隱私泄露頻頻發生 互聯網在提供生活便利的同時,也讓用戶成為“透明人”
“因為網絡服務升級,您所辦理的寬帶業務需要更新,收到信息請點擊如下鏈接……”北京通州的梁女士,家里辦理的寬帶業務馬上到期,這條信息差點讓她信以為真。多虧留了個心眼,她向寬帶公司電話咨詢后才知道,這是一條包含木馬程序的詐騙短信。
梁女士的遭遇并非個例。即將畢業的大學生小陳在某招聘網站上注冊了求職信息,隨后,手機不斷接到各種公司的招聘電話和騷擾短信,而他并沒有向這些公司投簡歷,甚至專業也不對口。“我重新登錄網站才發現,當初提交個人簡歷的頁面下方有一個很難發現的選項,默認平臺上的所有公司都可以查看我的簡歷,目前已無法修改了。”
“在商業利益驅動下,一些網絡運營商、平臺服務商或手機應用會讀取、上傳用戶的通訊錄、短信、通話記錄等信息,有時候用戶并不知情。”國家互聯網應急中心運行部高級工程師李佳說。
網上注冊個賬號學習英語,一些課程廣告就會充斥郵箱;開個股票賬戶,還沒交易就有各色理財顧問前來“問候”……除了個人姓名、性別等信息,這些陌生的“關心者”甚至連你的年齡、職業、婚姻狀況等信息都了如指掌,這讓公眾對網絡的信任和安全感日益消解。
相關專家表示,隱私泄露風險增加,很大程度源于個人信息被暴露的環境和應用場景增加。“在移動互聯網時代,公眾難免要犧牲個人信息以獲取一定的服務,有些甚至是不自覺行為。比如,你只要瀏覽了電子購物網站,你的許多信息就會被獲知。普通生活中,幾乎所有的人都是數據貢獻者。”中國工程院院士鄔賀銓說,“互聯網在提供生活便利的同時,也讓用戶成為了不折不扣的‘透明人’。”
安全專家、北京天融信科技有限公司副總裁唐寧說,在大數據、云計算等信息技術的支撐下,企業獲取、保存、處理數據的成本大大降低。數據只有通過流動、共享甚至交易,才能充分發揮社會價值、經濟價值,但流動和交易過程中,極易產生個人信息擴散、失控的危險。
互聯便利伴隨風險 網絡攻擊的目的性更強,危害性范圍廣,技術手段增多、更隱蔽
如同硬幣的兩面,互聯網時代,一些新技術和新的應用場景,在帶來便利同時,也成為新的安全風險點。
中科曙光大數據總工程師宋懷明說:“大數據時代,網絡安全的風險在于,網絡攻擊目的性更強,可針對特定的目標人群,也可面向普通網民,危害性范圍廣;攻擊的技術手段增多、更隱蔽,可以說無孔不入。”
無線連接是未來萬物互聯世界的基石,連接是否安全將是基石是否堅固的核心。360無線電安全研究院負責人楊卿表示,智能設備需要依賴WiFi、藍牙、Zigbee、GPS衛星導航等無線電通信技術。一旦某個通信協議出現漏洞,將會引發大量安全問題及安全事故。比如,惡意WiFi熱點可能設置釣魚網站,攝像頭、麥克風可能泄露人們隱私,等等。
當前,傳統的網絡攻擊和風險正在向物聯網和智能設備上蔓延。“萬物互聯,使信息暴露在更多端點,潛在的隱患增加。而且,一些智能設備本身的防護能力比較薄弱,容易被攻擊者利用漏洞獲取設備控制權限,或用于用戶信息數據竊取,或用于控制形成大規模僵尸網絡。”網絡安全專家、綠盟科技副總裁李晨說。
國家互聯網應急中心監測發現,物聯網設備中各種智能攝像頭成為個人隱私泄露的新風險點。比如,2016年,監測發現超過13萬個聯網攝像頭存在漏洞,有被黑客入侵控制的風險。
安全專家表示,萬物互聯時代,個人信息隨時有可能被泄露。包括現在最時興的無人機、兒童智能玩具、掃地機器人等,都可能成為監視你的“間諜”。
“當前黑客技術門檻變低,竊取信息變得更加容易。與此同時,網絡犯罪出現職業化傾向,已然形成網絡黑色產業鏈條,工具開發者、工具應用者和利用工具實施犯罪者都有明確的分工,形成了一套體系。”李晨說。
三條原則保障安全
收集要授權,使用有界限,存儲應保護
個人信息“裸奔”,不僅讓公眾陷入不安,也讓互聯網平臺陷入信任危機。
每天記錄成千上萬百姓隱私的家用攝像頭究竟安不安全?作為一家以生產攝像頭為主要產品的企業,上海小蟻科技有限公司負責人表示,該公司采用“制度+技術”的策略保護用戶安全:制度上,公司禁止任何部門將用戶數據資料作為商業用途出售或使用;技術上,與“阿里云”合作,將家用攝像頭拍攝的影像資料上傳存儲至云端加密,但該服務的市場普及度并不高。“每天有超過一百萬的活躍用戶,大約只有1/10的用戶購買了我們的云服務。”
“用戶的隱私數據是一條不可逾越的紅線。”小蟻科技負責人說,“目前歐盟在網絡安全保護方面做得比較好,國內的相關法律還不夠完善,我們也在不斷提升公司保護用戶隱私的能力。”
據互聯網專家介紹,數據收集越多,采集機構越雜,安全隱患越大。保護個人隱私,保障數據安全,首先需要反思的是數據收集是否過頭,數據采集有了規矩,公眾才可能消除在透明“玻璃房”中的恐懼感。
專家同時認為,大數據、人工智能等技術是推動社會進步的重要力量,但不能以犧牲隱私權為代價,也不能因為存在隱私風險就因噎廢食。未來智慧生活中,高度智能化與高度隱私安全如何兼得,至少應當遵守三條原則:收集要授權,使用有界限,存儲應保護。
首先,任何機構或個人在收集、利用個人信息時,需先得到用戶授權。用戶有知情權和選擇權,即知道哪些信息被收集、可以選擇是否讓渡。所有信息應歸屬于用戶本人,收集方只是“借用”,所擁有的是數據分析的結果,而不是其所有權和處置權。其次,信息收集應有度,使用也應有邊界。對于敏感的密碼、指紋、簽名字跡、人臉特征等身份認證信息,更應該有明晰的界限,除特定的情況并征得用戶授權外,用戶本人應絕對掌控,信息采集方也無權違規使用。最后,保護隱私,信息收集方要承擔起保障數據安全的義務。
近年來,針對個人信息保護的痛點,我國也出臺一系列法律和規范來約束保障。去年6月1日正式實施的《網絡安全法》就在信息收集使用、網絡運營者應盡的保護義務等方面提出了明確要求。
國家互聯網應急中心副主任劉欣然建議,政府方面應建立監測、研判、預警、處置和追蹤的聯合處理網絡安全問題的機制。與此同時,個人用戶也要提高自身安全意識。如非必要,盡量不要在一些網站上提交個人信息;要訪問正規的網站,避免被釣魚網站騙取個人信息等。 隱私保護需“鏈式防護”(記者手記)
保護隱私,個人意識的提升固然重要,但更需要網絡平臺、電信運營商、立法部門、執法機關等協作努力,以及利用新技術架起一道防火墻。哪一個環節缺位,都可能功虧一簣。筑起保護個人信息和隱私的安全防線,不能僅靠其中某一兩方面的力量。
足球運動中有一種名為“鏈式防守”的防守體系。該體系之所以成功,很重要的是緣于其高效而有組織的防守,每個人各司其職又相互配合,把漏洞降到最低。隱私保護同樣需要職責各方的協同,建立類似的“鏈式防護”體系,才能有助于人們安心享受智能生活便利,消除身處“玻璃房”中的焦慮感。