將圍繞數(shù)據(jù)泄露定義的爭論描述為 “白熱化” 未免太過夸張，畢竟我們尚未看到尸體從窗口飛出般的戲劇化情節(jié)。

但隨著《通用數(shù)據(jù)保護(hù)條例》(GDPR) 及其對數(shù)據(jù)不當(dāng)處理施以重罰時(shí)代的到來，怎么定義數(shù)據(jù)泄露就是事關(guān)切實(shí)財(cái)務(wù)影響的嚴(yán)肅問題了。

很多廠商表示，媒體和標(biāo)題黨只會(huì)幫倒忙。

但凡事件涉及數(shù)據(jù)且聽起來像個(gè)可博眼球的新聞，大部分媒體就會(huì)給安上個(gè) “數(shù)據(jù)泄露” 的關(guān)鍵詞。

所以，在吐槽《條例》締造者居心不良之前，不妨冷靜地回顧下GDPR決議對這么個(gè)模糊不清的主題設(shè)置諸多規(guī)定的思考過程。

到底是不是數(shù)據(jù)泄露?如果生活就是墨守成規(guī)那么簡單，那這篇文章就沒必要寫也沒必要讀了。

但生活并不簡單，理清定義還是有必要的。

雖然大多數(shù)網(wǎng)絡(luò)安全組織都傾向于認(rèn)為數(shù)據(jù)泄露涉及未授權(quán)刪除或查閱數(shù)據(jù)的行為，但并沒有一個(gè)全知全能的 “數(shù)據(jù)泄露警署” 來推行這一定義。

前文提及的GDPR是與 “數(shù)據(jù)泄露警署” 最為接近的事物了，因?yàn)樗鼡碛袑`反其數(shù)據(jù)保護(hù)條例的人征收巨額罰金的權(quán)力。

由于該新規(guī)定背后的當(dāng)權(quán)者正在揮舞大棒殺雞儆猴，我們不妨來分析一下他們是怎么定義個(gè)人數(shù)據(jù)泄露的。

對傳輸、存儲或以其他方式處理的個(gè)人數(shù)據(jù)造成意外或非法破壞、遺失、變更、未授權(quán)披露或訪問的安全違規(guī)事件。

GDPR進(jìn)一步闡明：數(shù)據(jù)泄露是一類安全事件，但不是所有的安全事件都是數(shù)據(jù)泄露。

這里存在三條決定性的信息安全基本原則，其中任何一條或多條都能構(gòu)成數(shù)據(jù)泄露。

違反機(jī)密性 ——未授權(quán)或意外披露個(gè)人數(shù)據(jù)。

違反可用性 ——未授權(quán)或意外喪失對個(gè)人數(shù)據(jù)的訪問權(quán)或造成對個(gè)人數(shù)據(jù)的破壞。

違反完整性——對個(gè)人數(shù)據(jù)的未授權(quán)或意外變更。情況復(fù)雜多變。

可仔細(xì)審查上述原則背景下的一些具體實(shí)例。

勒索軟件攻擊認(rèn)為勒索軟件不是什么大事兒的想法簡直大錯(cuò)特錯(cuò)。

這種惱人的惡意軟件在黑客圈中越來越流行，可對大大小小的公司企業(yè)造成數(shù)十億美元的損失。

勒索軟件通常是終端用戶點(diǎn)擊了網(wǎng)絡(luò)釣魚郵件中看似合法的惡意鏈接而植入系統(tǒng)的，會(huì)加密受害者的文件，要求受害者支付贖金以換取解密密鑰。

這算是數(shù)據(jù)泄露嗎?雖然系統(tǒng)中不受歡迎的勒索軟件入侵本身只能被看作是安全事件，但GDPR告訴我們：具體事件的細(xì)節(jié)最重要——個(gè)人數(shù)據(jù)被訪問的瞬間，就適用不一樣的原則了。

盡管數(shù)據(jù)訪問權(quán)的遺失可能只是暫時(shí)的，并不能運(yùn)用可用性原則 (假設(shè)你可以從備份計(jì)劃中恢復(fù)出數(shù)據(jù))，但根據(jù)具體情況，機(jī)密性原則中的 “未授權(quán)訪問” 部分卻有可能再次適用。

對所有此類事件，我們必須仔細(xì)審閱定義的精確措辭。

員工點(diǎn)擊網(wǎng)絡(luò)釣魚電子郵件鏈接釋放出勒索軟件算不算違反機(jī)密性原則?這可能屬于 “意外訪問” 條款的管轄范圍，但也有可能不是。

開放S3存儲桶之殤亞馬遜的云存儲服務(wù)近些年讓這家公司更加聲名大噪。

但問題是，錯(cuò)誤配置的安全設(shè)置引發(fā)了數(shù)據(jù)泄露事件的盛行——拜未受保護(hù)的開放存儲桶所賜。

或者，這些事件僅僅是安全事件?運(yùn)用GDPR的三條安全原則一審便知。

偶然撞上一個(gè)開放S3存儲桶某種程度上相當(dāng)于隨機(jī)訪問一個(gè)網(wǎng)站，而該站點(diǎn)擁有者毫無安全措施地將網(wǎng)站暴露在公網(wǎng)上時(shí)并未預(yù)期會(huì)有人訪問這個(gè)網(wǎng)站。

很明顯，近期的S3數(shù)據(jù)泄露中，比如威瑞森、LocalBlox和GoDaddy遭遇的那些，并沒有哪家苦主想要暴露這數(shù)百萬條個(gè)人數(shù)據(jù)集。

但如果是安全研究人員偶然遇到了開放存儲桶，順手查看一番的情況呢?他們會(huì)被就地歸類為正在制造數(shù)據(jù)泄露事件的黑客嗎?讓我們回到機(jī)密性原則上來。

必須承認(rèn)，因?yàn)樵摯鎯ν熬瓦@么敞開在網(wǎng)上，這位友好的鄰家研究員的確有權(quán)查看。

若以該原則認(rèn)定此類行為有罪，那只要看過不屬于自己的東西難道就是罪犯嗎?別人家沒關(guān)窗簾被你看到室內(nèi)陳設(shè)也算犯罪嗎?至于意外披露或訪問的情況，那就跟機(jī)密性原則有關(guān)了。

按常理推測，GoDaddy是不會(huì)想要自己的商業(yè)秘密和基礎(chǔ)設(shè)施信息暴露在公網(wǎng)上的，于是，意外披露的情況存在。

技術(shù)專家將S3存儲桶問題的涌現(xiàn)歸罪于糟糕的產(chǎn)品設(shè)計(jì)，稱普通人太難搞懂并應(yīng)用正確的安全設(shè)置了。

亞馬遜可以從理論意義上爭辯稱，GoDaddy存儲桶可被訪問的事實(shí)并不構(gòu)成數(shù)據(jù)泄露，因?yàn)槌窃摯鎯ν氨豢截惢蛞苿?dòng)到外部，否則是沒有發(fā)生任何損害的。

然而，GDPR監(jiān)管機(jī)構(gòu)會(huì)回應(yīng)稱，GoDaddy將自身商業(yè)秘密交托給該亞馬遜服務(wù)時(shí)并未預(yù)期該信息能在網(wǎng)上公開訪問。“我只是復(fù)制而已”上一節(jié)內(nèi)容引出了另一個(gè)問題：如果你只是復(fù)制了系統(tǒng)中的信息算數(shù)據(jù)泄露嗎?截至目前，機(jī)密性原則可謂嚴(yán)酷監(jiān)工的概念應(yīng)該建立起來了，尤其是在其甚至連意外披露或訪問都禁止的措辭方面。

這種情況下，很難申辯你只是復(fù)制了受保護(hù)數(shù)據(jù)而沒有訪問 (查看) 其內(nèi)容，因此——違規(guī)罪名成立!但真的成立嗎?未必。

很明顯，這種對GDPR標(biāo)準(zhǔn)的應(yīng)用給律師、法庭和GDPR本身留下了很大的解釋空間。

收集數(shù)據(jù)的各種方式有時(shí)候你可能就在收集GDPR規(guī)定的個(gè)人數(shù)據(jù)而不自知：有沒有電子郵件訂閱表單?通過這條途徑收集的任何信息(姓名、郵箱地址等等)都算。

評論區(qū)呢?如果訪客可以留下包含自身郵箱地址、網(wǎng)站URL、姓名等內(nèi)容的評論，數(shù)據(jù)收集判定成立。

對虛擬主機(jī)有多信任?除非運(yùn)營的是完全自給自足的服務(wù)器，否則就有很大概率往托管主機(jī)提供商那兒存儲GDPR轄下的文件——即便你并不認(rèn)為自己在通過作為托管主機(jī)標(biāo)準(zhǔn)流程的日志文件收集包含網(wǎng)站訪客IP地址的數(shù)據(jù)。

上述問題很多在線云托管及云存儲提供商都很難回答。

亞馬遜、谷歌和微軟等公司可能發(fā)現(xiàn)自己違反了GDPR要求，但他們體量足夠大，能夠挺過經(jīng)濟(jì)處罰。

小型服務(wù)提供商就未必了。

比如廣受位于猶他州鹽湖城的加拿大及美國中小企業(yè)推崇的虛擬主機(jī)提供商Bluehost。

他們闡述了虛擬主機(jī)、客戶和客戶網(wǎng)站之間的復(fù)雜關(guān)系。

雖然Bluehost在遵循嚴(yán)格的《隱私政策》收集、處理和存儲客戶數(shù)據(jù)方面毫無疑問符合GDPR規(guī)定，但其《數(shù)據(jù)處理協(xié)議》(涵蓋通過客戶網(wǎng)站上傳服務(wù)器的數(shù)據(jù)) 卻沒那么確定了。

托管服務(wù)提供商將GDPR終端用戶要求簡單轉(zhuǎn)嫁給網(wǎng)站擁有者的行為并不鮮見。對SaaS公司而言情況更加詭譎。SaaS公司仰賴第三方托管以維持業(yè)務(wù)運(yùn)營。

如果某SaaS應(yīng)用要使用不符合GDPR規(guī)定的托管服務(wù)會(huì)出現(xiàn)什么狀況?最近的一篇《福布斯》文章中，Varonis創(chuàng)始人 Yaki Faitelson 描述了此類案例的復(fù)雜性：SaaS公司及其云托管服務(wù)提供商都必須簽署符合GDPR第28條規(guī)定的合約。

這些合約旨在防止互相推諉責(zé)任，比如托管服務(wù)提供商對SaaS公司 (或SaaS公司對托管服務(wù)提供商) 宣稱自己免于數(shù)據(jù)泄露責(zé)任。

結(jié)論網(wǎng)站擁有者應(yīng)重視對GDPR的解讀，重點(diǎn)搞清構(gòu)成數(shù)據(jù)泄露的要素有哪些，以及如何向客戶通報(bào)數(shù)據(jù)泄露事件。

注意72小時(shí)窗口期，因?yàn)檫@是必須通報(bào)數(shù)據(jù)泄露的時(shí)間底線。