在青少年网络安全活动体验展上,观众(左)向参展人员了解网络安全方面的信息。(图片来源:新华社)
朋友圈里发布几张照片,可能已经出卖了自己的住址;使用某些移动应用App时,或许后台也在收集你的照片、短信;街边顺手连接免费WiFi,不到十分钟支付账号、密码就被窃取……随着大数据时代到来,数据信息在给我们的生活带来便利的同时,个人信息泄露的问题也日渐凸显。
“我的信息谁做主”“为什么我们成了‘透明人’”……“信息裸奔”令人不寒而栗,人们不免抛出这样的疑问。行走在大数据的社会,个人信息安全值得我们每个人关注。
1、互联网应用为用户带来便利的同时,也给信息安全带来更多隐患,甚至一盏照明灯、一根电力线,都可能成为窃密者的攻击载体
“工作机上输入信息,窃密机便原封不动地窃取了;如果把灯光遮住,再输入信息,窃密机便不能窃取。”“两台电脑没有网线连接,在工作机上输入的信息却能被获取;关闭计算机连接的外部设备再输入信息,窃密机就无法窃取了。”鼎普科技副总裁黄玉昆向记者演示了可见光窃密和电力线窃密的两个情景。
同在一束光下、共用一根电线,或许你我的信息已经“透明”。“现在的窃密技术越来越隐蔽,让人防不胜防,灯光、电线等看似普通的设备,都可能成为窃密者的攻击载体。”黄玉昆说,窃密者在照明设备上安装接收装置,通过可见光发出高频闪烁传输信息,一旦计算机连接这种照明设备,信息就会通过光波向外发送;同理,窃密者在电力线上安装窃密装置,也能不露痕迹地窃取同一电网内其他计算机的信息。
“其实,现在每个人身上都有偷听器,我们的GSM阻截器只要输入目标的手机号,就可以截听对方的通话,哪怕对方没有开机,只要电池没有拆掉一样能听到……”对于港片《窃听风云》中演员吴彦祖的这段经典台词,大家或许并不陌生。伴随网络安全领域的攻防演变,现实生活中也出现了一些窃听手机的信号拦截系统。“各种隐蔽、怪异的病毒时刻觊觎我们的手机,一张图片、一封邮件、一个二维码,或许就能让整个手机系统顷刻瘫痪。”卫士通信息产业股份有限公司战略市场部相关负责人李学斌说。
不仅如此,自动贩卖机也能被“黑”、共享充电设备可能泄露信息、隔着背包银行卡里的钱可能被盗刷……记者在不久前举办的2017年国家网络安全宣传周博览会上参观时注意到,各类隐私泄露的场景让体验者连连咋舌。
中国工程院院士倪光南坦言,伴随大数据、移动互联网技术的进步,大量互联网应用快速发展的同时,也的确带来了更多的个人信息安全隐患。
2、个人信息过度收集、诱骗收集、隐私政策“霸王条款”等,不仅侵犯公民权益,还导致了诈骗、勒索等诸多社会问题
“一家商场小店盒饭25块钱一份,如果安装它的App会三折优惠,后来发现App要开通用户20多项权限。”对于这次亲身经历,中国互联网协会法工委副秘书长胡钢不禁感叹,这样的操作,几乎“掌控”了用户的手机。
可能多数人也有类似经历:登录某款App办一张电子优惠卡时,需要填写的信息如同查户口,一些商家在消费环节甚至设置重重“陷阱”,收集用户信息的方式可谓花样百出。
其实,隐私条款是企业收集、处理、使用用户信息的公开声明。微信聊天、淘宝购物、携程订票……当人们享受网络产品和服务带来的便利时,大多数人或许并没有阅读或者读懂这些软件中的隐私条款,也不清楚软件是如何收集、使用、转让用户信息的。甚至在下载安装应用时,如果用户对隐私条款不选择“同意”,就不能使用该应用。
“对用户来说,个人隐私条款是用户了解企业如何收集个人信息的一个主要窗口,同时也是用户行使个人信息控制权的一个主渠道。”中国电子技术标准化研究院院长赵波坦言,近年来,网络运营者对个人信息存在过度收集、隐秘收集、诱骗收集以及“一揽子协议”强迫用户同意“霸王条款”等,导致个人信息泄露、滥用,非法交易等事件时有发生,对公民合法权益造成了严重侵害。
在国家信息中心网络安全部副主任李新友看来,互联网时代,用户希望“我的信息我做主”,主要涉及两方面的权益:一是知情权,用户要知道自己的信息在哪些地方,但现在很多用户并不知道哪些厂家收集了哪些层面的信息;二是控制权,如现在用户信息被收集后不能删除,也不能要求服务商删除,即便用户在终端上删除成功,后台仍留有记录。
“现在是大数据发展最快、最好的时代,数据蕴藏的巨大价值得以充分挖掘,但同时,也带来了隐私信息保护方面的难题。”胡钢说。
3、期待《网络安全法》在个人信息安全领域的配套法规不断完善,形成一个平衡个人、信息使用者和社会利益的法律框架
面对日益严重的个人信息泄露和安全威胁,加强相关法治建设至关重要。“在数据产业蓬勃发展的同时,相关法律还较为脆弱,在保护公民个人信息方面存在很多不足。比如,对个人信息采集使用管理方面缺乏明确和可操作标准,导致民事责任的区分不够,长期以来多以追究刑事责任为主。”在2017中国国际大数据产业博览会“数据开放与隐私保护”主题论坛上,最高人民检察院法律政策研究室副主任王建平这样说。
今年6月1日起正式实施的《网络安全法》对于公民个人信息保护意义重大。这部法律除总则、附则外,直接涉及用户个人信息保护的条款有10余处,对严防个人信息泄露、滥用以及层出不穷的新型网络诈骗犯罪作出规定。
“《网络安全法》的实施对网络运营提高个人信息保护力度提出了新的要求,但这是一个原则性的框架,还应该有很多的配套制度和法规去完善它、充实它。”倪光南说。
国家互联网信息办公室网络安全协调局负责人表示,目前,有关部门正在按照法律要求抓紧研究起草相关制度文件,包括关键信息基础设施保护办法、个人信息和重要数据出境安全评估办法等。其中,《网络产品和服务安全审查办法(试行)》等配套制度文件已经公开发布,国家标准化部门正抓紧组织制定《个人信息安全规范》等标准。
华东政法大学教授高富平建议,我国个人信息保护的最佳出路在于制定一部专门的法律,可以对个人信息属性和保护模式给予重新定位,明确个人信息保护不仅是为个人设定的一项权利,更是旨在构建一个平衡个人、信息使用者和社会利益的法律框架。
“不管是进行配套立法还是制定相应的标准,我们始终要考虑天平向哪方面倾斜的问题。”中国信息安全研究院副院长左晓栋认为,在个人信息保护上,天平应该向公民个人倾斜。
4、保证用户信息安全是对互联网企业的核心要求,企业不论规模大小,只要收集用户信息就要承担起保护的责任
“更新上线的隐私条款文本表述更加精简”“重要条款特别标注,更加便于阅读”“用户的控制权、知情权明显增强,还提供了注销账号功能”……近日,不少用户发现,手机里一批常用App的隐私条款正在陆续发生调整。
今年7月以来,中央网信办等四部门组织评审京东商城、航旅纵横、滴滴出行、携程网、淘宝网、高德地图、新浪微博、支付宝、腾讯微信、百度地图等十款常用的网络产品隐私条款。伴随评审结果的“出炉”,上述企业还联合发布了《个人信息保护倡议书》,对保护用户个人信息、保障用户合法权益做出承诺,包括尊重用户的知情权、控制权,遵守用户授权,保障用户的信息安全等内容,提出联合抵制黑色产业链,倡导行业自律。
阿里巴巴集团副总裁俞思瑛介绍,他们正以淘宝网为试点,对隐私条款和设计进行全面梳理改进,重点审视企业收集、保存、使用、共享、转让等个人信息处理行为的承诺与实践,确保升级后的隐私条款既符合法律要求,在内容、形式上也兼具创新性和用户友好性。比如,隐私条款使用“弹窗告知”,敏感信息采集增加“即时提示”,上线个人信息泄露在线举报模块。
“数据安全和用户信息保护是对互联网企业的核心基本要求,特别是支付宝这类涉及用户资金的应用,隐私政策的完善和提升不仅要符合法律法规和监管规定,更是维护市场信心和获得用户信任的基石。”蚂蚁金服首席法务官陈磊明透露,蚂蚁金服已在业内率先任命了“集团首席隐私保护官”,组建“集团隐私保护办公室”,负责建立企业隐私保护管理体系。
微信近日也做了新的尝试。其最新版本通过《微信隐私保护指引》,可以全面展示微信保护用户隐私的宗旨、原则和路径;微信的隐私设计在具体功能中也有明显体现,比如,添加微信的方式、允许查看朋友圈范围等。
“无论企业规模大小,只要收集用户个人信息,就要承担起保护的责任。”在2017年国家网络安全宣传周新闻发布会上,中央网信办网络安全协调局局长赵泽良说。针对互联网企业的一系列改进做法,中国政法大学知识产权研究中心特约研究员李俊慧认为,提升用户在平台个人信息收集方面的知情权,对于落实法律要求,引导各平台建立更加安全、高效的用户信息保护机制意义重大。
5、网络安全产业将迎来新一轮变革,大数据时代处理好个人信息保护与技术发展的关系至关重要
“不能因为担心安全威胁,就把数据封闭起来。”在王建平看来,个人数据只有充分流动、共享和交换才能实现价值。因此,要用辩证的眼光看待大数据发展带来的积极和消极影响,只有最大限度地保障数据安全、减少隐私泄露,才能积极享受大数据时代的成果。
赵波则建议,要处理好个人信息保护与互联网技术发展的关系,就要在个人信息保护和利用之间找到一个平衡点,“比如,区分哪些是公共数据、哪些是个人隐私,鼓励使用一些脱敏数据进行商业分析,否则互联网的作用就发挥不出来”。
可喜的是,随着人工智能、机器学习、态势感知、物联网安全、高级威胁调查取证等新兴技术发展,网络安全产业迎来了新一轮变革。保护个人信息安全除了完善立法、加强企业管理等措施之外,一些新的科技手段也正在介入。
比如,公安部第三研究所推出的公民网络电子身份标识系统eID引起业界关注。这种以密码技术为基础、以智能安全芯片为载体的网络身份标识,可以在不泄露用户身份信息的前提下在线远程识别身份,降低了用户信息被盗用的风险。“现在常用的证件最后对应的多是个人唯一的法定身份,这些数据一旦泄露就能匹配到具体个人。因此,保护个人信息首先要对数据‘去标识化’,使其无法识别出个人信息。”公安部第三研究所网络身份技术事业部副主任胡永涛说。
“数据传播过程中应注重做好安全保护。从图像、语音、文本等方面看,数据每个点的扩散、传播以及安全保护,在技术层面都有很多问题有待解决。”北京邮电大学信息与通信工程学院副教授高升举例,若在早期对图像使用数字水印,可以保证图像在传播过程中不被人修改、隐藏信息后不被窃取。
大数据时代,风险与挑战并存。对此,倪光南院士持乐观态度,“未来,个人信息保护情况一定会比现在好”。他认为,虽然各类风险日益加剧,但用户安全意识总体在提升,法律法规在不断完善,企业也在不断进步,个人信息安全问题,一定能够随着科学技术的发展不断得以解决。(记者 李政葳)