據微博安全應急響應中心及其他平臺的消息,這家企業為深圳市深網視界科技有限公司(以下簡稱深網視界),成立于2015年,由上市公司東方網力科技股份有限公司(以下簡稱東方網力)控股,后者主營業務為視頻監控。人臉識別技術是深網視界的主要研發方向,也是其與不少地方的公安部門、大型活動開展人工智能安防合作的基礎。
被曝發生數據泄露事件后,深網視界官方網站已無法打開。中國青年報·中青在線記者致電深網視界希望核實此次事件,有工作人員稱此事正在調查中。
在人工智能逐漸發展的今天,人臉識別技術正逐步應用到生活中。有的地方通過人臉識別實現門禁管理,還有一些地方已經啟用“刷臉執法”,對闖紅燈者進行人臉識別,還有不少手機、App也可實現人臉識別功能。不過,也有不少人疑慮,這項技術若被濫用,會否不利于保護個人隱私。
此次深網視界疑似泄露數據事件發生后,一個更為棘手的問題擺在了公眾面前:該如何看待人臉識別技術及相關企業的安全性?一家以安防為主業,以人工智能為基礎的科技企業并未防止數據泄露事件的發生,到底是哪個環節出了問題?
“AI+安防”企業防不住數據泄露
正如許多數據泄露事件一樣,深網視界疑似大規模泄露數據的消息,并不是來自企業本身,而是來自外部的網絡安全界。
2月中旬,有網絡安全研究人士發現,提供人臉檢測和人群分析服務的中國科技公司SenseNets(深網視界)的人臉識別數據庫缺乏密碼保護,導致大規模的數據泄露。據稱,該數據庫包含了超過256萬用戶的記錄,包括身份證號碼、地址、出生日期、照片、工作單位,能夠識別用戶身份的位置信息等高度敏感的隱私信息。
在公開介紹中,深網視界由東方網力和人工智能領域“獨角獸企業”商湯科技集團合資成立,瞄準“AI+安防”市場。在具體合作中,商湯科技、香港中文大學研發團隊提供算法支撐,東方網力負責做面向安防行業產品的深度開發。數據泄露事件發生在這樣一家AI安防企業身上,確實讓許多網絡安全界人士驚訝不已。
2015年成立之初,東方網力與商湯科技各自持有深網視界51%和49%的股權。但兩方的合作并未長久,商湯科技在逐步減資后,于2018年4月從深網視界撤資,東方網力由此成為深網視界的最大股東,公開資料顯示,東方網力副總裁萬定銳也是深網視界總經理。而東方網力相關公告顯示,深網視界2018年上半年并未盈利,凈利潤為-569.25萬元,2017年,其凈利潤為-2042.95萬元。
中國青年報·中青在線記者致電深網視界,工作人員告知,此事正在調查中。之后記者又致電東方網力核實此次事件,但截至發稿前,尚未獲得回復。商湯科技則向中國青年報·中青在線記者表示,深網視界目前與商湯科技已沒有關聯,該公司涉及數據泄漏的產品也并非由商湯科技提供,至于從深網視界撤資,主要是商湯科技自身的業務規劃調整所致。
雖然股權變動有些周折,但深網視界在人臉識別技術的市場應用方面,已經頗有積累。拉勾網信息顯示,深網視界主要有2個重要產品:人臉識別布控系統、智能人群分析系統,前者可實現在無人監控操作、無需人員配合的情況下,快速抓取并識別所有監控中出現的人臉,實時與數據庫中目標人臉名單匹配;后者針對人口密集場景對人群狀態進行有效監控,并及時采取有效干預措施,可降低事故發生率,對人群異常行為及時預警。
國內安防行業的權威雜志《中國安防》在2017年12月刊發了一篇對深網視界的報道。該公司總經理萬定銳在報道中表示,2015年以來,該公司與江蘇省連云港市公安局合作,承建了該市的人臉識別實戰系統,包括分布全市各處的人臉動態布控系統、全市集中的大庫檢索應用,以及重點區域、重大活動的人群安全防控應用。此外,該公司也在廣東陸豐、貴州都勻等地建設了人臉識別動態布控系統。
內部漏洞甚于黑客竊取,如何守好“最后一道防線”
隨著網絡服務提供者搜集、存儲的用戶個人信息越來越多,數據泄露事件也頻頻發生。從華住酒店集團1.3億消費者的個人信息在暗網售賣,到Facebook用戶數據泄露,再到趣店被曝數百萬學生數據疑似泄露……涉及隱私的用戶數據總是被不法分子盯上,而搜集、存儲、使用了大量用戶數據的企業則顯得十分被動和無力。
安全情報提供商Risk Based Security(RBS)發布的一份報告顯示,2018年全球公開披露的超過6500起數據泄露事件中,有三分之二來自商業部門,有12起數據泄露事件涉及人數超過1億甚至更多。導致數據泄露的常見原因中,黑客攻擊占據絕大多數,但因內部漏洞而導致數據泄露的事件記錄遠遠超過黑客竊取。
2017年起施行的《網絡安全法》明確提出了“誰收集、誰負責”的原則,要求隱私信息的收集方承擔起保障數據安全的義務,集中存儲用戶隱私信息的數據庫就顯得尤為重要。而在人臉識別技術逐漸擴展應用領域,甚至在消費、借貸等金融領域逐漸落地的今天,許多企業并未做好相應的安全保障。
重慶大學國家網絡空間安全與大數據法治戰略研究院院長齊愛民表示,企業、機構數據庫安防力量薄弱、責任意識淡薄以及數據市場需求旺盛等因素為大規模數據泄露埋下伏筆。360互聯網安全中心發布的《WannaCry一周年勒索軟件威脅形勢分析報告》顯示,2017年勒索病毒爆發前夕,各機構有58天的時間可以進行補丁升級等安全布防工作,但一些機構錯誤認為自身隔離措施足夠安全、打補丁太麻煩,致使其最終遭受勒索病毒攻擊。
其次,數據流轉程序較多,部分企業責任意識淡薄,用戶數據倒賣在我國已形成相對成熟的黑灰產業,打包出售用戶數據的情況在黑市中隨處可見。對于企業而言,數據安全保護部門只能作為成本支出部門,而非盈利部門。
齊愛民認為,外部監管尚未有效落實也是一個重要原因,我國個人信息保護制度尚不完善,執法權責并不清晰,尚未形成統一有效的監管機制,很多數據泄露事件也在人們關注度下降后不了了之。大部分機構在涉嫌數據泄露后以“一紙聲明”的形式撇清關系,后續調查結果也未向公眾披露,間接導致行業內用戶數據保護的氛圍惡化。
公安部第三研究所信息網絡安全法律研究中心主任黃道麗則認為,在數據泄露事件頻發的今天,關注個人信息的關聯影響比單純地確定“敏感”程度更為緊迫。例如,深網視界本次疑似泄露的人臉識別數據如果與以往泄露的隱私信息相關聯,或可達到“用戶畫像”的程度,將全方位暴露公民個人日常生活,產生精準營銷、網絡詐騙等風險。
黃道麗指出,人臉識別和指紋識別等屬于生物特征,而非密碼技術,單獨使用無法實現保護個人信息的作用。網絡企業在追求便捷性的同時,應該對這類生物特征采取必要的加密措施,“這恰是體現廠商市場地位和領先性的方面”。
在DCCI互聯網數據中心主任胡延平看來,人臉、指紋、虹膜等用戶生物信息是個人信息安全“一定不能出問題的最后一道防線”。面對安全防護水平較低、隱私保護力量薄弱的現實,他建議用戶小心使用這些生物信息,“在網上,這些信息能不提交就不提交”,以免過多的隱私信息進入缺乏安全保障的數據庫后臺。