国外超过440万iPhone用户近日联名起诉美国谷歌公司,要求赔偿最高至32亿英镑,诉讼原因剑指谷歌涉嫌非法采集用户的个人隐私,这是继Facebook数据泄漏事件之后,又一个关于个人隐私与网络安全的重大事件。
国内用户也面临着类似的局面,“大数据时代,人人都在‘裸奔’”,这句话成了网民的“口头禅”,用户前脚刚注册的信息,后脚就被黑产打包成明码标价的“商品”反复兜售。这种非正常的个人隐私病毒式扩散,直接导致人们的互联网安全感群体性骤降。换句话说,后互联网时代,伴随大数据的飞速发展,中国正在迎来一场空前的“隐私危机”。
在京东618全民年中购物季来临时,京东集团首席信息安全专家李德浩接受经济观察报记者采访称,所有互联网企业都应树立保护用户隐私的“红线意识”,这是最起码的职业操守。尤其在京东618,也称“网络黑产狂欢节”来临之际,更要打起十二分精神,不给黑产留缝隙。
后互联网时代
隐私危机比金融危机更可怕
智能改变生活,这句曾经的广告语眼下已成现实。然而,万事万物皆有其两面性。在科技的巨大便利面前,个人隐私正在加速贬值。不仅如此,对比国外的互联网用户,中国的网民们对于隐私泄露的担忧似乎更后知后觉。
经济观察报记者在小范围调查采访中发现,在使用智能手机的被访者中,逾七成人都在不同类型平台上注册过个人信息。可对于信息泄露问题,被访人普遍表示无可奈何,毕竟虚拟数据被滥用不同于钱包被偷,普通用户根本无从申诉纠察。即便报警,也会因个人信息获取、存储和利用的环节众多,不论线下还是线上传播都极具隐蔽性和复杂性,导致追本溯源成本高,发现查处难度大,处罚赔偿力度小而迟迟不能结案。
在IT界有个大家都心知肚明的潜规则,即在用户未知情的情况下,互联网公司收集了很多用户数据,为最大化其商业价值,他们或多或少都会把数据分享给第三方,最通常的情况就是用来投放广告,这几乎已经成为行业惯例,Facebook的信息泄露事件只是冰山一角而已。“既然每个人的隐私都有可能被分享转卖,那么在个人财产安全尚未受到实质侵害前,所有担忧都是多余。”这是一位大到投资理财、小到叫餐打车都离不开互联网的95后告诉记者的真实想法。作为伴随互联网成长起来的一代人,面对隐私危机的从容态度着实让人捏把汗。
在百度CEO李彦宏看来,之所以中国人对隐私问题的态度相对更为开放,没那么敏感,原因在于多数情况下用户更愿意用隐私换取便捷、安全或效率。也就是说,只要用户所享的便利大于输入个人资料的繁琐,没有人会对隐私安全问题做过多考虑。即便当下每个人都成了这场“隐私危机”的被侵害方,也依然阻挡不了他们追求便利最大化的心。
然而,也有质疑声认为,用户以隐私换取便捷高效本身没错,错就错在一些互联网企业扭曲的价值观与龌龊的职业操守。
京东集团首席信息安全专家李德浩在采访中向记者直言,一些互联网企业对用户隐私缺少尊重才是助推隐私危机的导火索。
“近期Facebook数据泄漏事件可以说给各类互联网企业敲响了警钟,其中一个根本性问题被忽视了,我在美国和中国都遇到过,很多应用在用户下载登录时,会出现一个长长的法律条款,让用户点同意,企业会认为自己免责了,因为这是在用户同意情况下拿用户信息去做一些其他的事情,这或许没违法,但却没有尊重用户的知情权和控制权,价值观是不正的。Facebook这件事发生的核心原因正是对用户隐私缺少尊重,拿用户利益交换商业利益。”李德浩对经济观察报说。
李德浩认为,后互联网时代,隐私危机比金融危机更可怕。如果说金融危机是对企业的一场浩劫,那么隐私危机则无疑是对个人财产安全的一次正面冲击。毕竟数据在不同主体间的传输与流转是大数据时代互联网产业发展的必然,相应地也对安全管理提出了全新要求。
网络黑产不断膨胀
源头封堵才是上策
巴菲特有句投资名言,只有在潮水退去时,方知谁在裸泳。而今在大数据的深海里,随着消费者的数字足迹变得越来越普遍,不管潮水涨落,所有人都在裸泳。
据不完全统计,目前在中国从事互联网地下黑色产业链的人数已超150万,所涉利益不下千亿元人民币,规模且仍在不断攀升中。庞大利润的驱使下,科技犯罪分子们产销分工明确,无孔不入地覆盖个人信息窃取的各个环节。换句话说,个人信息一旦外泄,其流向和危害都具有发散性与不可控性,若不能从源头封堵很难从根本上遏制个人信息的不当流出。
“源头封堵是不给黑产留缝隙,永远比黑产动作‘先一步,高一尺’,所以绝不能脱离互联网发展和技术演化谈信息安全,AI、智能硬件安不安全,能不能用AI来做安全……等等这些问题,是我们一直在思考也正着手实施的问题。”李德浩的观点事实上也是这场隐私保卫战中整个互联网圈都在思考的问题。伯克利计算机教授Dawn Song也同样公开表示过,“我们运用AI,但不能完全相信AI,因为攻击者也能使用AI。”
然而预想落实到行动,却需要剥茧抽丝的过程。毕竟信息安全的主要目的是在安全的条件下让数据发挥作用,而非不让其流动,限制它发挥作用,故在流动的情况下保护数据安全就必须先从数据本身下手了。
而在这方面,李德浩最有发言权,因为京东早在两年前就开始在大数据分析时,借数据运算将涉及用户隐私的部分清除。“比如你在网上买了台i-Phone,同时也浏览了一些女性用品和品牌家具,于是我的系统会对你有个画像——中产女性、讲究品质生活、偏好正品名牌,算出后会给你一些精准推荐,却丝毫不需要涉及你的隐私。”
除此之外,在强大的AI和大数据平台之下,大数据画像、人脸识别及验证码识别等技术,可以第一时间识别出用户性质,如果是不法分子,直接屏蔽让其无法登录,什么都“做不了”。显然,保卫隐私说到底是高科技与“反科技”之间的较量,而这里所谓的“反科技”是指同样利用高科技手段见招拆招,京东安全的目标是让黑产从“做不了”到“不想做”再到“不敢做”,实现逐一歼灭。
李德浩用了个形象的比喻,叫打击黑产的“三重门”,而禁止登陆只是第一重门。接下来是用AI等技术手段抬高违法成本,让黑产“不想做”,以及通过化被动为主动,用自然语言技术打入黑产内部,掌握情况后提前防控,迫使其“不敢做”。听上去,颇有些谍战剧的味道,只是敌我双方交锋的核心变成了被数据化的个人信息。“俗话说,知己知彼,方能百战不殆。我不等黑产来找我,我主动去找黑产,主动渗透黑产,通过自然语言的技术去观察,类似于舆情监控,掌握黑产在做什么聊什么,然后进行针对性防控,既迅速又精准。”
采访中,对于像京东这样时刻站在用户隐私和利益保护基点上的做法,不少行业人士表示了赞同。有信息安全专家指出,互联网企业如果能在创新的同时保证信息、数据的安全,才是保护用户信息最行之有效的关键一环。
遏制网络诈骗 平台们该做点什么
人工智能,让虚拟与现实的界限愈来愈模糊,庞大的数据集被允许进行信息分析和情境化,但在优化生活的同时也破坏了安全和谐的互联网生态。尤其跨入2018年,个人隐私泄露问题更是愈演愈烈。
据来自DCCI互联网数据中心发布的《网络隐私安全及网络欺诈行为研究分析报告》显示,手机APP越界获取个人隐私信息已经成为网络诈骗的主要源头。高达96.6%的安卓应用会获取用户手机隐私权限,而iOS应用的这一数据也高达69.3%。
不得不承认,当下的我们正身处一个“没有秘密”的时代,但还算欣慰的是,不论政策管理层还是网络企业都在着手努力编织一张反黑产的网。
采访期间,多位IT界人士集体倡议,作为互联网企业要尽可能保证平台用的是“干净”的数据,即不能侵犯个人隐私、不能泄露企业商业秘密、不能泄露国家机密、不能危害国家安全等。与此同时,决策层除了出台《网络安全法》、《电信和互联网用户个人信息保护规定》等有关规定外,也应加强立法,从根本上保障个人隐私,并对违法现象进行严厉打击。
“是的,做安全从来不是亡羊补牢,而是谋篇布局,这是做任何产品前首先要想到的先决条件。”在李德浩看来,所有互联网企业都应树立保护用户隐私的“红线意识”,这是最起码的职业操守。尤其在京东618全民年中购物季或双11这样的特殊节点,更是要打起十二分精神,不给黑产留一丝缝隙。
应该讲,京东的安全意识在互联网圈早已成为范本。据记者了解,本着“用户利益至上”的原则,京东早在2015年就启动了京腾计划;次年6月,开始在业内率先实行“微笑面单”,即签收单上部分隐藏了用户的姓名电话等关键信息;近两年,又推出了电商应用云计算平台京东云鼎,逐步为入驻京东的几十万商家提供网络安全规范,更在大洋彼岸的美国设立京东安全硅谷研究中心。此外,京东还是行业内最早一批专门设立内控合规部的互联网公司,深度定制了反诈骗分析平台,通过对事件、风险进行多维度画像,自动化完成诈骗事件的“预警—分析—止损—溯源”工作。针对已有风险数据,借助于AI技术,从五大维度,多达130个特征中计算数据的风险值及关联度,最终智能化的输出溯源分析结果与风险预警。
除了京东,包括阿里、百度、360等在内的其他知名互联网公司眼下也都在不遗余力推进安全工作。
李德浩说,信息安全是持续的人与人的对抗,具有极大的不确定性,防御体系做得再好,不法分子也会跟着升级,所以KPI并不重要,重要的是,在不确定中随时掌握平衡,时刻走在“敌人”前面。