Ⅰ 数字经济时代 安全科技如何为经济“保驾护航”四位专家这样说
当今时代,大数据、AI算法等方便了我们的生活,提高了生产效率,数据已经成为了数字时代的“石油”。但大数据的存在也意味着海量的用户信息被用来发掘产生价值,信息泄露、黑灰产攻击等问题层出不穷,安全似乎已经成为了数字经济发展木巧孙此桶上的那一块“短板”。
企业技术发展和用户信息保护的平衡上,存在哪些难点?在不断发展的 科技 、复杂多变的国际形势和人民新的生活方式面前,现有法律框架面临着什么样的挑战?如何让安全为数字化发展“保驾护航”?
8月6日,2021新京报贝壳 财经 夏季峰会——数字经济时代的风险防控线上论坛举行,中国政法大学传播法研究中心副主任朱巍、北京师范大学网络法治国际中心执行主任吴沈括、中国信通院云计算与大数据研究所副所长魏凯、蚂蚁集团安全事业群总裁赵闻飙就上述问题阐述了自己的观点。
当人变成“电池人” 保护信息安全难在哪儿?
AI时代,不少APP都需要收集足够多的用户数据,才能支持其运营。如短视频平台的视频推送,电商平台的商品推荐等都需要收集用户数据后才能让算法正常运转,在此过程中,用户也往往面临着暴露隐私的潜在风险。
“互联网时代,人慢慢变成了‘电池人’。”朱巍表示,“每个人在互联网时代中通过算法、人工智能、数据采集后都变成了手段,而不是目的。消费者和用户在很多平台中,通过自己的数据为这些平台‘蓄能’,这种生态到底可不可取,利弊关系到底在什么地方,我觉得需要予以好好解决。”
在朱巍看来,要解决技术发展与用户信息保护平衡点的问题,需要明晰大数据产权问题,“目前,从中国的法律体系来看,《民法典》、《个人信息保护法》二审稿等相关法律里对个人信息的概念已经做了非常详细的描述,但并没有对大数据的性质做出具体的规定。《民法典》最后一审稿出来之后,曾经把数据信息纳入到《民法典》中的知识产权的课题里面,对此我们曾提出反对,因为数据信息里既包括大数据,也包括个人信息,个人信息是隐私权,不能转化成大数据,至少一定程度上是不可以的,因为有巨大的争议,《民法典》后来把这条删掉了。”
“所以我们能发现,个人信息和大数据有千丝万缕凯纯的关系,在行业适用领域中,大数据的产权问题还没有明晰。现在,国家正在出台关于数字经济孝迅的指导意见,有一些还没有向 社会 公布,公布的时候我相信数据信息的概念至少在产权领域会变明晰。”朱巍称。
此外,朱巍认为,当个人信息与其他法律交织在一起,让问题变得更加复杂。“目前,《刑法》、《个人信息保护法》等都有对敏感信息范围的相关规定,且内涵和外延完全不一样,这就出现了一个非常有意思的问题:当我们研究的时候提到敏感信息,我们要先问一下是那部法律中的。所以是不是应该有一个统领,至少在概念上能够说清楚,但是目前为止看好像还没有。现在当我们研究一些法律问题,不单纯是个人信息保护问题,而是个人信息保护和其他法律关系相互交叉的问题,这就让问题本身变得复杂了。比如说我们天天讲的金融广告,你的行为产生了数据采纳之后给你推金融广告,表面看是广告法的相关内容,但实际上是完完全全的基础大数据和个人信息产生的法律关系。”
从企业到国际 社会 数字化转型风险几何?
事实上,每个用户贡献的数据最终都将汇成一道数据洪流,个人、产业、国家、国际 社会 由此交织在一起。除了用户外,企业在数字化转型的过程中面对着什么样的风险?
“什么是‘数字化’背后的风险?它指的是——数字经济生活中,用户在享受数字化带来的便捷与普惠同时,所面临的、伴随而来的风险。例如,对于行业商户来说,羊毛党造成的‘营销资金风险’,足以让商户精心打造的营销活动毁于一旦。对于个人用户而言,网络欺诈、账户盗用等问题,更是成为了数字经济中高发的、危害性极大的安全问题。如今的黑产作案越来越趋于多平台、多链路、团队化和智能化。这使得对抗黑产、防范智能化风险,已经转化为了一个全新的命题。”赵闻飙表示。
赵闻飙透露,早在六七年前,蚂蚁团队就已经在平常应对黑产攻击中,发现了AI的痕迹。“不可忽略的是,伴随着人工智能技术的高速发展和加持,这一风险仍将持续加剧,并且演变为‘智能化’背后的风险。”
那么,当我们把视野从个人用户、企业再扩展到国际 社会 ,数字化的风险又有何变化呢?
在吴沈括看来,随着数字化转型的加速,经济构成、民众生活方式、 社会 治理甚至是国家层面和全球治理层面都已经产生了非常大的变化。
吴沈括认为,在这个变化的过程中,需要注意到三个复杂性,“第一个是参与数据活动当中主体的复杂性,从用户个人到产业、国家甚至国际 社会 ,在这个过程中,主体结构的复杂性是跨部门、跨行业、跨国的存在,而这使得数据处理和数据活动过程中面对的场景更为复杂,而且在快速的迭代更新中,这就是第二个场景的复杂性。因此,我们在一些传统的场景中归纳总结出来规则,面对新场景的时候,或许面对着非常大的适用的困难。于是,在这样的背景下形成了第三个复杂性,就是诉求的复杂性。”
如何保护数字经济发展?用AI对抗AI
针对如此之多的复杂问题,我们应该怎么做?专家们给出了不同的建议。
首先,是充分的激励机制。
在吴沈括看来,数据业务和数据流转利用过程中,知识、能力的不对称导致很多情况下透明度不足,进而导致了信任度不足,“国内国际跨部门跨行业的主体之间形成有效的信任度,是我们对数字化生活给予有效的信赖的基础。在有了充分的信用度之后,我们需要一个必要的激励度,目前来看,以数据驱动的各类创新在不断推动(经济的发展),在这个过程中,如何确保,以及如何最大限度的激励在数据流转利用等各类数据活动中做出了贡献的主体的价值,给它必要的推动,是我们需要特别重视的点。”
“我们欣喜地看到《数据安全法》以及未来要出台的《个人信息保护法》正在给数字经济的发展制定一些规则,这是市场急需的,但不是事无巨细的,可能只能做到原则性的。至于如何落实,可能需要细则,需要透明度,需要让企业实际有动力落实这个机制,例如对其声誉有显性化激励,这就需要配套的措施,而不只是惩罚。” 魏凯表示。
此外,通过技术来帮助解决安全问题也是专家们共同的观点。
在魏凯看来,前几年,大数据的应用侧重于做报表,做大屏幕,给决策者直观的相关数据。但是现在大数据的技术的应用往往不是这样,而是已经深入到决策闭环里去了。“以前的报表,看了以后采取决策仍然要靠人拍板,而现在很多大数据的风控,大数据的精准广告,其实人都不在闭环里面,人只要把规则定好,数据驱动就可以闭环自动执行。”
“现在,一种新的模式正在崛起,如区块链的技术允许我们不再把数据集中起来也能够享受数据融合的红利,当前这类技术正在快速的升温,这就有可能创造一种新的大数据的应用模式。”魏凯表示。
赵闻飙表示,传统风控受制于技术成本、数据规模和算法效能,许多场景还是专家经验驱动,而不是数据智能驱动。“支付宝每天有数亿笔交易,面对如此庞大的计算量,一旦决策产生延迟,就给了黑产可乘之机。因此,发展面向可信人工智能技术的下一代风控技术体系成为了我们的必由之路。”
他举例称,通过人工智能与金融风控的深度融合,支付宝的AI大脑AlphaRisk能够在零人工干预的全自动模式下,对风险进行毫秒级的响应。例如,在网络欺诈风险识别场景下,当系统识别到用户遇到诈骗风险时,AI机器人会以小于0.1秒的速度向用户呼出“叫醒电话”。此外,在快速响应当下风险的同时,AlphaRisk还具备自学习、自适应的能力,从而将安全从静态的被动防守,转变为动态的主动对抗。
“以前我们发展任何产业的时候都是包容审慎,而现在更多的是审慎包容。以前是效率优先,安全其次,先发展起来再说。现在看来,安全可能就是木桶上的短板,我国互联网产业、规模、技术发展已经很大很快了,如果追求安全问题,一定会牺牲市场,一定会牺牲效率,但从长远的角度看,我认为这种做法是没有问题的。”朱巍表示。
Ⅱ 记者调查:网络平台暗藏隐私数据交易 信息安全领域亟待“扫黑”
“尽量打语音,不要发文字!”
“可以放心,咱们是长期合作,数据都是真实的。”
“**宝付款,到时发你邮箱。”
被公开售卖的隐私数据
灰色交易藏匿于贴吧、淘宝等网络平台
联系中介卖房,隔天就有贷款公司问你需不需要借贷;每年车险快到期,就莫名其妙接到各种保险公司的推销电话……是哪个环节出现了问题?
在网络贴吧上,一些个人隐私数据、行业数据被公开叫买叫卖。
“全国企业内部员工通讯录,真实可测”“大众点评商铺数据,量大3000万”“收影视手机数据,支持测试的来”“收微博原始数据”……
灰色数据交易藏匿于网络贴吧、淘宝、闲鱼等平台。
卖家说,车险数据来自不同的平台,当天下单要第二天才能发,需要进行数据筛选,“如果单一个保险公司,搞不了那么多,一个公司没那么强大。”
交谈过程中,卖家提醒“尽量打语音,不要发文字”。
爬虫是一种快速自动抓取网络公开信息的辅助工具,例如我们使用的搜索引擎都用到了爬虫技术。
北京某 科技 公司技术总监刘刚指出,爬虫能获取的信息其实是有限的,且多数是公开的。但通过撞库、诱导、群发、钓鱼手段获取大数据信息行为,已非单纯的通过爬虫技术获取信息,应归纳到黑客、木马程序窃取的范畴。
行业互换成监管难点
越来越多的数据泄漏发生在企业内部
事实上,随着公民对个人信息保护意识的不断增强,以及监管体系的不断完善,一些灰色交易正在浮出水面。
据媒体报道,浙江省通信管理局在7月5日对投诉人的答复函中核实,2019年11月11日,阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,该行为违反了《中华人民共和国网络安全法》第四十二条规定。
当前对于大型企业,特别是互联网大厂,数据安全被视为“生命线”,一旦出现数据安全事故,其后果将是难以承受的。《网络安全法》第21条明确规定了“国家实行网络安全等级保护(“等保”)制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务。”业内人士表示,一般大中型企业都会通过“等保”全面提升数据安全防护能力。
但是,“防止数据泄漏和数据合规运营是当前大多数企业面临的难点。”360集团大数据协同安全技术国家工程实验室咨询总监童磊坦言,中大型企业在完成数字化转型过程中基本具备网络安全基础防护能力,成熟度较高企业普遍实施传统数据安全方案,但对于隐私数据企业则普遍没有专门实施单独的安全管控,部分出海企业会针对出海业务实施GDPR隐私合规方案。
“越来越多的数据泄漏发生在企业内部。”童磊说,一方面,随着数据价值的提升,数据全生命周期流转往往涉及多个部门和多个系统,而相应的访问控制与权限管理很难兼顾安全与业务两方面诉求,诉求差异以及统一安全运营控制的缺失往往导致数据泄漏事件的发生。
另一方面,在数据成为新型生产要素的背景下,数据载体分布广,海量数据汇聚、流通、分析和共享,导致很多企业都不了解自己的数据,不能够清楚地知道敏感数据的具体分布,数据资产不清晰也为数据安全管控和保护策略的实施带来了困难。
“数据安全是相对的,很难做到绝对安全。”在刘刚看来,在一些面向C端服务的行业,如房产中介、保险金融等,基层网点多,人员流动大,而且能够直接触及到客户信息。这些特点使得数据“行业互换”等违法行为更加分散、隐蔽,一些企业在监管方面的“鞭长莫及”“默不作声”一定程度上助长了这种灰色交易。
刘刚认为,平台方应主动加强自身监管,落实内外风险管控、提升信息保护等级。另一方面,建议加大对个人泄露隐私的处罚力度。
目前,一些机构、企业也 探索 通过技术手段实现数据“可用不可见、可用不可取”。例如通过隐私计算技术,在不共享明文数据、保障数据安全和用户隐私的前提下,实现多方数据协同,联通数据孤岛,可以有效打击数据黑产。
数据安全顶层设计逐步到位
扎紧“数据灰产”牢笼仍需各方合力
在保护数据安全方面,即将实施的《数据安全法》规定了关键信息基础设施的运营者、从事数据交易中介服务的机构、国家机关等数据处理者均负有数据安全保护的义务。第四十四条至第五十二条还详细规定了违反相应义务时各主体应当承担的责任。肖飒表示,这有利于在发生违规违法事件后厘清各主体的法律责任。
“作为重要生产要素,数据对经济发展的价值需要被进一步重视。”中国电子技术标准化研究院网络安全研究中心数据安全部主任胡影认为,《数据安全法》的一大特点在于兼顾统筹数据安全与发展:一方面厘清隐私保护、数据安全链条中各主体的法律责任;另一方面也鼓励数据的合法开发利用,保障数据依法自由有序流动。
随着《网络安全法》《数据安全法》《个人信息保护法》的逐步到位,数据安全和隐私保护的监管力度正在不断加大。业内人士认为,顶层设计正在逐步到位,但要扎紧“数据灰产”牢笼,仍需行政监管、市场约束、行业自律、 社会 监督等各方合力。
“从监管动向来看,电商、外卖、快递、打车、连锁酒店、求职招聘等行业,获取的信息不仅涉及到用户隐私安全,还有可能涉及国家安全。”刘刚认为,大公司所获取的数据,往往更具有价值,加强企业对个人信息规范管理的同时,应推动建立统一的管理系统,以保证数据使用安全、合法、可追溯。
据中国信通院云计算与大数据研究所副所长魏凯介绍,信通院已牵头制定《数据安全治理能力评估方法》,编制发布《数据安全治理实践指南》,推出国内首个数据安全治理能力评估(DSG评估)服务,为企业建设、度量、改进自身数据安全治理体系提供方法论和操作指南,引导企业从战略、技术和制度等角度全面提升安全能力和合规水平。截止目前,已有20多家头部企业积极开展贯标工作。
“对于信息安全行业而言,应该积极 探索 如何平衡地利用数据,既要保护个人隐私、保护单点数据,又要进一步放大数据价值,真正实现数据全流程安全,确保数据可用不可见、可用不可取,进而发挥更大的政企数据赋能作用。”安恒信息董事长范渊说。
(文中林峰、刘刚均为化名。实习生许愿对此文亦有贡献。)
Ⅲ 运营商刚挖到大数据宝库的皮毛
运营商刚挖到大数据宝库的皮毛
人来人往的展馆中究竟有多少人驻足展台?大数据可以告诉你。本届展会上,中国电信展出了大数据能力可视化系统,通过采集电信运营商及政府公共服务部门现有的各类数据,利用大数据分析手段,对人流密集程度进行动态监控,对可能出现的人流高密度聚集风险采取事前预警、事中处置和事后分析,并对特定区域人流情况提供专题分析报告。同时展出的个人征信评分产品,通过大数据分析,让一个电话、一纸通信账单都成为用户信用的参考依据。
“其实,电信运营商拥有非常优质的数据,但是这些数据的价值仍未被充分挖掘出来。”中国信通院技术与标准研究所移动与大数据研究部副主任魏凯对《人民邮电》报记者表示:“用户数据经过脱敏加工、合理使用,可以做到隐私不泄露,希望各界都能给电信运营商一个更为宽松的环境,让这些数据得以‘解冻’,而当这些数据得以很好地应用时,真正受益者将是用户。”
必须抓住大数据机遇
本次展会上,很多企业并没有把大数据作为展示重点,魏凯认为,一方面是因为大数据“躲”在很多应用的背后;另一方面,大数据类的产品和解决方案目前仍不是企业利润增长的重要来源,但是从长远来看,大数据大有可为。
今年以来,国内大数据政策的环境不断完善。1月初,国务院《关于促进云计算创新发展培育信息产业新业态的意见》提出要“开展公共数据开放利用改革试点”,重点在公共安全、疾病防治、灾害预防等领域开展应用示范。随着今年8月国家大数据政策颁布,大数据产业正式上升为国家战略发展地位,各部委也制定落实大数据在各层面的实施管理推动工作。
魏凯介绍,大型互联网企业引领大数据应用前沿,腾讯、阿里、网络等,不仅在社交、电商、广告、搜索等业务上越来越深入地使用大数据技术,还以大数据作为核心引擎发展金融、打车、医疗、教育等跨界应用,推进“互联网+”发展。
电信运营商也在积极推进自身数据整合,深化大数据在客户细分、经营分析、反欺诈、征信等方面的应用。中国电信展出的大数据能力可视化系统就能实现智能交通、舆情分析、电商精确营销、精准广告、金融评估、位置OTO等深层次应用服务。
魏凯表示,BAT等互联网企业在大数据领域的来势汹汹,也为电信运营商敲响警钟,电信运营商的数据活性很高,但同时也意味着变化很快,电信运营商必须抓住机遇。
政府可带头使用大数据
对于大数据产业发展的突破口,魏凯表示,政府的示范带动作用非常重要。他介绍说,英国、澳大利亚、日本等国政府都带头在公共服务领域率先使用大数据。“一方面,政府拥有非常丰富的数据资源;另一方面,政府需要运用大数据来提升治理效率。”
魏凯进一步解释说,具体而言,首先是重点面向提升政府治理能力、改善民生服务和城市治理等方面,通过政府向社会开放数据、加强与社会企业和组织的数据合作、向社会购买服务等方式,积极推动环保、医疗、教育、交通等关键领域的大数据整合与集成应用,进一步提高政务和公共服务效率。其次是在政府数据开放基础上,在跨行业大数据应用方面出台推动政策,打破行业壁垒,促进互联网、电信、金融、制造等数据资源丰富和信息化程度较高的行业企业与其他行业开展大数据融合与创新,带动全社会大数据应用不断深化。
除了政府带头使用大数据,魏凯认为还需大力发展自主可控的大数据技术体系。“要把大数据获取、海量数据存储管理、分布式实时计算、新型数据仓库、人工智能与机器学习和大数据安全等大数据关键技术,作为信息领域技术研发的重心。”对此,魏凯建议,机制上可重点依托网络、腾讯、阿里巴巴、华为等技术实力好、产业化能力强的龙头企业,突出应用带动技术创新的一体化组织形式,把自主创新与开源运动有机结合,着力打造自主可控的平台级大数据服务和软硬件产品,逐步实现大数据核心技术的自主可控。政策措施上要综合采取科研专项、政府采购、人才和税收政策优惠等措施,对企业开展前沿技术研究给予充分激励。
对于数据资源相关法律法规建设,魏凯建议,一是要围绕个人隐私、商业秘密、知识产权、国家安全等范畴,在数据采集、管理、流通、应用和安全等环节梳理研究现有法律法规的缺陷,提出制修订意见。二是要加快研究制定《数据跨境流动管理办法》,对跨境数据流动做出分级分类规定,保护数据主权。三是尽快启动数据资产管理相关制度的研究工作。四是引导行业组织制定数据流通规则,规范不同主体之间数据的交换共享活动。
以上是小编为大家分享的关于运营商刚挖到大数据宝库的皮毛的相关内容,更多信息可以关注环球青藤分享更多干货