大数据正在开启智能时代。互联网技术发展到今天,生物识别技术到底安全吗?个人信息泄漏该如何遏制?
9月17日下午,网络安全专家接受媒体采访。从左到右,刘权、李京春、赵波、魏昊、卿昱、李新友。
9月17日,2017年国家网络安全宣传周进入第二天,中国信息安全认证中心主任魏昊、中国电子技术标准化研究院院长赵波、中国电子科技集团第三十研究所所长卿昱、国家信息技术安全研究中心常务副主任李京春、国家信息中心首席工程师李新友、赛迪网络空间研究所所长刘权等多位网络安全专家接受媒体采访,探讨当下热门的网络安全问题。
生物识别不能保障绝对安全
刷脸登录、指纹支付、虹膜扫描……互联网让人类生活更加便捷,同时也带来新的隐患。
刘权表示,近年来,随着自身技术的演变和发展,生物识别的准确率已大幅提升,可达到90%。在相对安全封闭的局域网环境下,这类技术应用广泛,比如银行、机场、企业都在尝试。但如果作为互联网在线认证手段,生物识别仍有缺陷。
为什么呢?刘权解释,不论是脸部、指纹还是虹膜,在互联网环境下,都会转化成数字进行传播,只要是数字,就必然面临着模仿和复制。
此外,生物识别还有一个弊端,即不可撤销。我们每个人就有一张脸、两个虹膜、十根手指,一旦泄漏,几乎没有更改的余地,这就需要通过更先进的技术确保生物特征信息处在安全环境下。
既然有风险,生物识别技术还能不能用?怎么用?
赵波认为,生物识别确实在一些特定领域发挥了重要作用,但在互联网环境下,这一技术应在多维确定的基础上使用。简单来说,就是不能把刷脸、按指纹作为登录认证的唯一手段,还应配合使用其他识别手段。
李京春则表示,现在的生物识别技术还不能完全保障安全性,比如刷脸,用一张照片左右晃晃,也许就能蒙混过关,给黑客留下了巨大漏洞。
因此他建议,针对当下各种各样的生物识别技术,有关部门应对其做一个完整的安全性测试。既然要测试,首先得有相应的标准,目前,针对生物识别技术相关标准正在制定研究中。
互联网企业有责任保护好用户数据
延续生物识别的话题,专家们又谈到个人隐私保护。
李新友认为,生物识别除了有关身份认证,也涉及身份管理范畴。用户在做身份认证时,会在互联网端留下很多个人隐私信息,这些信息一旦泄漏后果不堪设想,这也对当下的个人隐私保护提出更高要求。
与之对应的是,现在许多互联网企业,在为用户提供服务的过程中,收集了大量信息,如用户姓名、电话、身份证号码等等。
对此,赵波表示,企业收集用户信息目的有多种,比如完善产品功能或用作商业行为,这就牵涉到互联网企业应该收集什么样的信息、如何收集信息。
他还透露,今年6月1日正式实施的《网络安全法》已对个人信息的收集和保护提出明确要求,如公开、透明、规范等等。目前,有关部门正在网信办的组织下,对互联网企业收集用户信息的政策进行评估。
赵波坦言,现在很多人提供个人信息时,对互联网产品的隐私政策重视不够,几乎不看条款就直接同意。当然,这也和企业在制定用户隐私条款时,表述冗长、复杂有关。目前,有关部门正在要求互联网企业公开、透明地收集信息,并且有用户的“主动确认权”。
“什么叫‘主动确认权’?不是说用户点了‘同意’,所有信息就全部授权给企业了。有些敏感信息的使用,要单独再征求用户意见。”赵波说。
不过,很多人都会有这样的感受,尽管互联网企业提供了隐私条款,但对用户来说几乎没有选择,如果点击“不同意”,不愿提供相应的个人信息,就无法使用这款产品。
“我们肯定希望‘我的信息我做主’,但企业会觉得‘我的产品我做主’。”李新友认为,这是互联网行业存在的一种“奇怪现象”。
他坦言,在有些信息不得不提供的情况下,用户有两个重要权利需要保障,一是知情权,个人要清楚哪些互联网企业、平台掌握自己的信息。二是控制权,当一个人不再使用某应用系统,要允许他把自己的信息从该系统删除,这是当下很多互联网产品无法做到的。
魏昊则指出,从长远看,对于收集、掌握用户信息的互联网企业,我们应该有更严格的要求。这些企业有责任保护用户数据不被泄漏。这其中,既包括有意泄漏,不能让员工偷偷把数据拿出去出售;也包括无意泄漏,即确保数据库不被黑客攻击。
“我们将来要对企业的保护能力进行认定。”魏昊认为,这些掌握用户数据的企业,有必要经历管理能力和技术能力的双重评估。