业内人士:用户隐私数据怎样泄露的?多个环节均有可能
近年来,有关人工智能企业用户隐私数据保护的话题颇受外界关注。
多位业内人士认为,从技术层面而言,在多个环节上互联网企业的用户数据均有可能泄露,包括数据的储存、数据保存源端、程序设计等。
此外,我国在个人信息保护的力度上有待进一步加强。目前相关的法律法规较为零散,罚款额度也不高。不过,专门针对个人信息保护方面的法案已经提上议程。
数据泄露途径多样化
用户数据泄露的途径有哪些?一是在数据的存储上。致力于人脸识别技术研发的厦门瑞为信息技术有限公司的负责人詹东晖对第一财经记者介绍:“一般来说,如果用户数据完全存放在企业私有服务器或者私有云服务器中,这样泄露的可能性低一些。有些公司会放在公有云服务器,这样的情况如果在网络和数据安全机制上做得不完善,服务器就有可能被黑客攻破,窃取到数据。即便放在企业私有云服务器,如果开放互联网访问,同样面临较大的黑客攻击风险。”
对于互联网企业来说,对用户数据加密的过程分为几个步骤。詹东晖说:“对于我们来讲,所有的数据要经过两道加密:从前端传到云端,数据在传输的过程中是加密的;在云端存储会做第二道加密。另外,我们也会定期请第三方网络安全公司,以黑客攻击的方式看有没有可能从我们云端窃取数据,以便判断系统是否有漏洞。如果有,就要及时补上。一般而言,一个季度我们就要请网络安全公司来检查一次。”
他表示,市场上也有一些企业认为数据泄露的可能性不大,在用户数据加密上的意识就比较薄弱,防范措施就可能做得不够。
人工智能领域的另一位业内人士也认为,数据存储环节是用户隐私数据泄露的重要途径之一。他对第一财经分析:“数据的存储是非常重要的,其安全性如果只是依赖软件加密,无论是多少位的加密,无论是多少层的加密,都会有风险。对于数据存储而言,目前的加密方式不能只依赖于软件加密算法,最好有硬件加密。”
他说,数据的泄露方式有很多种,黑客窃取是方式之一。很多程序无论是多大架构的程序软件,都是基于某种现有的软件架构或者说在此基础上加入一些自己的内容,黑客对该架构的不足或者说程序架构本身存在的问题较为熟知,会更容易破解也就是入侵。
他补充道:“再就是,程序设计者在程序设计之初为了某种方便,比如说调试、远程升级、协同开发或者其他的一些缘由,会留有对外的接口,甚至是后门。留后门是很多程序员的‘良好习惯’,在这样的背景下很难保障系统的最终安全。 另外,在数据的保存源端上,比如说某些公有云也会有一定的风险。”
呼吁个人信息保护法尽早出台
大数据时代,用户隐私数据遭泄露的事件层出不穷,国内外概莫能外,Facebook、Uber、华住酒店、京东等均曾曝出数据泄露问题。为什么会频频出现这种问题?除了技术和管理因素外,还有什么原因?
中央财经大学数字经济与法治研究中心执行主任、法学院副教授刘权对第一财经表示,目前我国在个人隐私保护上尚有不足之处,有待完善。“首先,用户往往难以证明是某家公司泄露的信息。如果能收集到证据,证明确实是这家公司泄露的话,用户可以提起民事诉讼,但是获得的赔偿并不是很多,因为隐私泄露对用户造成多大损害,难以确定。 ”
此外,我国在个人信息保护上的法律规定比较零散,对违法行为主体处罚的力度也不算太大。 刘权说:“如果某互联网企业对用户隐私数据保护不力,可以依照《网络安全法》等法律、行政法规的规定处罚。侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”
刘权补充道:“我国对于侵犯个人信息的违法行为,罚款金额总体来说还是偏低。欧盟《一般数据保护条例》设定了重罚机制,如果数字经济企业违反数据处理的基本原则与条件、侵犯数据主体的权利的,最高可处以2000万欧元的罚款,或上一财年全球营业额4%的行政处罚,以较高者为准。为了有力保障个人信息,我国应尽早出台《个人信息保护法》和《数据安全法》。”
个人信息的保护正日益受到重视。上述《一般数据保护条例》是指 2016年4月欧盟通过的新条例。该条例取代了1995年发布的《欧盟数据保护指令》,堪称史上最严格的数据保护条例。它的通过,意味着欧盟对个人信息的保护和监管达到了前所未有的高度。
而国内在已有网络安全法基础之上继续完善,《个人信息保护法》和《数据安全法》两部法案已经提上议程。 (编辑:ASP站长网) |