各位对数据隐私和数据安全话题感兴趣的网友，大家下午好。欢迎收看ZDNet视频访谈节目。

本期视频访谈邀请到的是Informatica公司中国区首席技术顾问杜绍森，他将从大数据发展对数据隐私带来的挑战、企业应该如何进行数据隐私保护、个人应该如何保护自己的隐私不被出卖等话题展开讨论。

访谈将于14:00正式开始，敬请期待。

欢迎网友在访谈播出期间提出你感兴趣的问题，届时将有专家在线上进行实时解答，与网友互动。

访谈内容：

主持人：各位网友大家好，这里是ZDNet视频直播节目，我们本期邀请到的嘉宾是Informatica公司中国区首席技术顾问杜绍森。我们今天的话题其实是网友特别关心的一个话题，就是关于数据隐私和数据安全。

我们知道伴随着大数据、云计算的发展和普及，很多企业也都开始越来越多采用大数据和云计算的技术。也有一种观点，认为说随着大数据、云计算的发展，好像数据隐私、数据安全问题变得更严峻了，我不知道从您的角度怎么看待这个观点？

嘉宾：对于个人隐私的暴露，其实大数据只是一个原因，此外还有其他原因，我总结了一下一共有三个：

一个是大数据时代，大数据时代它最大的特点就是大家知道了大数据，知道了数据的价值，所以大家知道数据原来是可以拿来利用的，就不仅仅是合法的利用，也有可能其他方式的利用。

还有一个原因，也是跟现在相关的，叫移动互联。移动互联实际上是说使用数据的机率更高了，原来比如说大家都投资，都存钱，但你从来不知道自己今天赚了多少钱，突然大家用余额宝，你突然知道自己赚了多少钱。其实不仅仅是这个，包括企业业务部门，比如说我们大客户经理，整天拿着客户数据，其实都是比如说在我的移动终端上各种方式去用，其实都是有数据暴露的风险。这是第二个原因。

第三个原因实际上是，我感觉就是整个移动互联这个趋势使大家对知识的认知普及得更快，所以我有个可能不太准确的说法，就中国大妈都知道要保护自己的隐私了，都知道自己信息是有价值的。所以说，大家知道其实我的数据既然有价值，就有风险。

还有一点我们也经常在提的，就是说原来数据我们都说从数据到信息，到价值，原来是没有定价的，现在的社会对数据已经有了定价，而且这可能是公开的，甚至说尤其我们做数据这个行业慢慢知道说Facebook到底买了那个人多少数据，它得含有多少活跃的用户，它大概知道每个人是多少钱的，同时也知道我们每个快递单大概在市场上售价，其实也有调查公司专门调查个人信息的。所以，在这会儿其实大家，这是个公知的东西了，已经不是说是个秘密，说数据是个私有的，不是公有的，有可能都会变成公有的了，所以大家这会儿知道需要保护的，需要去做这件事情。

其实我们现在接触很多企业，他们也非常关心，因为每个企业都保存了很多有价值的信息，我们最大的互联网现在也是金融公司，互联网是一切了，他们其实有大量的个人信息，其实包括政府机关、医院、事业单位，任何一个组织都会保存大量信息，一个是个人信息，另一个是企业本身的隐私，这些应该都是需要被保护的。

主持人：等于伴随着用户对数据隐私问题更加关注，对于企业来说责任就应该更大了。

嘉宾：更加重大了。

主持人：其实我们知道对于数据的管理，比如说对于企业内部可能企业的CIO或者专门有一些管理数据的人员，我不知道从企业内部来说有没有一些策略上、法律上能够规避风险的方法？

嘉宾：其实对内部IT管理来讲，尤其CIO的这个角色，一般我们普遍认知到的是数据是企业有价值的东西，它把数据当成资产来管理，但是同时它也应该当成风险管控的一个方面，

就是既要当资产也要当风险。

其实当资产比较容易，大家都知道桌子椅子怎么管，如果当风险来管的话，其实我们有一些可借鉴的，就是原来我们做了很多网络安全，防病毒，其实做了很多一些前期的安全管理的东西。

其实就从两个角度看，一个角度来看就是数据安全管理它有自己的特点，另一个它也属于传统安全管理领域的一部分，所以从这两个结合来看，一般我们建议客户做这个数据的或者信息的安全管理，首要的一步是要对信息进行安全等级的分级，就是说有些数据是要做管控的，有些数据可能要做，比如说50%，或者它有不同的级别，在企业内部，不同的级别会应用到不同的业务部门，不同的角色。

当这个确定之后实际上是大家对资产和风险有了一个责任人，或者是建了一个任责的体系，首先这就是第一点，要对信息分级。

第二，要做数据安全的一个责任体系，同时也需要各种内部流程去支持。

另一方面我觉得是最重要的，也可能是大家容易忽略的，就是说既然你是有风险的一个东西，实际上是说你有没有一个应急机制。假如说，因为信息终归是有可能会泄露，不管你采用什么样方案，采用了什么样安全措施，终归是有可能会泄露的。如果一旦发生泄露，那你有没有应急的措施，这实际上是很多CIO的一个短板，他并没有考虑说我只是防它不泄露，万一如果泄露了，可能大家没招了。

最常见的一种方式就是在市场上使劲喊我没有泄露，这是最常见的一种方式，说我没泄露，或者我泄露了无关紧要的信息。

但是，你的最终客户可能他已经知道是我的信息已经被泄露了，已经有风险了，这实际上是一个不正确的做法，对企业来讲说我做了这么大投资才找了这么多客户，那你一个不正确的处理方法可能把整件事情搞得更复杂了。所以一般来讲，实际上一个企业应该有一个怎么维护自己客户、怎么维持企业美誉度，应该有一个对这种安全管理的这种应急措施了，这实际上是大家容易忽略的。

一般像前几条大家普遍都会，我既然做过很多安全，都能说123我把它做起来，但应急措施一般是很多企业往往最终会忽略掉的。

主持人：您说的最后一点真的特别重要，可能这一点被很多企业CIO忽视掉了。

其实我们知道对于数据，我们的技术部门是把它管起来，但实际上要用，实际上是我们业务部门要更多去用，无论是制定什么样的分级，或者是说在应用的时候怎么样制定一些应用的措施，我不知道IT部门跟业务部门之间怎么样能够有一个好的配合，就是说有没有一个方式能够配合，让他们更好地管好这个数据？

嘉宾：这也是一个普遍存在的问题了，就是说既然你要管控，管控的话肯定要限制自由，业务部门就说我想充分自由，我不想完全管控，但事实上不是对立的。

业务和IT永远是个协作关系，一般来讲，我们对IT和业务在数据管控这块协作有两点建议。

第一点，其实业务部门也是数据的任责人，并不是说管数据的只是IT，这是一点。

第二点，其实要强调的就是说既然你要管控，那尽量对业务有最小的影响，才能业务部门乐意做这个管控人。在这个基础上就说我们对使用信息的方式可能要做重新的一个梳理，因为我们现在看到很多企业在使用信息的时候是无限使用的。

举个例子，比如说我们的呼叫中心，假如我们有一个信用卡需要它去校验的时候，有可能它看见的是我全部的信用卡信息，同时也全部看见了我的身份证号码，这实际上就是一个真实的风险，他知道说信用卡加身份证能产生什么样的价值，那我们就能够想象说这有多大的风险。其实我们遇见过一些真实的客户，其实也不是很大，IT也不是很复杂，就比如说一个学校，那一个学校里现在普遍的就是说你不管办什么事，要交身份证复印件，我觉得在早期交身份证复印件是比较好的，大家收了复印件都放到柜子里藏起来，现在很多IT系统越来越先进，收了复印件放到了数据库里。

放到数据库里会产生一个什么东西呢，就是我拿了这个身份证复印件，我就可以去办信用卡，办完信用卡我就可以去透支，拿了这个身份证复印件我还可以去买房子，甚至在审核不严的地方我还可以贷款，这实际上是一个很简单的例子，很多地方都真实存在这个问题，我已经把数据放到了数据库里，这个数据库里的东西我怎么来保护它。

假如说我偷出一条没事，反正这个人去告我反正别人也听不见，假如说我一次偷出去一千条，一万条，那这种其实对每个企业都是无限风险，尤其对我们CIO来讲，我们CIO都是很资深了，干了几十年做到CIO这个位置上，其实管控这种风险实际上是现在在大数据时代，或者是对数据价值充分认知的一个时代，这应该是提到比较棘手的问题。

这甚至关系到一个企业的整体美誉度、整体的市场认知，所以大家可能要稍微转变一个观念，因为早期我们头十几年是说IT的作用是手工的工作自动化，现在自动化之后其实我们也来了矛盾里面的矛和盾，其实我们要管控这个数据的风险，也是CIO应该做的。

可能稍微有点跑题，就是说假如说跟业务部门协作的话，那其实我们要让业务部门及时去了解这个风险实际上是存在的，其实不仅仅是说IT里哪个数据，其实业务部门也有可能会看到这些信息，也可能会无限制地使用这些信息。

我知道很多，比如身份证可以做防下载，我不能把身份证信息下载下来，但是在现在的这个时代我们除了大数据还有一个叫移动互联，我觉得2014年、2013年最火的一个词还有一个就是可穿戴设备，尤其很多企业说我现在已经做得很好了，我做过防下载了，安全信息绝对下载不下来，大家知道我这个眼镜有个摄像头的话，我可能在这敲，敲完之后整个企业的所有信息都在我手里，我拿回家只要把这个传到电脑上就可以了。

所以，有时候实际上它有很多方面，业务部门虽然接触不到数据库，那我可以一直来敲键盘，我也能把所有信息都拿走。所以这个大数据和移动互联确实安全性不仅是IT要关心，业务也要关心。

主持人：就Informatica来说，我想无论是对于我们的IT部门还是对业务部门，我们应该在数据隐私保护方面都会有我们的一些产品，我们的一些解决方案，因为您非常资深，其实见到了很多相关的CIO，知道他们的需求，那我们有没有一些相应的产品和解决方案能够对应到他们这些需求？

嘉宾：Informatica其实有一个很成熟的解决方案，我们一般叫数据脱敏或者数据隐私保护，它的定位实际上是主要在于说去保护企业内部的数据安全。其实数据泄露我们如果简单分的话就分成两个角度，一个是从外部泄露，一个是从内部泄露。

从主要研究机构的研究来看，其实现在我们发现主要的数据泄露不是来自于互联网攻破，而更大的原因来自于企业内部，企业内部由于各种原因把数据泄露出去，当然这个企业内部指的不仅仅是我们的内部员工，有可能是我们的供应商，我们的合作伙伴，有可能是我们的外包人员。

其实每一个点都有可能是信息泄露的来源，当然是说不同的点它会有不同的管控方式，但是Informatica正是看到了数据隐私泄露80%的方面，所以我们一直在向客户推荐我们的数据隐私保护的解决方案，如何管控你企业内部的数据安全。

其实我们这个解决方案也是两方面，我们全面的隐私保护解决方案指的是说，因为在企业内部IT是分成两个领域，一个是生产，一个是测试开发，其实我们的解决方案是同时涵盖这两块，就是说在测试开发环境当中如何管理你的数据隐私，在生产环境当中如何管理你的数据隐私，大概我们这方面就是这两个角度的东西。

主持人：我们的解决方案如果从行业来说有行业的重点吗？

嘉宾：其实我们的解决方案是一个相对比较通用的产品，就是说它可以针对任何的数据库，包括传统的比如Oracle，DB2…，也可以针对现在的比如Hadoop平台，各种各样的数据库，行业其实我们并没有针对某一个行业推特定的解决方案，但是从市场上看现在我们把数据隐私分成三个方面，三个类型是最通用的隐私，但是其他的不同企业会有不同的定义了。

我们一般把隐私数据分成三类，第一类就是个人信息，这是大家都众所周知的；第二类是财产信息，大家所有人都知道；第三类是隐私信息，就是说你的病史，尤其精神病史之类的这些隐私相关的信息。

实际上隐私信息我们一般分成这三类，基本上是这样的，就是说它不会我这个产品适用这个行业不适用那个行业。

主持人：通用的。

嘉宾：通用的一个解决方案。

主持人：但是主要是解决三个隐私的问题。

嘉宾：对，主要是解决这三个隐私的问题。

但是有的时候，当然我说的是最常见的，有的时候比如说有些汇总信息也是需要保护的，举个通用点的例子，大家都比较容易接受的，就是说内幕交易，假如说您所在公司是个上市公司，年报都会披露，披露之后股票有可能涨有可能跌，。

假如说你是个数据库管理员，或者你是一个外包人员专门做合并报表的，专门做财务统计的，那你有可能就会提前知道这个企业的经营状况，那其实它不是指的个人的某项信息，有可能指的是一个汇总的信息，把企业很多分公司财务数据汇总到一起，正因为我提前知道了，或者说我有权限提前拿到了这个信息，虽然我不是高管，仅仅是个IT普通员工，甚至是个外包的员工，甚至是一个很低级的员工，我也可以知道这个。

这个其实还是一个高风险的，有可能内幕交易，有可能就是这么发生的，不仅仅是我们高管可能这么做。

主持人：我还是想问一下，Informatica这个相关的产品和解决方案，能不能给我们举一个，比如说我们某一个客户，当然也不一定非要说到客户具体的名称，但是我们想知道我们的产品是怎么样给客户帮助他去解决他的问题。

嘉宾：举个稍微复杂一点的例子，就是说现在大家能普遍认知的就是数据挖掘，数据挖掘是挖掘数据价值的一个手段，在做数据挖掘的时候，我们都有一个叫做模型，叫数据挖掘的模型，在做数据挖掘模型的时候它有个叫做，就是必须要使用真实的数据，如果假如说我虚拟一套数据，然后去做这个挖掘模型，有可能挖出来的东西跟你实际的业务是不匹配的。

所以在普遍多数的行业，在做数据挖掘、数据分析的时候，用的都是真数据，用真数据实际上是有泄露风险的，比如说银行甚至行长的工资都在里面，因为它不可能行长工资开到另外银行去，实际上这个泄露风险很高。这会儿说我既想要挖掘，又要使用真实数据，但是它又看不到我敏感的这个信息。

那怎么来做呢，其实Informatica解决方案就是说假如说这是个数据库，我在这建了一道防火墙，就是当你在这里访问单条数据的时候，你实际上是永远不会看到真实数据的，有可能你看到的是空的表，有可能你看着像真的，但这个信息比如说我就想看这个银行行长的工资，有可能他看见的是别人的，把数据完全打乱了。

主持人：这样。

嘉宾：但是你通过这个防火墙把你的模型丢下去的时候，它确实是运行在真实数据上的。那我们有个典型的案例，也是个银行，它们要做一些大客户的促销，大客户的营销方案，他们就希望说从自己这个海量数据当中挖掘出一批适合它的这个产品的一些客户，它说我需要这个挖掘模型，你最好把他的身份证，把大客户的身份证号码拿出来给我，这涉及两个风险，一个风险就是你就让他拿出身份证号码来，那他必然要把身份证拿出来。

还有一个你要建挖掘模型，这实际上会有两个大的风险，挖掘模型的风险现在说我可以解决了，我现在有一个防火墙。还有一个就是说我怎么把这身份证号码拿出来，因为拿出来之后，它终于知道了，这银行大客户里面实际上是就这个身份证列表里的这些，不能往后说，我可以给其他人，关心这些数据的人。

其实在做的时候，我们也有些独到的方法，怎么说，你拿出来身份证既能反馈到你旧的真实的数据库里的信息，但是他拿出来的东西又不是你真实看到的对应这个人的身份证信息，这也是我们相对在这个解决方案里比较独到的一块。

就是你真实看到说我挖掘完可能发现了一万个有价值的客户，我会针对他做促销，真的是从库里面提出来一万个身份证号码，但是这一万个身份证号码你拿到市场上看，原来根本不是对应的实际客户的这些人，但当你把这个身份证号码给客户的时候，他又会返回到他的系统里，他的真实有价值的客户，这就是一个相对在数据挖掘的这个领域里怎么去保护隐私安全的一个小的案例。

主持人：这挺有意思。我想知道如果说一个客户他过去没有用过Informatica的产品，但是就对我们现有的这个产品感兴趣，能不能直接用到我们这个产品里面，这是一个问题。另外，是不是跟我们其他的产品如果能够相对应一起来采用效果会更好？

嘉宾：其实Informatica自己，我们的定位我们是一家做数据管理的公司，其实数据管理有很多方面，比如说数据集成、数据整合，我们看到我们的房产统一登记是解决数据孤岛的问题，Informatica在做数据整合很专业，又是全球数一数二的公司，做数据质量，做数据各种各样的数据隐私保护确实是我们一个解决方案，假如刚才提到说有的客户他可能原来没用过Informatica的产品，现在我就关心这个数据隐私保护，没问题，你可以单独使用这个数据隐私保护的解决方案。

但是，假如说你用了数据隐私保护，你会发现Informatica在业界有很多非常优秀的数据管理的解决方案，其实涵盖那些数据我们知道整个生命周期的数据管理，从集成，整合，然后数据标准，数据治理各个方面都是完整的，所以你也可以通过这个来深入了解Informatica。

主持人：因为我们想邀请您作客到我们节目的时候，其实我们也是想让网友，征集一些网友他们感兴趣的问题，因为其实对于很多网友来说，这个数据隐私是他们早些年可能有一点好像没太关注，但是最近这一两年，确实这个问题，就像您刚才说连大妈都已经很关心的这样一个问题，所以网友他们给我们留言，就是他们问到了其中有几个他们比较关心的问题，可能是代表他们自己对这个产品的一些了解。

一方面有一个网友他想了解，对于个人，如果他想保护自己的数据隐私，他有一些什么样的好的手段吗？您从这个专家的角度能够给他一些建议，能够有什么方式保护自己的数据隐私？

嘉宾：其实个人如果想保护自己隐私的话，最好的一个方法，首先是这个网友已经有意识了，他已经有意识我要保护自己的信息，既然有了这个意识，就是有一个建议，你不能滥用自己的信息，就是说有时候我们个人在用自己信息的时候也是毫无保留，尤其现在有些企业他们在收集信息的时候，他尽量让你跟他业务不相关的，他也会让你填，因为这对他来讲是有价值的。

所以这个时候你可以去关注一下，哪些是跟你业务相关的，哪些是业务不相关的，就是说你在提供信息的时候，尽量有一个自我保护。

还有另一个是移动设备，移动设备其实现在也是一个大家普遍把很多自己的数据，自己的帐户都会显示在移动设备上，其实最近我也比较关注这块，大家比如说很多人在地铁上看微博，在地铁上聊QQ，假如说我坐在你旁边我就可以看到你的QQ号，看到你的微博名字等等这些信息，这时候其实让大家一是要自我保护。

另外一个是不是我们的供应商也应该考虑这方面的信息，就是说在微博上我叫杜绍森的微博，是不是最好不要把完整的信息都显示出来，这也是一种保护措施。

所以，大家有了这个意识之后，我们可以把我们的建议也反馈给在使用我们信息，因为我们平常在用的这些机构，其实这也是对我们个人的一个好的保护方式。

主持人：刚才您说到身份证的问题，因为其实我们很多时候我们在办理很多业务的时候都是要提供身份证复印件，如果提供身份证复印件有什么方式能够保护自己的数据呢？

嘉宾：这个其实原来我觉得有很多建议，比如说仅为某某项来使用，比如说我买房写上这个，现在实际上是我们基本上还是要提供的，这个实际上是没有什么特别好的一个解决方案，因为它现在一般要复印件的，假如说是公权机构你必须给它，公权机构其实包括政府，政府控股的银行，这些你是必须给它的，或者法律法规要的，你必须给它。

还有一种就是有些是可要可不要的地方，是不是最好不给，比如说你们家物业，那最好是不给，就是说因为公权机构它有非常强的法律约束，一个是你不得不给，还有一个刚才提到的假如说它是非公权机构，它有想要到这个信息，其实我们自我保护的方法，其实最好是不给了，写上那个东西其实…

主持人：其实没什么用处，是吗？

嘉宾：对，其实它有涂改液也很容易涂改，当然写上是最好的了，因为就像这个写上之后，我觉得就跟家里那把锁一样，就是说这个锁有可能你两秒钟就能撬开，但是你加上锁之后其实这是个概率事件，有些人看到有这个障碍他就不会去越这个雷池。

主持人：他知道您对这个比较在意，会比较敏感。

嘉宾：对，是这样。

主持人：还有网友询问说现在国内有没有针对这个数据隐私保护的相关立法？您刚才提到了公检法可能就在这方面做得好一点，其他的就差一点，我不知道有没有一些法律法规去做规范？

嘉宾：其实法律法规这个是我们国家提了很久了，应该至少是国家提了十年，开始起草个人信息的保护法，但是我知道的应该还没有正式出台，整个国家层面的还没有出台。但是，在不同的行业，不同领域，其实都有行业性的一些关于信息隐私保护的，比如说在银行有些安全指引，我们信产部也出了很多信息安全的保护规定，这也算是一大进步吧。

其实前一段，这应该有几年了，我也注意到就说其实我们《刑法》在修改的时候也有一个关于信息隐私保护的一个修改，它这个修改是什么呢？早期《刑法》在对隐私保护的这个领域，它原来仅仅指的是邮政部门去卖个人信息，那实际上是要受到法律惩处的，有可能你算是，假如说严重的话是刑事犯罪。

但是在上一次修改的时候，实际上它把不仅仅是邮政，国家政府部门、金融、电信、交通，基本上是所有人你都不可以是用你手里的信息，手里的隐私信息去谋利的，它也会有具体的量刑的规定。

但是可能因为它在《刑法》里，《刑法》太长了，仅仅是一条了，大家可能不一定能看到，或者说国内现在我觉得判例宣传得也不多，判例宣传得不多，也可能有多方面原因造成的，因为哪个企业有被判的，他也不愿意让大家知道，或者说各种各样原因，大家也了解得不多。

其实我们还是如果从这个信息安全角度，保护角度考虑，甚至从个人考虑，最好是国家尽快出个人信息安全保护法，我们知道我们有些地区，比如说台湾、美国，其实都有专门的针对个人信息、个人资料的这种保护法，企业也会在用我们个人信息的时候，他们也会小心一点，也会尽量防止去泄露，我觉得这也算是在新的时代我们一个大进步吧。

主持人：随着时代的变化，我不知道这个数据隐私界定，哪些数据就是一个隐私范畴之内的，哪些数据可能不属于隐私范畴之内，它会变化吗？怎么去界定这个。

嘉宾：这是个很好的问题，其实说哪些数据属于隐私，哪些数据不属于隐私，我个人感觉就是两类，一类就是说涉及你的私密信息的永远是隐私，容易发生变化的是说它的价值的变化，就是说你的某项信息，假如说Facebook买的我们知道是40美金一条，当它价值越高你需要保护的措施要越严密，这肯定是会随着这个时代的变化，原来我们卖一条个人信息，我知道我在国贸那边上班，大街上卖很多都很便宜，现在很贵了，所以大家都知道说它很重要。

确实是它会随着时间，随着大家的关注点，甚至随着你的某些信息能发挥的价值的不同，身份证它能办信用卡，所以它价值比较高，信用卡可以刷卡，所以价值比较高，确实是会随着一些时间变化它会变化。

举个例子，我们能看到的就是说你的生物信息，你的生物信息应该是未来更大的一个风险点。

主持人：生物信息？

嘉宾：你的生物特征，因为未来有可能，现在我们验证方式都是密码，多数验证方式都是密码，未来有可能说密码的安全度是没有那么高的，可能随着加密算法之类的，它永远是很难去提升上去，可能未来会产生很多，比如说我们看科幻片，生物信息去校验身份的，现在你可能有意无意把自己的生物信息都已经泄露出去了。

那其实这可能就是当你在发现你突然说有人提供了所有东西都是指纹的，或者其他的生物信息校验的时候，你发现我这个东西已经到处都是了，这有可能，所以说它也会随着时间，或者是社会使用习惯，它也会有变化的。

主持人：这一点我觉得网友应该注意，就是很多信息你现在觉得好像没有那么大的价值，不把它当成隐私，可能实际上在未来的发展当中变成了隐私了，还是要慎重一点。

嘉宾：对，是。

主持人：感谢杜先生作客我们这期的ZDNet视频直播，其实给我们带来了很多特别有价值的信息，无论是我们个人，还是对于我们企业来说，其实都是应该加强数据隐私意识，加强这种数据信息的保护。那也是感谢您，也是希望我们的网友继续关注我们相关的话题，其实对这个话题如果有更多的问题，也可以给我们留言，我们也可以转达给Informatica的专家来给大家解答，谢谢大家。