大数据时代，距离“数字裸奔”还有多远？

图片来源@视觉中国

文 | 锌财经，作者 | 陈妍，编辑 | 大风

在大数据时代，人人都有可能“数字裸奔”。

前些日子，特斯拉传出数据安全问题的丑闻。一位特斯拉举报者向德国媒体提供了100GB的机密数据，泄密文件显示，特斯拉在自动驾驶技术方面存在的问题比想象中更为严重，涉及数千例客户投诉信息。

这些数据里还包含了10万名离职和在职员工的姓名，以及私人电子邮件地址、电话号码、员工工资、客户的银行信息、生产过程中的秘密信息等私密资料，甚至还有特斯拉CEO埃隆·马斯克的社保号码。

报道称，特斯拉内部数据泄露的行为违反了欧盟《通用数据保护条例》，有可能会被处以其年销售额4%的罚款，高达32.6亿欧元。为此，特斯拉律师回应，一名“心怀不满的前雇员”滥用了作为服务技术人员的权限，并表示，公司将对涉嫌泄密者采取法律行动。

特斯拉事件不过是冰山一角。数据已经成为这个时代最核心、最具价值的资产之一，正深刻地改变人类的生产和生活方式。但同时，全球每年都会出现大量有关数据泄露、非法交易、过度滥用等安全事件，牵动整个社会的神经。

近些年，随着数据安全相关政策的陆续出台，越来越多企业也把保护数据资产一事提上日程。但想要真正实现数据安全保障，需要做的事还有很多。

数据被“偷”，比想象中更容易

回到问题的最开始，数据是怎么泄露出去的？

锌财经为此接触到国内专注于数据安全的高科技企业卫达云计算CEO马浩宁，了解到，大规模的数据泄露可能是多种原因造成的。从内因来看，有可能是企业管理者对信息安全不够重视，比较集中出现的情况是，企业许多废旧设备不当处理，造成数据外泄。

以往许多企业处理废旧设备有“两板斧”，一是格式化，二是暴力拆卸，但这两种方式其实都做不到安全。马浩宁解释道，“很多人不知道，格式化是存在数据恢复可能性的，今年315晚会上还专门做了这个专题，证实了恢复出厂设置也不一定能彻底清除手机数据。”

至于物理方式处理废旧设备，无外乎就是消磁、打孔，或者用外力将其粉碎。但这样一来，一是会造成环境污染，二是如果销毁不彻底，同样可以恢复数据。“举个例子，如果一块硬盘碎成几块，那这个硬盘块就有可能通过科技的方式将其数据还原。”马浩宁说道。

同时，一些企业员工的保密意识不强，将企业核心数据通过邮件附件、在线聊天、USB存储设备等形式泄露出去。也存在内部员工恶意泄密的情况，这往往会和商业行为结合起来，有可能是同行找来的“内鬼”作祟。

从外部原因来讲，基本上就和黑客相关。不法人员通过技术手段入侵公司内网窃取信息数据。随着信息技术的快速迭代，违法获得数据的门槛也在相应降低，尤其是近几年“爬虫”技术的广泛应用，给了不法人员更多可趁之机。

事实上，目前的数据安全问题远比想象中严重，《2023年Q1数据资产泄露分析报告》数据显示，今年Q1发生近1000起数据泄露事件，涉及1204家企业、38个行业，包含物流、金融、电商、教育等。由于匿名社交软件Telegram在信息传输上有私密性和便利性的优势，也成为传播非法信息的主要平台。

就在今年2月，据媒体报道，Telegram各大频道突然大面积转发某隐私查询机器人链接，泄露了国内45亿条个人信息，包括真实姓名、电话与住址等，数据高达435GB。泄露来源直指国内多家知名电商、快递平台，有网友甚至声称，自己10年前的收货信息都被扒了出来。

数据信息大面积泄露，也带来了巨大的数据安全漏洞。

泛滥的数据，为犯罪提供“温床”

在这个科技颠覆和万物互联的年代，数据是石油，是钻石，是利益。当数据的价值上升到一定高度后，利用数据信息从事的违法犯罪活动，也迎来高峰时刻。

电信诈骗，很多时候就是从个人信息泄露开始的。犯罪分子在掌握一个人的姓名、性别、年龄、身份证号码、家庭住址等基本信息，甚至短信记录、聊天记录、个人视频、照片等隐私信息后，就能编造出迷惑性更高的诈骗场景，实施精准欺诈。

前两年，有位网友自述了她在30分钟内被诈骗16万元的经历。当天，这位网友接到了一位自称是申通快递员的电话，对方表示“快递丢件要给予双倍赔偿”，并且在电话中准确报出了她在快递单上留下的化名和快递单号，核实确实有这样一件快递后，她就放松了警惕。

该网友在“客服”的诱导下在支付宝“备用金”申请180元的快递理赔，但对方声称由于她操作失误，与支付宝产生了借贷关系，需要在三年里每个月向支付宝自动转入一笔钱，总金额为72000元。

网友讲述被骗过程

为了解除借贷关系，博主又下载了一款名为“亿联会议”的App，听从“客服”指示，从名下多张银行卡陆续向指定账户转账共计16万元。随后她继续向朋友借钱，直到朋友提醒，她才意识到，被骗了。

事后，这位网友复盘时坦言，“这个诈骗其实并不高级，但我还是被牵着鼻子走，可能是她一开始说出了我的信息，也可能是她给我营造出的氛围感，也可能是我没那么‘聪明’。但不要小瞧这些骗子，特别是在这个信息泄露的时代。”

在马浩宁看来，电信诈骗在源头上其实就是信息贩卖。这种信息贩卖又基于什么？就是一些企业、平台对用户信息的过度收集留下的隐患，如果这些信息不慎泄露出去，就会给犯罪提供“温床”。

“我们接触过一些互联网客户，比如一家做App的公司，它可能收集大量注册用户信息。根据相关法律规定，企业在保存期限届满时，应该对用户信息做一个删除，不能留存数据，但以往许多企业都没有采用这种方式。”马浩宁补充道。

除去针对个人的电信诈骗，拥有丰富数据的大公司也容易被盯上，成为犯罪勒索的主要目标。

蔚来汽车在去年12月就收到了一份勒索邮件，发件人声称已经窃取到蔚来内部数据，并以泄露数据为要挟，勒索225万美元的等额比特币。经蔚来内部调查，承认被窃取的数据为2021年8月之前的部分用户基本信息和车辆销售信息。

蔚来汽车官网

这次勒索事件背后，是蔚来作为一家拥有海量数据的企业，对数据保护的重视没有达到相应的高度，导致数据中心防护能力不足，让犯罪分子有机可乘。

防范数据安全风险，需要全方位考量

“我生病了，你们给我提供药。”

马浩宁告诉锌财经，以往接触过的大部分客户，都给他这种感觉。这些企业多多少少都因为经验不足，遭遇了一些数据安全事件，比如员工电脑里的核心数据泄露等，事后才想办法解决问题。这种时候，马浩宁的团队会针对这些企业IT设备安全，出一份方案，帮助他们在一些场景下做数据擦除。

云擦官网截图

以互联网行业为例，这个行业的特点是员工流动的频率比较高，可能每个星期都会有新员工入职，也会伴随着一些老员工离职，这种时候就要对员工设备进行专业的数据擦除。另外就是在一些临时的项目上，设备也会产生一些内部数据，包含客户的敏感信息，那在项目结束后，也会对其进行数据擦除。

除此之外，有一些企业也会采取数据加密的方式，来保护公司商业机密的安全。比如，提前在员工电脑安装加密客户端软件，即便员工将加密文件发送出去，也会因为缺乏和管理端的联动，导致文件无法打开。也可以把员工电脑的泄密通道“堵死”，让电脑文件无法发送出去，从而杜绝数据泄露。

但技术端的监管只是一部分，很多时候人是更不可控因素，因此，加强对员工的数据安全培训，建立规范明细的企业数据安全管理制度和员工电脑使用行为规范，也是防范数据安全风险的重要一环。

这些规章制度尽管无法彻底防止数据泄露，但可以在事先起到威慑，预防部分员工试图泄露商业机密的行为。

随着有关数据安全的相关政策陆续出台，越来越多企业对数据安全的意识发生转变，合规也成为企业不可忽视的事情。马浩宁认为，“从数据的生产、存储、传输、交换或使用，到最后的销毁，每一个环节无论是在技术层面，还是在政策层面，企业都应该去平衡，做到数据安全合规。”

数字浪潮滚滚而来，对整个人类社会运行机制产生深刻影响，但数据保护的相对滞后，也让数据安全事件成为潜在风险。