數據隱私之殤

1989年，單殼船體的埃克森·瓦爾迪茲號（Exxon Valdez）超級油輪在阿拉斯加的威廉王子灣（Prince William Sound）擱淺，向周圍水域泄漏了25萬桶石油。這是當時美國最嚴重的一起海上原油泄漏事故，重創了這艘油輪的所有者埃克森石油公司的聲譽。該公司為清理水面和支付索賠花費了30億美元。為了提高安全性，美國政府下令逐步淘汰埃克森·瓦爾迪茲號這種單殼船。現在，埃克森后來合并產生的埃克森美孚在全球使用的所有船只都是雙殼船。但還不止于此。這場災難令后來的埃克森美孚在內部形成了一種宗教般的紀律文化，正是這種文化幫助這家公司成為了今天的盈利巨獸。

30年后的今天，由于網絡犯罪不斷激增，數字企業都在費力應對自己的“埃克森·瓦爾迪茲時刻”。最近一家是市值420億美元的美國大型銀行“第一資本”（Capital One）。7月29日該銀行透露，它被黑客竊取了1.06億信用卡客戶和申請人的個人信息及財務數據。檢方聲稱，33歲的軟件開發員佩奇·湯普森（Paige Thompson）在4個月的時間里突破配置錯誤的防火墻侵入了亞馬遜云計算平臺托管的“第一資本”的服務器。奇怪的是，甚至在這名黑客在社交媒體上匿名吹噓此事之后，銀行都沒發現問題—直到有人暗中告知。對于一家一直以來被視為擅長技術的金融公司而言，這是一記重擊。

這起事件與石油泄漏事故有兩點相似之處。白宮網絡安全前顧問羅伯特·克納克（Robert Knake）與人合著了一本網絡安全方面的新書《第五戰爭領域》（The Fifth Domain）。克納克認為黑客對Web應用防火墻這一安全層的突破是單殼油輪時代的“完美類比”。和埃克森·瓦爾迪茲號一樣，“第一資本”本應有更多保護。和從前的石油公司一樣，該銀行可能也缺乏足夠的安全文化，無法確保自己不懈地尋找新的漏洞。這兩起事件都提醒人們，如果說數據如今比石油更有價值，那么數據泄露就有著類似于石油泄漏的不良后果。互聯網公司可以從埃克森美孚這樣的老牌碳排放大戶那里汲取些經驗，以避免這類泄露。

埃克森·瓦爾迪茲號事件對埃克森來說具有分水嶺一樣的意義。1989年的這場災難引發了這家百年公司對安全和風險管理文化的徹底變革。史蒂夫·科爾在他關于埃克森美孚的著作《私人帝國》（Private Empire）中對這項變革的深度難掩訝異之情。辦公室里的桌子抽屜必須保持關閉，以免員工磕碰；每次會議開始前都會有類似于飯前禱告的“安全時刻”。公司甚至會跟蹤員工被紙夾割傷手的情況。包含11點要素的操作完整性管理系統（Operations Integrity Management System）如同佛教中追求開悟一般細致地追求安全涅槃。即使在今天，這家公司還在向新員工反復灌輸該系統，并將其納入績效評估，還將之與承包商和供應商共享。27年來，這套系統成效顯著。

企業可能會爭辯說數據比石油更難管理。防止數據泄露如同一場艱苦的貓鼠游戲。企業不知道攻擊者是誰—犯罪分子？國家力量？獨行黑客？也不知道攻擊者想要什么。黑客只需要做對一次就可以進入系統。而系統捍衛者必須始終都能防住每一次攻擊，一步走錯，全盤皆輸。許多企業自認為是犯罪或戰爭行為的受害者，卻還要承擔責任，因而憤懣不已。

盡管如此，石油行業的經驗仍具指導意義。首先，重視加強每個員工的安全意識可以鞏固網絡安全中最薄弱的環節：個人。在《第五戰爭領域》中，克納克和另一位作者理查德·克拉克（Richard Clarke）認為，企業部署再高級的反黑客技術也無法消除“可憐的戴夫”—每個組織中忍不住要打開網絡釣魚郵件的人。研究表明，無論有意無意，員工往往是網絡攻擊得逞的主要原因。明智的企業會發送假的釣魚郵件來找出這些“戴夫”。

石油公司堅持要求其供應鏈在安全問題上與自己保持一致的態度并清楚說出存在的問題，這種做法也值得效仿。黑客在攻擊大企業時越來越多地會先突破小型供應商的防御，然后再利用連接兩者的通信系統侵入大企業的系統。許多企業對待黑客攻擊就像對待淋病一樣—即使只消說一聲就能防止疾病蔓延，也還是沒人愿意承認有這種難言之隱，這就讓黑客更易得手。有人將這稱為網絡公地悲劇。

第三，英國石油公司（BP）在2010年的深水地平線漏油災難后瀕臨破產的經歷表明，數據也可能從資產變為沉重的債務。這起事件最終導致這家公司損失了500多億美元，其聲譽至今未完全恢復。

就目前而言，比起石油泄漏，數據泄露的成本看起來低得荒唐。“第一資本”表示，最近的黑客攻擊會令它今年損失最多1.5億美元，主要是用于提供額外的客戶支持。如果不算可能會受到的罰款，這些錢平攤到每個受害用戶頭上還不到1.5美元，總數也只相當于這家銀行上一季度利潤的1/10。征信公司Equifax在近1.5億名客戶的數據遭黑客攻擊泄露后，最近同意支付最高7億美元用于訴訟和其他索賠和解。咨詢公司IBM Security將全球數據泄露的平均成本定為每位受害者150美元。克納克和克拉克認為應該定為1000美元才能刺激相關公司來防止此類損失。

政府的態度確實越來越強硬。7月，英國政府擬對英國航空公司約50萬名乘客數據被盜的事件開出1.83億英鎊（約合16億元人民幣）的罰單。這是與歐盟最新的數據保護法規相關的第一張額大罰單。英航表示將提出上訴。它或許仍有機會說服監管機構錯不在己。但與埃克森或BP的經歷一樣，監管機構和消費者對這樣的爭辯可能越來越不會買賬。交易數據的企業—如今多數大企業都在這么做—最好提前做好應對準備。

本文出自《經濟學人》熊彼特專欄，專欄名稱源自著名政治經濟學家約瑟夫·熊彼特（Joseph Alois Schumpeter，1883年2月8日—1950年1月8日），他提出的“創新理論”對現代商業觀念影響深遠。