9月17日下午,網路安全專家接受媒體採訪。從左到右,劉權、李京春、趙波、魏昊、卿昱、李新友。

大數據正在開啟智慧時代。網際網路技術發展到今天,生物識別技術到底安全嗎?個人資訊泄漏該如何遏制?

9月17日,2017年國家網路安全宣傳周進入第二天,中國資訊安全認證中心主任魏昊、中國電子技術標準化研究院院長趙波、中國電子科技集團第三十研究所所長卿昱、國家資訊技術安全研究中心常務副主任李京春、國家資訊中心首席工程師李新友、賽迪網路空間研究所所長劉權等多位網路安全專家接受媒體採訪,探討當下熱門的網路安全問題。

生物識別不能保障絕對安全

刷臉登錄、指紋支付、虹膜掃描……網際網路讓人類生活更加便捷,同時也帶來新的隱患。

劉權表示,近年來,隨著自身技術的演變和發展,生物識別的準確率已大幅提升,可達到90%。在相對安全封閉的局域網環境下,這類技術應用廣泛,比如銀行、機場、企業都在嘗試。但如果作為網際網路線上認證手段,生物識別仍有缺陷。

為什麼呢?劉權解釋,不論是臉部、指紋還是虹膜,在網際網路環境下,都會轉化成數字進行傳播,只要是數字,就必然面臨著模倣和複製。

此外,生物識別還有一個弊端,即不可撤銷。我們每個人就有一張臉、兩個虹膜、十根手指,一旦泄漏,幾乎沒有更改的餘地,這就需要通過更先進的技術確保生物特徵資訊處在安全環境下。

既然有風險,生物識別技術還能不能用?怎麼用?

趙波認為,生物識別確實在一些特定領域發揮了重要作用,但在網際網路環境下,這一技術應在多維確定的基礎上使用。簡單來説,就是不能把刷臉、按指紋作為登錄認證的唯一手段,還應配合使用其他識別手段。

李京春則表示,現在的生物識別技術還不能完全保障安全性,比如刷臉,用一張照片左右晃晃,也許就能矇混過關,給駭客留下了巨大漏洞。

因此他建議,針對當下各種各樣的生物識別技術,有關部門應對其做一個完整的安全性測試。既然要測試,首先得有相應的標準,目前,針對生物識別技術相關標準正在制定研究中。

網際網路企業有責任保護好用戶數據

延續生物識別的話題,專家們又談到個人隱私保護。

李新友認為,生物識別除了有關身份認證,也涉及身份管理範疇。用戶在做身份認證時,會在網際網路端留下很多個人隱私資訊,這些資訊一旦泄漏後果不堪設想,這也對當下的個人隱私保護提出更高要求。

與之對應的是,現在許多網際網路企業,在為用戶提供服務的過程中,收集了大量資訊,如用戶姓名、電話、身份證號碼等等。

對此,趙波表示,企業收集用戶資訊目的有多種,比如完善産品功能或用作商業行為,這就牽涉到網際網路企業應該收集什麼樣的資訊、如何收集資訊。

他還透露,今年6月1日正式實施的《網路安全法》已對個人資訊的收集和保護提出明確要求,如公開、透明、規範等等。目前,有關部門正在網信辦的組織下,對網際網路企業收集用戶資訊的政策進行評估。

趙波坦言,現在很多人提供個人資訊時,對網際網路産品的隱私政策重視不夠,幾乎不看條款就直接同意。當然,這也和企業在制定用戶隱私條款時,表述冗長、複雜有關。目前,有關部門正在要求網際網路企業公開、透明地收集資訊,並且有用戶的“主動確認權”。

“什麼叫‘主動確認權’?不是説用戶點了‘同意’,所有資訊就全部授權給企業了。有些敏感資訊的使用,要單獨再徵求用戶意見。”趙波説。

不過,很多人都會有這樣的感受,儘管網際網路企業提供了隱私條款,但對用戶來説幾乎沒有選擇,如果點擊“不同意”,不願提供相應的個人資訊,就無法使用這款産品。

“我們肯定希望‘我的資訊我做主’,但企業會覺得‘我的産品我做主’。”李新友認為,這是網際網路行業存在的一種“奇怪現象”。

他坦言,在有些資訊不得不提供的情況下,用戶有兩個重要權利需要保障,一是知情權,個人要清楚哪些網際網路企業、平臺掌握自己的資訊。二是控制權,當一個人不再使用某應用系統,要允許他把自己的資訊從該系統刪除,這是當下很多網際網路産品無法做到的。

魏昊則指出,從長遠看,對於收集、掌握用戶資訊的網際網路企業,我們應該有更嚴格的要求。這些企業有責任保護用戶數據不被泄漏。這其中,既包括有意泄漏,不能讓員工偷偷把數據拿出去出售;也包括無意泄漏,即確保數據庫不被駭客攻擊。

“我們將來要對企業的保護能力進行認定。” 魏昊認為,這些掌握用戶數據的企業,有必要經歷管理能力和技術能力的雙重評估。