(圖片來源:全景視覺)
經濟觀察報 記者 馮慶豔 趙喆 國外超過440萬iPhone用戶近日聯名起訴美國谷歌公司,要求賠償最高至32億英鎊,訴訟原因劍指谷歌涉嫌非法採集用戶的個人隱私,這是繼Facebook數據洩漏事件之後,又一個關於個人隱私與網絡安全的重大事件。
國內用戶也面臨著類似的局面,「大數據時代,人人都在『裸奔』」,這句話成了網民的「口頭禪」,用戶前腳剛註冊的信息,後腳就被黑產打包成明碼標價的「商品」反覆兜售。這種非正常的個人隱私病毒式擴散,直接導致人們的網際網路安全感群體性驟降。換句話說,後網際網路時代,伴隨大數據的飛速發展,中國正在迎來一場空前的「隱私危機」。
在京東618全民年中購物季來臨時,京東集團首席信息安全專家李德浩接受經濟觀察報記者採訪稱,所有網際網路企業都應樹立保護用戶隱私的「紅線意識」,這是最起碼的職業操守。尤其在京東618,也稱「網絡黑產狂歡節」來臨之際,更要打起十二分精神,不給黑產留縫隙。
後網際網路時代 隱私危機比金融危機更可怕
智能改變生活,這句曾經的廣告語眼下已成現實。然而,萬事萬物皆有其兩面性。在科技的巨大便利面前,個人隱私正在加速貶值。不僅如此,對比國外的網際網路用戶,中國的網民們對於隱私洩露的擔憂似乎更後知後覺。
經濟觀察報記者在小範圍調查採訪中發現,在使用智慧型手機的被訪者中,逾七成人都在不同類型平臺上註冊過個人信息。可對於信息洩露問題,被訪人普遍表示無可奈何,畢竟虛擬數據被濫用不同於錢包被偷,普通用戶根本無從申訴糾察。即便報警,也會因個人信息獲取、存儲和利用的環節眾多,不論線下還是線上傳播都極具隱蔽性和複雜性,導致追本溯源成本高,發現查處難度大,處罰賠償力度小而遲遲不能結案。
在IT界有個大家都心知肚明的潛規則,即在用戶未知情的情況下,網際網路公司收集了很多用戶數據,為最大化其商業價值,他們或多或少都會把數據分享給第三方,最通常的情況就是用來投放廣告,這幾乎已經成為行業慣例,Facebook的信息洩露事件只是冰山一角而已。「既然每個人的隱私都有可能被分享轉賣,那麼在個人財產安全尚未受到實質侵害前,所有擔憂都是多餘。」這是一位大到投資理財、小到叫餐打車都離不開網際網路的95後告訴記者的真實想法。作為伴隨網際網路成長起來的一代人,面對隱私危機的從容態度著實讓人捏把汗。
在百度CEO李彥宏看來,之所以中國人對隱私問題的態度相對更為開放,沒那麼敏感,原因在於多數情況下用戶更願意用隱私換取便捷、安全或效率。也就是說,只要用戶所享的便利大於輸入個人資料的繁瑣,沒有人會對隱私安全問題做過多考慮。即便當下每個人都成了這場「隱私危機」的被侵害方,也依然阻擋不了他們追求便利最大化的心。
然而,也有質疑聲認為,用戶以隱私換取便捷高效本身沒錯,錯就錯在一些網際網路企業扭曲的價值觀與齷齪的職業操守。
京東集團首席信息安全專家李德浩在採訪中向記者直言,一些網際網路企業對用戶隱私缺少尊重才是助推隱私危機的導火索。
「近期Facebook數據洩漏事件可以說給各類網際網路企業敲響了警鐘,其中一個根本性問題被忽視了,我在美國和中國都遇到過,很多應用在用戶下載登錄時,會出現一個長長的法律條款,讓用戶點同意,企業會認為自己免責了,因為這是在用戶同意情況下拿用戶信息去做一些其他的事情,這或許沒違法,但卻沒有尊重用戶的知情權和控制權,價值觀是不正的。Facebook這件事發生的核心原因正是對用戶隱私缺少尊重,拿用戶利益交換商業利益。」李德浩對經濟觀察報說。
李德浩認為,後網際網路時代,隱私危機比金融危機更可怕。如果說金融危機是對企業的一場浩劫,那麼隱私危機則無疑是對個人財產安全的一次正面衝擊。畢竟數據在不同主體間的傳輸與流轉是大數據時代網際網路產業發展的必然,相應地也對安全管理提出了全新要求。
網絡黑產不斷膨脹 源頭封堵才是上策
巴菲特有句投資名言,只有在潮水退去時,方知誰在裸泳。而今在大數據的深海裡,隨著消費者的數字足跡變得越來越普遍,不管潮水漲落,所有人都在裸泳。
據不完全統計,目前在中國從事網際網路地下黑色產業鏈的人數已超150萬,所涉利益不下千億元人民幣,規模且仍在不斷攀升中。龐大利潤的驅使下,科技犯罪分子們產銷分工明確,無孔不入地覆蓋個人信息竊取的各個環節。換句話說,個人信息一旦外洩,其流向和危害都具有發散性與不可控性,若不能從源頭封堵很難從根本上遏制個人信息的不當流出。
「源頭封堵是不給黑產留縫隙,永遠比黑產動作『先一步,高一尺』,所以絕不能脫離網際網路發展和技術演化談信息安全,AI、智能硬體安不安全,能不能用AI來做安全……等等這些問題,是我們一直在思考也正著手實施的問題。」李德浩的觀點事實上也是這場隱私保衛戰中整個網際網路圈都在思考的問題。伯克利計算機教授Dawn Song也同樣公開表示過,「我們運用AI,但不能完全相信AI,因為攻擊者也能使用AI。」
然而預想落實到行動,卻需要剝繭抽絲的過程。畢竟信息安全的主要目的是在安全的條件下讓數據發揮作用,而非不讓其流動,限制它發揮作用,故在流動的情況下保護數據安全就必須先從數據本身下手了。
而在這方面,李德浩最有發言權,因為京東早在兩年前就開始在大數據分析時,借數據運算將涉及用戶隱私的部分清除。「比如你在網上買了臺i-Phone,同時也瀏覽了一些女性用品和品牌家具,於是我的系統會對你有個畫像——中產女性、講究品質生活、偏好正品名牌,算出後會給你一些精準推薦,卻絲毫不需要涉及你的隱私。」
除此之外,在強大的AI和大數據平臺之下,大數據畫像、人臉識別及驗證碼識別等技術,可以第一時間識別出用戶性質,如果是不法分子,直接屏蔽讓其無法登錄,什麼都「做不了」。顯然,保衛隱私說到底是高科技與「反科技」之間的較量,而這裡所謂的「反科技」是指同樣利用高科技手段見招拆招,京東安全的目標是讓黑產從「做不了」到「不想做」再到「不敢做」,實現逐一殲滅。
李德浩用了個形象的比喻,叫打擊黑產的「三重門」,而禁止登陸只是第一重門。接下來是用AI等技術手段抬高違法成本,讓黑產「不想做」,以及通過化被動為主動,用自然語言技術打入黑產內部,掌握情況後提前防控,迫使其「不敢做」。聽上去,頗有些諜戰劇的味道,只是敵我雙方交鋒的核心變成了被數據化的個人信息。「俗話說,知己知彼,方能百戰不殆。我不等黑產來找我,我主動去找黑產,主動滲透黑產,通過自然語言的技術去觀察,類似於輿情監控,掌握黑產在做什麼聊什麼,然後進行針對性防控,既迅速又精準。」
採訪中,對於像京東這樣時刻站在用戶隱私和利益保護基點上的做法,不少行業人士表示了贊同。有信息安全專家指出,網際網路企業如果能在創新的同時保證信息、數據的安全,才是保護用戶信息最行之有效的關鍵一環。
遏制網絡詐騙 平臺們該做點什麼
人工智慧,讓虛擬與現實的界限愈來愈模糊,龐大的數據集被允許進行信息分析和情境化,但在優化生活的同時也破壞了安全和諧的網際網路生態。尤其跨入2018年,個人隱私洩露問題更是愈演愈烈。
據來自DCCI網際網路數據中心發布的《網絡隱私安全及網絡欺詐行為研究分析報告》顯示,手機APP越界獲取個人隱私信息已經成為網絡詐騙的主要源頭。高達96.6%的安卓應用會獲取用戶手機隱私權限,而iOS應用的這一數據也高達69.3%。
不得不承認,當下的我們正身處一個「沒有秘密」的時代,但還算欣慰的是,不論政策管理層還是網絡企業都在著手努力編織一張反黑產的網。
採訪期間,多位IT界人士集體倡議,作為網際網路企業要儘可能保證平臺用的是「乾淨」的數據,即不能侵犯個人隱私、不能洩露企業商業秘密、不能洩露國家機密、不能危害國家安全等。與此同時,決策層除了出臺《網絡安全法》、《電信和網際網路用戶個人信息保護規定》等有關規定外,也應加強立法,從根本上保障個人隱私,並對違法現象進行嚴厲打擊。
「是的,做安全從來不是亡羊補牢,而是謀篇布局,這是做任何產品前首先要想到的先決條件。」在李德浩看來,所有網際網路企業都應樹立保護用戶隱私的「紅線意識」,這是最起碼的職業操守。尤其在京東618全民年中購物季或雙11這樣的特殊節點,更是要打起十二分精神,不給黑產留一絲縫隙。
應該講,京東的安全意識在網際網路圈早已成為範本。據記者了解,本著「用戶利益至上」的原則,京東早在2015年就啟動了京騰計劃;次年6月,開始在業內率先實行「微笑面單」,即籤收單上部分隱藏了用戶的姓名電話等關鍵信息;近兩年,又推出了電商應用雲計算平臺京東雲鼎,逐步為入駐京東的幾十萬商家提供網絡安全規範,更在大洋彼岸的美國設立京東安全矽谷研究中心。此外,京東還是行業內最早一批專門設立內控合規部的網際網路公司,深度定製了反詐騙分析平臺,通過對事件、風險進行多維度畫像,自動化完成詐騙事件的「預警—分析—止損—溯源」工作。針對已有風險數據,藉助於AI技術,從五大維度,多達130個特徵中計算數據的風險值及關聯度,最終智能化的輸出溯源分析結果與風險預警。
除了京東,包括阿里、百度、360等在內的其他知名網際網路公司眼下也都在不遺餘力推進安全工作。
李德浩說,信息安全是持續的人與人的對抗,具有極大的不確定性,防禦體系做得再好,不法分子也會跟著升級,所以KPI並不重要,重要的是,在不確定中隨時掌握平衡,時刻走在「敵人」前面。