黑帽亚洲大会：隐私保护与网络安全密不可分

在新加坡举办的2026年黑帽亚洲大会开幕主题演讲中，调查记者兼作家Violet Blue向与会者表示，隐私并非网络安全的附属议题，而是其核心组成部分，因为隐私方面的失误极易演变为安全漏洞。

Blue指出，"隐私政策"和"匿名数据"等术语听起来令人放心，但并不意味着隐私真正得到了保护。她认为，科技行业长期以来将隐私视为可选项，却对安全问题保持高度警惕。然而在个人数据日益成为重大网络事件突破口的当下，这种割裂态度已难以为继。

她表示，安全专业人员往往认为"隐私已死"，由此导致他们"漠然接受那些自己明知不妥的做法"。

Blue进一步指出，侵蚀隐私的商业驱动力同样会削弱安全防线。她警告称，无休止的数据采集助长了以监控为基础的商业模式，并催生出新的攻击路径。

"监控资本主义不仅侵蚀隐私，更制造了攻击面，"她说，"每一个数据经纪商都是潜在攻击目标，每一个广告技术SDK都是供应链风险，每一个'我们需要这份遥测数据'的决策都是为未来泄露事件预埋的隐患。"

面对"安全有成本、隐私合规是额外负担"的常见反驳，Blue表示，破坏隐私的利益驱动机制对安全同样有害无益。

她列举了多起引发广泛关注的事件，说明在这些案例中，个人信息的暴露不仅仅是攻击的连带后果，更是攻击者所利用的武器化入口。

以2023年米高梅度假村事件为例，攻击者据报通过抓取公开可得的个人数据冒充员工身份，进而说服IT服务台重置用户的多因素认证（MFA），最终造成严重的业务中断和财务损失。

同样，在23andMe数据泄露事件中，被攻破的账户所暴露的遗传信息和个人数据，远远波及到初始受害者之外的数百万份档案。

她还提到2022年Twilio短信网络钓鱼攻击，以及Facebook收集用户手机号码所引发的连锁风险——这些数据最初以安全为名收集（如用于双因素认证），最终却成为更大范围安全威胁的组成部分。

在谈及"自主权"与"控制权"的区别时，Blue说道："自主权意味着掌控自己的数据：有权说不，有权知道自己同意了什么，以及能够撤回同意。它还意味着能够将数据转移到别处。"

"大多数隐私控制不过是一场表演，你只是在选择笼子涂成什么颜色，"她补充道。

她指出，数据主权是目前应对隐私侵害背后利益驱动问题最为严肃的尝试之一。它不是将隐私视为个人消费者的选择，而是将其视为"集体自主"的问题。亚太地区的相关法律法规正推动企业更负责任地保护个人数据。

她援引新加坡《个人数据保护法》、日本《个人信息保护法》和韩国《个人信息保护法》（PIPA）为例，同时提及印度尼西亚、越南、澳大利亚和菲律宾的类似立法，将这些视为将隐私与安全作为关联责任统一对待的数据主权实践。

Blue还着重介绍了原住民数据主权这一数据治理框架。在该模式下，社群有权决定收集哪些关于自身的数据、数据如何存储与保护、谁可以访问数据，以及如何限制或纠正数据滥用行为。

她认为，这一模式为数据榨取行为提供了替代方案——在数据榨取模式中，机构或企业出于自身目的从社群提取数据，却未赋予社群实质性的访问权限或控制权。

她以新西兰毛利数据主权网络"Te Mana Raraunga"为例，说明在该框架下，涉及原住民的数据由其所属部落民族负责治理。在澳大利亚，她提到了用于存储澳大利亚原住民及托雷斯海峡岛民数据的多个数字平台，包括Mukurtu、Keeping Culture以及由AxiDA支持的AtoM，这些平台按照数据主权的核心原则管理和存储原住民文化数据。

Blue最终总结道，强大的隐私与安全保障源于长期、负责任的数据治理。仅在技术层面防御系统远远不够，必须赋予人与社群真正的权力，以集体方式负责任地治理数据，确保数据不被提取、滥用或泄露。

"这是一种从'我保护我的数据'到'我们治理我们的数据'的转变，是从个体防御迈向集体管护的跨越，"她说。

Q&A

Q1：隐私保护和网络安全之间到底有什么关系？

A：两者密不可分。隐私方面的失误极易演变为安全漏洞。以监控为基础的商业模式推动了无休止的数据采集，这不仅侵蚀隐私，还催生了新的攻击面。每个数据经纪商都是潜在攻击目标，每个广告技术SDK都是供应链风险。米高梅度假村事件和23andMe数据泄露都证明，个人数据暴露本身就是攻击者利用的入口，而非单纯的连带损失。

Q2：什么是数据主权？亚太地区有哪些相关法律？

A：数据主权将隐私视为集体自主权问题，而非个人消费选择，推动企业更负责任地保护个人数据。亚太地区已有多部相关法律，包括新加坡《个人数据保护法》、日本《个人信息保护法》、韩国《个人信息保护法》（PIPA），以及印度尼西亚、越南、澳大利亚、菲律宾等国的类似立法，这些法律将隐私与安全作为关联责任统一对待。

Q3：原住民数据主权是什么？有哪些实际应用案例？

A：原住民数据主权是一种数据治理框架，赋予社群决定其数据如何被收集、存储、访问及纠正的权利，是对数据榨取行为的替代方案。实际案例包括：新西兰毛利数据主权网络"Te Mana Raraunga"，由部落民族自主治理涉及原住民的数据；澳大利亚的Mukurtu、Keeping Culture及AxiDA支持的AtoM平台，依据数据主权原则管理原住民文化数据。