中國網：中國訪談，世界對話，歡迎您的收看。從1994年4月20日，中國正式接入國際網際網路到今天，中國網際網路的發展歷程已經走過24年。在過去的24年當中，網際網路給中國帶來了巨大的變化，也極大地改變了我們的生活方式，隨著網際網路的普及，我們在享受網路帶來便利的同時也越來越關注網際網路的安全問題，我們應當如何在網路上保護自己的資訊安全與隱私？大數據又會對網際網路安全産生哪些影響呢？《中國訪談》在2018網際網路安全大會上特邀北京奇虎科技有限公司高級副總裁首席安全官譚曉生來為我們解答。

北京奇虎科技有限公司高級副總裁首席安全官譚曉生接受中國網《中國訪談》專訪

       中國網：譚總您好，感謝您接受中國網的專訪。現在我們在註冊或者登陸一些社交媒體平臺的時候，經常會被要求提供一些個人資訊。但是許多資訊都被盜用甚至買賣了。那麼在您看來，企業應當如何承擔起保護用戶個人資訊及隱私安全的責任呢？    

       譚曉生：我認為企業首先要蒐集自己的業務所必需的資訊，而不是越權、要很多其他的東西。比如在網際網路上，要是通過電商購物，要不提供地址，商品沒法送到。所以這個地址是必須要提供的。但是你的婚姻狀況就沒必要告訴一個電商網站；你的收入也沒必要告訴電商網站。所以，要蒐集只蒐集此業務需要的資訊。第二，資訊蒐集完之後，要妥善地進行保管。不能因為自己的安全措施不夠、數據庫被拖走，而造成用戶的資訊丟失。其實這時候這些企業是要擔責的。其次，是對資訊的使用。因為數字資訊有一個壞處，它可以無損地被拷貝。從一個地方轉換到另外一個地方的時候，和原來的資訊是一模一樣的。比如還拿電商網站做例子，這些網站可以自己用用戶的資訊。但是，如果把資訊賣給了另外一家做廣告的，那這個資訊就是有問題的。因為這個資訊在轉移過程之中是完全沒有損失的。等於第三方獲得了用戶相應的資訊，將非授權的資訊進行轉移等等，這是一系列的問題。歐盟的GDPR在這方面做了非常好的嘗試。今天大會我們也請了GDPR提出的專家們來給大家做了演講。 

       GDPR規定：首先，要提取用戶的資訊，必須要接受用戶的許可，授權使用才行。第二，用戶還可以隨後要求把這個數據刪除，只要和有關的國家法律法規不衝突便可。用戶可以要求把數據清除掉，而且還可以拒絕你對數據做深度的分析。因為商家拿到用戶的數據之後，可以分析其行為。你即使沒告訴他你的收入，但是他根據你買的東西、買的頻率、住的小區，可能能分析出來你的收入經濟狀況。而GDPR裏可以允許用戶拒絕數據的分析，我不讓你給我做大數據分析，我也不讓你給我精準推送廣告。我們有這個權利。此外，用戶對數據有轉移權。我的數據不想在你這存了，我想帶到另外一個商家，只要那個商家提供數據導入的介面就可以。還有對於數據的保管，要求企業要妥善保管。萬一齣了安全事故，例如數據被拖了，要求72小時之內必須要告知相應的機構。GDPR還會要求企業要有對數據管理的官員，比如有DPO的職責等等。

       咱們國家在過去的幾年時間裏面也有一系列的法律法規出臺。在做這些事情，尤其是去年下半年的時候，工信部曾經有一個很大的行動：讓這些網際網路公司對用戶資訊保護，從用戶使用條款的制定、修改等方面以及通過實際的措施來改進。做了很多的事情。而360從2012年開始一直在做致力於用戶資訊保護這方面的事情。我是在2012年3月15號被任命為首席隱私官，是中國的第一個首席隱私官。現在非常好，我看到螞蟻金服也有自己的首席隱私官。首席隱私官的職責就是在企業生産經營過程中，對用戶資訊的使用提供保護。比如我們當年就制定了一個順口溜叫“不該看的不看，不該傳的不傳，不該存的不存，不該用的不用。”“不該看的不看”就是不該向用戶要的數據不要要。第二，能在用戶的電腦裏、手機裏解決的事，不要往網上傳。傳上去之後，你還可以選擇不存儲。如果今後不需要長期使用的資訊，為什麼非要存下來呢？“不該存的不存，不該用的不用”，我們只在用戶授權範圍內使用數據，不要非授權使用。到今天來看，我們在2012年提出來“四不”，我覺得還是非常之重要的。除了“四不”之外，還有“三必須”其中包括我們要提取什麼數據，必須經過用戶的顯性許可，和現在GDPR的要求，以及現在用戶隱私保護的要求（相同），但是我們在2012年的時候就已經做到絕大部分了。    

北京奇虎科技有限公司高級副總裁首席安全官譚曉生接受中國網《中國訪談》專訪

       中國網：正如您剛才所説，大數據在網際網路安全當中是一把雙刃劍，我們如何利用大數據來維護網際網路安全呢？    

       譚曉生：大數據首先是安全的手段。我們要蒐集到用戶行為數據等等這些東西之後，對於非授權用戶的一些行為，比如偷取資訊等，我們才有機會能夠發現。這是大數據發現安全攻擊的一個非常有利的手段。當然了，説雙刃劍是，有了大數據，大數據本身會不會被別人偷走，被用來幹壞事之類的，這也確實如此。我們在享受大數據帶來的紅利的同時，大數據的安全保護也變得非常之重要。這也是一個悖論，我們可以用大數據的安全保護的方法來保護大數據安全本身。

        中國網：網際網路于1969年誕生於美國，而1994年中國才首次連接到國際網際網路當中。那麼，中國在短短24年的網際網路發展歷程當中，中國網際網路企業取得了巨大的進步，其中一些大型的網際網路企業甚至可以和美國的網際網路公司相媲美。在您看來，中國網際網路企業在短時間內取得巨大的成就的秘訣是什麼呢？    

       譚曉生：有幾個原因，第一是中國的人多，我們有人口紅利。如果在一個人口幾百萬人或者幾千萬的國家，有的商業模式根本是難以成立的。在中國，比如廣告模式，只有用戶基數足夠大，掙來的錢才能夠支援公司的運作。如果是在一個很小的國家，只有幾百萬人，那再怎麼做廣告，掙的錢都不足以支援技術團隊，運營團隊等。人口紅利是其中的一個（因素）。第二是中國人確實是很勤奮的，比如就像京東的線下配送等，我們能那麼飛速地配送，恐怕在全世界都是非常少見的。中國人的勤勞也是在這些年，在網際網路時代（充分體現的）。大家知道網際網路行業的加班在全世界咱們都屬於加班加得最多的地區。百度的樓下，360的樓下，（根據）每年的統計，這些公司加班時長都是非常之長。勤奮工作也能夠幫我們追回一些時間。還有這些年技術創新。中國的網際網路公司在這些年還是有非常多的技術創新，不管是百度在人工智慧技術上，還是阿裏在支付的創新上面，360在安全的創新上面，這些公司在這些領域裏所做的技術創新，不僅僅是商業模式創新，包括技術創新，在全世界的企業當中，大家都是認的。    

       中國網：網際網路未來的發展也依然應該把安全擺在非常重要的位置上。您認為在未來網際網路安全事業的發展過程當中，著力點應該放在哪呢？    

       譚曉生：中國的網際網路安全有幾個重點，第一，保護關鍵基礎設施。因為關鍵基礎設施關係到一個社會運作是否穩定，關係到國家安全。今天的關鍵基礎設施例如水、電、煤氣、交通等越來越多都連在網際網路上。所以我們作為網際網路安全企業，首先要保護到這些東西，不要讓它出了事，影響到老百姓日常生活。還有是關係到國家安全和國防安全。像美國大選期間的事，一直到現在都懷疑被俄羅斯攻擊了。如果國家大選這種事情都有可能被來自於網路上的攻擊影響，這無疑是國家政權首先要解決的問題。所以網路安全是和國防、國家安全聯繫起來的。    

       還有要解決安全人才嚴重不足的問題。因為各行各業都在擁抱網際網路，用專業的行話叫攻擊面越來越大。攻擊者可以攻的東西越來越多，但是我們又沒有足夠多的守衛者能夠去防護這些東西。所以這些年來，網路安全的人才培養會是一個非常重大的問題。還有在安全的體系化方面，相對於美國，您剛才講中國的網際網路起步比美國晚了25年。在網路安全的防禦思想上，我們也還是落後的，在體系化方面和美國有著非常大的差距。今後的幾年，我國安全防線的體系化建設上，需要花很大的工夫來提高。

本期人員——責編/文字/主持：白璐；攝像/後期：劉凱；攝影：董寧；主編：鄭海濱