ZAO事件再次拷问网络安全
2019-10-26法人赵青
◎ 文 《法人》全媒体记者 赵青
9月3日,工业和信息化部网络安全管理局对北京陌陌科技有限公司相关负责人进行了问询约谈。
本次约谈源于近日陌陌旗下App ZAO以AI换脸功能一夜爆红网络后,引发涉嫌过度收集用户信息及隐私安全的争议。ZAO事件再次让网络安全成为社会关注的焦点。
作为新生事物,互联网从诞生的那天起,安全问题便如影随形。在常见的以黑客攻击、流量劫持、病毒木马、侵犯公民个人信息为代表的头部黑产安全威胁中,极为典型的特征是他们为各类下游犯罪提供了技术、数据支撑,并极大提高了犯罪成功概率和不法收益,成为网络安全最大的威胁。
近年来,随着AI、物联网等新技术、新概念的涌现,以及5G时代的来临,让网络数据安全保护“攻防战争”全面升级,同时也对网络安全管理提出更高要求。
网络黑产利益链
信息化时代的飞速发展,有赖于信息的大量产生与频繁交互,而个人信息背后蕴藏的巨大价值也被不法分子利用,衍生出一条分工细化、专业运作的黑灰色产业链条,又被称为“地下互联网”。
“不好意思打扰了,我们这边是提供信用贷款的公司,请问您有需要吗?”——我们总是会接到这样的推销电话,在礼貌拒绝后,我们会疑虑对方是如何知道我们电话号码的。
也许你在手机里安装了各种拦截骚扰信息的软件,但身处这个互联网高速发展的时代,你能拦住的只是有形的电话,却拦不住无形泄露出去的隐私。在感叹大数据时代给生活带来便捷的同时,我们往往忽略了个人信息泄露的严重后果。
售卖个人信息只是网络黑产的冰山一角。近年来,随着数字经济时代的到来,网络黑产不再是散兵游勇式的单打独斗,而是已演化成具有专业分工、链条化运作特征的产业。
武汉大学网络治理研究院副院长袁康在接受《法人》记者采访时表示,当前网络安全面临着两大趋势:
一是网络安全威胁日益常态化。各类网络攻击行为日趋频繁,手段复杂多样,从个人、企业到国家,都面临着严峻的网络安全挑战。网络安全威胁已经不只是假想,而是正在持续发生。
二是网络安全涉及的领域日益扩大化。随着网络在政治经济社会生活中的普遍应用和广泛渗透,网络安全已经涉及方方面面,包括个人信息安全、网上交易安全、重要基础设施安全,等等。
打击网络黑产难度加大
“网络安全风险的形成,既有技术不完备或系统漏洞等客观原因,也有相关主体不当行为或恶意行为等主观原因,同时还受到政治、经济和社会等方面不确定因素的影响。”腾讯安全管理部高级项目经理江啸风对记者表示。
经历了近年来的网络黑产演变,随着各环节权责的细分,黑产专业化程度已经达到相当的高度。腾讯守护者计划安全专家赵文俊介绍说,在一些侵犯公民个人信息案件中,有些数据中间商已经具备公司化运作体系,并且把大量公民隐私信息进行清洗后以“数据服务”的形式进行套现获利。经这类数据中间商的汇总、清洗后的数据,具备更高的准确性、更多的维度,下游黑产团伙能以此进行更为高效的作恶行为。
在腾讯网络安全与犯罪研究基地高级研究员张娜看来,正因为黑产各环节的细分化、专业化,黑产从业人员一方面对违法犯罪感知度降低;另一方面客观上也无法明知上下游具体违法犯罪行为,导致在司法实践过程中,一旦下游终端犯罪团伙无法锁定,其大多数上游犯罪环节很难被定罪量刑。甚至由于各环节采用网上“服务采买”的勾连方式,使得犯罪链的溯源工作难度大大增加。
张娜同时强调,网络黑产人员在近两年呈现出跨境设点的趋势,黑客、诈骗、赌博、色情等网络黑产纷纷向东南亚甚至非洲、欧洲等地扩散,某些环节在境外披上了合法的外衣,某些团伙盘踞藏匿在政局不稳地区(如缅北),某些窝点通过收买外国政府官员谋求庇护等现象层出不穷,并且利用国家间司法体制的差异来规避打击惩治,导致网络黑产的风险成本不断降低。
袁康表示,互联网企业要积极承担维护网络安全的社会责任,既要在其提供产品和服务时尽最大可能满足安全要求,及时更新系统填补漏洞,避免提供存在网络安全隐患的产品和服务;又要积极推动互联网行业建立统一的安全标准,整合行业力量建立网络安全风险侦测和处置机制。
“这就需要互联网企业树立正确的价值观,尊重客户、尊重公共利益,而不能只以企业利润最大化作为唯一指南。”袁康说,立法机关也需要探索以合理的形式,强化互联网企业的网络安全保障的法定责任。
数据安全亟待加强
近日,中国互联网络信息中心发布了《第44次中国互联网络发展状况统计报告》,在网民遭遇的各类网络安全问题中,个人信息泄露成为最为突出的问题,网络诈骗紧随其后。事实上,个人信息泄露也是现阶段网络诈骗、非法传销、恶意营销、敲诈勒索等违法犯罪行为的黑色源头。
只有让黑产者发现所要承担的法律风险是其所获得利益不能冲抵的,黑产才能真正被有效遏制。
目前我国正在加快网络安全相关政策布局。《中国产业互联网安全发展研究报告》显示,截至2018年,国家22部委出台法律法规近200部,促进网络安全发展。预计两年内,中国网络安全将形成千亿市场。工信部日前表示将进一步优化产业政策环境,加快出台促进网络安全产业发展的指导意见,扎实推进国家网络安全产业园区建设。
袁康表示,当前我国亟须加强数据安全和个人信息保护的立法,由于缺乏法律规范,市场上大量存在着超出合理必要的限度,随意收集个人信息和数据的现象,这会带来巨大的隐患。所以,需要通过立法进一步明确数据采集和使用的规则,禁止超范围收集和滥用客户数据信息。同时也要通过知识普及,提示广大网络用户提高个人数据保护意识。
维护网络安全是一场持久战。随着技术的加速迭代,各种新的问题与挑战会不断出现,很难毕其功于一役,只能在建立和完善网络安全保障制度和机制的基础上,妥善应对各种挑战,寻求网络安全领域的动态平衡。
“未来,随着网络安全议题在各界受重视程度不断增强,技术手段不断进步,治理体系和治理能力不断完善,网络安全行业逐渐成熟,网络安全将得到更为有效的保障。”袁康最后说道。