事件一:9月初,在一場圍繞教育場景概念演示活動中,某公司展示的一幅課堂行為分析圖片引起了網友們關于科技濫用的爭議。隨即該公司發布了回應聲明,稱始終堅持技術向善,讓人工智能造福所有人。在人工智能技術的各種場景中,會堅持正當性、數據隱私保護等核心原則,接受社會的廣泛建議和監督。
針對AI進校園,生物識別技術在校園逐步開始應用的現象,9月5日,教育部科學技術司司長雷朝滋在接受采訪時表示,“(對于人臉識別技術應用)我們要加以限制和管理。現在我們希望學校非常慎重地使用這些技術軟件。”
雷朝滋指出,人臉識別進校園,既有數據安全也有個人隱私問題,“教育部已經在開始關注這個事情,組織專家論證研究。”“包含學生的個人信息都要非常謹慎,能不采集就不采。能少采集就少采集,尤其涉及到個人生物信息的。”
事件二:今年2月份,荷蘭安全研究員Victor Gevers在社交網站上表示,某公司內部的一個MongoDB數據庫暴露在公網上,該數據庫內超過250萬人的個人信息數據能夠不受限制被訪問,其中包括身份證數據、照片、工作信息等。
此外,該數據庫還可動態記錄個人位置信息,僅2月12日至2月13日的24小時,就有超過680萬個地點被記錄在案。
這些年,在人工智能等新技術催化下,信息泄密正在圍繞“數據”展開,這些數據涉及各類事、物、人、企業、政府部門等等,包括當事主體的相關生物特征、行為特征也能以數據化的泄密形式出現。
一旦這些數據被非法惡意利用,小則危害公民的個人信息安全及財產安全,大則危害到某個企業或某個行業的運營安全,甚至危害到國家安全。
每一輪先進技術的產生對人類社會的發展都會起到巨大的推動作用。
先進技術本身并不具有善惡的屬性,正如人臉識別技術,公安部門用它來抓捕逃犯或尋找失蹤的人員,交通部門用來治理違章,企業用來考勤,軌交部門用來檢票通行;但也有人把它用來玩明星換臉,或植入到色情視頻當中,或用到非法侵入他人賬戶等行為中。
在非傳統安全風險的領域,以人工智能等新興科技為主的先進技術在放大其正面價值效應的同時,也會放大其負面效應。
其中關鍵在于先進技術是誰在使用?使用的目的是什么?通過什么手段實施?怎樣來監管?
針對這些問題,雷鋒網采訪到了廣州安防協會秘書長楊勇,在他看來,未來包括人臉識別等技術在包括安防、教育等行業的落地應用,尚存四大不足。
一、對人臉數據的采集缺乏準入的門檻。
不論是行業的還是商業的項目,或者消費、娛樂類的項目,不論什么樣的企業都可以通過各種途徑采集大量的數據。
在采集的過程中,涉及到大量的個人隱私信息、肖像權保護等問題,甚至涉及敏感人員的保護問題。
那么,人臉數據的采集要不要設置準入的標準?這種準入機制,對研究為目的的科研機構,對商業利益為目的的企業又如何區別對待?在不同的行業,準入機制要如何區別?
二、人臉數據在應用過程中缺乏保密意識。
通過各種途徑采集來的多維數據經過人工智能技術的處理,再經過大數據的碰撞與匯聚分析,產生了更多,更深層次的數據,可以實現用戶畫像、知識圖譜等等成果,這些成果本身非常有價值,有的是涉密的。
然而這些數據在應用過程中,當前缺乏明確的保密規則與措施。在專業的行業項目建設中,公安用戶主管部門有強烈的保密意識,但在商業、消費、娛樂、民用等項目建設中,對這些數據應用過程中的保密意識基本是空白。更不用說流行的換臉APP系統中對明星人臉的侵權,以及對用戶人臉數據的間接收集等侵權行為等等。
三、人臉等數據的保存環節缺乏保密措施,或者保密不到位。
某公司的數據庫暴露在公網上就是一個典型案例。
無論是將人臉數據保存在本地服務器,或者是保存在網絡空間,相關企業對這些存儲介質的安全防護如何保障?在具體的項目中,人臉數據庫又是如何加密的,訪問的權限和提取的權限又是怎樣設置的呢?
四、非法的人臉識別應用行為難以監測和管控。
在人工智能落地安防和泛視頻應用的業務當中,不同的企業是基于各種類型的目的,其中絕大多數企業是要抓住人工智能技術的風口,推動各類創新業務和應用的實現,以此實現企業的商業利益達成。用戶則是希望導入人工智能技術實現更多的創新應用,提升管理的效率,實現產業的轉型升級。
但是,也不排除一些企業和用戶出于對非法或犯罪利益的追求,將人工智能技術用到了違法犯罪的活動當中,目前在各類新聞事件中報導的案例可能只是開端。
因此,如何在相關系統項目的搭建時對其應用目的進行監管和評估,包括運行過程中對其違法、違規行為進行監測,是有必要的。相關技術系統出于社會公共利益為目的由什么機構來監管?若是出于商業利益為目的進行搭建,其針對的社會大眾目標對象的知情權,許可權等權利如何切實保障?這都是要考慮的問題。
另外,在一些項目系統的應用中,人臉數據是在公網上傳輸(實質相當于在網上裸奔),而一些人工智能企業是在國外引入的開源算法基礎上做的二次開發,自己并不掌握底層的技術與源代碼,等等,這些現象都是潛在風險發生的節點。
當前,在不少省市的數字城市TOG建設規劃文件中,對數據生成、應用、存儲,包括基礎構建等環節的安全防護都有比較清晰的條文說明,例如數字廣東的文件中要求“構建全方位、多層次、一致性的安全防護體系,加強數據安全保護,切實保障‘數字政府’信息基礎設施、平臺和應用系統平穩高效安全運行。增強安全管理、安全保障、安全運用等立體防護能力。完善基于物理、網絡、平臺、數據、應用、管理的六層立體安全防護體系。”
對比下來,目前人工智能技術在安防或視頻應用落地的火熱的項目建設中,客觀地講,尚缺乏一套能覆蓋核心技術、產品系統、建設、運營、使用、監管等主體對象的系統化機制,或者是規則。
過去在以視頻圖像為核心的安防系統建設時,有中國圖像圖形學學會視頻監控與安全專委會、公安部安全防范技術與風險評估重點實驗室學術委員會等專家小組參與其中,并從上到下建立了比較完善的法規、標準、規范文件體系。
在人工智能技術快速落地安防或視頻應用的新時期,針對由此產生的數據安全防護問題,是時候開始推進與之相關的管理機制、標準規范、保障策略、技術支撐等安全防護體系建設。
京公網安備 11010502049343號