车联网信息安全和区块链技术应用Ⅱ——“个人信息安全”
互联网和大数据时代,越来越多的组织大量收集、使用个人信息给人们生活带来极大便利,但由于相关法规的不完善,个人信息非法收集、滥用、泄露的事件时有发生。国际上,欧盟发布的“一般数据保护条例”(GDPR)将于2018年5月25日正式实施,GDPR规定欧盟的个人信息不得流出境外,除非信息接受国对个人信息的保护达到较高水平。中国于2017年年底正式发布了国家标准《个人信息安全规范》,对个人信息安全保护的关键环节都做出了明确规定。车轮智能网联研究院于3月14号在北京举办了“车联网信息安全和区块链技术应用”沙龙,邀请了中国信息安全研究院副院长左晓栋解读了《信息安全规范》并指导企业提出了相应的应对措施。
为应对各国越来越严格的信息保护政策,倍受全球亿万用户追捧的国际贸易支付工具PayPal制定了适用于不同国家或地区的用户服务法律协议。PayPal的用户协议中,有详细列出每种功能收集信息的类型和使用目的。符合《规范》中要求的收集个人信息前,应向个人信息主体明确告知所提供产品或服务的不同业务功能分别收集的个人信息类型,以及收集、使用个人信息的规则,并获得个人信息主体的授权同意的规定。
同时,对于个人信息将会向第三方共享的机构名单、使用目的和具体的数据类型也有明示同意。
与此相反,3月18日境外主流社交媒体平台Facebook因为“剑桥分析(Cambridge Analytica)”丑闻所涉及的用户数据泄露遭遇四年内最大单日跌幅,百亿市值蒸发。事件起因于剑桥大学一名心理学教授Aleksandr Kogan开发了一款性格测试APP发布于Facebook,自称以研究为目的诱导了27万人下载并同意查看用户资料,但事实上最终包括用户的好友信息在内获得超过5000万套数据。虽然2015年Facebook发现这一违规操作,下架APP并要求Kogan和数据共享的第三方损毁数据。但日前有媒体报道相关数据仍然保留且后续有被用于2016年美国总统大选、英国“退欧“等事件的舆论导向中。事发至今,Facebook 坚持“除了Kogan最后将数据转手给第三方(剑桥分析公司)的行为,其他都合理合法,符合规范。”但从规范和法律角度来看,Facebook作为用户信息的收集方和直接控制者,应对活动各个节点所存在的风险进行防范和管控,并对信息滥用、泄露所产生的不良影响承担主要责任。
在《个人信息安全法》尚未出台的当下,《个人信息安全规范》的发布为信息保护提供了指导。但同时也需要借助技术的力量从根本上解决可能存在的漏洞。近来被持续关注的去中心化的区块链技术通过多方存储、多方计算的方式来实现数据不可篡改和计算结果可信。而以太坊(Ethereum)做为一种开源的区块链平台,提供了一个“图灵完备”的虚拟机,称为以太坊虚拟机(Ethereum Virtual Machine),简称EVM。如果上文提到的性格测试APP是运行在EVM上的小程序,用户数据在执行完性格后会自动销毁,这样就不会存在信息泄露的问题。
车轮智能网联研究院也在探索大数据和区块链技术的结合,采用“区块链+hadoop“的三明治结构的解决方案,在整合车联网数据的同时最大程度地保护用户的信息安全问题。底层采用区块链不可破解的加密方式上传数据,中间采用hadoop分布式存储数据,最上层借鉴IOTA或传统区块链交易共识的使用方式,任何一方使用数据都需要得到用户的授权。2017年作为个人信息保护和区块链技术的元年为车联网的发展提供了政策指导和技术支持,但唯有行业力量的共同参与才能推动车联网进入新的发展里程。