近年來,人臉識別技術在諸多領域發揮著巨大作用的同時,也存在不少泄露、被濫用的情況,對個人的人身和財產安全造成極大危害,甚至還可能威脅公共安全。雖然已有相關法律法規保護這些個人信息,但是在實際操作中,卻存在灰色地帶以及模糊區域,不夠明確,為此,7月28日,最高人民法院發布司法解釋,對人臉信息提供司法保護。解釋明確規定,在賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經營場所、公共場所違反法律、行政法規的規定使用人臉識別技術進行人臉驗證、辨識或者分析,應當認定屬于侵害自然人人格權益的行為。還包括跟人們生活息息相關的幾個方面:物業不得強制將人臉識別作為出入小區唯一驗證方式、處理未成年人人臉信息須征得監護人的單獨同意、應用程序不得強制索取非必要個人信息等。最高法對人臉識別的司法解釋,讓很多業內人士開始擔心,以AI、機器視覺、大數據、云計算等技術為核心業務的企業,是否會受影響?其實,從2021年年初開始,國家網信辦、工信部、公安部等多部門對數據安全、網絡信息安全等涉及到國家安全的領域陸續密集出臺相關的監管措施,似乎正在從上至下的編織兩張大網:“數據安全”和“網絡安全”。
在7月初,沒有敲鐘,沒有直播,更沒有相關媒體的報道,滴滴悄無聲息地在美國上市,本以為這樣就能躲過監管部門的審查,但誰知,這一切才剛剛開始。
▲圖片來自國家網信辦
7月4日,在滴滴上市后第三天,國家網信辦對滴滴進行安全審查,經檢測核實,“滴滴出行”App存在嚴重違法違規收集使用個人信息問題。國家互聯網信息辦公室依據《中華人民共和國網絡安全法》相關規定,通知應用商店下架“滴滴出行”App,要求滴滴出行嚴格按照法律要求,參照國家有關標準,認真整改存在的問題,切實保障廣大用戶個人信息安全。國家網信辦發出通報表示,經檢測核實,“滴滴企業版”等25款App存在嚴重違法違規收集使用個人信息問題。
▲圖片來自國家網信辦
國家互聯網信息辦公室依據《中華人民共和國網絡安全法》相關規定,通知應用商店下架上述25款App,要求相關運營者嚴格按照法律要求,參照國家有關標準,認真整改存在的問題,切實保障廣大用戶個人信息安全。各網站、平臺不得為“滴滴出行”和“滴滴企業版”等上述25款已在應用商店下架的App提供訪問和下載服務。7月16日,國家網信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監管總局等七部門,聯合進駐滴滴出行科技有限公司,開展網絡安全審查。滴滴的網絡安全問題,引發業界關注,但其實,滴滴并不是唯一,從今年5月份開始,對“運滿滿”“貨車幫”“BOSS直聘”實施網絡安全審查,審查期間“運滿滿”“貨車幫”“BOSS直聘”停止新用戶注冊。再往前追溯,還組織對運動健身、新聞資訊、網絡直播、應用商店、女性健康、輸入法等常見類型公眾大量使用的部分App的個人信息收集使用情況進行了檢測。
▲圖片來自國家網信辦
簡單來說,就是目前大眾所使用的App,幾乎都存在“違反必要原則,收集與其提供的服務無關的個人信息等”或“未經用戶同意收集使用個人信息等”問題。其中包括百度、抖音、今日頭條、微軟必應、360搜索、高德地圖等等知名App,國家網信辦要求相關App運營者應當于通報發布之日起15個工作日內完成整改。國家網信辦的“重拳”遠不止以上這些,7月10日,其就《網絡安全審查辦法(修訂草案征求意見稿)》公開征求意見。
▲圖片來自國家網信辦
其中第六條規定,“掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查”。這一條規定很容易讓人聯想到滴滴,畢竟它的用戶注冊量早就超過100萬了。國家多部門監管層以“雷霆之勢”,向社會釋放出高度重視并嚴格管理數據的信號與態度。我國數據立法的速度也可謂是快馬加鞭,目前,在涉及數據安全領域,我國已經生效的法律有三部:《網絡安全法》、《民法典》、《數據安全法》。值得注意的是,《數據安全法》和正在進行中的《個人信息保護法》,對違法行為的最高處罰在現有法律中不常見,一個是5000萬元,加上5%的企業營收,一個是1000萬元。今年上半年,央行曾披露過數起金融機構因數據泄露而遭遇的罰單。其中某一大型銀行由于1300條用戶數據的丟失,被罰1300萬元,相當于一條數據1萬元。簡而言之,有不少業內人士推測,中國互聯網正迎來一次史上最嚴的數據監管,從關乎國家利益的關鍵數據到涉及用戶隱私的個人數據,網絡安全、數據安全受到前所未有的重視與管理。整個信息安全產業,正在邁進一個變革期,以數據為入口的安防、AI、大數據、云計算等,或將共同面對網絡安全和數據安全難題。
在萬物互聯的時代,智能安防領域作為絕大部分數據采集、存儲的入口,面對一個又一個密集出臺的數據安全、網絡安全的“緊箍咒”,涉足安防業務的企業又該如何應對?首先,網絡安全,指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。數據安全,數據不再是簡單靜態的東西,而是上升到了資產、基礎設施層面,因此,數據安全不再是一個純產品技術上的安全,實際上是組織規范+技術的完美整合,以呈現整體的數據安全治理。在AI、大數據、云計算等技術的推動下,智能安防、物聯網都發生了翻天覆地的變化,它們都離不開網絡安全和數據安全。猶記得在2016年,由DDoS攻擊引發“網絡安全門”加上視頻監控網絡下的物聯網系統存在安全隱患,喚醒了安防行業對網絡安全的重視。如何防止數據和信息被人竊取,預防視頻監控網絡遭受破壞,防止僵尸網絡的攻擊,都是行業亟待解決的問題。如今,視頻監控早已成為眾多領域的安全必需品,但在項目建設中其實存在不少安全隱患,包括網絡安全缺乏規范、用戶普遍缺乏安全意識等。同時,從事網絡監控設備制造商將大量的產品推銷至全球,部分廠商為了節約開發成本,使用通用的、開源的固件,或者采用貼牌生產的方式,未做任何安全加固,導致不同品牌的設備使用默認的密碼,或者包含相同的漏洞,這就導致一旦漏洞被爆出,其影響范圍甚廣。另外,大部分網絡視頻監控設備沒有自動的系統升級和漏洞修復機制,即使發現高危漏洞,也很難被升級修復。簡單舉個例子,以智慧小區為主的社會化接入場景,作為公安視頻傳輸網的重要組成部分,由于部署量大、設備計算和通信能力強、管理和維護工作復雜的三個顯著特征,難以幸免地成為網絡攻擊的“重災區”。有業內人士分析,如今物聯網聯接萬物,針對IOT設備的攻擊,呈現出“規模越來越大、手段越來越復雜、后果越來越嚴重”的趨勢。比如通過目標偵查,發現有價值的監控設備,利用各種手段(弱口令猜解、漏洞利用、設備替換)發起加載攻擊,獲取設備控制權或敏感信息進行信息竊取、視頻篡改和偽造等。由于安防設備應用的特殊性,一旦安防設備被黑客攻擊、利用,會對用戶個人隱私、社會信息安全,甚至國家安全產生非常嚴重的影響。為此,傳統的安全防護手段已經無法對以攝像機為核心的IOT設備的安全有效保護。這就要求所有的涉足網絡安全設備的廠商需要提高對網絡安全的意識,提高安全防護技術,比如,通過質量過硬的安全聯網設備、視頻安全接入網關、視頻安全態勢感知系統和可對設備進行集中管理的集中管控平臺等“軟硬一體化”技術,來詮釋網絡安全的“牢不可破”。目前大廠基本在軟硬件方面的實力和水平已備受行業認可,比如海康威視、大華股份、宇視科技等等,對網絡安全的意識達到了空前的一致,紛紛通過建立網絡安全機制和體系,為全國的網絡安全安防新生態做出努力。
7月14日,工業和信息化部辦公廳副主任任利華在2021中國互聯網大會上表示,工信部將建立健全數據安全保護的管理機制和技術防護體系,切實把涉及國家安全和個人隱私的數據作為重點保護對象,嚴格數據資源的采集、存儲、流動和使用的各環節,確保數據安全。有業內人士分析,人工智能、人臉識別、自動駕駛的不斷普及,企業紛紛踏上數字化轉型浪潮,大量收集存儲數據,而數據也已成為重要的生產要素。在AI、芯片等技術的推動下,數據存儲已不再是個問題,不管有多少數據,企業都有能力存儲。但問題是,存下來了,如何在合法合規下合理使用呢?如何對其進行分析、訓練并挖掘價值?防止數據泄漏并將數據安全治理落地,是擺在企業面前亟待解決的問題,而且,這個問題并不好解決,有企業表示,要保證數據的采集、存儲、流動和使用等各環節都不出問題,談何容易。不論是《網絡安全法》,還是《數據安全法》,以及還在籌劃中的《個人信息保護法》其實都透露了一個原則,那就是企業采集數據、使用數據需要在相關法規范疇下操作,不可毫無節制。比如,企業進行數據處理需要有合法基礎,在不涉及公共利益的絕大多數情況下,需要獲得用戶的授權同意,才可收集和處理數據。例如人臉、指紋、虹膜等生物識別信息以及其它個人隱私信息,需獲得用戶授權同意才可收集。此外,企業和個人在數據處理關系上,在原來的法律上不太對等,但新的法律(包括《民法典》和個人信息保護法)正在賦予個人更多的權利,從而讓個人擁有主張權利的基礎。比如,在已生效的《民法典》中個人擁有了刪除權、查詢權,制定中的個人信息保護法中繼續對這些權利進行了重申和細化。企業要在數據的流動中建立起制度的管控,除了滿足個體的權利之外,還要滿足多方的要求,包括監管、立法,甚至輿情帶來的影響。人工智能技術推動安防行業產生海量的非結構化視頻數據和特征數據(卡口過車數據、人像抓拍數據、異常行為數據等),也引發了安防行業在數據存儲、數據安全方面的顯著問題:第一、基礎設備的風險:包括監控中心的存儲設備、服務器和前端節點設備的安全性、網絡設備的安全性、傳輸線纜的安全性等。設備的安全可靠是整個大數據安防系統安全運行的基礎。第二、信息存取的風險:包括用戶非法訪問、數據丟失、數據被篡改等。系統信息的安全,主要運用各種加密技術、存儲技術、及備份方案來達到系統信息的安全。第三、信息在網絡上傳輸的風險:包括視頻信息、錄像數據信息、用戶信息等在傳輸過程中保密性、完整性的保障以及傳輸鏈路上的節點設備的安全。第四、前端采集設備、社會監控資源接入公安監控專網的安全。第五、系統運行的風險:包括接入設備的識別和認證、設備運行故障、軟件病毒、惡意代碼、以及設備控制的優先級調度等。系統運行時的風險控制主要依靠視頻監控軟件平臺來保障,該軟件平臺可以完成設備管理、故障監控、訪問控制、用戶管理、鑒權機制等一系列的功能來保障整個系統的安全運行。安防行業在過去的幾十年中,都在發展和關注硬件的產品、設備的安全性,如今硬件設備產品儼然足夠先進,不過在軟件方面的安全性投入,雖然已經在加大力度,但尚有較大成長空間,發展阻力較大,原因主要集中在以下幾方面:
數據安全性是一個復雜的問題,如果沒有對數據本身、數據創建、數據使用環境以及數據監管的深入理解,就很難保障數據安全。
另外一個重要因素是,從目前國內外的環境來看,當敏感數據或敏感信息有可能與國家安全產生聯系時,數據的問題被高度政治化,加劇了安防產品設備“出海”面臨的數據安全問題。
不同用戶群體對數據的動態處理需求不同,比如銀行、醫院、教育、政府機構、關鍵基礎設施等等,對軟硬件系統安全和數據安全的處理需求是不一樣的。
數據多元化、復雜化,要在流動中由多方主體共用,比如會涉及到個人、企業、中間的服務商等,數據使用的主體眾多,安全等級就更高。
但要從數據采集到數據傳輸以及數據應用都達到法規的要求,需要投入巨額的研發成本,不少人認為,這個重擔無疑會落在巨頭身上。目前也有一些簡單的數據保護的做法,比如,將敏感信息通過脫敏、加密的方式和手段,讓其變得沒有那么敏感,減少數據泄露之后給相關方造成的損失。或者,即便是發生了泄露,泄露的數據并不是照片或視頻,而是一組特征值,是眼睛和眼睛之間的距離,或是眼睛和嘴之間的距離,這樣即便泄露出去,對個人也不會構成特別大的風險。近日,工信部發布《網絡安全產業高質量發展三年行動計劃(2021-2023年)(征求意見稿)》中,就提到要推進多方認證、可信數據共享等技術產品發展,并推動安全多方計算、聯邦學習、可信計算、同態加密、差分隱私、區塊鏈、數據水印等隱私保護和流向溯源技術實用化部署和普及應用。有業內人士表示,現在企業在保障數據安全方面,大多集成安全廠商的數據防護技術或者跟安全廠商合作推出數據防護解決方案。比如,在近幾年備受關注的隱私計算安全廠商,據了解,隱私計算技術是在數據計算、融合過程利用相應技術對原始數據保護,運算結果是共享的。例如銀行除了內部征信數據,還需要一些外部的個人社保稅務等數據。傳統方式下,這些數據涉及個人敏感信息,造成泄漏,但是通過聯邦學習、多方安全學習等技術,就能保證既使用到數據,利用聯合建模的方式獲取到個人畫像,又不會獲得具體的數值,對于個人隱私保護是非常好的工具。但是,隱私計算技術目前還處于起步階段,還有很多實際問題待解決,比如對數據加密后,計算的能力和效果會發生怎樣的變化?這個數據融合的標準又由誰來出?它是否能真正解決各企業、個體的數據安全問題,還待市場檢驗。
隨著互聯網、物聯網、AI、云計算、大數據等信息技術日趨成熟,網絡安全的“護城河”發揮著重要作用,規模龐大的數據所蘊含的經濟價值和社會價值逐步凸顯。
從近期密集出臺的《數據安全法》、《個人信息保護法》、《網絡安全產業高質量發展三年行動計劃(2021-2023年)(征求意見稿)》等文件可看出,網絡安全和數據安全,已經成為當下數字化時代發展的重要因素。
這些措施或許會讓很多企業在網絡安全和數據安全管理上走向合法化和規范化,盡量杜絕數據泄露的黑色地帶,整個社會的網絡安全、數據安全合規也會向前邁進一大步。
文/曾苑蘭(CPS中安網)
400-915-5885
