论文部分内容阅读
“滴滴一下,美好出行”。所有人都没想到滴滴的美好出行来得这么快。6月30日,滴滴悄无声息地在纽交所挂牌上市。所有人也没有想到,滴滴的下架来得这么快。7月2日启动安全调查,7月4日就被下架了。
7月2日,国家网信办发布通报,网络安全审查办公室对“滴滴出行”实施网络安全审查,审查期间“滴滴出行”停止新用户注册。
7月4日,国家网信办官微发布通报,根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App。一天后,网络安全审查办公室发布关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告。
7月7日,滴滴出行在支付宝小程序、微信小程序内同时下架。7月9日晚间,网信办再次发布通报,因严重违法违规收集使用个人信息,继“滴滴出行”全网下架后,滴滴旗下另外25款 App也被国家网信办要求下架。网信办明确要求,各网站、平台不得为“滴滴出行”和“滴滴企业版”等25款已在应用商店下架的App提供访问和下载服务。
7月10日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知。其中明确提出,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
实际上,滴滴等近期赴美上市的几家企业,有一个共同的特点,那就是均为互联网平台企业,拥有海量数据,随着这些企业在境外上市,不可避免地存在着跨境数据流动问题,因而面临着数据出境当中涉及的国家网络安全审查问题。
“资本可以没有国籍,但企业家要有底线。”当资本和潜在的对国家安全产生巨大威胁的数据安全发生冲突时,该听谁的?听资本的吗?国家相关部门的一系列雷霆之举已经给出了明确答案——在涉及国家安全的重大是非面前,没有讨价还价的余地。
以滴滴为代表接受安全审查的几家公司,赴美上市提交的数据资料至于危害国家安全吗?答案是肯定的。安全威胁首先来自硬件。《网络安全法》规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
其中,“采购网络产品和服务”是指,“核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务以及其他对关键信息基础设施安全有重要影响的网络产品和服务”。
业内人士指出,这些设备上,存在后门、能被远程操控的简直是行业内公开的秘密,所以,苹果早早把自己在中国的数据放在了“云上贵州”。特斯拉也在贵州建立了数据中心,将所有在中国内地市场销售的车辆所产生的数据都储存在中国境内。
滴滴不上市,这些设备放在哪里、买自何家、用来干什么,外界知之甚少,但一旦上市,就需要审计和披露,有想法的情报机构只要按图索骥,就能轻易抄掉滴滴的老底。网信办公告的原文是,“为防止风险扩大”。证明实际风险已经产生了,现在要做的是减少损失。
另外一个威胁来自数据。滴滴研究院一篇2015年发表在新华网的旧文再次流传开来。这篇文章使用了滴滴研究院的详细数据,分析了几个政府部门在一天的不同时间打车的次数,得出了这些部门员工加班时间的结论。谁能想到,当初一篇宣传企业大数据挖掘能力的文章,会在六年后的今天引发轩然大波。现在,大家已经轻而易举地知道,这样的信息对于有心之人意味着什么。
同样被审查的“运满满”,是国内基于云计算、大数据、移动互联网和人工智能技术开发的货运调度平台。“货车帮”是中国最大的公路物流互联网信息平台,建立了中国第一张覆盖全国的货源信息网,并为平台货车提供综合服务,致力于做中国公路物流基础设施。 “BOSS直聘”官网介绍称,该平台应用人工智能、大数据前沿技术,提高雇主与人才的匹配精准度,缩短求职招聘时间,从而提升求职招聘效率。综合来看,这几家企业都掌握大量用户隐私数据,并且业务与关键信息基础设施有关联。
“上述几家被审查的企业,分别为日常出行、网络货运及大众求职领域的头部平台,至少掌握了所属行业领域80%以上的深度数据。这些数据可以直接或间接地反映我国各区域人口分布、商业热力、人口流动、货物流动、企业经营等情况。”上海观安信息技术有限公司创始人、首席专家张照龙告诉记者,位置信息、移动轨迹、时间节点这些数据要素形成的动態数据都足以形成对国家安全的重大影响。
“举个简单的例子,某孩子妈妈每周末都带两个娃去东部战区附近看一下爸爸,那么很容易推算出这是个军嫂,家里那位是营级以上职务。等到哪天忽然几百上千的军嫂都不再叫车了,轻易就能推算出解放军要搞什么大动作。再比如说,有用户轨迹的地方,有路,有人在这里活跃;没有用户轨迹的地方,但如果又有设施,那这里是用来干嘛的?”
在张照龙看来,目前我国手机号实行实名制,手机绑定App应用,很容易轻松掌握特定人的行动信息。一个人的信息不算什么,但是当精准的数据收集变成海量的时候,数据分析工程师可以利用各种手法或者分析方法、统计方法、推测方法,通过关联分析、融合分析等等,挖出这些表面信息隐含着的情报。“美国是非常善于做数据分析的国家,这些上市公司将经营的原始数据都提供给美方的时候,这些聚合在一起的数据所蕴含的其他类信息,足以产生许多潜在的国家安全风险。”
数据对国家而言,是新的“战略资源”;对产业是新的“生产要素”;对个人更是新的“生活必需品”。从某种意义上讲,数据正在不断催生新的社会形态:“未来社会发展在很大程度上将用‘数据说话’”。 面向全球数字化转型成立的专业化智库赛博研究院,在2021世界人工智能大会上,不仅举办了2021世界人工智能安全高端对话,探讨人工智能发展引发的网络、数据和算法等多层面的风险和挑战,还联合相关机构发布了《人工智能赋能网络安全白皮书2021》《以数据为核心,构建新型数字信任体系》《全球数据安全报告:认知、政策与实践》三份重磅报告。其中,《全球数据安全报告》指出,在全球数据爆发增长,海量集聚的新形势下,数据也成为安全的“重灾区”,针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新,甚至形成地下数据产业链,给经济、政治、社会带来巨大风险。
数据的依赖性越强则脆弱性越大。各国从自身国家安全、社会公益以及个人权利保护等角度出发,越来越重视数据安全问题。但现实情况是各主体出于各自的利益诉求和安全关切,对于数据安全的认知与要求并不一致,企业与用户之间,国家与企业之间,国家与国家之间,都可能会出现利益冲突。如何平衡数据安全与发展的关系,找到政策的合理区间,既能促进数字经济的发展,又能满足各方安全诉求成为各国数据政策制定者们的最大挑战。
作为一种“泛在”性的存在,数据的安全维护是一个非常复杂的系统,面临着数据确权、数据垄断、数据泄露以及数据作假等主要挑战,由此带来的安全风险包括:数据非法跨境流通可能危害国家主权和国家安全;数字信息的过度采集和非法使用,可能侵犯公民的权利和隐私;算法的偏好可能加剧社会的偏见或歧视,威胁公平正义;机器深度学习难以理解人性的道德,无人驾驶汽车紧急避险等智能决策可能威胁特定的人群生命;人机相互交互式产品广泛应用带来的工作、生活、感情的高度依赖,可能威胁社会伦理。
所以说,数据安全不仅是一个技术问题,也是一个安全问题,同时还涉及伦理、法律和国际规则的相关问题。简而言之,如果数据背后代表了个人,就有个人权益的概念;如果数据背后代表的是组织,就涉及知识产权、商业秘密;如果数据背后代表了行业或者国家,就有数据的主权和国家安全这些概念交织在里面。企业需要盘點自己的数据资产,并考虑在数据使用的过程中可能牵扯到哪些权利。
张照龙指出,数据风险点可能出现在数据的产生、收集、存储与传输的各个环节。近几年工信部处理了一些违规App,这些违规的App多数是采集了个人的一些隐私信息。“大家都有过这样的经历,刚刚说了某样东西,某个购物软件就向你做了推荐;或者某个新闻就向你做了推送。这些互联网企业挖掘海量用户数据资源,用于定向推送,产生商业利益。我们的衣食住行变得越来越方便,我们的隐私也就变得越来越少。如何在隐私保护与开发数据资源之间达成某种平衡,一直是各国立法面临的重要问题。与此同时,海量数据集中在少部分平台和公司之中,无形中也增大了大规模数据泄露的风险。近年来数据泄露的事件屡见不鲜,涉及工业制造、政府数据、医疗信息、个人账号、军工情报等诸多领域。”
另外一个不容忽视的问题是数据造假。数据篡改或作假问题日益引起广泛关注。环境监测、金融数据、电商交易、视频网站以及社交平台上的公开数据不时爆出造假新闻,而这些假数据对于依赖数据真实性的行业发展极为不利,更会影响国家相关领域的宏观判断与政策制定。更严重的后果还在于,人工智能和机器学习的应用中,无论是算法还是机器学习,都基于海量数据,如果基于被篡改的数据与作假的数据,算法的有效性与学习效果可想而知会出现多么大的偏差。一个最现成的案例就是人脸识别技术。早期的人脸识别可能对白种人或者亚洲人的识别效果比较好,但是对于非洲人、黑人的识别效果比较差,这就涉及数据偏差和歧视问题。
目前的人工智能应用场景中,个人生物识别信息以其独特性、唯一性、可数据化和便携性而被广泛应用在生活的方方面面。指纹锁、小区人脸识别门禁、疫苗注射登记乃至于天网系统都与个人生物识别信息密切相关。而在2021世界人工智能大会上,参与人工智能安全高端对话的复旦大学计算机学院副院长杨珉透露,很多国家级政务平台,包括头部App厂商的生物特征身份登录,都存在着一定的问题。
此外,利用人工智能的“深度伪造”技术对生物信息进行替换、合成和调整,已经足以实施“换脸术”“变声术”,甚至造出集合上百人特征的“合成脸”,实施各种犯罪行为。这些深度伪造技术足以引发政治风险、社会风险乃至影响国家安全和国际社会安全。
“现在很火的自动驾驶汽车、无人驾驶,如果当它面临投毒攻击或者定向攻击,或者它本身的算法出现问题的时候,很容易导致车祸出现人身伤害,这也是和我们的传统计算机安全不太一样的地方,人工智能的数据安全出现问题的时候,可能会引发社会安全乃至国家安全问题。”张照龙说。
(摘自《新民周刊》2021年第26期,作者为该刊记者。有删节)
7月2日,国家网信办发布通报,网络安全审查办公室对“滴滴出行”实施网络安全审查,审查期间“滴滴出行”停止新用户注册。
7月4日,国家网信办官微发布通报,根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App。一天后,网络安全审查办公室发布关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告。
7月7日,滴滴出行在支付宝小程序、微信小程序内同时下架。7月9日晚间,网信办再次发布通报,因严重违法违规收集使用个人信息,继“滴滴出行”全网下架后,滴滴旗下另外25款 App也被国家网信办要求下架。网信办明确要求,各网站、平台不得为“滴滴出行”和“滴滴企业版”等25款已在应用商店下架的App提供访问和下载服务。
7月10日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知。其中明确提出,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
实际上,滴滴等近期赴美上市的几家企业,有一个共同的特点,那就是均为互联网平台企业,拥有海量数据,随着这些企业在境外上市,不可避免地存在着跨境数据流动问题,因而面临着数据出境当中涉及的国家网络安全审查问题。
“资本可以没有国籍,但企业家要有底线。”当资本和潜在的对国家安全产生巨大威胁的数据安全发生冲突时,该听谁的?听资本的吗?国家相关部门的一系列雷霆之举已经给出了明确答案——在涉及国家安全的重大是非面前,没有讨价还价的余地。
企业大数据到底有多重要?
以滴滴为代表接受安全审查的几家公司,赴美上市提交的数据资料至于危害国家安全吗?答案是肯定的。安全威胁首先来自硬件。《网络安全法》规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
其中,“采购网络产品和服务”是指,“核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务以及其他对关键信息基础设施安全有重要影响的网络产品和服务”。
业内人士指出,这些设备上,存在后门、能被远程操控的简直是行业内公开的秘密,所以,苹果早早把自己在中国的数据放在了“云上贵州”。特斯拉也在贵州建立了数据中心,将所有在中国内地市场销售的车辆所产生的数据都储存在中国境内。
滴滴不上市,这些设备放在哪里、买自何家、用来干什么,外界知之甚少,但一旦上市,就需要审计和披露,有想法的情报机构只要按图索骥,就能轻易抄掉滴滴的老底。网信办公告的原文是,“为防止风险扩大”。证明实际风险已经产生了,现在要做的是减少损失。
另外一个威胁来自数据。滴滴研究院一篇2015年发表在新华网的旧文再次流传开来。这篇文章使用了滴滴研究院的详细数据,分析了几个政府部门在一天的不同时间打车的次数,得出了这些部门员工加班时间的结论。谁能想到,当初一篇宣传企业大数据挖掘能力的文章,会在六年后的今天引发轩然大波。现在,大家已经轻而易举地知道,这样的信息对于有心之人意味着什么。
同样被审查的“运满满”,是国内基于云计算、大数据、移动互联网和人工智能技术开发的货运调度平台。“货车帮”是中国最大的公路物流互联网信息平台,建立了中国第一张覆盖全国的货源信息网,并为平台货车提供综合服务,致力于做中国公路物流基础设施。 “BOSS直聘”官网介绍称,该平台应用人工智能、大数据前沿技术,提高雇主与人才的匹配精准度,缩短求职招聘时间,从而提升求职招聘效率。综合来看,这几家企业都掌握大量用户隐私数据,并且业务与关键信息基础设施有关联。
“上述几家被审查的企业,分别为日常出行、网络货运及大众求职领域的头部平台,至少掌握了所属行业领域80%以上的深度数据。这些数据可以直接或间接地反映我国各区域人口分布、商业热力、人口流动、货物流动、企业经营等情况。”上海观安信息技术有限公司创始人、首席专家张照龙告诉记者,位置信息、移动轨迹、时间节点这些数据要素形成的动態数据都足以形成对国家安全的重大影响。
“举个简单的例子,某孩子妈妈每周末都带两个娃去东部战区附近看一下爸爸,那么很容易推算出这是个军嫂,家里那位是营级以上职务。等到哪天忽然几百上千的军嫂都不再叫车了,轻易就能推算出解放军要搞什么大动作。再比如说,有用户轨迹的地方,有路,有人在这里活跃;没有用户轨迹的地方,但如果又有设施,那这里是用来干嘛的?”
在张照龙看来,目前我国手机号实行实名制,手机绑定App应用,很容易轻松掌握特定人的行动信息。一个人的信息不算什么,但是当精准的数据收集变成海量的时候,数据分析工程师可以利用各种手法或者分析方法、统计方法、推测方法,通过关联分析、融合分析等等,挖出这些表面信息隐含着的情报。“美国是非常善于做数据分析的国家,这些上市公司将经营的原始数据都提供给美方的时候,这些聚合在一起的数据所蕴含的其他类信息,足以产生许多潜在的国家安全风险。”
数据安全,事关重大
数据对国家而言,是新的“战略资源”;对产业是新的“生产要素”;对个人更是新的“生活必需品”。从某种意义上讲,数据正在不断催生新的社会形态:“未来社会发展在很大程度上将用‘数据说话’”。 面向全球数字化转型成立的专业化智库赛博研究院,在2021世界人工智能大会上,不仅举办了2021世界人工智能安全高端对话,探讨人工智能发展引发的网络、数据和算法等多层面的风险和挑战,还联合相关机构发布了《人工智能赋能网络安全白皮书2021》《以数据为核心,构建新型数字信任体系》《全球数据安全报告:认知、政策与实践》三份重磅报告。其中,《全球数据安全报告》指出,在全球数据爆发增长,海量集聚的新形势下,数据也成为安全的“重灾区”,针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新,甚至形成地下数据产业链,给经济、政治、社会带来巨大风险。
数据的依赖性越强则脆弱性越大。各国从自身国家安全、社会公益以及个人权利保护等角度出发,越来越重视数据安全问题。但现实情况是各主体出于各自的利益诉求和安全关切,对于数据安全的认知与要求并不一致,企业与用户之间,国家与企业之间,国家与国家之间,都可能会出现利益冲突。如何平衡数据安全与发展的关系,找到政策的合理区间,既能促进数字经济的发展,又能满足各方安全诉求成为各国数据政策制定者们的最大挑战。
作为一种“泛在”性的存在,数据的安全维护是一个非常复杂的系统,面临着数据确权、数据垄断、数据泄露以及数据作假等主要挑战,由此带来的安全风险包括:数据非法跨境流通可能危害国家主权和国家安全;数字信息的过度采集和非法使用,可能侵犯公民的权利和隐私;算法的偏好可能加剧社会的偏见或歧视,威胁公平正义;机器深度学习难以理解人性的道德,无人驾驶汽车紧急避险等智能决策可能威胁特定的人群生命;人机相互交互式产品广泛应用带来的工作、生活、感情的高度依赖,可能威胁社会伦理。
所以说,数据安全不仅是一个技术问题,也是一个安全问题,同时还涉及伦理、法律和国际规则的相关问题。简而言之,如果数据背后代表了个人,就有个人权益的概念;如果数据背后代表的是组织,就涉及知识产权、商业秘密;如果数据背后代表了行业或者国家,就有数据的主权和国家安全这些概念交织在里面。企业需要盘點自己的数据资产,并考虑在数据使用的过程中可能牵扯到哪些权利。
张照龙指出,数据风险点可能出现在数据的产生、收集、存储与传输的各个环节。近几年工信部处理了一些违规App,这些违规的App多数是采集了个人的一些隐私信息。“大家都有过这样的经历,刚刚说了某样东西,某个购物软件就向你做了推荐;或者某个新闻就向你做了推送。这些互联网企业挖掘海量用户数据资源,用于定向推送,产生商业利益。我们的衣食住行变得越来越方便,我们的隐私也就变得越来越少。如何在隐私保护与开发数据资源之间达成某种平衡,一直是各国立法面临的重要问题。与此同时,海量数据集中在少部分平台和公司之中,无形中也增大了大规模数据泄露的风险。近年来数据泄露的事件屡见不鲜,涉及工业制造、政府数据、医疗信息、个人账号、军工情报等诸多领域。”
另外一个不容忽视的问题是数据造假。数据篡改或作假问题日益引起广泛关注。环境监测、金融数据、电商交易、视频网站以及社交平台上的公开数据不时爆出造假新闻,而这些假数据对于依赖数据真实性的行业发展极为不利,更会影响国家相关领域的宏观判断与政策制定。更严重的后果还在于,人工智能和机器学习的应用中,无论是算法还是机器学习,都基于海量数据,如果基于被篡改的数据与作假的数据,算法的有效性与学习效果可想而知会出现多么大的偏差。一个最现成的案例就是人脸识别技术。早期的人脸识别可能对白种人或者亚洲人的识别效果比较好,但是对于非洲人、黑人的识别效果比较差,这就涉及数据偏差和歧视问题。
目前的人工智能应用场景中,个人生物识别信息以其独特性、唯一性、可数据化和便携性而被广泛应用在生活的方方面面。指纹锁、小区人脸识别门禁、疫苗注射登记乃至于天网系统都与个人生物识别信息密切相关。而在2021世界人工智能大会上,参与人工智能安全高端对话的复旦大学计算机学院副院长杨珉透露,很多国家级政务平台,包括头部App厂商的生物特征身份登录,都存在着一定的问题。
此外,利用人工智能的“深度伪造”技术对生物信息进行替换、合成和调整,已经足以实施“换脸术”“变声术”,甚至造出集合上百人特征的“合成脸”,实施各种犯罪行为。这些深度伪造技术足以引发政治风险、社会风险乃至影响国家安全和国际社会安全。
“现在很火的自动驾驶汽车、无人驾驶,如果当它面临投毒攻击或者定向攻击,或者它本身的算法出现问题的时候,很容易导致车祸出现人身伤害,这也是和我们的传统计算机安全不太一样的地方,人工智能的数据安全出现问题的时候,可能会引发社会安全乃至国家安全问题。”张照龙说。
(摘自《新民周刊》2021年第26期,作者为该刊记者。有删节)