人民网贵阳5月26日电 2016中国大数据产业峰会暨中国电子商务创新发展峰会（以下简称“数博会”）于5月25日至29日在贵阳举办。阿里集团安全部技术副总裁杜跃进在发言中表示，数据的价值远不止说让我们减少这些工作，数据的价值可以给我们带来非常多的东西。

杜跃进在发言中指出，痕迹是大数据非常重要的组成部分，谁最怕留下痕迹。在美国租房子，对方有时候不收支票，只收现金，为什么，因为他只拿低保，所以只收现金。所以痕迹的留存对安全的解决是很重要的，对于坏人形成极其巨大的威慑力，真正的坏人是最怕留下痕迹。本质并不怕留下痕迹，只是怕痕迹被滥用，痕迹被人家偷走、滥用。我们这些关心大数据的人，最终到底为什么而战？最后的目的是让我们的数据流动起来，让我们的数据产生价值，让我们的数据造福人类。

以下为发言全文：

大家好！各位闭上眼睛仔细想想，自己的生活中有没有什么事情是让自己爱恨交加的？一定有吧。如果没有的话今天就给大家增加一个爱恨交加的东西：“大数据”。

昨天我紧急飞回北京，花了一天的时间办理和签证有关的事情，非常繁琐。实际上每次办签证的时候我都有这种感觉：为什么总是反复问我这些事，以前都什么时间去过啊之类的。按说这些数据都在他们自己手里啊，我自己连旧护照都没有了怎么可能天天保存着那些数据。不光是签证，各位类似的经历应该有很多：生活中经常需要我们填这个表填那个表，要回答上过哪些学、什么时候毕业、做过哪些事、证明人是谁等等等等。所有这些数据其实都在那里，我们自己很难记那么清楚，却非要我们自己重新一遍遍回忆和填写，然后你还必须承诺没有写错！有时候我在想，可能他们应该雇佣现在的骗子替他们工作，因为现在的骗子从来不需要问我们要数据，却对我们的情况十分了解。信息化搞了这么多年了，可还是一遍遍让我们手工填写我们的信息，实在是不好理解。在座的哪位有识之士如果搞个项目研究一下这件事给我们带来了多少额外的成本，一定会是个很棒的课题，这个点子我免费赠送给大家了。所以，如果有一天这些基本的数据能够发挥作用，不要让我们费劲地保存或者一遍遍翻箱倒柜找自己的数据，能给我们节省多少精力啊！

然而数据的价值远远不止这些，还可以给我们带来非常多的东西，例如在中国现在非常热的诚信体系建设中发挥作用。蚂蚁集团有个产品叫芝麻信用，有一次我去东南亚出差，当地人和我讲他们那里年轻人相亲的时候要看看对方的芝麻信用分！芝麻信用分高除了有助于找到女朋友，反过来也有用途：原来对于总是欠钱不还的老赖没什么办法，他们一边欠钱不还，一边可能去买高档车、买高档住宅、旅游什么的。芝麻信用和中国最高法合作以后，老赖们这些事情都受到严重限制了，对他们震动非常大。芝麻信用是蚂蚁集团和很多机构合作，利用大数据对一个消费者的金融信用做出的评分：你平常一点一滴的金融行为的数据最终都可以被用于你的信用计算，而且比传统的信用体系分析要快得多、准得多。随着这种信用体系不断推广使用，让更多人认识到信用的价值，“让守信者爽、让失信者痛”，我们的社会诚信水平一定会大幅提升的。

这只是举了大数据应用的一个小例子而已，这类例子太多太多。这次会议来了这么多人，多数是为了这个原因来的。这是对大数据的第一种态度：人人都爱大数据。

对大数据的三种态度

对大数据，人们有三种态度。刚才讲的是第一种：大数据太美好了，可以做太多事情了，人人都爱大数据。实际上还有另外两种态度。

第二种态度是：大数据太可怕了，甚至是邪恶的，人人都怕大数据。大数据会记录你的位置信息、消费习惯等等，你的一举一动都被人监视着，甚至国家安全也不能保证了，等等。支持这种态度的故事当然也很多了，比如美国那个商家比父亲更知道女孩怀孕的事情。

对大数据还有第三种态度：只有大数据才能拯救人类，人人都盼大数据。4月份我有一次演讲说，我们不用担心人工智能有一天会控制人类，因为在那之前我们可能就完蛋了：网络安全会在那之前毁灭人类的。当然，今天的演讲不是说这部分内容的，我想说的是那个报告的结论：大数据是把我们从网络安全威胁中拯救出来的一个关键的必要条件。这方面也有很多例子，当然这时候说的安全不再仅仅是信息安全或者信息系统安全等等，而是所有跟人的利益有关的安全。

这里再讲个故事。根据中国的公共安全要求，管制刀具是不允许卖的。中国有个著名的品牌，龙泉剑。大家经常应该能遇到卖龙泉剑的实体店铺，但是龙泉剑曾经是不允许在网上卖的，因为担心无法监管。这样的话，这个拥有两千六百多年历史的中国文化品牌，也是当地的重要经济支柱之一的产品，却不能像别的产品一样随着电子商务得到发展，最后可能因此走向没落了。实体店是不是就好监管呢？实际上如果你在实体店看好一把剑并且要求开刃，店家私下做一把开好刃的剑给你，谁也不知道的。而今天，网络上是可以合法买到龙泉剑的，因为借助新的环境和模式创新，反而可以实现更好地监管：网上销售的每一把龙泉剑都是可以追溯的，信息和当地派出所全部打通，是哪家的剑、交易的情况等都有痕迹，这反而比线下管得更好了。我还有很多类似这样线上线下相结合的“O2O的社会治理”创新的例子。在实人认证能力不断提升的前提下，依靠大数据的支持和管理模式创新，可以在城市应急管理、社会治理等非常多的领域大幅提升我们的能力和水平。我们有时候对新事物感到恐惧，甚至因为恐惧而排斥接受新事物。比如传统的出租车行业会觉得新的网约车不好管，但我们打传统出租车的时候基本上什么痕迹都留不下来，从消费者的角度来说出了事情很难追溯，会觉得更安全吗？那些坏人或者说我们的对手倒是从来不怕新技术新事物，他们会更好地利用这一切来获得对抗优势，我们越保守越缓慢就会越被动。

这些不同的态度放在一起，发现我们真是太纠结了：有时候我们特别希望有数据，尤其是出了事情的时候，人人都会追问数据到哪里去了？！可是与此同时又都特别不希望有数据，总是在说，为啥要采集我的数据？！

三种担心和三种威胁

我们为什么怕数据？我们可以看到大家主要有三个担心，或者说担心三个环节出问题。第一个担心是数据采集。我们经常听到大家质问，为什么要采集这个数据、为什么要采集那个数据；第二个担心是内部滥用。我们担心得到这些数据的单位会滥用它们，给我们带来骚扰甚至安全隐患；第三个担心是外部窃取。我们担心拥有这些数据的单位被坏人攻击，导致我们的数据被偷走，进而让我们成为坏人的攻击目标。

我们可以同时看看数据可能面临的三种威胁，我们做一下现场调研。第一种威胁是“行业企业”，即拥有数据的行业部门或者企业滥用我们的数据，让我们觉得隐私受到侵犯，甚至把我们的数据贩卖给坏人；第二种威胁是“黑产黑客”，即黑产或者黑客通过网络窃取了我们的数据，用于对我们实施诈骗等攻击或者危及我们的个人隐私；第三种威胁是“权力机构”，即担心权力部门随意查看我们的个人数据，感觉隐私受到侵犯。从刚才的调研情况看，大家对这三类威胁都很认同。

但是把这两件事放到一起看的话，我们会发现“数据采集”这个担心是不成立的。我们本质上担心的并不是数据被采集了，而是这些数据被采集以后没有保护好从而被以某种形式滥用了。如果数据被采集了但是不会被滥用，实际上不会给我们造成任何危害。

三个弱点

主要有三个弱点会导致我们的数据被滥用。

第一是用户自己。用户自己的安全意识不高上当受骗，或者用户自己使用的系统存在安全问题被攻击者入侵导致自己设备中的数据被窃取，等等。在专业化的攻击者面前，这个弱点恐怕会长期存在的，用户自己很难抵挡针对性的专业攻击；

第二个是行业企业，我特意还加了一个括号，说明这个弱点中包括“产业链“的问题和”猪队友“的问题。拥有我们数据的行业企业，能保护好它们吗？要知道今天的情况和过去非常不同，数据保护面临非常复杂的环境：数据本身就是业务构成的一部分，需要随着各种复杂的业务场景流动的，在这样的情况下，怎么才能保证企业自己的每个部门每个员工都不会滥用数据？怎样保证这些数据不会被外面的攻击者窃取？专门提到“产业链”，是因为今天的业务场景不仅复杂而且还是开放的，业务链条经常比较长，很多环节都不在你的控制范围内，这些环节都可能出问题，要么某个环节自己滥用数据，要么某个环节遭到攻击成为数据泄露的大洞。专门说到“猪队友”，是因为就算产业链没问题，但是因为互联网生态的复杂依存关系，产业链之外的“猪队友”出了问题，经常也会把我们拖下水。比如用户的注册邮箱服务商被拖库怎么办？我们不可能要求每个用户注册每个网络应用的时候都使用不同的邮箱、账号名、口令等，因此一旦某个邮箱系统的数据被攻击者大量偷走（拖库），攻击者就可能用获得的信息去尝试登录各种其他网络应用（撞库），导致大量用户的重要账户被窃取。我们无法指望用户提高安全意识来避免这个弱点，因为即便是安全专家也做不到几十个不同的账户都使用不同的账户名、口令，还要每个口令都足够复杂而且各个口令都不一样，还要定期修改每个口令等等；

第三个弱点是“监管部门”。政府手里也有很多重要的数据，监管部门还经常会拿到一些企业行业的数据。和企业行业一样，他们自己的安全意识怎样呢？有没有能力保护好这些数据，防止内部人员滥用这些数据，或者被攻击者偷走这些数据呢？尤其是他们可能因为数据的高度敏感性而成为其他国家的专门力量的目标，安全对抗的能力要求更高。

三个问题

到此为止，我的演讲进入总结阶段，但是我的总结是以三个问题结束的。对这些问题的重新思考就是这个演讲的价值。这三个问题是：谁最怕留下痕迹？我们需要解决哪些问题？什么是最紧迫或最关键的问题？

痕迹是大数据非常重要的组成部分，我们很多人担心的也是留下痕迹。但谁最怕留下痕迹呢？在美国租房子的时候，有时候会遇到对方不收支票只收现金。这时候对方很可能是领取政府救济的低保户。如果他收了支票，其收入就有了痕迹，可能因为收入超过底线就领不到政府的钱了。各种坏人更怕留下痕迹，会想方设法隐藏自己的痕迹，因为这些痕迹会最后导致他们被抓获。而对于绝大多数人来说，其实我们不是担心留下痕迹，而是担心痕迹数据被滥用。可是如果不能留下痕迹，对犯罪分子、恐怖分子等等是最有利的。

因此，前面说的到几个弱点，才是当前需要解决的数据安全问题。而其中目前最紧迫的，是数据拥有者自己的数据安全防护能力，包括自己在整个业务过程中没有滥用数据、防范被数据被外界窃取等。只有这样，才能让用户放心，才能有大数据的发展。当然，只有安全生态得到全面改善、整个行业包括政府部门都提升了安全水平，才能让数据安全和个人隐私保护状态得到显著改善。

结束语：为什么而战

最后追加一个问题作为结束语：我们这些做数据安全的，究竟为什么而战？我们不是要阻碍大数据的发展和应用，恰恰相反，我们始终要记住不能脱离发展来说安全，我们的工作不是给大数据发展制造阻力，我们的使命是让大数据流动起来、让大数据产生价值、让大数据造福人类。

（杜跃进-根据贵阳数博会数据安全与个人隐私保护论坛演讲整理）

分享让更多人看到