從中信銀行事件惹眾怒，看AI時(shí)代的信息安全攻防戰(zhàn)

　　最近，中信銀行信息泄漏事件持續(xù)發(fā)酵。繼上海銀保監(jiān)局介入后，5月9日，銀保監(jiān)對(duì)各大銀行進(jìn)行監(jiān)管審查。據(jù)銀保監(jiān)公布行政處罰信息公開表顯示，中國(guó)銀行、工商銀行、中信銀行等在內(nèi)的8家銀行，因監(jiān)管標(biāo)準(zhǔn)化數(shù)據(jù)(EAST)系統(tǒng)數(shù)據(jù)質(zhì)量及報(bào)送存在違法違規(guī)行為被罰，共計(jì)1770萬(wàn)元。

　　這起關(guān)于個(gè)人信息泄露的事件引起了社會(huì)的熱議。在數(shù)據(jù)爆炸的當(dāng)下，我們?cè)撊绾螒?yīng)對(duì)永無(wú)止境的信息安全攻防戰(zhàn)呢?

　　數(shù)據(jù)爆炸帶來的困擾

　　近年來，隨著移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展，海量的數(shù)據(jù)信息在給我們生活帶來便利的同時(shí)，個(gè)人信息泄露的問題也日漸凸顯。最典型的例子就是Facebook等社交網(wǎng)絡(luò)巨頭，近年來，隨著全球用戶的增長(zhǎng)，F(xiàn)acebook一直在為用戶的隱私問題而煩惱。

　　就在5月9日，F(xiàn)acebook用戶請(qǐng)求法官同意他們就一項(xiàng)集體訴訟達(dá)成5.5億美元的和解。該訴訟指控Facebook通過照片標(biāo)記工具非法收集生物識(shí)別數(shù)據(jù)。

　　據(jù)報(bào)道，F(xiàn)acebook已同意為集體訴訟成員關(guān)閉面部識(shí)別功能，刪除現(xiàn)有的用戶生物識(shí)別信息，除非在和解生效后的180天之內(nèi)用戶同意開啟該面部識(shí)別功能。此外，集體訴訟成員將獲得150~300美元的賠償。

　　而在此前2018年10月，F(xiàn)acebook被爆8700萬(wàn)用戶數(shù)據(jù)被不當(dāng)泄露給政治咨詢公司劍橋分析，隨后FTC對(duì)此展開調(diào)查，并認(rèn)為Facebook沒有保障好用戶的數(shù)據(jù)安全，違反了公司此前有關(guān)于保護(hù)用戶隱私的承諾。經(jīng)過長(zhǎng)達(dá)一年半之久的調(diào)查后，F(xiàn)acebook與FTC達(dá)成和解協(xié)議，罰款50億美元，并內(nèi)部成立獨(dú)立隱私委員會(huì)。

　　除了人為的之外，也有因系統(tǒng)漏洞而出現(xiàn)的隱私泄露問題。如2019年12月，F(xiàn)acebook因API安全漏洞，使黑客在訪問受限的情況下也能訪問用戶的ID和電話號(hào)碼，從而導(dǎo)致2.67億個(gè)用戶的隱私數(shù)據(jù)被非法售賣;2019年2月，深圳一家人工智能公司深網(wǎng)視界(SenseNets)因沒有對(duì)人臉識(shí)別數(shù)據(jù)庫(kù)進(jìn)行密碼保護(hù)，導(dǎo)致250萬(wàn)用戶信息被"裸奔"，包括身份證號(hào)碼、地址、出生日期、識(shí)別其身份的位置等。

　　隨著人工智能、大數(shù)據(jù)等前沿信息科技的深入發(fā)展，對(duì)金融數(shù)據(jù)的風(fēng)險(xiǎn)控制、信息安全和數(shù)據(jù)防護(hù)能力以及技術(shù)處理手段都提出了更高的要求。然而，對(duì)此常見的防護(hù)處理手段，仍然任重而道遠(yuǎn)。

　　“誰(shuí)收集、誰(shuí)負(fù)責(zé)”?

　　隨著互聯(lián)網(wǎng)的迅速發(fā)展，隱私問題也越來越受到重視。但面對(duì)數(shù)據(jù)市場(chǎng)需求旺盛，不少人利用買賣數(shù)據(jù)信息進(jìn)行謀利。例如，2018年9月，華住酒店集團(tuán)共140G約5億條個(gè)人信息遭泄露、并在境外黑市中以8個(gè)比特幣標(biāo)價(jià)售賣;順豐也被傳出在“暗網(wǎng)”上以2個(gè)比特幣售賣3億條快遞數(shù)據(jù)的消息，后順豐辟謠稱暗網(wǎng)所售數(shù)據(jù)非順豐數(shù)據(jù)。這也間接說明，3億條快遞數(shù)據(jù)被售賣是實(shí)情。

　　如今，大量APP無(wú)論是否必要，都會(huì)要求用戶同意“隱私條例”來收集用戶手機(jī)號(hào)碼、地理位置等，否則不予使用。據(jù)中國(guó)消費(fèi)者協(xié)會(huì)在2018年8月發(fā)布的《APP個(gè)人信息泄露情況調(diào)查報(bào)告》顯示，遇到過個(gè)人信息泄露情況的人數(shù)占比為85.2%。

　　根據(jù)調(diào)查結(jié)果，個(gè)人信息泄露的主要途徑有四類：

　　1.經(jīng)營(yíng)者未經(jīng)本人同意收集個(gè)人信息，約占調(diào)查總樣本的62.2%;

　　2.經(jīng)營(yíng)者或不法分子故意泄露、出售或者非法向他人提供個(gè)人信息，約占調(diào)查總樣本的60.6%;

　　3.網(wǎng)絡(luò)服務(wù)系統(tǒng)存有漏洞造成個(gè)人信息泄露57.4%

　　4.不法分子通過木馬病毒、釣魚網(wǎng)站等手段盜取、騙取個(gè)人信息和經(jīng)營(yíng)者收集不必要的個(gè)人信息分別占34.4%和26.2%。

　　與之對(duì)應(yīng)的，在這些數(shù)據(jù)收集的過程中，企業(yè)數(shù)據(jù)庫(kù)安防力量薄弱、責(zé)任意識(shí)淡薄等因素為大規(guī)模數(shù)據(jù)泄露埋下伏筆。

　　據(jù)360互聯(lián)網(wǎng)安全中心2018年發(fā)布的《WannaCry一周年勒索軟件威脅形勢(shì)分析報(bào)告》顯示，2017年勒索病毒爆發(fā)前夕，各機(jī)構(gòu)有58天的時(shí)間可以進(jìn)行補(bǔ)丁升級(jí)等安全布防工作。但一些機(jī)構(gòu)錯(cuò)誤認(rèn)為自身隔離措施足夠安全、打補(bǔ)丁太麻煩而沒有升級(jí)，致使其最終遭受勒索病毒攻擊。

　　于此同時(shí)，大量傳統(tǒng)企業(yè)依舊缺乏警惕，自認(rèn)為不會(huì)成為被攻擊對(duì)象，在用戶數(shù)據(jù)保管上沒有做好安全措施，最終導(dǎo)致大批量用戶數(shù)據(jù)泄露。

　　從上述事件來看，這些數(shù)據(jù)泄露事件的起因大多是由于開發(fā)人員安全意識(shí)不強(qiáng)、企業(yè)對(duì)信息安全的重視程度不夠，或者是因?yàn)楣敬嬖凇皟?nèi)鬼”導(dǎo)致。

　　實(shí)際上，早在2017年發(fā)布施行的《網(wǎng)絡(luò)安全法》中就明確提出了“誰(shuí)收集、誰(shuí)負(fù)責(zé)”的原則。也就是說信息收集方要承擔(dān)起保障數(shù)據(jù)安全的義務(wù)，但國(guó)內(nèi)到現(xiàn)在也沒有讓廣大公司意識(shí)到數(shù)據(jù)安全嚴(yán)峻性的標(biāo)志性案件。

　　科技：只是個(gè)工具

　　從世界范圍來看，加強(qiáng)數(shù)據(jù)保護(hù)與利用相關(guān)立法已成趨勢(shì)。例如2018年5月，被稱為歐盟那個(gè)最嚴(yán)厲的《歐盟一般數(shù)據(jù)保護(hù)條例》(GDPR)生效實(shí)施，包含數(shù)據(jù)保護(hù)政策、數(shù)據(jù)加密等，進(jìn)一步加強(qiáng)了對(duì)個(gè)人信息的保護(hù)力度。

　　然而，截至目前，我國(guó)依舊沒有專門針對(duì)數(shù)據(jù)保護(hù)相關(guān)的條例，對(duì)于信息泄露缺乏強(qiáng)有力的懲罰措施。近年來，涉及數(shù)據(jù)保護(hù)與利用的立法活動(dòng)，主要圍繞個(gè)人信息保護(hù)并且是基于個(gè)人信息安全而展開的，而針對(duì)個(gè)人信息保護(hù)的責(zé)任認(rèn)定及處罰主要集中在刑法、民法、網(wǎng)絡(luò)安全法等大法當(dāng)中。

　　由于這些大法涉及內(nèi)容較廣，針對(duì)個(gè)人信息保護(hù)的責(zé)任認(rèn)定和處罰缺乏可操作的細(xì)節(jié)，量刑也相對(duì)較輕。如此次中信銀行信息泄露的問題，最終也只是罰款160萬(wàn)元。而在此前，騰訊微信、新浪微博、百度貼吧等都因涉嫌違反《網(wǎng)絡(luò)安全法》被立案調(diào)查，BOSS直聘網(wǎng)因涉嫌信息泄露被網(wǎng)信辦責(zé)令整改，但最后大多僅僅只是賠禮道歉而已。

　　因此，建立健全相關(guān)數(shù)據(jù)保護(hù)的法律和法規(guī)已經(jīng)勢(shì)在必行。同時(shí)，當(dāng)人臉識(shí)別、自動(dòng)駕駛、AI+醫(yī)療等應(yīng)用場(chǎng)景成為構(gòu)建智慧城市的標(biāo)配時(shí)，構(gòu)建健全而完善的規(guī)章制度是維持智能社會(huì)正常運(yùn)轉(zhuǎn)的必備準(zhǔn)繩。

　　除此之外，目前區(qū)塊鏈也已成為保障數(shù)據(jù)安全的重要技術(shù)之一。諸如去中心化、不可篡改等區(qū)塊鏈的特性，可應(yīng)用于保險(xiǎn)、物流、選舉、公益等各行各業(yè)，以改善用戶敏感數(shù)據(jù)保護(hù)中存在的安全隱患，保障數(shù)據(jù)安全。

　　科技只是工具，其中的善惡都取決于使用技術(shù)的人。當(dāng)前，數(shù)據(jù)安全已然成為全球性的問題，如何界定科技進(jìn)步和隱私保護(hù)的邊界，成為科技界及整合社會(huì)共同面臨的新挑戰(zhàn)和新機(jī)遇但毋庸置疑的是，科技向善，要從“人性”出發(fā)，以人為本。

（轉(zhuǎn)載）