網路安全為什麼對你愈來愈重要

Privacy and Cybersecurity Are Converging. Here's Why That Matters for People and for Companies.
安德魯.博特 Andrew Burt
瀏覽人數:1092
看看資料隱私和安全性的哪個部分正在改變,以及那意味著什麼。

2018年是隱私年。臉書(Facebook)數千萬個用戶的資料遭到劍橋分析公司(Cambridge Analytica)非法取得,這個消息在3月間爆發;而最近的新聞使這個醜聞雪上加霜:臉書這個科技巨擘透過與其他公司簽訂的隱藏協議,把更多的私人資料分享出去。接著在5月,世界上最嚴格的隱私法,也就是歐盟「一般資料保護法規」(General Data Protection Regulation)生效。到2018年底,甚至連蘋果公司和微軟的執行長也呼籲美國制定新的國家隱私標準。

隱私問題在2018年占首要地位,不只是一種巧合。資料隱私和安全領域出現更大規模的深刻變動,對組織如何思考和管理這兩者都有重大影響,而上述事件就是這些變動的症狀。

那麼究竟是什麼改變了?

簡單來說,由於大數據和機器學習的興起,隱私和安全性正在聚合。它曾經是一種抽象概念,用意在於保護對我們本身資料的預期,如今它變得更具體、更關鍵,與未經授權而取得我們資料的對手所構成的威脅,同樣重要。

更具體地說,「未經授權而取得我們資料」的威脅,過去曾經對我們的數位自我構成最大的危險;在那個世界中,我們擔心入侵者試圖取得我們想要維持私有的資料。而且在那個世界中,隱私和安全主要是各自分開的功能,隱私的重要性比不上對安全問題的更具體疑慮。然而,如今由於日益普及的機器學習技術的威力,對我們的隱私和安全的最大風險,已經變成「無意識推論」(unintended inference)的威脅。一旦我們產生資料,任何擁有其中足夠資料的人都可能是威脅,對我們的隱私和安全構成新的危險。

例如,這些推論可能會威脅到我們的匿名性;比方說,當一組研究人員使用機器學習技術,只根據語言模式就可以辨識出書面文字的作者身分。(已有人使用類似的技術,僅根據軟體開發人員編寫的程式碼,就能辨識出他們的身分。)

這些推論可能會揭露關於我們政治傾向的資訊;例如,研究人員使用Google街景圖影像資料庫中某類汽車的普遍程度,來判斷當地的政治屬性。

或者,這些推論也可能顯示關於我們健康狀況的私密細節;例如,研究人員使用線上搜尋歷史紀錄,來偵測阿茲海默症等神經退化性疾病。

那麼,當隱私和安全議題聚焦於預防同樣的這些危害時,世界看起來會是什麼樣子?

首先,隱私將不再像以往一樣,僅是無關緊要的或政治的概念。相反地,隱私將開始對企業的獲利產生重大影響;我們在2018年開始看到這個現象。例如,在劍橋分析公司的醜聞爆發後,臉書的市值損失高達1,190億美元,因為人們對隱私有疑慮。民意調查顯示,消費者愈來愈關注隱私議題,而且世界各國政府開始制定本國新的隱私法規來因應。

在組織內部,這種聚合也意味著隱私和安全團隊之間曾經明確的界限,現在開始變得模糊;這是一般企業,特別是安全和隱私從業人員,都應該接受的趨勢。從實際的角度來看,這意味著法律和隱私人員將變得更技術性,而技術人員將變得更熟悉法務和法規遵循的要求。這兩個獨立團隊分開運作的想法,將成為歷史遺跡。

個人和政府都不應該再期望,「同意」在保護個人隱私上扮演重要的角色。無意識推論的威脅,讓我們更不容易理解自身資料的價值,因此我們對個人隱私的期望變得較不重要,也因此我們可以有意義地表示同意的事情,同樣變得較不重要。簡單來說,對違規行為的性質感到驚訝,這一點將成為未來隱私和安全危害的固有特徵。

正因如此,最近一連串大規模資料洩露事件如此令人不安,包括影響五億個客戶的萬豪集團(Marriott)資料外洩事件,以及影響三十億個用戶的雅虎(Yahoo)資料外洩。問題不僅是未經授權的入侵者,在單一時間點取得這些紀錄;問題在於所有無法預料的資料用途,以及這個資料量未來可以產生的所有關於個人切身的推論。正是基於這個原因,牛津大學桑德拉.瓦赫特(Sandra Wachter)等法律學者現在正建議立法設限,完全禁止執行這種模式辨識的工作。

美國最高法院大法官路易斯.布蘭代斯(Louis Brandeis)曾描述隱私是「不受干擾的權利」(right to be let alone),而現在最恰當的描述是:控制我們無法停止產生的那些資料的能力,而這些資料會產生我們無法預測的推論。

而且因為我們每天都會製造愈來愈多資料,估計會有大約2.5百京位元組(quintillion,百京,10的18次方),因此隨著時間過去,這些問題只會變得更加緊迫。

如果我們認為2018年是由隱私問題主導,那麼2019年恐怕更會是如此。

(林麗冠譯)



安德魯.博特

安德魯.博特 Andrew Burt

Immuta隱私長和法律工程師。


本篇文章主題安全與隱私