日前，國(guó)內(nèi)一家專注安防領(lǐng)域的人工智能企業(yè)被曝發(fā)生大規(guī)模數(shù)據(jù)泄露事件，超過250萬(wàn)人的數(shù)據(jù)可被獲取，有680萬(wàn)條數(shù)據(jù)疑似泄露，包括身份證信息、人臉識(shí)別圖像及圖像拍攝地點(diǎn)等。

據(jù)微博安全應(yīng)急響應(yīng)中心及其他平臺(tái)的消息，這家企業(yè)為深圳市深網(wǎng)視界科技有限公司(以下簡(jiǎn)稱深網(wǎng)視界)，成立于2015年，由上市公司東方網(wǎng)力科技股份有限公司(以下簡(jiǎn)稱東方網(wǎng)力)控股，后者主營(yíng)業(yè)務(wù)為視頻監(jiān)控。人臉識(shí)別技術(shù)是深網(wǎng)視界的主要研發(fā)方向，也是其與不少地方的公安部門、大型活動(dòng)開展人工智能安防合作的基礎(chǔ)。

被曝發(fā)生數(shù)據(jù)泄露事件后，深網(wǎng)視界官方網(wǎng)站已無(wú)法打開。中國(guó)青年報(bào)·中青在線記者致電深網(wǎng)視界希望核實(shí)此次事件，有工作人員稱此事正在調(diào)查中。

在人工智能逐漸發(fā)展的今天，人臉識(shí)別技術(shù)正逐步應(yīng)用到生活中。有的地方通過人臉識(shí)別實(shí)現(xiàn)門禁管理，還有一些地方已經(jīng)啟用“刷臉執(zhí)法”，對(duì)闖紅燈者進(jìn)行人臉識(shí)別，還有不少手機(jī)、App也可實(shí)現(xiàn)人臉識(shí)別功能。不過，也有不少人疑慮，這項(xiàng)技術(shù)若被濫用，會(huì)否不利于保護(hù)個(gè)人隱私。

此次深網(wǎng)視界疑似泄露數(shù)據(jù)事件發(fā)生后，一個(gè)更為棘手的問題擺在了公眾面前：該如何看待人臉識(shí)別技術(shù)及相關(guān)企業(yè)的安全性?一家以安防為主業(yè)，以人工智能為基礎(chǔ)的科技企業(yè)并未防止數(shù)據(jù)泄露事件的發(fā)生，到底是哪個(gè)環(huán)節(jié)出了問題?

“AI+安防”企業(yè)防不住數(shù)據(jù)泄露

正如許多數(shù)據(jù)泄露事件一樣，深網(wǎng)視界疑似大規(guī)模泄露數(shù)據(jù)的消息，并不是來(lái)自企業(yè)本身，而是來(lái)自外部的網(wǎng)絡(luò)安全界。

2月中旬，有網(wǎng)絡(luò)安全研究人士發(fā)現(xiàn)，提供人臉檢測(cè)和人群分析服務(wù)的中國(guó)科技公司SenseNets(深網(wǎng)視界)的人臉識(shí)別數(shù)據(jù)庫(kù)缺乏密碼保護(hù)，導(dǎo)致大規(guī)模的數(shù)據(jù)泄露。據(jù)稱，該數(shù)據(jù)庫(kù)包含了超過256萬(wàn)用戶的記錄，包括身份證號(hào)碼、地址、出生日期、照片、工作單位，能夠識(shí)別用戶身份的位置信息等高度敏感的隱私信息。

在公開介紹中，深網(wǎng)視界由東方網(wǎng)力和人工智能領(lǐng)域“獨(dú)角獸企業(yè)”商湯科技集團(tuán)合資成立，瞄準(zhǔn)“AI+安防”市場(chǎng)。在具體合作中，商湯科技、香港中文大學(xué)研發(fā)團(tuán)隊(duì)提供算法支撐，東方網(wǎng)力負(fù)責(zé)做面向安防行業(yè)產(chǎn)品的深度開發(fā)。數(shù)據(jù)泄露事件發(fā)生在這樣一家AI安防企業(yè)身上，確實(shí)讓許多網(wǎng)絡(luò)安全界人士驚訝不已。

2015年成立之初，東方網(wǎng)力與商湯科技各自持有深網(wǎng)視界51%和49%的股權(quán)。但兩方的合作并未長(zhǎng)久，商湯科技在逐步減資后，于2018年4月從深網(wǎng)視界撤資，東方網(wǎng)力由此成為深網(wǎng)視界的最大股東，公開資料顯示，東方網(wǎng)力副總裁萬(wàn)定銳也是深網(wǎng)視界總經(jīng)理。而東方網(wǎng)力相關(guān)公告顯示，深網(wǎng)視界2018年上半年并未盈利，凈利潤(rùn)為-569.25萬(wàn)元，2017年，其凈利潤(rùn)為-2042.95萬(wàn)元。

中國(guó)青年報(bào)·中青在線記者致電深網(wǎng)視界，工作人員告知，此事正在調(diào)查中。之后記者又致電東方網(wǎng)力核實(shí)此次事件，但截至發(fā)稿前，尚未獲得回復(fù)。商湯科技則向中國(guó)青年報(bào)·中青在線記者表示，深網(wǎng)視界目前與商湯科技已沒有關(guān)聯(lián)，該公司涉及數(shù)據(jù)泄漏的產(chǎn)品也并非由商湯科技提供，至于從深網(wǎng)視界撤資，主要是商湯科技自身的業(yè)務(wù)規(guī)劃調(diào)整所致。

雖然股權(quán)變動(dòng)有些周折，但深網(wǎng)視界在人臉識(shí)別技術(shù)的市場(chǎng)應(yīng)用方面，已經(jīng)頗有積累。拉勾網(wǎng)信息顯示，深網(wǎng)視界主要有2個(gè)重要產(chǎn)品：人臉識(shí)別布控系統(tǒng)、智能人群分析系統(tǒng)，前者可實(shí)現(xiàn)在無(wú)人監(jiān)控操作、無(wú)需人員配合的情況下，快速抓取并識(shí)別所有監(jiān)控中出現(xiàn)的人臉，實(shí)時(shí)與數(shù)據(jù)庫(kù)中目標(biāo)人臉名單匹配;后者針對(duì)人口密集場(chǎng)景對(duì)人群狀態(tài)進(jìn)行有效監(jiān)控，并及時(shí)采取有效干預(yù)措施，可降低事故發(fā)生率，對(duì)人群異常行為及時(shí)預(yù)警。

國(guó)內(nèi)安防行業(yè)的權(quán)威雜志《中國(guó)安防》在2017年12月刊發(fā)了一篇對(duì)深網(wǎng)視界的報(bào)道。該公司總經(jīng)理萬(wàn)定銳在報(bào)道中表示，2015年以來(lái)，該公司與江蘇省連云港市公安局合作，承建了該市的人臉識(shí)別實(shí)戰(zhàn)系統(tǒng)，包括分布全市各處的人臉動(dòng)態(tài)布控系統(tǒng)、全市集中的大庫(kù)檢索應(yīng)用，以及重點(diǎn)區(qū)域、重大活動(dòng)的人群安全防控應(yīng)用。此外，該公司也在廣東陸豐、貴州都勻等地建設(shè)了人臉識(shí)別動(dòng)態(tài)布控系統(tǒng)。

內(nèi)部漏洞甚于黑客竊取，如何守好“最后一道防線”

隨著網(wǎng)絡(luò)服務(wù)提供者搜集、存儲(chǔ)的用戶個(gè)人信息越來(lái)越多，數(shù)據(jù)泄露事件也頻頻發(fā)生。從華住酒店集團(tuán)1.3億消費(fèi)者的個(gè)人信息在暗網(wǎng)售賣，到Facebook用戶數(shù)據(jù)泄露，再到趣店被曝?cái)?shù)百萬(wàn)學(xué)生數(shù)據(jù)疑似泄露……涉及隱私的用戶數(shù)據(jù)總是被不法分子盯上，而搜集、存儲(chǔ)、使用了大量用戶數(shù)據(jù)的企業(yè)則顯得十分被動(dòng)和無(wú)力。

安全情報(bào)提供商Risk Based Security(RBS)發(fā)布的一份報(bào)告顯示，2018年全球公開披露的超過6500起數(shù)據(jù)泄露事件中，有三分之二來(lái)自商業(yè)部門，有12起數(shù)據(jù)泄露事件涉及人數(shù)超過1億甚至更多。導(dǎo)致數(shù)據(jù)泄露的常見原因中，黑客攻擊占據(jù)絕大多數(shù)，但因內(nèi)部漏洞而導(dǎo)致數(shù)據(jù)泄露的事件記錄遠(yuǎn)遠(yuǎn)超過黑客竊取。

2017年起施行的《網(wǎng)絡(luò)安全法》明確提出了“誰(shuí)收集、誰(shuí)負(fù)責(zé)”的原則，要求隱私信息的收集方承擔(dān)起保障數(shù)據(jù)安全的義務(wù)，集中存儲(chǔ)用戶隱私信息的數(shù)據(jù)庫(kù)就顯得尤為重要。而在人臉識(shí)別技術(shù)逐漸擴(kuò)展應(yīng)用領(lǐng)域，甚至在消費(fèi)、借貸等金融領(lǐng)域逐漸落地的今天，許多企業(yè)并未做好相應(yīng)的安全保障。

重慶大學(xué)國(guó)家網(wǎng)絡(luò)空間安全與大數(shù)據(jù)法治戰(zhàn)略研究院院長(zhǎng)齊愛民表示，企業(yè)、機(jī)構(gòu)數(shù)據(jù)庫(kù)安防力量薄弱、責(zé)任意識(shí)淡薄以及數(shù)據(jù)市場(chǎng)需求旺盛等因素為大規(guī)模數(shù)據(jù)泄露埋下伏筆。360互聯(lián)網(wǎng)安全中心發(fā)布的《WannaCry一周年勒索軟件威脅形勢(shì)分析報(bào)告》顯示，2017年勒索病毒爆發(fā)前夕，各機(jī)構(gòu)有58天的時(shí)間可以進(jìn)行補(bǔ)丁升級(jí)等安全布防工作，但一些機(jī)構(gòu)錯(cuò)誤認(rèn)為自身隔離措施足夠安全、打補(bǔ)丁太麻煩，致使其最終遭受勒索病毒攻擊。

其次，數(shù)據(jù)流轉(zhuǎn)程序較多，部分企業(yè)責(zé)任意識(shí)淡薄，用戶數(shù)據(jù)倒賣在我國(guó)已形成相對(duì)成熟的黑灰產(chǎn)業(yè)，打包出售用戶數(shù)據(jù)的情況在黑市中隨處可見。對(duì)于企業(yè)而言，數(shù)據(jù)安全保護(hù)部門只能作為成本支出部門，而非盈利部門。

齊愛民認(rèn)為，外部監(jiān)管尚未有效落實(shí)也是一個(gè)重要原因，我國(guó)個(gè)人信息保護(hù)制度尚不完善，執(zhí)法權(quán)責(zé)并不清晰，尚未形成統(tǒng)一有效的監(jiān)管機(jī)制，很多數(shù)據(jù)泄露事件也在人們關(guān)注度下降后不了了之。大部分機(jī)構(gòu)在涉嫌數(shù)據(jù)泄露后以“一紙聲明”的形式撇清關(guān)系，后續(xù)調(diào)查結(jié)果也未向公眾披露，間接導(dǎo)致行業(yè)內(nèi)用戶數(shù)據(jù)保護(hù)的氛圍惡化。

公安部第三研究所信息網(wǎng)絡(luò)安全法律研究中心主任黃道麗則認(rèn)為，在數(shù)據(jù)泄露事件頻發(fā)的今天，關(guān)注個(gè)人信息的關(guān)聯(lián)影響比單純地確定“敏感”程度更為緊迫。例如，深網(wǎng)視界本次疑似泄露的人臉識(shí)別數(shù)據(jù)如果與以往泄露的隱私信息相關(guān)聯(lián)，或可達(dá)到“用戶畫像”的程度，將全方位暴露公民個(gè)人日常生活，產(chǎn)生精準(zhǔn)營(yíng)銷、網(wǎng)絡(luò)詐騙等風(fēng)險(xiǎn)。

黃道麗指出，人臉識(shí)別和指紋識(shí)別等屬于生物特征，而非密碼技術(shù)，單獨(dú)使用無(wú)法實(shí)現(xiàn)保護(hù)個(gè)人信息的作用。網(wǎng)絡(luò)企業(yè)在追求便捷性的同時(shí)，應(yīng)該對(duì)這類生物特征采取必要的加密措施，“這恰是體現(xiàn)廠商市場(chǎng)地位和領(lǐng)先性的方面”。

在DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心主任胡延平看來(lái)，人臉、指紋、虹膜等用戶生物信息是個(gè)人信息安全“一定不能出問題的最后一道防線”。面對(duì)安全防護(hù)水平較低、隱私保護(hù)力量薄弱的現(xiàn)實(shí)，他建議用戶小心使用這些生物信息，“在網(wǎng)上，這些信息能不提交就不提交”，以免過多的隱私信息進(jìn)入缺乏安全保障的數(shù)據(jù)庫(kù)后臺(tái)。(王林 實(shí)習(xí)生 孫吉)

關(guān)鍵詞： AI 數(shù)據(jù)泄露 人臉識(shí)別