近日，携程网银行卡信息泄露事件再次将互联网安全问题暴露在公众面前，而关于扫描二维码中病毒、手机隐私信息被窃取等新闻也时有出现。身处移动互联时代，用户的隐私和财产安全如何保证？对此，我们不妨来听听各方人士的意见。

　　携程“漏洞门”绝不应等闲视之

　　李峥（中国现代国际关系研究院）

　　中国的网络安全问题就像中国男足一样，让人操碎了心。近些年，一系列网络泄密事件已经让不少人对此见怪不怪。继京东、天涯、如家七天酒店连锁和CSDN后，携程网也在近日中枪。

　　相对于之前的泄密事件，携程此次暴露出的漏洞更为恶劣，用户的姓名、身份证号码、银行卡类别、银行卡卡号、银行卡磁条代码均能被不法分子轻易获得。一位银行业的朋友说，这等于是给不法分子开了一台ATM机，因此带来的经济损失不可估量。携程虽然最快时间修补了漏洞，用户也在第一时间注销了信用卡，但这一事件却不应像之前类似的事件一样就此收场。

　　有些人认为，乌云网此次又立功了，这名网络红客功不可没。但笔者觉得，此类所谓“公益黑客”行为并不可取。网络技术爱好者第一时间想到的不是将有关漏洞举报给负责管理的政府部门或涉事公司，而是将其暴露在互联网上，等于告诉某些手段并不高明的犯罪分子们“快点来拿”。之前在京东、如家连锁泄密事件中，不少人甚至将有关资料上传到网上供人下载，这本身就是对公众的隐私与安全的巨大侵犯。另一方面，类似“公益黑客”行为都是网络爱好者在做，而一些专业网络安全公司对此却毫无建树。这只能说明要么这些网络安全公司水平低下，要么它们根本无意揭露商业公司的伤疤。

　　从携程泄密门可以看出，中国的网络安全环境近些年来并未因诸多泄密门事件暴露而有所改善。由于缺乏相应的法律法规及有示范性的知名诉讼，一些商业网站仍然在蔑视网络安全风险。网络安全公司没有起到监督作用。网络用户们仍然在省事、贪便宜、图方便，未按照安全提示更换具有更高安全性的银行卡或账户验证方式。而社会对于类似事件仍处于看热闹的阶段，未有社会良知站出来为公众维权。

　　如今，中国公众每年因网络攻击损失超过千亿元，电信诈骗每年损失超百亿元，而这些被中国人或外国人骗走的钱，绝大多数都流向了海外，无法追查。多少人的毕生心血被人一日卷走，每次正视这一现实，总让人吸一口凉气。

　　如何协调大数据与隐私

　　在很多方面，“大数据”和“加密” 是对立的，前者收集、存储和分析信息，以此来揭示对学者、法律实施和企业有用的规律；而后者的目标是窥探隐藏的数据。麻省理工计算机科学与人工智能实验室的Shafi Goldwasser教授表示，加密功能是必须要走的路。她还补充道，其余的选择比如匿名的数据记录并非有效。如今，在社交网络和其它的公共网站上，可以免费获得大量关于个人的数据，任何一个想要做坏事的人都可以从任意数量的在线资源通过交叉引用来建立关于他们的目标的轮廓。

　　一名麻省理工副教授表示，如果数据只是简单地被存储起来，那么加密就可以非常完美地工作。而当你真的需要处理和分析被存储起来的数据时，问题就出现了，这也就是为什么现在需要一个实用性的处理加密数据的系统。这种实际的努力通常是指所谓的“同态”加密，这使得它可以在不先对加密数据解密时而执行对加密数据的计算。20世纪70年代末，研究者一直强调完全同态加密是可能的。所谓的完全同态加密是指，在加密过程中，可以对信息以任意方式进行切片或切块，而同时不显示实际的数据。这种系统可能对云计算特别有利，因其提供了一种分析信息的方法，这种方法对信息提供者来说有最小的隐私风险。

　　然而，实际上，计算机科学家在对加密数据进行更多语义操作上，还没有开发出方法。IBM声称，2009年计算机科学家Craig Gentry已经开发出一个实用的且完全同态的系统，但批评者说，这项技术在实际的云计算的应用中太过于复杂、速度缓慢且不实用。

　　如果没有完全同态的系统，那么可以用其他创新的方法来处理加密数据。其中一个这样的项目就是CryptDB，这个系统通过将请求数据的软件和存储加密数据的数据库之间放置一个代理服务器，来保证对加密数据的分析。这个代理使用旨在比较和分析加密信息的算法，在某些情况下，代理需要去除不同的加密层来更好的分析数据，但是这种想法不会将数据完全加密成为纯文本。

　　有人还提出了不依赖于加密的安全措施，例如，有差异的隐私是一种替代的匿名数据。哈佛的Salil Vadhan 教授说，这种方法使用一个自动化的数据管理者，它可以在提供给数据请求者有用的信息的同时，保护数据集中个人隐私。正如2012年12月份的科学美国人网站上文章所指出的，差异化的私人数据发布算法允许研究人员提问关于有敏感信息数据库的任何问题，同时提供经过模糊化处理的答案，因此，实际上不会暴露任何私人数据。

　　另一种选择就是在收集、存储和分析数据的软件中直接为工程师们编写隐私政策的要求。麻省理工Daniel Weitzner说，写入这样的“责任系统”可以自动地分析对数据的一个特定的运用是否违反了法律，他还补充说，通过类比，我们可以在全世界范围内以一个较高的公众信任度运行经济，我们这样做是因为我们有一套适用于一致方式的一致性规则。

　　（摘编自 ZDNet安全频道）

　　保护客户的信息安全

　　需构筑“四道防火墙”

　　和静钧（西南政法大学副教授）

　　携程网银行卡信息泄露事件，虽是个案，但于互联网安全的角度上看，则具有普遍警示意义，任何涉足于互联网金融的企业都有可能面临泄漏客户个人银行支付信息的危险。

　　从法律架构上看，我们至少需要砌起四道防火墙，才能把信息安全围栏于内。四方保护网，为横向的“内外责任墙”，和纵向的“正反责任墙”。

　　就“内外责任墙”而言，“内”指的是包括第三方支付在内的互联网金融企业，不符合或违反国家《征信条例》及其他行政法规，从而导致行政监管部门的追责与处罚。“内责任”的内涵是企业内部治理与行政监管部门的“善治”。凡违背现有法规及政策，非法扩大征信范围、未妥善保管个人信息、未在技术手段上尽“勤勉义务”等，从而对客户信息构成泄漏风险的，监管部门应跟进追责。就现阶段而言，企业内部治理和技术能力的改善，会最大限度降低风险，而监管部门应提高监管水平。