資安防護最前線－大數據的資安大哉問

擁有20億用戶的FACEBOOK爆發史上最大的用戶資料外洩風波，英國資料公司劍橋分析遭揭露，透過一款心理測App蒐集「大數據 (Big Data) 」，並在未經用戶許可的情況下，盜用用戶的個人資料數據進行分析，透過大數據分析與預測民眾心理，甚至影響社會輿論走向左右選舉結果，此事件再次讓大數據的資安議題浮上檯面。

大數據是是近年來資訊應用的熱門關鍵字，從物聯網 (Internet of Things)、人工智慧 (Artificial Intelligence)，乃至智慧城市 (Smart City)，各項新興科技應用的創新發展都需要「大數據」在背後支撐2012年初的瑞士達沃斯論壇上，一份題為《大數據，大影響》(Big Data Big Impact) 就指出，大數據已成為一種像黃金和貨幣一樣的經濟資產，大數據正加速重塑著大眾的生活，並劇烈的影響經濟發展、社會治理、國家管理的各個領域；然而，大數據帶來的資安威脅也隨著大數據應用之普遍，悄悄地到來了。

大數據的價值與隱憂

美國歐巴馬政府定義數據是「21世紀的新石油、挖不完的金礦」，阿里巴巴集團主席馬雲亦提到數據將成為新一波創新革命重重要的生產元素；阿里巴巴副總裁車品覺也提出大數據的五大價值，其對企業帶來的實際獲利，已成為該集團營運收入的重大支柱。

1. 識別 / 串聯：從茫茫的數據人海中，根據數據背後帶來的意涵，識別出特定族群的資訊 (包含個人資訊、喜好、行為模式等)。
2. 描述：根據數據在不同場景中所識別出來的各項活動紀錄，舉凡用戶點擊行為、企業活動的業務營運數據、實體活動的相關數據，企業都可以用來做為營運的儀表板Dashboard，作為企業策略決策的參考依據。
3. 時間：透過特定族群的執行軌跡的推測特定族群的行為，如：消費時間、習性與週期等。
4. 預測：根據數據去預測未來產品服務的銷售狀況，進而影響公司策略，如：根據用戶點擊的商品，推測其可能會喜歡的產品或服務。
5. 產出數據：將現有數據組合配合上述其他價值產生的數據合併、比對、拼湊產生新的數據價值，如：透過各種來客量、銷售數據、與年齡層分析，綜合產生未來展店規劃數據。

Facebook與Google都是運用大數據分析之專家，Facebook透過使用者的居住位置、朋友名單、按了哪些東西讚描繪出顧客背景資料(Profile)，Google則可運用使用者網路瀏覽行為分析預測消費需求，透過大數據為企業提供數據分析和戰略決策。大數據的資安威脅源自於其背後所隱含的價值，一旦數據管理不當將對於大數據應用帶來最直接的衝擊。然而；今日法規對於數據應用，包含數據隱私的管理、數據分析與利用、數據管理、甚至新產生出來數據所有權的法規皆無可依循的專法，僅能透過個資法與資安法規來作為依循的依據，尚無法針對其應用有整體管理要求，使得大數據的資安威脅，成為台灣甚至於各國大數據管理「最軟的一塊」。

大數據應用風險議題

企業對於大數據應用之管理，依據其生命週期，在蒐集、處理、利用、傳輸以及銷毀各環節，皆面臨了不同的資安議題，包含：

1. 資料採集：各類數據蒐集的議題，如：客戶是否知悉行為數據被蒐集、是否可蒐集該項數據資料、數據透過何種傳輸協定進行彙整？
2. 資料清整、儲存、管理與分析：數據是否已去識別化完成、系統管控措施是否完善建置、數據如何保存、有誰可以進行存取、資料是否有進行加密、又透過何種加密機制進行？
3. 商業應用：透過大數據處理應用產生的數據，其作業流程完整性是否符合上述控管要求、產生的數據由誰可以存取且如何管控、使用的操作軌跡是否有記載、可否防治數據的濫用？

除上述大數據的管理資安風險議題外，傳統資訊安全的議題也無法避免，從供應鏈數據的應用管理，到委外分析運用都是企業在使用大數據時所面臨到的數據治理議題。此外，除數據管理議題外，還有企業不可避免的法規議題。在現今無明確大數據專法的管控要求下，「數據去識別化」是企業面對個資保護之法規要求首當其衝之議題。不論是政府強力推展的Open Data，或是各類電商業者如亞馬遜、阿里巴巴等透過使用者行為軌跡之分析，乃至企業內部自行建置的大數據平台，在符合法規要求下，如何做到個資去識別化，同時能夠保留資料最大的價值，為用戶提供精準、便捷的個性化服務，從而實現商業變現，讓大數據産業有利可圖，數據去識別化扮演了關鍵角色。

大數據風險防護執行框架

大數據資安風險之防範其關鍵在於「資料保護」與「法規遵循」二大方向。英國內閣總理辦公室在2016年5月19日釋出了第一版的「資料科學倫理架構」(Data Science Ethical Framework)。英國內閣總理幕僚長Matt Hancock在提出此倫理架構之時指出「政府在政策制定時，使用到資料的情況越來越多，為了在數據資料使用上更明確地保護資料隱私與數據管理之安全，並更加重視研究過程的倫理議題」。由於政府部門握有大量民眾相關之數據，不論在使用或釋出資料之同時，有六項原則必須要遵循，包括：

1. 開啟一項計畫時，必須確定是對未來計畫使用者及大眾有利；
2. 在使用資料數據與工具時，對民眾的權利侵犯最小化；
3. 在運用數據時，要盡量使用最好的演算模型；
4. 運用資料時，須注意民眾觀感；
5. 進行計畫時，對於自己使用的數據、模型以及演算法時，要盡量保持公開透明；
6. 確保數據資料的安全。

同樣的，民間企業在建立大數據管理框架時，首先亦應針對企業業務全景中對於數據流轉的區域進行各國法規遵循作業，並同時檢視內外部風險、並將各國法規納入風險評估，對於目前既有的數據安全管理生命週期監控技術以及安全防護技術能力進行業務風險評估，持續精進改善以滿足各項國內外個人資訊保護法律法規的要求，進而完善對客戶的承諾，穩固大數據所帶來的價值，才不會讓靈藥變成毒藥。

以規範導正技術的併行發展

從Facebook的事件來看，大數據應用時從資料蒐集過程的適切性、資料分析與使用的管理乃至最後的資料銷毀行為，都應全程受到監控與管理。大數據的生命力與價值，在於透過巨量的數據去識別問題、感知風險、建立連接、解決問題以以至於能夠預測未來。然後這帶來的價值中隨之帶來的風險正嚴峻的考驗各企業。目前大數據的場景應用，尚著重於數據收集，進而進行統計分析，在風險感知識別和預測方面尚無特別明顯成熟之產品，可以想見的在未來大數據的應用還有相當的應用場景及空間，惟在這些應用發展前，對於基礎的數據治理更需要企業特別重視，避免僅專注於應用的發展而忽略了相關資安防護技術。企業應體認大數據廣泛運用於創新創業、政府治理和基礎民生服務等方面的同時，也該認知：大數據對用戶的衝擊與價值有多高，用戶對大數據的約束要求、規範與標準就有多高。