將圍繞數(shù)據(jù)泄露定義的爭論描述為 “白熱化” 未免太過夸張，畢竟我們尚未看到尸體從窗口飛出般的戲劇化情節(jié)。但隨著《通用數(shù)據(jù)保護條例》(GDPR) 及其對數(shù)據(jù)不當處理施以重罰時代的到來，怎么定義數(shù)據(jù)泄露就是事關切實財務影響的嚴肅問題了。

[[266753]]

很多廠商表示，媒體和標題黨只會幫倒忙。但凡事件涉及數(shù)據(jù)且聽起來像個可博眼球的新聞，大部分媒體就會給安上個 “數(shù)據(jù)泄露” 的關鍵詞。所以，在吐槽《條例》締造者居心不良之前，不妨冷靜地回顧下GDPR決議對這么個模糊不清的主題設置諸多規(guī)定的思考過程。

到底是不是數(shù)據(jù)泄露?

如果生活就是墨守成規(guī)那么簡單，那這篇文章就沒必要寫也沒必要讀了。但生活并不簡單，理清定義還是有必要的。雖然大多數(shù)網(wǎng)絡安全組織都傾向于認為數(shù)據(jù)泄露涉及未授權刪除或查閱數(shù)據(jù)的行為，但并沒有一個全知全能的 “數(shù)據(jù)泄露警署” 來推行這一定義。

前文提及的GDPR是與 “數(shù)據(jù)泄露警署” 最為接近的事物了，因為它擁有對違反其數(shù)據(jù)保護條例的人征收巨額罰金的權力。由于該新規(guī)定背后的當權者正在揮舞大棒殺雞儆猴，我們不妨來分析一下他們是怎么定義個人數(shù)據(jù)泄露的。

GDPR進一步闡明：數(shù)據(jù)泄露是一類安全事件，但不是所有的安全事件都是數(shù)據(jù)泄露。這里存在三條決定性的信息安全基本原則，其中任何一條或多條都能構成數(shù)據(jù)泄露。

• 違反機密性 ——未授權或意外披露個人數(shù)據(jù)。
• 違反可用性 ——未授權或意外喪失對個人數(shù)據(jù)的訪問權或造成對個人數(shù)據(jù)的破壞。
• 違反完整性——對個人數(shù)據(jù)的未授權或意外變更。

情況復雜多變?？勺屑殞彶樯鲜鲈瓌t背景下的一些具體實例。

勒索軟件攻擊

認為勒索軟件不是什么大事兒的想法簡直大錯特錯。這種惱人的惡意軟件在黑客圈中越來越流行，可對大大小小的公司企業(yè)造成數(shù)十億美元的損失。

勒索軟件通常是終端用戶點擊了網(wǎng)絡釣魚郵件中看似合法的惡意鏈接而植入系統(tǒng)的，會加密受害者的文件，要求受害者支付贖金以換取解密密鑰。

這算是數(shù)據(jù)泄露嗎?雖然系統(tǒng)中不受歡迎的勒索軟件入侵本身只能被看作是安全事件，但GDPR告訴我們：具體事件的細節(jié)最重要——個人數(shù)據(jù)被訪問的瞬間，就適用不一樣的原則了。盡管數(shù)據(jù)訪問權的遺失可能只是暫時的，并不能運用可用性原則 (假設你可以從備份計劃中恢復出數(shù)據(jù))，但根據(jù)具體情況，機密性原則中的 “未授權訪問” 部分卻有可能再次適用。

對所有此類事件，我們必須仔細審閱定義的精確措辭。員工點擊網(wǎng)絡釣魚電子郵件鏈接釋放出勒索軟件算不算違反機密性原則?這可能屬于 “意外訪問” 條款的管轄范圍，但也有可能不是。

開放S3存儲桶之殤

亞馬遜的云存儲服務近些年讓這家公司更加聲名大噪。但問題是，錯誤配置的安全設置引發(fā)了數(shù)據(jù)泄露事件的盛行——拜未受保護的開放存儲桶所賜。或者，這些事件僅僅是安全事件?

運用GDPR的三條安全原則一審便知。

偶然撞上一個開放S3存儲桶某種程度上相當于隨機訪問一個網(wǎng)站，而該站點擁有者毫無安全措施地將網(wǎng)站暴露在公網(wǎng)上時并未預期會有人訪問這個網(wǎng)站。很明顯，近期的S3數(shù)據(jù)泄露中，比如威瑞森、LocalBlox和GoDaddy遭遇的那些，并沒有哪家苦主想要暴露這數(shù)百萬條個人數(shù)據(jù)集。

但如果是安全研究人員偶然遇到了開放存儲桶，順手查看一番的情況呢?他們會被就地歸類為正在制造數(shù)據(jù)泄露事件的黑客嗎?讓我們回到機密性原則上來。必須承認，因為該存儲桶就這么敞開在網(wǎng)上，這位友好的鄰家研究員的確有權查看。若以該原則認定此類行為有罪，那只要看過不屬于自己的東西難道就是罪犯嗎?別人家沒關窗簾被你看到室內陳設也算犯罪嗎?

至于意外披露或訪問的情況，那就跟機密性原則有關了。按常理推測，GoDaddy是不會想要自己的商業(yè)秘密和基礎設施信息暴露在公網(wǎng)上的，于是，意外披露的情況存在。技術專家將S3存儲桶問題的涌現(xiàn)歸罪于糟糕的產(chǎn)品設計，稱普通人太難搞懂并應用正確的安全設置了。

亞馬遜可以從理論意義上爭辯稱，GoDaddy存儲桶可被訪問的事實并不構成數(shù)據(jù)泄露，因為除非該存儲桶被拷貝或移動到外部，否則是沒有發(fā)生任何損害的。然而，GDPR監(jiān)管機構會回應稱，GoDaddy將自身商業(yè)秘密交托給該亞馬遜服務時并未預期該信息能在網(wǎng)上公開訪問。

“我只是復制而已”

上一節(jié)內容引出了另一個問題：如果你只是復制了系統(tǒng)中的信息算數(shù)據(jù)泄露嗎?截至目前，機密性原則可謂嚴酷監(jiān)工的概念應該建立起來了，尤其是在其甚至連意外披露或訪問都禁止的措辭方面。

這種情況下，很難申辯你只是復制了受保護數(shù)據(jù)而沒有訪問 (查看) 其內容，因此——違規(guī)罪名成立!但真的成立嗎?未必。很明顯，這種對GDPR標準的應用給律師、法庭和GDPR本身留下了很大的解釋空間。

收集數(shù)據(jù)的各種方式

有時候你可能就在收集GDPR規(guī)定的個人數(shù)據(jù)而不自知：

• 有沒有電子郵件訂閱表單?通過這條途徑收集的任何信息(姓名、郵箱地址等等)都算。
• 評論區(qū)呢?如果訪客可以留下包含自身郵箱地址、網(wǎng)站URL、姓名等內容的評論，數(shù)據(jù)收集判定成立。
• 對虛擬主機有多信任?除非運營的是完全自給自足的服務器，否則就有很大概率往托管主機提供商那兒存儲GDPR轄下的文件——即便你并不認為自己在通過作為托管主機標準流程的日志文件收集包含網(wǎng)站訪客IP地址的數(shù)據(jù)。

上述問題很多在線云托管及云存儲提供商都很難回答。亞馬遜、谷歌和微軟等公司可能發(fā)現(xiàn)自己違反了GDPR要求，但他們體量足夠大，能夠挺過經(jīng)濟處罰。小型服務提供商就未必了。

比如廣受位于猶他州鹽湖城的加拿大及美國中小企業(yè)推崇的虛擬主機提供商Bluehost。他們闡述了虛擬主機、客戶和客戶網(wǎng)站之間的復雜關系。雖然Bluehost在遵循嚴格的《隱私政策》收集、處理和存儲客戶數(shù)據(jù)方面毫無疑問符合GDPR規(guī)定，但其《數(shù)據(jù)處理協(xié)議》(涵蓋通過客戶網(wǎng)站上傳服務器的數(shù)據(jù)) 卻沒那么確定了。托管服務提供商將GDPR終端用戶要求簡單轉嫁給網(wǎng)站擁有者的行為并不鮮見。

對SaaS公司而言情況更加詭譎。SaaS公司仰賴第三方托管以維持業(yè)務運營。如果某SaaS應用要使用不符合GDPR規(guī)定的托管服務會出現(xiàn)什么狀況?最近的一篇《福布斯》文章中，Varonis創(chuàng)始人 Yaki Faitelson 描述了此類案例的復雜性：

結論

網(wǎng)站擁有者應重視對GDPR的解讀，重點搞清構成數(shù)據(jù)泄露的要素有哪些，以及如何向客戶通報數(shù)據(jù)泄露事件。注意72小時窗口期，因為這是必須通報數(shù)據(jù)泄露的時間底線。

涉及SaaS公司GDPR合規(guī)復雜性的《福布斯》文章：

https://www.forbes.com/sites/forbestechcouncil/2019/04/05/gdprs-territorial-scope-holds-new-surprises-for-u-s-service-firms/

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文