鐵路12306平臺60萬數據價格為20美元,陌陌3000萬數據價格為50美元,華住集團旗下酒店近5億條數據價格為8比特幣(時價37萬元)……就連3-20歲未成年人的就診記錄也不能倖免於難……

在「黑色產業圈」,這早就已經是廣為流傳的公開「祕密」了。而拖庫與「脫褲」發音接近,還被暗喻為廣大被竊取隱私信息的用戶已經被扒得「一絲不掛」。

至於相關的企業來說,甚至有人表示,全世界的企業可以分為兩種,一種是數據已經泄露的企業,一種是數據即將要泄露的企業。

舉例來說,近期網路安全公司Adversis發現數十家公司因員工而導致敏感數據泄露;軟體製造商Citrix自爆公司遭國際黑客攻擊被竊取了6TB至10TB的商業文件;

抖音海外版TIK TOK直接在美國被控侵犯兒童隱私遭到FTC開出的570萬美元罰單;某AI安防企業發生大規模數據泄露事件,超250萬人數據可被獲取,680萬條記錄泄露……

據CV智識瞭解,相關不完全統計顯示,僅2018年全球的公開數據泄露量達到了50億條。

上述這些事件也只是數據泄露的冰山一角,在現實生活中,數據泄露已經成為了無法迴避的社會難題。

防不勝防的數據泄露

事實上,作為每時每刻都在創造數據的我們,反而容易對自己所產生的數據熟視無睹。

以最廣泛使用的終端設備智能手機為例,公開數據顯示,在智能手機用戶中,平均每人會下載大約70個APP,這其中絕大部分APP都會讓用戶選擇用手機號碼進行登錄,這就是背後企業獲取用戶個人基本數據信息的第一步。

知道創宇404實驗室副總監隋剛就直言,現在的手機APP對於我們數據的獲取是非常霸道、非常過分的。

由於國內法律沒有明顯界定哪些信息是不可碰的,所以大多數APP會儘可能多的去獲取我們的信息,比如姓名,性別,電話號碼,身份證,位置信息等。

圖:騰訊安全相關報告中2018年暗網數據交易情況

一位安全從業人員就曾對CV智識談到,他對於自己的身份信息很敏感,幾乎不給別人可乘之機。但是在2007年左右,他曾經註冊過一個如家快捷酒店的會員,然後他不經意在黑產庫裏查信息的時候,就發現了自己的個人信息在裡面。

這件事讓他心裡一驚,因為他沒想到自己這樣通過正規渠道輸入的信息,竟然還能被盜取,被販賣。

數字聯盟CEO楊從安也補充道,不同於歐洲和美洲用戶用郵箱註冊APP的方式,在我國大部門手機APP是通過手機登錄的。

兩者的差別在於,用郵箱註冊登錄就從根本上將自己的一些敏感信息與APP進行了隔離,但是用手機號註冊登錄的話,黑客很容易追蹤到我們的個人身份信息。

對於這一環節,隋剛表示,現在數據是泄露我們個人數據的出口,要想從根源上防止自己信息被泄露,那用戶能做到的最好的方式是許可權最小化。

他也指出,國內廠商通過APP對個人隱私數據要的許可權非常多,而在實際應用中我們會發現很多許可權對用戶而言並無太大用處。

以共享單車為例,在最開始商家採用了砸錢促銷的方式來推廣APP,許多用戶為其誘惑,爭相下載。

然而用戶一旦下載APP,那也就意味著,這個平臺將會收集到的電話話碼,上下班行程,日常定位等等。

當然,如果這些數據用於公司本身運營無可非議。

但是共享單車陷入了大規模的倒閉潮,在他們自顧不暇的這個階段,原來的用戶數據的最終流向我們不得而知,那這種情況相當於堰塞湖,不知道什麼時候這些隱私數據會暴漏出來。

除此之外,我們在路上行走時攝像頭記錄下的人臉信息,上下班打卡用到的指紋信息,快遞公司獲取的個人信息,甚至日常使用的智能音箱收錄的語音信息也都在被收集著。

有位受訪者就這樣對CV智識抱怨道,自從2018年年底註冊了一家新公司,各種陌生電話就不間斷地接踵而至,既有推銷業務的,也有問是否招聘相關人員的,這種頻次甚至高達一天一次,讓其不勝其煩。

當然,這些都只是數據泄露中的最細小的個例,而更廣泛的數據泄露細節則隱藏在案例之後。

行業觀察人員對CV智識介紹到,我們產生的數據流向和歸宿主要分為三種:

一種是新興業務和基礎數據也就是我們日常產生的大部分數據會通過公有網路存放在公有雲上;

另一種則是金融單位和政府行業會將核心數據通過專有網路存放在私有雲上,這樣一來,用戶的敏感信息就通過物理隔離進行了兩層保護。

最後一種,則是像BAT這樣的數據大廠會根據業務量數據的大小和敏感程度,搭配公有雲和私有雲使用。

綜合來看近一年發生的數據泄露事件,很容易發現,在數據存儲環節被泄露的情況最為常見,而這是由於許多黑客會有目的的去攻擊一些資料庫,但是由於數據的巨大龐雜,黑客能夠攻破資料庫,造成大規模數據泄露的事件純屬運氣所致。

外因還是內鬼?

在接受CV智識採訪時,隋剛表示,數據泄露的途徑主要分為兩種,即由內而外和由外而內。

具體而言,「由內而外」指的是程序員、運維工作人員等擁有用戶數據訪問許可權 的相關工作人員,由於利益驅使等因素有意地向外導出數據;

而「由外而內」則是數據管理者在管理數據時,沒有做好許可權設置,漏洞更新不到位,使得防護系統不紮實,進而遭到黑客攻擊。

比如,3月7日,貝貝網被爆出存在嚴重的信息安全隱患,用戶在貝貝網消費後,個人姓名、電話、收貨地址、消費金額以及交易時間等詳細信息便遭到泄露,更有部分用戶接連接到詐騙簡訊和詐騙電話。

據報道,截止目前已經有不少消費者遭遇了不同程度的財產損失,受騙金額從幾百元到十幾萬元不等,整體損失金額或達上百萬元。

對此貝貝網回應稱是第三方合作夥伴存在系統漏洞,導致的數據泄露。

當然,在楊從安看來,對於現在的數據存儲中,數據量巨大,而且沒有進行相關的分類處理,幾百TB的數據存儲在一起,黑客很難獲取到想要的關鍵信息。

所以目前來看,由於數據管理方管理不當,保護意識不強和內部人員造成的數據泄露事件比較多。

就拿最近最受關注的AI安防企業數據泄露事件來說,事後,不止一位安防工作人員跟CV智識說,該公司連最為基本的防火牆和加密都沒有設置,而是直接把客戶信息放到了大眾面前,這樣的公司根本沒有資格做安防。

這其中,語氣充滿了恨鐵不成鋼的氣憤。而這也被安防人員視為安防領域的一大恥辱。

同時,他們也強調,這樣的公司只是個例,國內大多數從事安防的公司都是非常專業的,希望大眾不要因為深網視界這樣一家公司,就對我國安防領域失去信心。

與此同時,CV智識找到了分別在海康威視和大華做技術的員工,他們均表示,深網視界這種數據泄露情況是絕對不會發生在專業的安防公司的。

業內人士也介紹道,現在整個社會的數據規模巨大,形象點來講,社會現有的數據用1000M帶寬的光纖來拷貝的話,至少需要兩個月的時間。

所以即使是黑客也很難從大量數據中找到自己的目標數據,更何況黑客攻破數據中心後最多1個小時就能被發現。

該人士進一步指出,這樣一來,除非是內部能夠接觸到數據,處理出結果的人能直接找到目標數據,否則黑客是幾乎沒辦法找出目標數據的。

眾所周知,目前人工智慧的應用主要以深度學習為主,而模型訓練對於有效數據的依賴性非常高。

行業內也一直流傳著一句話「得數據者得天下」,也就是說大數據的保管方可以將我們的數據用來作為演算法學習的基礎。

這樣一來,我們所創造的數據就又多了一重數據泄露的風險。

CV智識從專業人士處瞭解到,數據在被用來跑演算法時也有造成數據泄露的風險,不過這種風險大多來自內部人員。

楊從安談到,目前深度學習基本上就是利用數據、結合自有的演算法,進而來增強學習能力,演算法在這個過程中只是工具。

換言之,演算法在用數據模型訓練前是一套演算法,在模型訓練後輸出的是一種結果,所以演算法脫離模型環境後不會帶走任何數據信息。

一位安防技術人員也表示,在安防領域,基於應用場景的特殊化,訓練演算法會有兩種方式。

一種是在自己的研究大廠採集的自有數據信息進行學習,學習後立即刪除;另一種是和公安部門合作,獲取合規的正常數據進行學習。

同樣,在這個過程中造成數據泄露的唯一關鍵點是內部人,數據泄露與否與程序員是否對數據有安全防護意識。

綜上,移動互聯網行業目前存在數據安全的問題不可避免,但是,行業的安全體系還是專業到位的,公眾場合下數據泄露的可能性很小。

隱私與技術互相成就

隨著數據泄露事件的頻發,不管是數據安全從業者還是普通大眾,都對數據給予了越來越高的重視度。

但是重視數據安全並不是完全地禁止外界獲取大眾的數據,完全的數據保護會造成技術的停滯甚至倒退。

以頭條的推送機製為例,用戶在使用這個APP的時候,會被獲取行為習慣,然後頭條會通過他們的演算法機製做出精準的內容推薦。

在這個過程中,用戶可能認為被獲取的行為習慣數據是隱私,但是頭條並不認為那是隱私,而是本該獲取的數據。

所以,在這個過程中,用戶和企業如何定義隱私顯得尤為重要。

只是,有一個不爭的事實是,手機裏的絕大多數APP都是免費的,而我們接受並使用這個產品,就意味著已經接受了它獲得你的隱私,並為自己所用的事實。

業內人士指出,在現在的法律條款下,我們應用平臺方的免費服務,同時以默認同意平臺方獲取並使用自己的數據為交換,這之中並無問題。

但是如果用戶把廣告追蹤關掉,拒絕平臺方拿數據進行推送,但平臺依然給用戶進行推送、獲取用戶數據,那就應該受到相應的懲罰。

楊從安也對CV智識提出,平臺方應該有允許用戶想刪除自己的數據的權利,用戶擁有要求數據的擁有者接受刪除停止的權利。普通用戶要明白平臺抓的是什麼,且要求不可以建立某些數據之間的相關性。

其實,現在歐盟的GDPR隱私法已經明確提出希望數據透明,這也就意味著你拿什麼數據我要知道。作為消費者,我要知道我的東西被拿了,同時我有權要求你刪掉。

而對於用戶而言,社會還需要對最終用戶進行知識培養和教育,讓用戶知道自己付出的成本。

相關報告顯示,高達96.6%的安卓應用會獲取用戶手機隱私權,蘋果iOS系統應用的這一比例也接近70%。

所以,蘋果設備在涉及到用戶的隱私方面比安卓系統設置了許多保護,目前情況下,保護隱私只能自己抬高成本。

除了用戶層和平臺層需要做出改變外,在隋剛看來,國家層面或政府相關部門,可以牽頭做一些數據分類管理的工作。

比如高敏感度的信息由國家專門進行管理,而不涉及個人用戶的基礎信息或者IoT產生的一些數據可以有企業管理,進而形成數據分級的金字塔等級。

凡事講究一個度,當下最為重要的問題是找到兩者的平衡點,彼此牽制,彼此成就。

立法還是自律?

此次兩會期間,多名全國政協委員對數字經濟時代個人信息保護存在法律缺位問題提出意見建議,焦點在於數據的權屬及監管使用等方面。

全國政協委員、公安部原副部長陳智敏對媒體表示,在數字經濟時代,無數公民無償提供的數據,被極少數人在無形中控制,這很危險。現在急需要在立法上明確數據的權屬問題。

陳智敏還指出,現在企業如微信、滴滴打車、外賣等用很小的一點便利,收集了大量的個人數據。公民一開始不覺得,但後來所有的數據都被平臺控制,這會給社會帶來很多問題。

隨著數據保護意識的增強,用戶需要擁有要求平臺在線存儲的不許有用戶的身份證號、手機號等的敏感信息不許做關聯的權利,而這種權利只有明確法律來規定,沒有規定的話,那麼平臺方就什麼都抓。

在3月4日十三屆全國人大二次會議新聞發布會上,大會發言人張業遂介紹,全國人大常委會已將制定個人信息保護法列入本屆立法規劃,相關部門正在抓緊研究和起草,爭取早日出臺。

全國政協委員、中科院院士、通信網路技術專家尹浩就指出,「安全界有一種說法:三分技術,七分管理。我們要通過管理手段讓非法獲得和使用信息的人承受很大的代價,嚴厲打擊盜用互聯網用戶信息的非法行為。」

現在很多個人信息泄露都是內部人員為之,拿用戶數據去做交易,必須對這種情況加大打擊力度。

一位行業從業者談到,平臺作為數據的管理者和使用者,有義務保護保密這個數據。

每個人都知道谷歌拿用戶的數據賣廣告,但是谷歌不能把原始數據轉賣給第三方、第四方……在一定程度上制定一個最嚴格的法律沒有意義,應該制定符合大多數人需求的的法律法規

此外,隨著5G和IoT時代的來臨,數據量會成百上千倍的增長,未來網路生態架構將會是人機物共融和萬物互聯的,所以大數據的安全保護和合法利用的需求將更加迫切。

需要指出的是,對於人工智慧公司對數據安全立法保護的立場時,業內人士對CV智識表示,人工智慧公司估計不希望國家限制數據,而是希望能通過他們的技術來顛覆很多的行業。

他們更渴望拿到數據,如果有立法,會對他們產生一些影響。不過,可以考慮最好是給他們創建一個數據交流的方式,能讓這類公司也可以有起步的基礎。

所以當下單就人工智慧這一領域來講,我們需要用一個正常的手段或規範,讓有技術的人和有數據的人有效結合。比如第三方提供數據的公司,給自動駕駛的工具提供數據。

結語

人為刀俎,我為魚肉。

數字時代,我們的數據隨時隨地都在被收集著,個人信息的保護也越發不可控,隱私被偷窺,數據被泄露,身份被公開,似乎充斥在生活的各個環節。

不過,樂觀的是,我們的社會已經開始關注數據安全,並啟動了相應的立法程序,可以預見,隨著法律的完善,當下的數據安全現狀終將被改變。

作者:Stephanie.Zhang

編輯:張麗娟

來源:來源:投中網-CV智識(微信公眾號:CV智識)

原文鏈接:

誰偷了你的數據??

mp.weixin.qq.com圖標

CV智識,是投中網旗下的人工智慧領域垂直媒體,

在這裡(微信公眾號:CV智識 ID:CVAI2019),我們更聰明地談論科技與新知。


推薦閱讀:
相關文章