公司也是脆弱的。它容易受到黑客和政府的攻击。它容易受到员工错误的影响。一旦发生有毒数据泄漏,数百万人都可能受到影响。2015 年的 Anthem Health 数据泄露事件影响了8000 万人。2013 年 Target 公司数据泄露事件影响1.1 亿人。
这些有毒数据可以在组织数据库中存放很长时间。人事管理办公室被盗的一些数据已有几十年的历史。你知道哪些公司还保留着你最早的电子邮件,或者你在那个现已停用的社交网络上最早发布的帖子吗?
我们为什么要紧紧抓住数据不放?
如果数据是有毒的,为什么组织还要保存它?
原因有三。首先,我们正处于大数据的炒作周期之中。公司和政府仍然对数据如痴如醉,对数据的价值信以为真。研究表明,数据并不一定越多越好,在个性化广告等流程中添加额外数据时,收益会严重递减。
其次,许多组织仍在淡化风险。有些组织根本没有意识到数据泄露的危害有多大。有些企业认为自己完全可以防范数据泄露,或者至少他们的法律和公关团队可以将失败带来的损失降到最低。虽然公司在技术上可以做很多事情来更好地保护他们所掌握的关于我们所有人的数据,但没有比删除数据更好的安全措施了。
最后一个原因是,有些组织了解前两个原因,但还是保存了数据。由风险资本资助的新创公司的文化是极度冒险。这些公司总是缺钱,总是知道自己的死期将至。
它们离盈利还很遥远,生存下去的唯一希望就是获得更多的资金,这意味着它们需要展示快速增长或不断增加的价值。这就促使这些公司冒着更成熟的大公司永远不会冒的风险。它们可能会冒着极大的风险使用我们的数据,甚至蔑视法规,因为它们根本不会有任何损失。而最赚钱的商业模式往往也是最冒险、最危险的模式。
智能解决方案
我们可以比这更聪明。我们需要规范企业在收集、存储、使用、转售和处置等各个阶段对我们的数据所能做的事情。我们可以让企业高管承担个人责任,让他们知道冒险的坏处。我们只需将某些商业行为定为非法,就能让那些涉及大规模监控人们的商业模式不再那么引人注目。
Ashley Madison 数据泄露事件对该公司来说是一场灾难,因为它保存了客户的真实姓名和信用卡号。它本不必这样做。它本可以处理信用卡信息,为用户提供访问权限,然后删除所有身份信息。
可以肯定的是,这将是一家不同的公司。它的收入会减少,因为它不能向用户收取每月的经常性费用。丢失密码的用户在重新登录账户时会遇到更多麻烦。但对客户来说,这样会更安全。
同样,人事管理办公室也没有必要将每个人的信息都存储在网上,而且还可以访问。它可以将旧的记录离线保存,或者至少放到一个有更安全访问控制的独立网络上。是的,做研究的政府雇员无法立即获得这些信息,但它们会更加安全。
数据是有毒资产。我们需要开始这样思考,并像对待其他有毒来源一样对待它。否则,就会危及我们的安全和隐私。
作者:布鲁斯-施奈尔