前言:7月30日,北京互联网法院作出宣判,认定抖音、微信读书两款App均有侵害用户个人信息的情形。随着个体对数据隐私的敏感度越来越高,此类案件也越来越受关注。如何通过法律途径保护个人隐私?技术发展又如何支持个人隐私保护?
典型案件:网络巨头的幕后行径
也许只是巧合,在前后不到一天的间隔时间里,海内外互联网巨头们都在同样的问题上,面临着来自监管者的严肃拷问甚至审判。
7月30日,北京互联网法院作出宣判,认定抖音、微信读书两款App均有侵害用户个人信息的情形:
抖音案中,在手机通讯录除本人外没有其他联系人的情况下,原告在使用该手机号码注册登录抖音App后,被推荐大量“可能认识的人”,其中包括多年未联系的同学、朋友。法院认为原告的姓名、手机号码、社交关系、地理位置属于个人信息,被告在未征得原告同意的情况下,收集并储存上述个人信息,构成侵权。
LendHub被黑简析:系LendHub中存在新旧两市场:金色财经报道,据慢雾安全区情报,2023 年 1 月 13 日,HECO 生态跨链借贷平台 LendHub 被攻击损失近 600 万美金。慢雾安全团队以简讯的形式分享如下:
此次攻击原因系 LendHub 中存在两个 lBSV cToken,其一已在 2021 年 4 月被废弃但并未从市场中移除,这导致了新旧两个 lBSV 都存在市场中。且新旧两个 lBSV 所对应的 Comptroller 并不相同但却都在市场中有价格,这造成新旧市场负债计算割裂。攻击者利用此问题在旧的市场进行抵押赎回,在新的市场进行借贷操作,恶意套取了新市场中的协议资金。
目前主要黑客获利地址为 0x9d01..ab03,黑客攻击手续费来源为 1 月 12 日从 Tornado.Cash 接收的 100 ETH。截至此时,黑客已分 11 笔共转 1,100 ETH 到 Tornado.Cash。通过威胁情报网络,已经得到黑客的部分痕迹,慢雾安全团队将持续跟进分析。[2023/1/13 11:11:00]
Beosin:Skyward Finance项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,Near链上的Skyward Finance项目遭受漏洞攻击,Beosin分析发现由于skyward.near合约的redeem_skyward函数没有正确校验token_account_ids参数,导致攻击者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39传入相同的token_account_id,并多次领取了WNear奖励。本次攻击导致项目损失了约108万个Near,约320万美元。Beosin Trace追踪发现被盗金额已被攻击者转走。[2022/11/3 12:12:36]
微信读书案中,原告在使用“微信读书3.3.0版本”时发现,在其不知情的情况下,该软件自动关注微信好友、默认开放读书记录。法院认为,读书信息可能构成对用户的“个人画像”,在数字时代,网络用户应享有通过经营个人信息而自主建立信息化“人设”的自由,也应享有拒绝建立信息化“人设”的自由,而这种自由行使的前提是用户清晰、明确地知晓此种自由。
Beosin:EthTeamFinance项目遭受到了漏洞攻击事件简析:据Beosin EagleEye 安全预警与监控平台检测显示,ETH链上的EthTeamFinance项目遭受漏洞攻击,攻击合约0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通过LockToken合约的migrate函数没有正确验证_id和params的漏洞,将WTH,CAW,USDC,TSUKA代币从V2流动性池非法升级到V3流动性池,并且通过sqrtPriceX96打乱V3流动池的Initialize的价格,从而获取大量refund套利。共计套利了约1300多万美元。[2022/10/27 11:49:12]
这两起案件的宣判,也成为了《中华人民共和国民法典》颁布后,体现民法保护互联网时代公民个人信息权益的典型案件。
无独有偶,当地时间7月29日,四家美国科技巨头谷歌、亚马逊、Facebook和苹果的CEO在当天的美国众议院反垄断问题听证会上经历了长达五个多小时的“马拉松质询”。
慢雾:Inverse Finance遭遇闪电贷攻击简析:据慢雾安全团队链上情报,Inverse Finance遭遇闪电贷攻击,损失53.2445WBTC和99,976.29USDT。慢雾安全团队以简讯的形式将攻击原理分享如下:
1.攻击者先从AAVE闪电贷借出27,000WBTC,然后存225WBTC到CurveUSDT-WETH-WBTC的池子获得5,375.5个crv3crypto和4,906.7yvCurve-3Crypto,随后攻击者把获得的2个凭证存入Inverse Finance获得245,337.73个存款凭证anYvCrv3Crypto。
2.接下来攻击者在CurveUSDT-WETH-WBTC的池子进行了一次swap,用26,775个WBTC兑换出了75,403,376.18USDT,由于anYvCrv3Crypto的存款凭证使用的价格计算合约除了采用Chainlink的喂价之外还会根据CurveUSDT-WETH-WBTC的池子的WBTC,WETH,USDT的实时余额变化进行计算所以在攻击者进行swap之后anYvCrv3Crypto的价格被拉高从而导致攻击者可以从合约中借出超额的10,133,949.1个DOLA。
3.借贷完DOLA之后攻击者在把第二步获取的75,403,376.18USDT再次swap成26,626.4个WBTC,攻击者在把10,133,949.1DOLAswap成9,881,355个3crv,之后攻击者通过移除3crv的流动性获得10,099,976.2个USDT。
4.最后攻击者把去除流动性的10,000,000个USDTswap成451.0个WBT,归还闪电贷获利离场。
针对该事件,慢雾给出以下防范建议:本次攻击的原因主要在于使用了不安全的预言机来计算LP价格,慢雾安全团队建议可以参考Alpha Finance关于获取公平LP价格的方法。[2022/6/16 4:32:58]
慢雾:Avalanche链上Zabu Finance被黑简析:据慢雾区情报,9月12日,Avalanche上Zabu Finance项目遭受闪电贷攻击,慢雾安全团队进行分析后以简讯的形式分享给大家参考:
1.攻击者首先创建两个攻击合约,随后通过攻击合约1在Pangolin将WAVAX兑换成SPORE代币,并将获得的SPORE代币抵押至ZABUFarm合约中,为后续获取ZABU代币奖励做准备。
2.攻击者通过攻击合约2从Pangolin闪电贷借出SPORE代币,随后开始不断的使用SPORE代币在ZABUFarm合约中进行`抵押/提现`操作。由于SPORE代币在转账过程中需要收取一定的手续费(SPORE合约收取),而ZABUFarm合约实际接收到的SPORE代币数量是小于攻击者传入的抵押数量的。分析中我们注意到ZABUFarm合约在用户抵押时会直接记录用户传入的抵押数量,而不是记录合约实际收到的代币数量,但ZABUFarm合约在用户提现时允许用户全部提取用户抵押时合约记录的抵押数量。这就导致了攻击者在抵押时ZABUFarm合约实际接收到的SPORE代币数量小于攻击者在提现时ZABUFarm合约转出给攻击者的代币数量。
3.攻击者正是利用了ZABUFarm合约与SPORE代币兼容性问题导致的记账缺陷,从而不断通过`抵押/提现`操作将ZABUFarm合约中的SPORE资金消耗至一个极低的数值。而ZABUFarm合约的抵押奖励正是通过累积的区块奖励除合约中抵押的SPORE代币总量参与计算的,因此当ZABUFarm合约中的SPORE代币总量降低到一个极低的数值时无疑会计算出一个极大的奖励数值。
4.攻击者通过先前已在ZABUFarm中有进行抵押的攻击合约1获取了大量的ZABU代币奖励,随后便对ZABU代币进行了抛售。
此次攻击是由于ZabuFinance的抵押模型与SPORE代币不兼容导致的,此类问题导致的攻击已经发生的多起,慢雾安全团队建议:项目抵押模型在对接通缩型代币时应记录用户在转账前后合约实际的代币变化,而不是依赖于用户传入的抵押代币数量。[2021/9/12 23:19:21]
其中亚马逊CEO贝佐斯在现场承认了亚马逊公司内部可能存在滥用用户数据的行为。“我可以告诉你们的是,亚马逊有一项政策,即禁止使用商家的特定数据来帮助亚马逊的自有品牌业务,不过我无法保证本公司的员工都没有违反过该政策。”
民法规定:个人信息受法律保护
2020年5月28日,第十三届全国人民代表大会第三次会议通过,6月1日正式全文公布的《中华人民共和国民法典》中的第四编人格权中的第六章,对民事主体的隐私权和个人信息保护做出了规定。其中包括:
第一千零三十四条?自然人的个人信息受法律保护。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。
第一千零三十五条?处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
公开处理信息的规则;
明示处理信息的目的、方式和范围;
不违反法律、行政法规的规定和双方的约定。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。
商业模式:用户数据变现
国内外网络巨头在用户数据上前后脚暴露出的重大问题,正是当下互联网商业模式本质的集中体现。
在今天的互联网上,所有的用户都是以数据的形式存在,他们的所作所为、所言所行、所感所想,无不被变成一行行的数据,被互联网公司通过各种方式采集、储存、分析然后加以应用,进而变现成商业价值,并直接或间接地转换为互联网公司的收入。
运用用户个人信息数据,互联网公司可以用来提升企业内部的生产效率、运营效率以及产品和服务水平,当然也会通过用户画像,面向用户进行个性化的营销和管理,提升用户转化率水平和复购率。在抖音案、微信读书案和亚马逊CEO的自承中,都是通过这种模式来变现用户数据。
对外则是可以将数据通过不同的包装形式推向市场,提供给客户或者合作伙伴,将其作为商品进行贩售,直接构建商业模式。
2018年3月爆发的Facebook剑桥分析事件就是这种数据变现方式的典型代表:剑桥分析公司通过Facebook窃取了多达8700万用户的私人数据,该公司曾为特朗普的竞选活动提供咨询服务。虽然名义上叫“窃取”,但Facebook客观上未能对用户的这些数据进行应有的保护,并间接获取了利益,事实上与将数据进行外部贩售并牟利无异。
最终,Facebook与美国联邦贸易委员会就此达成了和解协议,和解金额为50亿美金。
下一代网络:核心是数据流动性定价
从广义上来讲,人类社会网络连接运营商已经经历了三代的发展:
第一代是电网,靠能量定价,因为它提供了能源。
第二代是网络运营商,如中国移动,靠通讯定价,它提供了通讯连接服务。
第三代是云计算服务提供商,如阿里云,对计算、网络和数据存储进行了集中整合,靠计算定价,它提供了计算与存储服务。
运营商发展到第三代,也就是当下这个时代,网络巨头依靠数据变现的商业模式和用户信息数据隐私受到法律保护之间的矛盾越来越凸显。这个问题则需要通过基于隐私计算+区块链技术的第四代运营商来解决,其定价模式是基于数据的流动性来定价。第四代运营商应当且必须实现两个目标:第一,企业使用数据得到每个用户的许可;第二,使用数据获得的收益应该与用户分享。
其中,第一个目标主要依靠立法的方式来实现,我们可以欣喜地看到民法的通过和公布,以及基于民法的个人信息权益保护的相关判例的出现,已经为其初步奠立了基础。
而第二个目标则将依赖隐私计算+区块链这两个新兴技术,隐私计算将保证数据在应用的时候得以隐私保护,并为数据创建在合法合规途径下的定价和流通模式。而区块链则运用于数据交易的最终确认和清结算。PlatON想要实现的最终愿景,正是下一代的高性能、可扩容、支持隐私保护的去中心云计算服务网络。
如此双管齐下,互联网产业才能在合法合规的要求下继续得以发展兴盛,而人类社会也才能够大踏步地迈入全数字化时代,让人类的生活和生产水平再次获得质的飞越。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。