保障数据安全 不只需要技术和业界良心(组图)

复旦大学国际政治系副教授 沈逸复旦大学国际政治系副教授 沈逸
有关苹果支付的话题,在经历初期的热闹之后,逐渐走向沉淀。撇开炒作的喧嚣与好奇的泡沫,需要静心思考的问题就是如何在一个万物互联的时代有效保障数据安全的问题。与前互联网时代有关隐私保障的问题不同,今天需要保障的数据,是人们“自愿”交出的用于交换各种便捷服务(如苹果支付等)的数据,这种“自愿”有时是半自觉的,有时是不自觉的,有时则是没有选择的。包括苹果支付在内,相关应用在使用时都会有使用条款说明,都会有各种权限说明,但对于所有用户来说,除了点击同意之外,就是点击拒绝,没有第三种选项可以选。

从目前的实践看,以苹果支付为例,相关讨论中发现,已有的两种最主要的保障数据安全的工具,一是技术,一是业界良心:

所谓技术,以苹果手机内置Secure Enclave技术为典型代表。强调技术保障数据安全的,会明确的指出,基于SE的结构,基于AES算法的加密,基于银联的令牌加密系统,基于商家的加密系统,各种相关的安全技术,足以保证苹果支付的安全。至于业界良心,指的是商业市场的信誉以及某种被默认的游戏规则,潜台词是默认苹果公司“不作恶”,“不敢冒天下之大不韪”,“无数雪亮的群众眼睛盯着苹果公司,后果很严重”。等等,凡此种种,不一而足。当然,苹果公司在美国力抗联邦调查局要求的表现,为业界良心提供了最新的注脚。

那么问题来了,真的够了么?

简单的回答是,够了,以及还不够,或者说远远不够。

所谓够了,是对个人的数据安全而言,是对防范网络犯罪组织的攻击而言,技术和业界良心提供的安全保障,在苹果支付这个案例上,整体而言,还是令人满意的。普通程度的网络攻击,不借助社会工程套取密码或者使用《碟中谍》以及“007”系列中的情报手段,估计要和SE等技术对抗,难度相当大。

所谓还不够或者说远远不够,则是从更加广义的国家数据安全层面来看,实话实说,技术和业界良心在保障国家数据安全面前,恐怕还不够。这里需要特别指出的,就是对苹果在美国力抗联邦调查局要求的理解。美国的案例,无论是苹果公司的,还是此前微软公司抵制美国政府国家安全传票的案例,都有具体的场景:相关信息、数据来自或者属于美国公民,美国政府和美国公司依据美国法律,对特定数据和信息的管辖权展开博弈。美国的法律保障美国的公民,这是天经地义的事情,但正如美国前中情局局长海登说过的,美国宪法第四修正案不保护外国公民,只保护美国公民。现在需要担心的数据安全场景是:相关非美国公民的数据、信息,存储于美国公司的服务器,这个服务器可能位于世界任何一个地点,这些信息、数据如何进行有效管辖。

在苹果支付这个具体案例上,需要区分的具体应用层级的安全场景,根据购买方式,分为:用苹果支付在pos机进行线下支付;用苹果支付在线购买非苹果公司提供的商品或者服务;用苹果支付在苹果公司的app store里购买产品。在这些场景中的数据流动,各不相同,带来的威胁、冲击和挑战,也各不相同。如何保证关键数据如承诺的那样运行,比如关键数据不离开SE,通道不存储交易信息,相关数据存储在位于中国的服务器之后不会被棱镜系统之类的监控,这些问题,坦率地说,远远不是技术和业界良心所能简单支撑和保证的。

有关苹果支付的讨论仅仅只是一个小的缩影,在中国,讨论折射的是对数据安全的认识,是有关国家网络安全的战略认知和观念。作为一种成本,市场经济中的理性行为体,比如各种金融机构,并不愿意全面承担保障数据安全,尤其是国家安全框架下的数据安全的责任。强调技术和业界良心的重要性,是一种比较有情怀和格调的替代方式,尽管使用的代价可能是潜在的威胁国家数据安全,但却无关对利润和利益的追求。

能够有效作为保障国家数据安全的,只有国家;在技术和业界良心之外,供给有效的制度、法律、政策,提升国家网络安全检测能力,承担相应的成本,才能补上保障数据安全的短板,让人真正安全、放心的使用包括苹果支付在内的各种信息时代的创新产品。(编辑 张立伟)

保障数据安全 不只需要技术和业界良心
作者:沈逸
已邀请:

要回复问题请先登录注册