從中信銀行事件惹眾怒，看AI時代的信息安全攻防戰(zhàn)

　　最近，中信銀行信息泄漏事件持續(xù)發(fā)酵。繼上海銀保監(jiān)局介入后，5月9日，銀保監(jiān)對各大銀行進行監(jiān)管審查。據(jù)銀保監(jiān)公布行政處罰信息公開表顯示，中國銀行、工商銀行、中信銀行等在內(nèi)的8家銀行，因監(jiān)管標準化數(shù)據(jù)(EAST)系統(tǒng)數(shù)據(jù)質(zhì)量及報送存在違法違規(guī)行為被罰，共計1770萬元。

　　這起關(guān)于個人信息泄露的事件引起了社會的熱議。在數(shù)據(jù)爆炸的當(dāng)下，我們該如何應(yīng)對永無止境的信息安全攻防戰(zhàn)呢?

　　數(shù)據(jù)爆炸帶來的困擾

　　近年來，隨著移動互聯(lián)網(wǎng)的高速發(fā)展，海量的數(shù)據(jù)信息在給我們生活帶來便利的同時，個人信息泄露的問題也日漸凸顯。最典型的例子就是Facebook等社交網(wǎng)絡(luò)巨頭，近年來，隨著全球用戶的增長，F(xiàn)acebook一直在為用戶的隱私問題而煩惱。

　　就在5月9日，F(xiàn)acebook用戶請求法官同意他們就一項集體訴訟達成5.5億美元的和解。該訴訟指控Facebook通過照片標記工具非法收集生物識別數(shù)據(jù)。

　　據(jù)報道，F(xiàn)acebook已同意為集體訴訟成員關(guān)閉面部識別功能，刪除現(xiàn)有的用戶生物識別信息，除非在和解生效后的180天之內(nèi)用戶同意開啟該面部識別功能。此外，集體訴訟成員將獲得150~300美元的賠償。

　　而在此前2018年10月，F(xiàn)acebook被爆8700萬用戶數(shù)據(jù)被不當(dāng)泄露給政治咨詢公司劍橋分析，隨后FTC對此展開調(diào)查，并認為Facebook沒有保障好用戶的數(shù)據(jù)安全，違反了公司此前有關(guān)于保護用戶隱私的承諾。經(jīng)過長達一年半之久的調(diào)查后，F(xiàn)acebook與FTC達成和解協(xié)議，罰款50億美元，并內(nèi)部成立獨立隱私委員會。

　　除了人為的之外，也有因系統(tǒng)漏洞而出現(xiàn)的隱私泄露問題。如2019年12月，F(xiàn)acebook因API安全漏洞，使黑客在訪問受限的情況下也能訪問用戶的ID和電話號碼，從而導(dǎo)致2.67億個用戶的隱私數(shù)據(jù)被非法售賣;2019年2月，深圳一家人工智能公司深網(wǎng)視界(SenseNets)因沒有對人臉識別數(shù)據(jù)庫進行密碼保護，導(dǎo)致250萬用戶信息被"裸奔"，包括身份證號碼、地址、出生日期、識別其身份的位置等。

　　隨著人工智能、大數(shù)據(jù)等前沿信息科技的深入發(fā)展，對金融數(shù)據(jù)的風(fēng)險控制、信息安全和數(shù)據(jù)防護能力以及技術(shù)處理手段都提出了更高的要求。然而，對此常見的防護處理手段，仍然任重而道遠。

　　“誰收集、誰負責(zé)”?

　　隨著互聯(lián)網(wǎng)的迅速發(fā)展，隱私問題也越來越受到重視。但面對數(shù)據(jù)市場需求旺盛，不少人利用買賣數(shù)據(jù)信息進行謀利。例如，2018年9月，華住酒店集團共140G約5億條個人信息遭泄露、并在境外黑市中以8個比特幣標價售賣;順豐也被傳出在“暗網(wǎng)”上以2個比特幣售賣3億條快遞數(shù)據(jù)的消息，后順豐辟謠稱暗網(wǎng)所售數(shù)據(jù)非順豐數(shù)據(jù)。這也間接說明，3億條快遞數(shù)據(jù)被售賣是實情。

　　如今，大量APP無論是否必要，都會要求用戶同意“隱私條例”來收集用戶手機號碼、地理位置等，否則不予使用。據(jù)中國消費者協(xié)會在2018年8月發(fā)布的《APP個人信息泄露情況調(diào)查報告》顯示，遇到過個人信息泄露情況的人數(shù)占比為85.2%。

　　根據(jù)調(diào)查結(jié)果，個人信息泄露的主要途徑有四類：

　　1.經(jīng)營者未經(jīng)本人同意收集個人信息，約占調(diào)查總樣本的62.2%;

　　2.經(jīng)營者或不法分子故意泄露、出售或者非法向他人提供個人信息，約占調(diào)查總樣本的60.6%;

　　3.網(wǎng)絡(luò)服務(wù)系統(tǒng)存有漏洞造成個人信息泄露57.4%

　　4.不法分子通過木馬病毒、釣魚網(wǎng)站等手段盜取、騙取個人信息和經(jīng)營者收集不必要的個人信息分別占34.4%和26.2%。

　　與之對應(yīng)的，在這些數(shù)據(jù)收集的過程中，企業(yè)數(shù)據(jù)庫安防力量薄弱、責(zé)任意識淡薄等因素為大規(guī)模數(shù)據(jù)泄露埋下伏筆。

　　據(jù)360互聯(lián)網(wǎng)安全中心2018年發(fā)布的《WannaCry一周年勒索軟件威脅形勢分析報告》顯示，2017年勒索病毒爆發(fā)前夕，各機構(gòu)有58天的時間可以進行補丁升級等安全布防工作。但一些機構(gòu)錯誤認為自身隔離措施足夠安全、打補丁太麻煩而沒有升級，致使其最終遭受勒索病毒攻擊。

　　于此同時，大量傳統(tǒng)企業(yè)依舊缺乏警惕，自認為不會成為被攻擊對象，在用戶數(shù)據(jù)保管上沒有做好安全措施，最終導(dǎo)致大批量用戶數(shù)據(jù)泄露。

　　從上述事件來看，這些數(shù)據(jù)泄露事件的起因大多是由于開發(fā)人員安全意識不強、企業(yè)對信息安全的重視程度不夠，或者是因為公司存在“內(nèi)鬼”導(dǎo)致。

　　實際上，早在2017年發(fā)布施行的《網(wǎng)絡(luò)安全法》中就明確提出了“誰收集、誰負責(zé)”的原則。也就是說信息收集方要承擔(dān)起保障數(shù)據(jù)安全的義務(wù)，但國內(nèi)到現(xiàn)在也沒有讓廣大公司意識到數(shù)據(jù)安全嚴峻性的標志性案件。

　　科技：只是個工具

　　從世界范圍來看，加強數(shù)據(jù)保護與利用相關(guān)立法已成趨勢。例如2018年5月，被稱為歐盟那個最嚴厲的《歐盟一般數(shù)據(jù)保護條例》(GDPR)生效實施，包含數(shù)據(jù)保護政策、數(shù)據(jù)加密等，進一步加強了對個人信息的保護力度。

　　然而，截至目前，我國依舊沒有專門針對數(shù)據(jù)保護相關(guān)的條例，對于信息泄露缺乏強有力的懲罰措施。近年來，涉及數(shù)據(jù)保護與利用的立法活動，主要圍繞個人信息保護并且是基于個人信息安全而展開的，而針對個人信息保護的責(zé)任認定及處罰主要集中在刑法、民法、網(wǎng)絡(luò)安全法等大法當(dāng)中。

　　由于這些大法涉及內(nèi)容較廣，針對個人信息保護的責(zé)任認定和處罰缺乏可操作的細節(jié)，量刑也相對較輕。如此次中信銀行信息泄露的問題，最終也只是罰款160萬元。而在此前，騰訊微信、新浪微博、百度貼吧等都因涉嫌違反《網(wǎng)絡(luò)安全法》被立案調(diào)查，BOSS直聘網(wǎng)因涉嫌信息泄露被網(wǎng)信辦責(zé)令整改，但最后大多僅僅只是賠禮道歉而已。

　　因此，建立健全相關(guān)數(shù)據(jù)保護的法律和法規(guī)已經(jīng)勢在必行。同時，當(dāng)人臉識別、自動駕駛、AI+醫(yī)療等應(yīng)用場景成為構(gòu)建智慧城市的標配時，構(gòu)建健全而完善的規(guī)章制度是維持智能社會正常運轉(zhuǎn)的必備準繩。

　　除此之外，目前區(qū)塊鏈也已成為保障數(shù)據(jù)安全的重要技術(shù)之一。諸如去中心化、不可篡改等區(qū)塊鏈的特性，可應(yīng)用于保險、物流、選舉、公益等各行各業(yè)，以改善用戶敏感數(shù)據(jù)保護中存在的安全隱患，保障數(shù)據(jù)安全。

　　科技只是工具，其中的善惡都取決于使用技術(shù)的人。當(dāng)前，數(shù)據(jù)安全已然成為全球性的問題，如何界定科技進步和隱私保護的邊界，成為科技界及整合社會共同面臨的新挑戰(zhàn)和新機遇但毋庸置疑的是，科技向善，要從“人性”出發(fā)，以人為本。

（轉(zhuǎn)載）