近年来,人脸识别技术在诸多领域发挥着巨大作用的同时,也存在不少泄露、被滥用的情况,对个人的人身和财产安全造成极大危害,甚至还可能威胁公共安全。虽然已有相关法律法规保护这些个人信息,但是在实际操作中,却存在灰色地带以及模糊区域,不够明确,为此,7月28日,最高人民法院发布司法解释,对人脸信息提供司法保护。解释明确规定,在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析,应当认定属于侵害自然人人格权益的行为。还包括跟人们生活息息相关的几个方面:物业不得强制将人脸识别作为出入小区唯一验证方式、处理未成年人人脸信息须征得监护人的单独同意、应用程序不得强制索取非必要个人信息等。最高法对人脸识别的司法解释,让很多业内人士开始担心,以AI、机器视觉、大数据、云计算等技术为核心业务的企业,是否会受影响?其实,从2021年年初开始,国家网信办、工信部、公安部等多部门对数据安全、网络信息安全等涉及到国家安全的领域陆续密集出台相关的监管措施,似乎正在从上至下的编织两张大网:“数据安全”和“网络安全”。
在7月初,没有敲钟,没有直播,更没有相关媒体的报道,滴滴悄无声息地在美国上市,本以为这样就能躲过监管部门的审查,但谁知,这一切才刚刚开始。
▲图片来自国家网信办
7月4日,在滴滴上市后第三天,国家网信办对滴滴进行安全审查,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。国家网信办发出通报表示,经检测核实,“滴滴企业版”等25款App存在严重违法违规收集使用个人信息问题。
▲图片来自国家网信办
国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架上述25款App,要求相关运营者严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。各网站、平台不得为“滴滴出行”和“滴滴企业版”等上述25款已在应用商店下架的App提供访问和下载服务。7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等七部门,联合进驻滴滴出行科技有限公司,开展网络安全审查。滴滴的网络安全问题,引发业界关注,但其实,滴滴并不是唯一,从今年5月份开始,对“运满满”“货车帮”“BOSS直聘”实施网络安全审查,审查期间“运满满”“货车帮”“BOSS直聘”停止新用户注册。再往前追溯,还组织对运动健身、新闻资讯、网络直播、应用商店、女性健康、输入法等常见类型公众大量使用的部分App的个人信息收集使用情况进行了检测。
▲图片来自国家网信办
简单来说,就是目前大众所使用的App,几乎都存在“违反必要原则,收集与其提供的服务无关的个人信息等”或“未经用户同意收集使用个人信息等”问题。其中包括百度、抖音、今日头条、微软必应、360搜索、高德地图等等知名App,国家网信办要求相关App运营者应当于通报发布之日起15个工作日内完成整改。国家网信办的“重拳”远不止以上这些,7月10日,其就《网络安全审查办法(修订草案征求意见稿)》公开征求意见。
▲图片来自国家网信办
其中第六条规定,“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。这一条规定很容易让人联想到滴滴,毕竟它的用户注册量早就超过100万了。国家多部门监管层以“雷霆之势”,向社会释放出高度重视并严格管理数据的信号与态度。我国数据立法的速度也可谓是快马加鞭,目前,在涉及数据安全领域,我国已经生效的法律有三部:《网络安全法》、《民法典》、《数据安全法》。值得注意的是,《数据安全法》和正在进行中的《个人信息保护法》,对违法行为的最高处罚在现有法律中不常见,一个是5000万元,加上5%的企业营收,一个是1000万元。今年上半年,央行曾披露过数起金融机构因数据泄露而遭遇的罚单。其中某一大型银行由于1300条用户数据的丢失,被罚1300万元,相当于一条数据1万元。简而言之,有不少业内人士推测,中国互联网正迎来一次史上最严的数据监管,从关乎国家利益的关键数据到涉及用户隐私的个人数据,网络安全、数据安全受到前所未有的重视与管理。整个信息安全产业,正在迈进一个变革期,以数据为入口的安防、AI、大数据、云计算等,或将共同面对网络安全和数据安全难题。
在万物互联的时代,智能安防领域作为绝大部分数据采集、存储的入口,面对一个又一个密集出台的数据安全、网络安全的“紧箍咒”,涉足安防业务的企业又该如何应对?首先,网络安全,指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。数据安全,数据不再是简单静态的东西,而是上升到了资产、基础设施层面,因此,数据安全不再是一个纯产品技术上的安全,实际上是组织规范+技术的完美整合,以呈现整体的数据安全治理。在AI、大数据、云计算等技术的推动下,智能安防、物联网都发生了翻天覆地的变化,它们都离不开网络安全和数据安全。犹记得在2016年,由DDoS攻击引发“网络安全门”加上视频监控网络下的物联网系统存在安全隐患,唤醒了安防行业对网络安全的重视。如何防止数据和信息被人窃取,预防视频监控网络遭受破坏,防止僵尸网络的攻击,都是行业亟待解决的问题。如今,视频监控早已成为众多领域的安全必需品,但在项目建设中其实存在不少安全隐患,包括网络安全缺乏规范、用户普遍缺乏安全意识等。同时,从事网络监控设备制造商将大量的产品推销至全球,部分厂商为了节约开发成本,使用通用的、开源的固件,或者采用贴牌生产的方式,未做任何安全加固,导致不同品牌的设备使用默认的密码,或者包含相同的漏洞,这就导致一旦漏洞被爆出,其影响范围甚广。另外,大部分网络视频监控设备没有自动的系统升级和漏洞修复机制,即使发现高危漏洞,也很难被升级修复。简单举个例子,以智慧小区为主的社会化接入场景,作为公安视频传输网的重要组成部分,由于部署量大、设备计算和通信能力强、管理和维护工作复杂的三个显著特征,难以幸免地成为网络攻击的“重灾区”。有业内人士分析,如今物联网联接万物,针对IOT设备的攻击,呈现出“规模越来越大、手段越来越复杂、后果越来越严重”的趋势。比如通过目标侦查,发现有价值的监控设备,利用各种手段(弱口令猜解、漏洞利用、设备替换)发起加载攻击,获取设备控制权或敏感信息进行信息窃取、视频篡改和伪造等。由于安防设备应用的特殊性,一旦安防设备被黑客攻击、利用,会对用户个人隐私、社会信息安全,甚至国家安全产生非常严重的影响。为此,传统的安全防护手段已经无法对以摄像机为核心的IOT设备的安全有效保护。这就要求所有的涉足网络安全设备的厂商需要提高对网络安全的意识,提高安全防护技术,比如,通过质量过硬的安全联网设备、视频安全接入网关、视频安全态势感知系统和可对设备进行集中管理的集中管控平台等“软硬一体化”技术,来诠释网络安全的“牢不可破”。目前大厂基本在软硬件方面的实力和水平已备受行业认可,比如海康威视、大华股份、宇视科技等等,对网络安全的意识达到了空前的一致,纷纷通过建立网络安全机制和体系,为全国的网络安全安防新生态做出努力。
7月14日,工业和信息化部办公厅副主任任利华在2021中国互联网大会上表示,工信部将建立健全数据安全保护的管理机制和技术防护体系,切实把涉及国家安全和个人隐私的数据作为重点保护对象,严格数据资源的采集、存储、流动和使用的各环节,确保数据安全。有业内人士分析,人工智能、人脸识别、自动驾驶的不断普及,企业纷纷踏上数字化转型浪潮,大量收集存储数据,而数据也已成为重要的生产要素。在AI、芯片等技术的推动下,数据存储已不再是个问题,不管有多少数据,企业都有能力存储。但问题是,存下来了,如何在合法合规下合理使用呢?如何对其进行分析、训练并挖掘价值?防止数据泄漏并将数据安全治理落地,是摆在企业面前亟待解决的问题,而且,这个问题并不好解决,有企业表示,要保证数据的采集、存储、流动和使用等各环节都不出问题,谈何容易。不论是《网络安全法》,还是《数据安全法》,以及还在筹划中的《个人信息保护法》其实都透露了一个原则,那就是企业采集数据、使用数据需要在相关法规范畴下操作,不可毫无节制。比如,企业进行数据处理需要有合法基础,在不涉及公共利益的绝大多数情况下,需要获得用户的授权同意,才可收集和处理数据。例如人脸、指纹、虹膜等生物识别信息以及其它个人隐私信息,需获得用户授权同意才可收集。此外,企业和个人在数据处理关系上,在原来的法律上不太对等,但新的法律(包括《民法典》和个人信息保护法)正在赋予个人更多的权利,从而让个人拥有主张权利的基础。比如,在已生效的《民法典》中个人拥有了删除权、查询权,制定中的个人信息保护法中继续对这些权利进行了重申和细化。企业要在数据的流动中建立起制度的管控,除了满足个体的权利之外,还要满足多方的要求,包括监管、立法,甚至舆情带来的影响。人工智能技术推动安防行业产生海量的非结构化视频数据和特征数据(卡口过车数据、人像抓拍数据、异常行为数据等),也引发了安防行业在数据存储、数据安全方面的显著问题:第一、基础设备的风险:包括监控中心的存储设备、服务器和前端节点设备的安全性、网络设备的安全性、传输线缆的安全性等。设备的安全可靠是整个大数据安防系统安全运行的基础。第二、信息存取的风险:包括用户非法访问、数据丢失、数据被篡改等。系统信息的安全,主要运用各种加密技术、存储技术、及备份方案来达到系统信息的安全。第三、信息在网络上传输的风险:包括视频信息、录像数据信息、用户信息等在传输过程中保密性、完整性的保障以及传输链路上的节点设备的安全。第四、前端采集设备、社会监控资源接入公安监控专网的安全。第五、系统运行的风险:包括接入设备的识别和认证、设备运行故障、软件病毒、恶意代码、以及设备控制的优先级调度等。系统运行时的风险控制主要依靠视频监控软件平台来保障,该软件平台可以完成设备管理、故障监控、访问控制、用户管理、鉴权机制等一系列的功能来保障整个系统的安全运行。安防行业在过去的几十年中,都在发展和关注硬件的产品、设备的安全性,如今硬件设备产品俨然足够先进,不过在软件方面的安全性投入,虽然已经在加大力度,但尚有较大成长空间,发展阻力较大,原因主要集中在以下几方面:
数据安全性是一个复杂的问题,如果没有对数据本身、数据创建、数据使用环境以及数据监管的深入理解,就很难保障数据安全。
另外一个重要因素是,从目前国内外的环境来看,当敏感数据或敏感信息有可能与国家安全产生联系时,数据的问题被高度政治化,加剧了安防产品设备“出海”面临的数据安全问题。
不同用户群体对数据的动态处理需求不同,比如银行、医院、教育、政府机构、关键基础设施等等,对软硬件系统安全和数据安全的处理需求是不一样的。
数据多元化、复杂化,要在流动中由多方主体共用,比如会涉及到个人、企业、中间的服务商等,数据使用的主体众多,安全等级就更高。
但要从数据采集到数据传输以及数据应用都达到法规的要求,需要投入巨额的研发成本,不少人认为,这个重担无疑会落在巨头身上。目前也有一些简单的数据保护的做法,比如,将敏感信息通过脱敏、加密的方式和手段,让其变得没有那么敏感,减少数据泄露之后给相关方造成的损失。或者,即便是发生了泄露,泄露的数据并不是照片或视频,而是一组特征值,是眼睛和眼睛之间的距离,或是眼睛和嘴之间的距离,这样即便泄露出去,对个人也不会构成特别大的风险。近日,工信部发布《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》中,就提到要推进多方认证、可信数据共享等技术产品发展,并推动安全多方计算、联邦学习、可信计算、同态加密、差分隐私、区块链、数据水印等隐私保护和流向溯源技术实用化部署和普及应用。有业内人士表示,现在企业在保障数据安全方面,大多集成安全厂商的数据防护技术或者跟安全厂商合作推出数据防护解决方案。比如,在近几年备受关注的隐私计算安全厂商,据了解,隐私计算技术是在数据计算、融合过程利用相应技术对原始数据保护,运算结果是共享的。例如银行除了内部征信数据,还需要一些外部的个人社保税务等数据。传统方式下,这些数据涉及个人敏感信息,造成泄漏,但是通过联邦学习、多方安全学习等技术,就能保证既使用到数据,利用联合建模的方式获取到个人画像,又不会获得具体的数值,对于个人隐私保护是非常好的工具。但是,隐私计算技术目前还处于起步阶段,还有很多实际问题待解决,比如对数据加密后,计算的能力和效果会发生怎样的变化?这个数据融合的标准又由谁来出?它是否能真正解决各企业、个体的数据安全问题,还待市场检验。
随着互联网、物联网、AI、云计算、大数据等信息技术日趋成熟,网络安全的“护城河”发挥着重要作用,规模庞大的数据所蕴含的经济价值和社会价值逐步凸显。
从近期密集出台的《数据安全法》、《个人信息保护法》、《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》等文件可看出,网络安全和数据安全,已经成为当下数字化时代发展的重要因素。
这些措施或许会让很多企业在网络安全和数据安全管理上走向合法化和规范化,尽量杜绝数据泄露的黑色地带,整个社会的网络安全、数据安全合规也会向前迈进一大步。
文/曾苑兰(CPS中安网)
400-915-5885
