網(wǎng)盤泄密與大數(shù)據(jù)時(shí)代的安全準(zhǔn)則

不留神就“被裸奔”，這是部分網(wǎng)友由近期頗受關(guān)注的“網(wǎng)盤泄密事件”生發(fā)的感慨。日前有報(bào)道稱，通過(guò)第三方網(wǎng)盤搜索引擎能查詢到百度網(wǎng)盤用戶的大量照片、通訊錄，甚至不乏政府、高校及公司內(nèi)部文件等隱私內(nèi)容，且大量信息都可以隨意瀏覽、下載。而百度方面解釋稱，用戶在選擇把數(shù)據(jù)上傳在百度網(wǎng)盤后，不進(jìn)行公開(kāi)分享，絕不會(huì)被他人看到，創(chuàng)建加密分享，文件也絕不會(huì)被搜到，且在百度網(wǎng)盤的用戶協(xié)議中“隱私保護(hù)”部分也有相關(guān)提示，呼吁用戶在分享設(shè)置時(shí)選擇“加密”。

看來(lái)這次是用戶因缺乏安全意識(shí)而“自擺烏龍”了。不過(guò)，當(dāng)真如此？從功能上說(shuō)，網(wǎng)盤與電子郵箱、網(wǎng)絡(luò)相冊(cè)一樣，都是時(shí)下頗為流行的互聯(lián)網(wǎng)“云存儲(chǔ)”的一部分。用戶在使用這些云存儲(chǔ)功能時(shí)沒(méi)有加密，或因密碼設(shè)置簡(jiǎn)單被破解，自然應(yīng)該承擔(dān)相應(yīng)后果，但倘若把責(zé)任一股腦推向用戶，至少說(shuō)明一些服務(wù)商還缺乏足夠的用戶服務(wù)意識(shí)。早前，一些網(wǎng)絡(luò)平臺(tái)的用戶信息被人用“撞庫(kù)”的方式破解、倒賣，固然有部分用戶賬號(hào)密碼過(guò)于簡(jiǎn)單且“全網(wǎng)通用”的因素，但與一些平臺(tái)對(duì)用戶信息未給予加密存儲(chǔ)也有很大關(guān)系。以此觀照現(xiàn)在的“網(wǎng)盤泄密事件”，防范職責(zé)似乎都指向了用戶，然而如果進(jìn)一步探究，還應(yīng)該有相關(guān)服務(wù)提供商如何建立安全規(guī)則和守護(hù)用戶信息安全的問(wèn)題。比如，相比于對(duì)上傳文件的默認(rèn)公開(kāi)，百度網(wǎng)盤完全可以改為默認(rèn)不公開(kāi)，一個(gè)簡(jiǎn)單的規(guī)則變化，就能盡量幫助那些“小白”用戶減少安全隱患。

此次事件中，另一個(gè)尚未引起足夠關(guān)注的，是第三方搜索所暴露的“數(shù)據(jù)分享和使用權(quán)”問(wèn)題。生活在今天這樣一個(gè)大數(shù)據(jù)時(shí)代，“云存儲(chǔ)”對(duì)分散數(shù)據(jù)的匯聚和流動(dòng)起到了很大的推動(dòng)作用。雖然處在激烈行業(yè)競(jìng)爭(zhēng)格局下，各大服務(wù)商都會(huì)宣稱“對(duì)用戶負(fù)責(zé)”“絕對(duì)安全”，然而與防范第三方技術(shù)侵入竊取這些用戶信息同樣重要的，是服務(wù)商管理和使用這些用戶隱私的準(zhǔn)則。在這方面，前幾年美國(guó)政府要求微軟交出海外存儲(chǔ)器數(shù)據(jù)事件，就非常典型。再舉一個(gè)簡(jiǎn)單的個(gè)人例子，前不久筆者為騰挪手機(jī)存儲(chǔ)空間，將一些網(wǎng)絡(luò)截圖素材上傳到某網(wǎng)絡(luò)相冊(cè)，并選擇了“僅自己可見(jiàn)”，結(jié)果其中一張某地把“扶貧”錯(cuò)印成“扶貪”的宣傳標(biāo)語(yǔ)照片，上傳后被系統(tǒng)自動(dòng)屏蔽。那么，是什么賦予了服務(wù)商后臺(tái)掃描用戶照片的權(quán)力？類似需要追問(wèn)的是，百度網(wǎng)盤將用戶上傳的文件開(kāi)放給第三方搜索引擎，是否涉嫌侵犯了用戶的信息所有權(quán)？又該依據(jù)什么樣的準(zhǔn)則開(kāi)放？

由此不難看出，較之服務(wù)商們拼盡實(shí)力在技術(shù)上構(gòu)建“云存儲(chǔ)”的銅墻鐵壁，更亟待引起高度關(guān)注的是面向所有人的安全準(zhǔn)則，這是一個(gè)涉及技術(shù)倫理、商業(yè)倫理和法律規(guī)則的綜合性難題。對(duì)整個(gè)社會(huì)來(lái)說(shuō)，信息、數(shù)據(jù)只有通過(guò)開(kāi)放共享、不斷流動(dòng)才能創(chuàng)造更大價(jià)值，但對(duì)個(gè)人來(lái)說(shuō)，這些信息和數(shù)據(jù)一旦綜合起來(lái)就具有識(shí)別功能，會(huì)暴露乃至侵犯?jìng)€(gè)人的隱私等。因此，從建立大數(shù)據(jù)時(shí)代的安全準(zhǔn)則角度，必須強(qiáng)化對(duì)數(shù)據(jù)的合規(guī)管理，即必須在滿足用戶知情權(quán)的前提下，合法收集和使用信息。涉及前者，不僅要經(jīng)由用戶同意，還應(yīng)該突出將所有的默認(rèn)許可，轉(zhuǎn)為默認(rèn)不許可，并說(shuō)明收集信息的用途、警示風(fēng)險(xiǎn)，盡最大限度約束收集者；涉及后者，則應(yīng)該強(qiáng)化使用的合法性審查，即不僅要在前提上看有沒(méi)有經(jīng)過(guò)用戶同意，還要從后果上評(píng)估其使用這些信息數(shù)據(jù)時(shí)是否侵犯了用戶的合法權(quán)益。如是，用戶才不至于在這個(gè)虛擬的數(shù)字世界里“被裸奔”。