“在未來兩三年里，這個(gè)情況會(huì)變得特別嚴(yán)重……一旦再出重大安全事故，那甚至將導(dǎo)致一定程度的社會(huì)混亂。如果沒有足夠強(qiáng)大的安全保障，云計(jì)算和大數(shù)據(jù)向未來發(fā)展，必將付出慘重的代價(jià)?！? 月 21 日，周鴻祎在極客公園奇點(diǎn)大會(huì)上表示。

如今網(wǎng)絡(luò)安全的形態(tài)已經(jīng)發(fā)生了巨大變化。過去，網(wǎng)絡(luò)安全影響的，只有你的電腦；而在現(xiàn)在，網(wǎng)絡(luò)安全所影響的，是你的電腦、你的手機(jī)、你的谷歌眼鏡、你的智能手表，你的家電、你家的智能安防系統(tǒng)、你的汽車，甚至更多更多……

過去，黑客最多知道，你硬盤里存了多少小電影，而現(xiàn)在，他們可以知道你的手機(jī)號(hào)、你的銀行卡號(hào)、你的通訊錄，知道你在哪里，在做什么，喜歡做什么……

用周鴻祎的話來說，中國(guó)已經(jīng)有 10 億互聯(lián)網(wǎng)用戶，而未來聯(lián)網(wǎng)的智能設(shè)備可能是 100 億臺(tái)，1000 億臺(tái)甚至更多，它們產(chǎn)生的數(shù)據(jù)會(huì)讓所有的人越來越透明。

而現(xiàn)在，一個(gè)混亂的情況是，所有人都在采集數(shù)據(jù)，所有人都在保存數(shù)據(jù)，所有人都在使用數(shù)據(jù)，這導(dǎo)致了大量的混亂與危機(jī)潛伏。

這就是雷·庫茲韋爾所預(yù)言的“奇點(diǎn)臨近”：當(dāng)人類文明經(jīng)過這么多年發(fā)展，在本世紀(jì)的中葉會(huì)經(jīng)過奇點(diǎn)。奇點(diǎn)是一個(gè)拐點(diǎn)，人類文明可能會(huì)進(jìn)入一個(gè)分岔，可能會(huì)進(jìn)入一個(gè)新的文明高度，也可能會(huì)急轉(zhuǎn)直下，人類就此滅亡。

決定這個(gè)方向的關(guān)鍵，正是安全，而安全的核心，則是信息的安全。

周鴻祎的定義未必絕對(duì)準(zhǔn)確，也未必絕對(duì)全面，但至少，走在正確的方向上。

下面，讓我們?cè)倩乜匆幌?，周鴻祎的發(fā)言原文：

我們所有的互聯(lián)網(wǎng)從業(yè)者都要考慮一下，如何在憧憬大數(shù)據(jù)產(chǎn)生商業(yè)效益的時(shí)候，也考慮一下如何更好的保護(hù)用戶信息這個(gè)問題。當(dāng)年阿西莫夫在很多科幻小中提出了著名的機(jī)器人三原則，就是為了防范機(jī)器人取代人類等安全問題。

那么現(xiàn)在，我認(rèn)為也需要在大數(shù)據(jù)來臨的時(shí)候，大家一起拋棄門戶之間，攜手共同制定一個(gè)用戶信息安全三原則，來自我約束，自我監(jiān)督。

第一，用戶的信息是用戶的個(gè)人資產(chǎn)。很多互聯(lián)網(wǎng)大公司可能比較抵制我這個(gè)觀點(diǎn)，因?yàn)榛ヂ?lián)網(wǎng)大公司在用戶協(xié)議里說：因?yàn)橛脩籼?hào)碼是我給的，所以用戶是我的，用戶的好友列表也是我的，用戶產(chǎn)生的內(nèi)容也是我的。但是，它又發(fā)表一個(gè)免責(zé)聲明，說用戶產(chǎn)生的任何法律問題，都與自己無關(guān)。先不說這種自相矛盾的邏輯，我的觀點(diǎn)是，用戶使用廠商的服務(wù)產(chǎn)生的信息，是屬于用戶自己的個(gè)人資產(chǎn)。用戶使用各種設(shè)備、各種軟件產(chǎn)生的數(shù)據(jù)，雖然存儲(chǔ)在廠商的服務(wù)器上，但是從所有權(quán)方面講，它應(yīng)該明確地屬于用戶，是用戶的財(cái)產(chǎn)。

解讀：從該原則出發(fā)的話，可以假設(shè)這樣一個(gè)場(chǎng)景。一旦用戶將自己在某個(gè)網(wǎng)站上的帳戶注銷，那么此網(wǎng)站就有義務(wù)將該用戶的所有相關(guān)信息清除掉，因?yàn)橛脩魮碛袑?duì)自己財(cái)產(chǎn)的完全處理權(quán)。如果在此之后此網(wǎng)站仍在向用戶發(fā)送信息或郵件，或是因網(wǎng)站被黑客攻擊導(dǎo)致此前已注銷帳戶的用戶的信息泄露，就可以判定其并未履行清除用戶資料的責(zé)任。說的再嚴(yán)重些，這是對(duì)用戶財(cái)產(chǎn)權(quán)的非法占有。

所以這項(xiàng)原則不僅限于商業(yè)和技術(shù)范疇，更會(huì)上升到法理層面。如果用戶存儲(chǔ)在廠商服務(wù)器上的數(shù)據(jù)被法律確認(rèn)為合法個(gè)人資產(chǎn)的話，那么像“用戶死亡后 QQ 號(hào)怎么處理”之類的問題就有了能夠參照的文本。

二是平等交換的原則。在大數(shù)據(jù)時(shí)代，通過云端的數(shù)據(jù)交換，廠商為用戶提供服務(wù)。只要用戶使用了廠商的服務(wù)，就會(huì)有相關(guān)的數(shù)據(jù)產(chǎn)生。你用微信的時(shí)候，為了匹配朋友，你的地址本自然要上傳。為了與朋友聊天，你的聊天記錄自然會(huì)保存在廠商的服務(wù)器上。但是，用戶的信息和廠商之間，應(yīng)該遵循平等交換的原則。什么叫平等交換？用戶享受服務(wù)，廠商獲取信息，但在這個(gè)過程中，用戶要有知情權(quán)，廠商要得到用戶授權(quán)才能使用用戶信息，也就是說，用戶要有選擇權(quán)，有拒絕權(quán)。

舉個(gè)例子，如果是一個(gè)類似大眾點(diǎn)評(píng)這樣的應(yīng)用，因?yàn)橐鶕?jù)用戶的地點(diǎn)給他找飯館，自然它需要用戶的位置信息，我認(rèn)為這是合理的。這就是平等交換。但如果是一個(gè)小說閱讀軟件，也要獲取用戶的位置信息，我認(rèn)為這個(gè)服務(wù)就不再是一個(gè)平等的交換，實(shí)際上它要了不該要的東西。平等交換原則也符合《消費(fèi)者權(quán)益保護(hù)法》的基本原則，就是消費(fèi)者要有知情權(quán)、選擇權(quán)。

解讀：其實(shí)該原則已經(jīng)在 iOS 和 Windows 的 UAC 中得以體現(xiàn)，系統(tǒng)會(huì)對(duì)軟件所申請(qǐng)的權(quán)限進(jìn)行必要性和安全性判斷，然后讓用戶來選擇是否賦權(quán)。但是在 Android 這樣的系統(tǒng)里，動(dòng)輒十幾條用戶很難看懂的權(quán)限描述，所以像 360 手機(jī)衛(wèi)士、LBE 之類的手機(jī)安全軟件都將權(quán)限管理作為重點(diǎn)功能。

一旦該原則成立，可以說現(xiàn)有的很多移動(dòng)互聯(lián)網(wǎng)服務(wù)的合法性都將受到拷問。就像周鴻祎所舉的例子，某些應(yīng)用獲取看似不相關(guān)的權(quán)限，如位置信息，其實(shí)是為了推送其它增值服務(wù)。如果按照平等交換原則進(jìn)行檢查的話，很多現(xiàn)有服務(wù)將面臨極大的「用戶同意」成本（比如小說軟件需要獲取位置，有的用戶同意有的不同意，那么該軟件到底該怎么設(shè)定權(quán)限；同時(shí)也不能指望所有用戶都對(duì)這些權(quán)限背后的含義有所了解）。

這里也可以看出 360 未來在安全領(lǐng)域可能會(huì)進(jìn)行的戰(zhàn)略舉措：正因?yàn)椤赣脩敉狻钩杀靖呔硬幌拢?60 將代替用戶履行監(jiān)控職能。360 體系下的安全產(chǎn)品會(huì)對(duì)市場(chǎng)上的各類軟件應(yīng)用進(jìn)行檢測(cè)，這些軟件不得不主動(dòng)向 360 提交自己的權(quán)限需求以免于被查殺。

（當(dāng)然很多人肯定也會(huì)說，別的軟件都跟用戶平等交換了，360 自己會(huì)嗎？）

三是安全處理原則。有的人認(rèn)為安全就是互聯(lián)網(wǎng)安全公司干的事，就是殺毒軟件的事，我覺得這個(gè)觀點(diǎn)是錯(cuò)的。任何一家互聯(lián)網(wǎng)公司，包括現(xiàn)在做可穿戴硬件的公司，都會(huì)變成一個(gè)互聯(lián)網(wǎng)服務(wù)公司，用戶會(huì)使用這些硬件產(chǎn)生大量的數(shù)據(jù)。所以，任何一家互聯(lián)網(wǎng)公司都有責(zé)任保護(hù)用戶信息的安全，要在云端對(duì)用戶數(shù)據(jù)進(jìn)行足夠強(qiáng)度的加密，包括安全存儲(chǔ)和安全傳輸。

只有用戶覺得自己的信息是安全的，用戶放心，他們才會(huì)更大膽地去嘗試各種新的互聯(lián)網(wǎng)服務(wù)。如果像大家每天在網(wǎng)上看到的，都是你說我的支付不安全，我說你的紅包有危險(xiǎn)。最后的結(jié)果是什么？很多人會(huì)說，反正在網(wǎng)上用手機(jī)支付不安全，那我就不用了。如果是這樣，互聯(lián)網(wǎng)想繁榮，我覺得是不可能的。

解讀：正如本文開頭所說的，如今的互聯(lián)網(wǎng)安全形勢(shì)已經(jīng)發(fā)生根本性變化，攻擊者對(duì)個(gè)人用戶不再感興趣，而是把目標(biāo)對(duì)準(zhǔn)了擁有海量信息的公司和廠商。雖然周鴻祎并沒有明確說出，單從他對(duì)安全處理原則的表述中可以看出，對(duì)于公司泄露用戶數(shù)據(jù)的事件，應(yīng)當(dāng)通過法律手段進(jìn)行懲罰和制裁。

從實(shí)際情況來看，尤其是在中國(guó)，廠商因自身安全措施不到位導(dǎo)致用戶信息泄露，往往只是道歉、聲明了事，很多因此受到波及的用戶并沒有獲得相應(yīng)的賠償。也就是說，當(dāng)廠商發(fā)生安全過失，不僅要承受來自用戶和輿論的譴責(zé)，法律懲罰亦不可缺席。這將倒逼互聯(lián)網(wǎng)公司全面重視用戶數(shù)據(jù)的安全問題。

其實(shí)周鴻祎所提的用戶信息安全三原則早已有之，只不過在云計(jì)算、云存儲(chǔ)、大數(shù)據(jù)等技術(shù)開始廣泛運(yùn)用的今天，這些原則背后所體現(xiàn)的問題越來越暴露出來，并且已經(jīng)多次產(chǎn)生不利影響，曾經(jīng)的危言聳聽正在逐漸變?yōu)楝F(xiàn)實(shí)。互聯(lián)網(wǎng)空間在深度融入世界的同時(shí)，也應(yīng)該像傳統(tǒng)行業(yè)那樣經(jīng)歷法律和倫理的拷問，這樣才能讓信息時(shí)代的「奇點(diǎn)」階段向正確的方向前行。

轉(zhuǎn)自：極客公園