谁为数据安全负责?阿里在争议中走了这步棋

【亿邦动力网讯】为电商商家提供数据服务的开发者和运营商正经历着巨头企业对数据安全性越发警惕所带来的变化。这些变化来自于淘宝开放平台近期的一则公告:“为营造安全、规范、有序的开发环境,保障消费者数据的安全性,开放平台将于2017年6月1日起针对开发者未合规存储、处理和转移用户数据的行为进行排查,一经发现,将根据《开放平台&聚石塔安全违规行为及处罚规范》进行处理。”

阿里巴巴这则关于数据存储、处理和转移的要求,在加强“安防”之余,也让数据服务商感受到了压力。比如,“必须把客户数据全部移交到淘宝数据开放平台?”“非淘宝系的数据怎么办?”“万一淘宝不给合作方开放数据接口呢?”

当数据资产的比拼逐渐取代传统商业层面的竞争,数据安全也成为未来商业从业者的心病,大公司正试图明确自己在数据资产领域的绝对地位,并为了确保地位不被安全漏洞破坏而编织起新的藩篱。

此前火爆一时的顺丰菜鸟大战中,利益双方均指责对方有觊觎非主体范围内数据之嫌,尽管双方协约至今尚未明晰,但不可否认,没有一家公司热衷于向另一家公司开放自有数据。物流是如此,电商交易也是一样。

淘宝数据必须部署在阿里云?

淘宝开放平台公告详情截图

据悉,淘宝开放平台在5月18日发出的“安全违规行为排查公告”中,涉及数据“储存”和“转移”的三条违规情况分别是:

① 开发者通过App key或相关权限获取淘宝平台用户的数据未存储在RDS中,同时涉及到淘宝平台用户数据的业务处理逻辑未部署在聚石塔内的ECS上;

② 开发者通过App key或相关权限获取淘宝平台用户隐私数据时,未通过奇门或聚石塔通信等官方产品的接口与塔外系统进行数据交互;

③ 开发者通过App key或相关权限获取淘宝平台用户非隐私数据时,未通过开放平台SPI体系已发布的接口与塔外系统进行交互,擅自通过其外部系统的接口将聚石塔内数据输出到聚石塔外的系统里。

经多位开发者描述,这些条款的主要目的,在于限制阿里聚石塔数据的取用。通俗的解释,即①开发者从聚石塔中获取的淘宝用户数据,必须储存在阿里云数据库中。②数据处理逻辑要部署在阿里云的云主机中;③开发者必须通过官方接口对聚石塔中的数据进行调取和输出。

如果未能及时响应,开发者将被按照违规处理,结果就是不能实时取用数据、提取数据被模糊化、罚款、停用所有API接口等。

“安全”还是“垄断”?

据悉,聚石塔是阿里云旗下的SaaS应用,为商家和服务商提供IT基础设施和数据云服务,主要产品就是规范中被多次提及的云主机(ECS)和云数据库(RDS)。

对于服务淘宝商家的服务商而言,使用聚石塔调取淘宝数据几乎是必须选择,只是以往,数据的调取和储存不是“捆绑”的。如今,淘宝开放平台“不储存就违规”的限定,让部分服务商有些措手不及。

挑战首先来自一些第三方云技术服务公司。这些公司明确表示,阿里巴巴的新规实施后,其电商客户有很大可能迁出,转移至阿里云。“把与淘宝相关业务数据都放置到阿里云,所谓的‘开放’去哪儿了,数据服务的使用权不应当是‘垄断’的。”

相比竞争对手的情绪使然,阿里巴巴的公告内容并无不妥。亿邦动力网了解到,ECS的主要作用是数据运算处理,虽然兼具储存功能,但其对数据的监控成本远高于RDS。站在安全角度,阿里要求聚石塔开发者将数据储存到RDS存在合理性。

然而,另一种来自开发者和电商商家的担忧则更为敏感。第三方服务器中运行的非淘系订单数据,都放到聚石塔中,如何确保这些数据不被平台读取?

尽管商家所强调的非淘系数据,在阿里巴巴的公告中并未提及,但一位行业高管则揭示了隐藏在公告之外的倾向:阿里有机会获取并读取非淘系数据,因为开发者在实际操作中很难分离系统中的淘系和非淘系数据,基本会全盘储存(在阿里云)。

“技术上可以实现数据的分离,让淘系数据入(聚石)塔,其余数据另外储存。但这需要在聚石塔之外另租服务器,不仅会增加操作的复杂性,成本也会大大增加。客户(商家)面对压力,妥协入塔会成为默认选项,也意味着他的非淘系电商数据,已经在阿里云。”

一位深度合作聚石塔的服务商坦言,“妥协”存在另一方面的风险,即非淘系电商平台的施压,“如果非淘系平台要求数据存储在他们的云服务中,开发者就会被挤在夹缝中,面临二选一。”

此外,对于公告中数据交互必须通过聚石塔官方接口的要求,上述服务商也显得忧心忡忡:“之前只需要开发者来对接聚石塔,之后再和其它系统自主对接就好。现在只有聚石塔给其它系统开放接口,我们才能合作。如果突然决定中断接口呢?”顺丰和菜鸟的数据之争让他感到心有余悸。

但也有CRM服务商认为,淘宝开放平台的三条规则“没毛病”。“这是对那些靠非法和投机手段获取数据的软件开发者的正式警告。正规手段获取数据的服务商不会有任何影响。而不具有合法性的业务本身就很难维持,投机手段被规范也是迟早的事儿。”

对此,阿里云方面表示,阿里云为客户提供计算工具,客户如何使用这个工具,阿里云不会干涉。“可能外界会对误云服务中数据的归属,可以明确承诺的是,阿里云不碰客户的数据。”

亿邦动力网也就相关质疑联系了淘宝方面,目前尚未得到明确回复。

数据主权到底归谁?

无论是此前顺丰菜鸟的物流数据之争,抑或这次订单数据云存储规范化所引发的疑虑,总会让阴谋论者趁机妄加揣测阿里巴巴是个“野心家”,但另一方面,更多雄辩和杂音的交相呼应,也为“数据主权”撕开了一个口子。

据IDC公有云服务追踪研究预计,2018年中国公有云市场规模将达到20亿美元,企业业务、设备、服务数据化后,让数据流通起来成为云计算行业爆发的关键点,这显然需要连接众多企业的互联网巨头来完成。

马云积极倡导未来即将迈向数据资产时代,而经历电商洗礼的传统商业正在面对山呼海啸般的数据狂潮。马化腾也曾表示,“云化程度,是该行业数字经济发展程度的重要指标。”当一切业务在线化、数字化之后,大数据、云计算将成为横亘在所有商业面前的最后一道关卡。

然而,即便“数据泄露”事件频频发生,数据安全亟待解决,拥有强大运算能力的互联网巨头,也往往只被当做不得不靠拢、却难以完全信任的对象。

一位ERP企业创始人指出,像阿里、腾讯、谷歌、Facebook、亚马逊这样的互联网巨头其实都具备制定商业数据交换标准的能力,甚至影响整个行业的数据交互。“假想所有企业与阿里交互数据时都需要走阿里的官方接口,用阿里云把控数据储存,用奇门统一的交换,这就是一个商业数据江湖。”

讨论数据主权的意义在于,在这样一个商业数据江湖里,如何才能确保制定游戏规则的一方是中立和可信赖的。当巨型互联网公司倚借先进的技术能力一路高歌猛进,又用什么方法来约束其在数据方面的应用,而不一定非要极端地用商业道德来审视和衡量。

阿里云曾在2015年提出倡议:“运行在云计算平台上的开发者、公司、政府、社会机构的数据,所有权绝对属于客户;云计算平台不得将这些数据移作它用。平台方有责任和义务,帮助客户保障其数据的私密性、完整性和可用性。”这份倡议被视为中国云计算服务商首次定义行业标准,界定了用户普遍关注的数据安全问题。彼时,来自英特尔、浪潮、用友、新奥特等企业的多位行业人士做出了响应,而这正是巨头在行业发展中起到的重要作用。

据了解,阿里云是阿里巴巴增值最快的业务单元之一,2017财年中营收规模已经达到66.63亿元人民币。已经在全球跻身云服务商前三位,在国内公有云市场的占有率超过50%,承担着国内37%网站业务的阿里云,其每一步商业数据交互规范化的进程都将对云服务的发展具有里程碑式的意义。

只是,诸如阿里巴巴这样的大树,在完成人类使命的过程中,难免修枝剪叶。“数据是包括人工智能在内的未来任何新技术的燃料,决定着产业话语权,所以巨头才会采用‘垄断’的办法。即便今天不能完全发挥大数据价值,但也要守着金矿,不许别人来挖。这种战略在激烈的商业竞争中无可厚非,但也体现出了云服务‘中立’的重要性。” 一位云服务产品高管表示。

上述人士强调,云服务行业的良性竞争需要多元和开放。“云服务的核心优势是技术,不能让商家面对太多的限制,再大的商业帝国一旦不具备开放性也只是一个封闭系统。”他强调,封闭只会加强依赖,让行业中开发者的自主性越来越少,合作成本越来越高。

好在,百度云、腾讯云、亚马逊AWS、微软Azure、美团云等巨头企业的云服务,以及青云、UCloud等创新平台的涌现,正让云服务竞争变得更加多元和激烈。

HCR报告分析认为,虽然国内云服务市场格局初现,但还存在很大的释放空间,需求的差异化将为更多中小服务商提供生存空间,行业解决方案将成为差异化竞争的关键,如乐视的视频云、京东的电商云等。

另有业内人士表示,很多中小企业刚刚面临信息化,即将成为云服务的巨大目标群;而企业服务不会一家独大,数据分析、人工智能等能够帮助用户解决生产经营痛点的服务,都是云服务厂商的巨大机会。

加载更多