浅谈滴滴被查事件：能力越大，责任越大，数据安全是企业最重责任

这两天，关于“滴滴出行”被安全审查一事受到社会极大关注，各方仍在争论中，具体事情真相仍待最终审查结果，针对此事，我简单从数据安全角度浅谈一二。

第一、能力越大，责任越大。

今天，滴滴已经成为国内最大的网约车平台，按照滴滴老大程维公开的数据，滴滴平台连接了超过3100万台车辆、5.5亿用户和千万司机。这样的数据规模足以让其成为“国民级”应用。

而从网络安全审查办公室对「滴滴出行」启动网络安全审查来看，国家已经把滴滴认定为“关键信息基础设施运营者”。

什么是“关键信息基础设施”呢？有一个官方的定义：面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统。

过去提起“关键信息基础设施”我们第一反应是想到中国移动、中国电信这些电信运营商，中国石油、石化这些资源运营商，工商银行、建设银行这些金融运营商，中国高铁、中国国航这些交通运营商，这些是国家最重要的信息基础设施的运营者，但我们都没想到，「滴滴出行」也已经悄悄成长成为“关键信息基础设施运营者”。

恐怕「滴滴出行」自身也对“关键信息基础设施运营者”这个身份感到陌生，我翻了翻它最新的招股书，全篇未曾提到过这个词，滴滴仍然把自己视作为一家普通的市场运营企业，只是规模大了点。

而这，正是导致这一事件的根源！滴滴没有摆正自己的位置，自然也就谈不上承担该有的责任。

能力越大，责任越大。滴滴已经成为了国内能力最大的公共交通服务平台，成为了国家级的关键信息基础设施，就必须承担起其该承担的责任，而其中最大的责任就是安全责任！这些系统一旦发生网络安全事故，会影响社会行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

习总书记在2016年网络安全和信息化工作座谈会上就曾指出，互联网核心技术是我们最大的“命门”，核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高，如果核心元器件严重依赖外国， 供应链的“命门”掌握在别人手里，那就好比在别人的墙基上砌房子，再大再漂亮也可能经不起风雨，甚至会不堪一击。

第二，数据安全是企业最重的责任。

按照滴滴招股书的数据，滴滴业务已拓展至15 个国家的近4000 个城市与地区。截止2021 年3 月的一年内，全球年活跃用户数已经达到4.93 亿，年活跃司机数已经达到1500 万，日均交易4100 万次，全球GTV 合计达到3410 亿元。2018年至2021Q1.平台实现司机收入6000 亿元。

而在中国，截止2021 年3 月31 日，滴滴已经拥有3.77 亿年活跃用户，月平均活跃用户数为1.56 亿；在过去的12 个月中，日活跃用户数共计1300 万。提供的服务包括网约车服务、出租车服务、拼车服务、代驾服务以及顺风车服务等多种类型的服务。

在滴滴蓬勃发展的业务背后，你们看到的是什么？是数据，庞大的数据！

比如客户数据，滴滴手上有超过5亿注册用户的注册信息，有超过3亿活跃用户的行程、订单、支付、及活跃区域信息，甚至还有车内录音的大数据，在这些信息背后，通过大数据技术，完全可以还原出一个完整的、精细到肌理的中国。

再谈道路数据，每天中国的大小城市上跑着上千万的接入滴滴平台的汽车，这些车辆遍布大街小巷、无孔不入，加上滴滴自身有地图导航的应用对这些数据进行收集，可以说滴滴对中国交通的了解恐怕早就到了无人能及的地步。

在拥有数据量级上，能跟滴滴相提并论的恐怕只有微信、以及以中国移动为首的电信运营商了。而无论是微信还是中国移动，其数据都被严格的管控，比如，微信一直遵循着用户数据只保留在用户终端本地，而中国移动手中的数据也被严格限制使用范围，以至于大家戏谑地调戏中国移动为“守着数据金矿，干着要饭的活”。

而从滴滴被查一事，我们也可以看到，全社会对于“安全”的认识也在逐步的提升——

最开始大家只关心“网络安全”——在04、05年前后，当时国内正在推进网络大跃进，到处网络大建设，结构就是星形网络，没有任何安全域可言，从业人员基本上都是网络工程师。黑客入侵后，网络工程师承担了安全工程师的角色，并且理所当然的想到黑客是从网络入侵的，那时候所有人安全视角都只盯着网络。

随后开始关心“业务安全”——到了07、08年以后，黑客开始以“业务"作为主要入侵和修改的目标，为了应对这种黑客行为，网络上开始划分安全域，保障业务的安全提上日程，有了专门的安全工程师，但也仅仅是安全产品部署运维。

后来大家开始关心“数据安全”——十年以后，黑客开始将目标瞄准“数据”，安全工作就从开始的网络入侵转变为数据安全保障，开始有专职的安全咨询顾问，各种安全职位如同雨后春笋一般。
我们从安全产品演进也可以看出“安全”的发展路线——最开始的时候只有防火墙、IDS、主机防病毒还在收费，其他安全产品尚没有成熟的产品形态。后来有了IPS、终端防护、网络防病毒、流量清洗等系统。现在有数据库审计，各种web防护。
扯远了，回到滴滴被查事件，具体最终结果要静待相关部门的调查，但恐怕从今天开始，滴滴出行就要想办法落实自身的数据安全保障责任。