在新加坡舉辦的2026年黑帽亞洲大會開幕主題演講中,調查記者兼作家Violet Blue向與會者表示,隱私並非網路安全的附屬議題,而是其核心組成部分,因為隱私方面的失誤極易演變為安全漏洞。
Blue指出,"隱私政策"和"匿名數據"等術語聽起來令人放心,但並不意味著隱私真正得到了保護。她認為,科技行業長期以來將隱私視為可選項,卻對安全問題保持高度警惕。然而在個人數據日益成為重大網路事件突破口的當下,這種割裂態度已難以為繼。
她表示,安全專業人員往往認為"隱私已死",由此導致他們"漠然接受那些自己明知不妥的做法"。
Blue進一步指出,侵蝕隱私的商業驅動力同樣會削弱安全防線。她警告稱,無休止的數據採集助長了以監控為基礎的商業模式,並催生出新的攻擊路徑。
"監控資本主義不僅侵蝕隱私,更製造了攻擊面,"她說,"每一個數據經紀商都是潛在攻擊目標,每一個廣告技術SDK都是供應鏈風險,每一個'我們需要這份遙測數據'的決策都是為未來泄露事件預埋的隱患。"
面對"安全有成本、隱私合規是額外負擔"的常見反駁,Blue表示,破壞隱私的利益驅動機制對安全同樣有害無益。
她列舉了多起引發廣泛關注的事件,說明在這些案例中,個人資訊的暴露不僅僅是攻擊的連帶後果,更是攻擊者所利用的武器化入口。
以2023年米高梅度假村事件為例,攻擊者據報通過抓取公開可得的個人數據冒充員工身份,進而說服IT服務台重置用戶的多因素認證(MFA),最終造成嚴重的業務中斷和財務損失。
同樣,在23andMe數據泄露事件中,被攻破的賬戶所暴露的遺傳資訊和個人數據,遠遠波及到初始受害者之外的數百萬份檔案。
她還提到2022年Twilio簡訊網路釣魚攻擊,以及Facebook收集用戶手機號碼所引發的連鎖風險——這些數據最初以安全為名收集(如用於雙因素認證),最終卻成為更大範圍安全威脅的組成部分。
在談及"自主權"與"控制權"的區別時,Blue說道:"自主權意味著掌控自己的數據:有權說不,有權知道自己同意了什麼,以及能夠撤回同意。它還意味著能夠將數據轉移到別處。"
"大多數隱私控制不過是一場表演,你只是在選擇籠子塗成什麼顏色,"她補充道。
她指出,數據主權是目前應對隱私侵害背後利益驅動問題最為嚴肅的嘗試之一。它不是將隱私視為個人消費者的選擇,而是將其視為"集體自主"的問題。亞太地區的相關法律法規正推動企業更負責任地保護個人數據。
她援引新加坡《個人數據保護法》、日本《個人資訊保護法》和韓國《個人資訊保護法》(PIPA)為例,同時提及印度尼西亞、越南、澳大利亞和菲律賓的類似立法,將這些視為將隱私與安全作為關聯責任統一對待的數據主權實踐。
Blue還著重介紹了原住民數據主權這一數據治理框架。在該模式下,社群有權決定收集哪些關於自身的數據、數據如何儲存與保護、誰可以訪問數據,以及如何限制或糾正數據濫用行為。
她認為,這一模式為數據榨取行為提供了替代方案——在數據榨取模式中,機構或企業出於自身目的從社群提取數據,卻未賦予社群實質性的訪問權限或控制權。
她以紐西蘭毛利數據主權網路"Te Mana Raraunga"為例,說明在該框架下,涉及原住民的數據由其所屬部落民族負責治理。在澳大利亞,她提到了用於儲存澳大利亞原住民及托雷斯海峽島民數據的多個數字平台,包括Mukurtu、Keeping Culture以及由AxiDA支持的AtoM,這些平台按照數據主權的核心原則管理和儲存原住民文化數據。
Blue最終總結道,強大的隱私與安全保障源於長期、負責任的數據治理。僅在技術層面防禦系統遠遠不夠,必須賦予人與社群真正的權力,以集體方式負責任地治理數據,確保數據不被提取、濫用或泄露。
"這是一種從'我保護我的數據'到'我們治理我們的數據'的轉變,是從個體防禦邁向集體管護的跨越,"她說。
Q&A
Q1:隱私保護和網路安全之間到底有什麼關係?
A:兩者密不可分。隱私方面的失誤極易演變為安全漏洞。以監控為基礎的商業模式推動了無休止的數據採集,這不僅侵蝕隱私,還催生了新的攻擊面。每個數據經紀商都是潛在攻擊目標,每個廣告技術SDK都是供應鏈風險。米高梅度假村事件和23andMe數據泄露都證明,個人數據暴露本身就是攻擊者利用的入口,而非單純的連帶損失。
Q2:什麼是數據主權?亞太地區有哪些相關法律?
A:數據主權將隱私視為集體自主權問題,而非個人消費選擇,推動企業更負責任地保護個人數據。亞太地區已有多部相關法律,包括新加坡《個人數據保護法》、日本《個人資訊保護法》、韓國《個人資訊保護法》(PIPA),以及印度尼西亞、越南、澳大利亞、菲律賓等國的類似立法,這些法律將隱私與安全作為關聯責任統一對待。
Q3:原住民數據主權是什麼?有哪些實際應用案例?
A:原住民數據主權是一種數據治理框架,賦予社群決定其數據如何被收集、儲存、訪問及糾正的權利,是對數據榨取行為的替代方案。實際案例包括:紐西蘭毛利數據主權網路"Te Mana Raraunga",由部落民族自主治理涉及原住民的數據;澳大利亞的Mukurtu、Keeping Culture及AxiDA支持的AtoM平台,依據數據主權原則管理原住民文化數據。
