聊聊开盒

“开盒”一词在网络语境下，已演变成为一种网络暴力行为的代名词，即“人肉开盒”，又称“开盒挂人”。其含义是指通过非法手段获取他人的个人信息，如姓名、住址、电话、照片、身份证号码等，将这些信息毫无保留地公开在网络上，甚至进行电话骚扰、网暴攻击、恐吓威胁等违法行为。

“开盒”行为最初流行于“饭圈”，一些明星粉丝将其用作“反黑”的手段，将偶像崇拜异化为攻击异己的工具，甚至将“开盒挂人”作为“正义执行”的手段，将他人隐私视为可交易的“战利品”。近年来，这种行为逐渐演变为一种成本更低、手段更隐蔽、信息泄露更彻底的“人肉”新模式，其危害也越来越大。

今天我们不讨论”开盒“这个问题，而是讨论”开盒“的源，如何非法获取他人个人信息。最近热炒的某”开盒“事件引发了一场专业和非专业领域的论战。专业领域指从网络安全角度，更进一步是从数据安全角度，如果再狭义一些就是个人信息保护的角度的论战；而非专业角度是从事件本身所造成的影响和基于网络媒体的各种炒作、道听途说和自己对原生技术的理解所产生的论战。从某种角度来讲，似乎都比我专业，即使如此，作为从业人员，还是想说说自己的观点。

”开盒“的前提是需要有数据，也就是说要有个人信息，为了便捷，后续的内容中所提的数据均在本文中代表个人信息。如何获得这些数据，两种因素，一种就是黑客背锅，被黑客入侵后所获得的；另外一种就是数据从处理者背锅，从数据处理者手里流失出去，可能是内部舞弊、非法销售、转让、传播等等行为所造成，也有可能是无意中的丢失等。但是从客观的角度而言，我们该如何理解这个问题。首先，随着国家立法的逐步完善，存放大量数据的互联网公司其实比前几年已经自律了很多，虽然大家都在宣称自己对数据做了哪些保护，能够履行哪些社会责任和义务。但技术的现实是残酷的。存量业务所产生的数据不可改变的问题使得我们对新生系统的完善千疮百孔，表面上我们可能看到我们做了处理，但是在不改变存量业务的运行情况下，这些处理形同虚设。所以我们做了和我们做到了永远是两个世界，这个问题不是技术问题，而是一个系统工程问题。也就是说就数据而改造数据注定是会失败的。

其次，技术的演进和业务的快速迭代难以形成对应。”业务优先“与”安全优先“本身就是两个悖论，”同步“在考验每一个数据处理者，从主观上大家都想做好，但是从客观上，大家都在相互博弈。市场的柠檬效应的挤压和成本因素，使得天平总会向业务优先偏移。从技术角度而言，我们的自信让我们忽略了业务在实际执行过程中对数据产生的各种漏洞（其实技术本身也不愿意深入触及业务逻辑黑洞）。这使得数据产生诸多不可见的出口，这使得我常常所提的一个问题-不要让数据安全停留在一个部门，而是真正贯穿于整个组织和完整的业务实践。

第三随着大数据技术的精进，我们发现源数据所产生的隐私问题在大数据面前变得一文不值。很多时候，大数据所形成的画像远远超出源数据的表达。也就是说，我们把所有数据危害的目光都聚焦在传统的”数据“的概念中时，大数据的问题被藏在了冰山之下。谁敢保证开盒者一定要使用源数据呢？谁敢保证你拿到的表只是一张经过大数据分析之后的再生表呢？当数据安全脱离开情报的概念时，数据安全真正的价值被浪费了。在大数据技术下，传统的数据安全思想如同皇帝的新装一般。大数据形成的画像数据具有其特定的复杂性，数据不是由某一个组织的单一数据源构成，可能是由很多组织的数据共同产生，使得大数据建立分析时其所使用的数据难以溯源；大数据的发布者不一定是大数据的生产者，大数据的生产者不一定是数据的提供者，而数据的提供者不一定是数据的承载者。这一系列的问题使的数据的责任追溯变成无头公案。

接下来我们要讨论下一个问题。数据安全的技术问题很难用一篇文章或者若干种技术，若干个产品来进行解读，后续笔者还会持续讨论这个问题。那么我们现在要讨论的是如何有效的从数据处理侧抑制或者降低事件发生的频率。今年网信发布《个人信息保护合规审计管理办法》，我相信这次开盒事件能够有效的促进这项工作的开展。某洗白文在小红书中高调的宣称”欢迎网信部门来核查“，其实这是一种很危险的思想，任何一个数据处理机构都不敢宣称自己百分之一百是可信，真正审计不可能审不出问题，除非大家彼此之间已经形成默契。但是从另外一个角度来理解就是，很多互联网公司太信任自己的技术高于监管部门和检查机构；反过来，我们的监管部门和检查机构是不是也应该反省一下，如何真正的培养一批审计人员，建立等同甚至超越GDPR审计框架的标准和体系。数字化的发展和云技术的普及，数据的汇聚能力已经超出预期，T级只是起步，EBZBYB字节的存储成为主流，这加大了数据安全和合规工作的精细化开展的复杂度。尤其是很多时候数据的表达不再是结构化，以图片、视频、语音为代表的非结构化，以脚本、代码为代表的半结构化表达在丰富数据元素的基础上增加了治理工作的难度。即使如此，我们也需要更加专注、专业的去研究和面对这些挑战。这使得我们需要更多的数据安全专业公司而不是大而全的航空母舰。

最后一个问题，事件发生了，当我们不可有效追溯数据的来源时，该怎么办。数据立法责任，”谁管理谁负责，谁使用谁负责“当我们不能对数据来源形成追溯时，是不是应该考虑对数据的使用责任的追溯呢？就如同我是一个合法卖刀的，我不能保证买刀的人会干什么，只要其获取的手段合法，交易合法，人合法，我只是卖刀。买刀人回去切菜切肉还是切人不应该是卖刀人的责任，而是用刀人的责任。事件发生，总是需要一个结果而不是舆论的简单发酵。因此，我们不能确保数据一定不会泄露，但是从法律上应该保证数据的滥用一定会受到法律的有效规制，以暴制暴只会使得事件变得更加复杂。

原文始发于微信公众号（老烦的草根安全观）：聊聊“开盒”