在享受科技成果的同时,有没有想过我们的个人隐私数据正在网络上“裸奔”?
数字时代,个人隐私随着数据泄漏的风险也越来越大,引起了社会普遍关注。在今年3月3日的全国政协首场新闻发布会上,新闻发言人郭卫民就重点谈到两会普遍关注的“隐私保护和个人信息安全问题”,指出个人信息安全法草案已经提交人大审议。
如何给个人数据装上“防火墙”、“防盗网”、“安全锁”?这成为了代表委员们热议的话题,他们纷纷表示,要规范相关法律制度,尽快出台针对性规定,防止“数据透明化”的无节制现状。
人脸数据不可再生
设立国家“数据银行”管住“脸”
“再不控制的话,我们的脸快采没了。”作为全国政协委员,上海市信息安全行业协会会长谈剑锋的这句话发人深省。
“在全国政协,我是最早提出有关人脸识别安全问题提案的委员。今年我还是关注这个话题。”谈剑锋告诉记者,“人脸识别”是当前的发展趋势,但应避免滥用,也不应将其作为唯一的认证手段。今年两会期间,他递交了6份提案,其中绝大多数都是要求加大数据安全管理。其中,谈剑锋建议建立“数据银行”,对数据进行加密,通过人工智能标识化,再将脱敏的分类分级数据返回市场供应用,且采集的数据允许销毁。
资料显示,仅2017年中国就有3.52亿人因个人隐私数据泄露遭受攻击,经济损失达4500亿元。如何保障数据安全?
谈剑锋指出,有的数据采集是不可逆的,而像指纹、人脸这样的数据是不可再生的数据。如果不采取措施,未来可能会造成不可想象的后果。一旦被窃取,无法追回并变更,对个人隐私保护将带来极大的、不可逆的风险;大量的国民个人医疗档案、健康档案汇聚后,可以用于分析该国的劳动力状况和经济、相关产业发展趋势,一旦被敌对势力获取,对国家安全和产业经济发展可能带来不可预估的危害。
为此,谈剑锋表示,在大力推进数字化经济发展,鼓励大数据应用和创新的过程中,必须慎重考虑数据的分类分级和管控,尤其是针对带有个人生物特征、有关公民群体特征的医疗健康数据等唯一性、不可再生性的关键数据。
谈剑锋建议,首先要加快相关法规制度建设,严格规范和落实关键数据的采集、存储和使用。数据应在合法、合规、标准化的前提下共享共建;加强数据治理和数据监管,要严控大数据的使用场景。要对互联网企业的信息采集进行严格的管理规定,只可针对企业产品的特性进行相关必要的数据采集,不得过度、无序、随意地采集。要警惕互联网科技巨头的集中“巨头式”数据采集与应用,防止“数据垄断”。
其次,建议设立国家“数据银行”,由国家成立专门机构统一管控,最大程度地保障关键数据安全和国家安全。关键数据不可让企业自行采集收集,更不可由互联网龙头企业垄断。应由国家成立专门机构统一管控,负责关键数据的采集、传输、存储和确权等。可以使用创新技术,如区块链技术、联邦计算技术等,使企业可以从“银行”提取脱敏后的分级分类数据进行分析应用,但不拥有对关键数据的所有权。运用密码技术严格保护数据的存储和传输,并确保数据可追溯,做好数据销毁管控机制。
一辆车能采集200项信息
智能汽车数据不能放任自流
人工智能给驾驶汽车带来了便利,驾驶员的数据流出谁来管?
今年两会期间,谈剑锋还关注到了智能汽车的数据安全监管,并递交相关提案,呼吁呼吁规范汽车行业软件供应链,加快落实智能汽车和智慧道路相关的数据采集、存储、处理、应用法律法规和技术标准对行业进行规范。
谈剑锋表示,智能汽车“人–车–路–云”的复杂链接形态,具有智能化、网络化、平台化特征,其依靠大量车载传感器和交互应用,能获取并处理大量的个人身份数据、地理环境数据、道路交通实时数据以及个人生活、娱乐、商务交互数据,智能汽车和平台已不仅仅是用以代步的交通工具,将可能成为类似于手机的移动智能交互终端、智能生活平台。
“传统汽车代码一亿行,智能汽车将可能达到五亿行。”谈剑峰指出,这些代码包含了智能座舱软件,车载控制器软件,智能驾驶软件,动力底盘软件,新能源管控以及云平台、云服务软件等。
统计数据称,特斯拉可以采集覆盖车主个人信息、车辆环境信息、车辆行驶信息、车主手机信息等200多项信息,国内同类厂商也采集有170多项。
对此,谈剑峰指出,这些信息一方面是用于自动驾驶分析决策,另一方面成为智能汽车厂商进行商业创新和扩展的资源。但是如此大量的信息,如果是关键人群的个人信息、个人行为信息,车路协同获取的实时环境信息、敏感地理位置等信息,汇集到独立的商业化公司手里。一旦被滥用或恶意使用,必将对社会安全乃至国家安全带来巨大风险。
为此,谈剑峰呼吁,由网信办牵头工信部,尽快完善和落实智能汽车软件供应链安全管理法律法规和标准,加快智能汽车数据安全管理制度细则的落地执行。加强数据采集类型和范围约束,尤其是针对采用单车智能技术,采集大量个人和环境信息的智能汽车,应要求其遵守国家法律、标准,采集的车主数据、环境数据和路网数据遵循合规和最小可用原则,不可过度采集;规范智能汽车各类数据存储符合国家法律,未审查不得出境,确保国家安全;鼓励区块链、可信多方计算等数据保护共享创新技术的应用,加强监督检查,防止车联网数据在开发和商业化应用中被过度滥用,有效保护个人隐私、商业秘密和国家机密。
移动支付隐患不容小觑
应叠加更多身份核验手段
来自上海团的全国人大代表邵志清同样关注到了数字安全问题。他的担忧反映了绝大部分中老年市民的心态,他的建议也相当接地气:“多少人担心,一个短信验证码就能把自己卡里的钱刷走?我认为,我们应对叠加身份核验手段,最好一个隐私问题还能对应2个答案,1个为正确答案,1个对应直接报警。”
“现实生活中,很多原本需要去银行柜台办理的金融业务,比如密码修改、银行卡转账、贷款申请等,如今很多机构和平台在手机上凭‘短信验证码’就能完成服务。但短信验证码的安全性级别相对较低,不法分子通过盗窃手机卡、拦截短信、武力胁迫等手段,可以获取到我们的短信验证码。”他举例称,凭借短信验证码,就能登录社保卡账户、公积金账户、银行卡账户和各类第三方支付平台账户,就能查询身份证信息和银行卡信息,还能修改账户密码和交易密码,盗刷银行卡并申请网络贷款。
邵志清提出,对短信验证码的部分功能进行适当限制。并且,在短信验证码基础上叠加更多身份核验手段。
“比如,修改银行卡关联手机号、修改银行卡交易密码、银行卡解除挂失时,必须由持卡人持身份证至银行柜台办理;手机卡解除挂失时,必须由卡主持身份证至电信营业厅办理。解除挂失是偶发事件,这样做既更好保证卡主的安全利益,也没有造成太多不便利。”邵志清说,如果忘记或不知道支付平台的登录密码时,不能仅凭短信验证码登录,而是应该叠加“人脸识别”或“私密问题验证”等技术,确保登录操作者是卡主本人;对于社保卡和公积金账户的登录,也应该设置同样的规则。
他还建议加强对大额消费、转账和网贷的监控。系统对卡主的消费、转账和网贷行为分别设定一般的限额警戒线,修改额度或额度超过警戒线的消费、转账和网贷行为,需要在“密码+短信验证码”基础上,叠加“人脸识别”或“私密问题验证”技术。
值得一提的是,邵志清提出,“私密问题验证”还可以用来应对绑架、抢劫。“建议允许卡主针对私密问题设置两个私密答案,一个是正常答案,一个为报警答案,输入两个答案都能完成移动支付交易,但如果是报警答案,银行和支付平台应该立即启动报警应对机制,拖延交易资金进入对方账户的时间,并立即通知警方跟踪资金流向等。”