系统提升安全短板，而不是将技术重新锁回笼子里

系统提升安全短板，而不是将技术重新锁回笼子里 | 数据政治

作者：杨燕 2020-10-26 16:34

网路安全不取决于做的最好的头部企业，而是整个系统中做的最弱的那一环节，尤其是当下系统随着技术应用变得愈加复杂，造成安全风险也在逐步升级。

杨燕/文 随着大数据、人工智能等新兴技术愈来愈向各行各业渗透，与之相伴的数据隐私、信息非法交易、技术滥用等网络安全问题，也受到了社会各界的广泛关注。

贩卖数据，尤其是与人脸、身份信息相关的数据，在利益黑灰产的驱动下已形成了一张巨大产值的“黑金”网络。

通过非法采集、二次转卖、网络爬虫等各种渠道和手段，这些数据被打包成“产品套餐”，在数据主体未知情的状况下，在淘宝、闲鱼、各种社交群里流转售卖。

譬如，网上一套24000张人脸照片的套餐售价3000元，相当于一张只要一毛多。如果买家要求高清，并包括姓名、身份证号码、银行卡和手机号“四要素”在内，每份售价4块多。

除直接售卖信息外，还有卖家提供各种“淘金”工具，帮助买家可以更加高效的利用数据。

而这些被贩卖的个人信息和工具，可能被用于冒充他人进行金融诈骗、申请网贷、窃取账号、注册公司，也可能被用于制作假视频，在色情网站上传播，给泄露信息的用户造成财产损失和人格侵犯。

亟待治理的网络安全

个人信息泄露、非法收集使用，是黑灰产利益链形成的主要源头。

首先，个人信息泄露事件频发。不仅是人脸数据，自互联网普及以来，个人信息泄露已成为网民们的“心病”。

一方面来自于系统漏洞等客观因素，另一方面也在于很多数据控制企业或机构，对个人信息保护重视不足的主观原因。

据中国信息通信研究院发布的《2019金融行业移动App安全观测报告》显示，根据调研安卓应用市场收录的13万余款金融App中，超过7成存在高危漏洞，其中排名前三的高危漏洞均存在导致App数据泄露的风险。

此外，一些拥有数据的机构，如果疏于安全管理、权限管控，也会存在数据泄露的风险。

美国一款爆款应用Twinning，用户上传照片，通过人脸识别找到与自己容貌相似的明星，在网络上形成病毒式传播，然而在其储存照片的云服务权限设置上却出现了严重疏忽，任何人都可以通过云服务器地址直接查看用户实时上传的信息流。

非法收集个人信息主要包括两类，一是未经用户授权进行信息收集，二是虽经授权，但授权范围宽泛，致使用户信息被过度采集。

据报道，公安部组织开展“净网2019”专项行动，依法查处违法违规采集个人信息的APP共 683 款。

以上可见数据泄露、非法收集现象十分普遍，并不仅限于如今甚嚣尘上的人脸信息，所有与用户身份、隐私相关的数据信息都可能因为其可获利性，成为黑灰产价值链的生产要素。

然而，由于人脸采集的无感性、隐秘性，人脸数据与其他维度数据结合后对个人身份的锁定，以及技术便利性使得越来越多的应用开始启用人脸识别作为认证手段之一，使得公众对人脸数据安全问题更加敏感。

《个人信息保护法（草案）》刚刚向社会公开征求意见，该草案从源头上赋予了自然人控制使用自己信息的权利范围和行权方式，明确了信息处理主体收集、处理和使用信息的条件及具体的义务承担方式，对于我国个人信息安全推进具有重要的参考价值。

笔者认为，法律法规、规范标准等监管层面的把关是个人信息安全保护的第一步，若要真正的降低安全隐患，同时提高治理效率，还是需要其他一些配套措施作为辅助，让法律文本落到实处。

笔者在这里提出几点不成熟的建议，仅供发散性的讨论和交流。

网络共治

笔者前不久收到交管部门的一张罚单，有热心民众利用“随手拍”小程序拍到了笔者车尾牌照脱落的视频，并通过小程序向交管部门违章举报。

自此之后，笔者行车格外注重交通法规，再无抢占公交车道、实线超车的违规举动，同时也成为“随手拍”众多热心民众的一员。

这个小案例让笔者深深感触到“共治”的威慑力量，对行为的约束力比路口的执法拍照更加行之有效。

对于违规收集、转卖个人信息的现象，我们是否可以采用“共治”方式，通过统一平台或渠道，集合网络用户群力纠察，对属实举报辅以有效激励，对违法行为轻者处于罚款，重者取缔经营资格，或纳入网络安全失信“黑名单”。

罚金可以统一以基金形式进行管理，用于共治平台维护、激励奖金等用途。共治和监管配套，在一定程度上可以帮助提高监管执行效率。

激活网安市场

网络安全问题的解决最终还是要落于技术，而利用市场化的手段为网络安全提供技术性解决方案，笔者认为是在监管之外加强网络安全的重要途径之一。

通过相关政策和立法，引导安全技术的商业化落地和网络安全市场的循序发展，也是促进新兴技术应用和推广的安全保障。

据2018年5月发布的《数字金融反欺诈白皮书》显示，2017年中国黑产从业人员超过150万人，年产值达千亿级别。与之相比，中国的网络安全市场规模还不足400亿元。

安全有一个著名的“木桶”理论，即“系统安全性的整体水位与最脆弱的组件水位相同”。

换句话说，网路安全不取决于做的最好的头部企业，而是整个系统中做的最弱的那一环节，尤其是当下系统随着技术应用变得愈加复杂，造成安全风险也在逐步升级。

如何补足薄弱的地方，需要通过市场化途径，将好的技术纠错或防范手段更高效的进行全网分享。

因为信息边际成本几近于零，对网安企业而言，可以通过市场分发摊薄先期投入，从而实现盈利。

最后，笔者想重申，最近听到一些人因为现阶段可能存在的安全风险而要将技术重新锁回笼子里的声音，这不禁让人想起几百年前马车时代的人们看到汽车的心情。

我们呼吁立法对如今市场出现的不规范行为进行规制，为技术的发展设立原则和底线，但同时也希望避免出现“一刀切、技术原罪”的思想，斩断未来的可能性。

（作者系商汤智能产业研究院战略生态研究主任）