【图文直播】2019中国国际大数据产业博览会“数据安全”高端对话

网易综合05-22 19:42

直播主题:2019中国国际大数据产业博览会“数据安全”高端对话

直播时间:2019年5月26日

直播简介:2019年5月26 -29日,由国家发展和改革委员会、工业和信息化部、国家互联网信息办公室、贵州省人民政府联合主办,中国互联网协会、贵阳市人民政府等10家单位共同承办的2019中国国际大数据产业博览会将在贵阳国际生态会议中心举办,本届大会以“创新发展数说未来”作为年度主题,聚焦前沿、聚焦共赢,继续探寻大数据发展的时代变革。中国互联网协会将于大会期间承办数据安全高端对话。本网将进行现场直播!

打开网易新闻 查看更多精彩图片

主持人(屠化):尊敬的各位领导、各位来宾,企业界、新闻界的朋友们,大家下午好!

欢迎大家光临“数据安全”高端对话的现场,我是主持人屠化,来自央视财经频道。本次论坛由中国国际大数据产业博览会组委会主办,中央广播电视台总台央视财经频道联合主办,中国互联网协会承办,再一次感谢各位的光临和媒体朋友的支持。

作为重要论坛之一,我们对话将聚焦“构建数字安全生态 助力数字经济发展”主题,自启动以来,受到广泛关注和支持。今天,政府领导、专家学者、行业领军人物将围绕大数据的价值发挥、数据产业的健康发展,以及大数据应用与个人信息保护等议题展开深入交流,共同探索数据安全发展之路。

今天我们将分四个环节与各位进行分享交流,分别是领导致辞、嘉宾演讲、权威发布以及对话环节。

现在,“数据安全”盛宴现已正式开启,首先,我们有请贵州省政协副主席孙诚谊上台致辞,掌声欢迎!

孙诚谊:尊敬的各位嘉宾,女士们、先生们,朋友们:大家下午好!

欢迎大家来到中国数谷贵阳,参加本届中国国际大数据产业博览会。值此2019数博会在贵阳隆重开幕之际,我谨代表贵州省委省政府,对各位专家、学者以及嘉宾的到来,表示热烈的欢迎!对各位来宾长期以来给予贵州的关心、支持和帮助表示衷心的感谢。

近年来,国家高度重视数据在新常态中推动国家现代化建设的基础性、战略性作用,数据资源成为重塑国家竞争优势、维护国家主权安全、推动产业转型升级的关键。2017年,《中华人民共和国网络安全法》正式实施,2018年5月,《欧盟通用数据保护条例》出台,越来越多的与数据信息安全相关的条例、法规相继落地实施,正是顺应世界潮流、契合时代要求的体现。

本次大会以“构建数字安全生态 助力数字经济发展”主题,通过分析当前我国数字安全生态发展趋势,深入探讨数字经济发展的前景和机遇,引导业界加强开放合作,共建中国互联网安全新生态,对促进我国网络安全生态共建共享、推动数字经济高质量发展、加快建设现代化经济体系具有重大意义。希望借本次会议,大家开启思路,凝聚共识,为共建数字安全生态、助力数字经济发展积极献计出力。

贵州作为全国首个国家大数据综合试验区,深入学习贯彻党的十九大精神和习近平总书记在贵州省代表团重要讲话精神,全面贯彻习近平网络强国战略思想、全国网络安全和信息化工作会议精神,坚定不移推动大数据战略行动向纵深发展,不断在数据资源管理与共享开放、数据中心整合、数据资源应用、数据要素流通、大数据产业集聚、大数据国际合作、大数据制度创新等七大主要任务方向进行工作推进,大胆探索,打造样板,为全国提供贵州智慧和经验。

贵州构建数字安全生态、助力数字经济发展需从四方面发力。

一是要提高认识,学习领会习近平网络强国战略思想的重大意义、科学内涵和精神实质。深入思考大数据深度融合背景下服务经济社会各方面发展的安全体系建设,切实增强构建数字安全生态的责任感和使命感。

二是牢牢掌握网络意识形态斗争的领导权。在发挥信息化引领作用上下功夫,加快做实“四个融合”,突出抓好“四个强化”,在筑牢网络安全屏障上下功夫,大力构建网络安全保障体系,坚定不移推动大数据战略行动向纵深发展。

三是延续大数据安全发展1+1+3+N。也就是建设大数据及网络安全示范试点城市、建立国家级大数据安全靶场、建立大数据安全技术创新中心、应用示范中心、政府监管中心和N个技术平台组成的立体化监管、防护、应急体系。总体思路,完善大数据安全保护的八大体系,即大数据安全保护组织体系、预防保护体系、监管保护体系、应急处置体系、综合防护体系、技术服务体系、人才教育训练体系和工作支撑体系的建设架构。全面提升大数据安全综合防御能力。

四是加快贵州省大数据安全保障条例的制定出台。明确大数据安全责任,保障大数据安全和个人信息安全,促进大数据安全责任和大数据发展应用。

最后,希望借此数博会,通过各位安全领域的专家和学者积极交流讨论,在大数据安全领域碰撞出新的火花和新的亮点,为构建数据安全生态、助力数字经济发展献智献策。

最后,预祝本次数博会“数据安全”高端对话取得圆满成功,谢谢各位。

主持人:谢谢孙诚谊先生的精彩致辞。下面我们有请工业和信息化部网络安全管理局局长赵志国先生上台致辞,掌声欢迎。

赵志国:尊敬的孙诚谊主席,邬贺铨院士、王小云院士,尊敬的惠特菲尔德·迪菲教授,各位来宾,各位媒体朋友们,大家下午好!

很高兴参加此次“数据安全”高端对话。首先,受陈肇雄副部长委托,我谨代表工业和信息化部对本次高端对话的举办表示热烈祝贺,向与会的各位来宾致以诚挚的欢迎。并借此机会对长期以来关心和支持网络与数据安全工作的专家们、同事们、朋友们表示衷心的感谢。

当前,全球新一轮科技革命和产业变革日益兴起,大数据、云计算、人工智能、5G等新一代信息技术应用及网络基础设施建设加快演进,驱动数字经济发展进入了新阶段,也对网络安全工作带来了全新的挑战。党的十八大以来,以习近平同志为核心的党中央高度重视数字经济的发展和网络与数据安全的工作,多次作出重要指示批示,明确指出,要构建以数据为关键要素的数字经济,推动互联网、大数据、人工智能和实体经济深度的融合,突出强调要加强保障国家数据安全,加强关键信息基础设施的保护,强调国家关键数据资源保护的能力,增强数据安全的预警和溯源的能力。今天上午开幕式上,王晨副委员长宣读了习总书记致本届数博会的贺信。总书记在贺信中深刻指出,当前以互联网、大数据、人工智能为代表的新一代信息技术蓬勃发展,对各国经济发展、社会进步、人民生活带来了重大而深远的影响,各国需要加强合作,深化交流,共同把握好数字化、网络化、智能化发展的机遇,处理好大数据发展在法律、安全、政府治理等方面的挑战。在这一背景下,本次高端对话以“构建数字安全生态 助力数字经济发展”主题,既顺应了当前大数据快速发展的新趋势,也契合了网络与数据安全工作新方向,必将对汇聚各方观点和认识、筑牢网络与数据安全的屏障、助力数字经济高质量发展发挥重要的推动作用。

近年来,工业和信息化部坚持以习近平新时代中国特色社会主义思想为指引,坚决贯彻落实党中央、国务院有关网络强国的重大决策部署,

坚持发展与安全并重,以新理念引领新发展,以新发展保障新安全,加快推进网络强国建设和数字产业化的进程,围绕“建体系、强基础、护环境、重能力”不断强化网络与数据安全的综合治理,保障数字经济持续健康的发展。

一是坚持体系推进。坚持系统化、体系化的思维,从网络和数据安全的法律、制度、标准等方面统筹推进,扎实落实网络安全法,积极推动制定数据安全的管理、个人信息的保护等相关的法规制度,颁布出台电信和互联网用户和个人信息保护,发布网络安全防护、个人信息保护、数据安全管理等十余项政策文件和200余项技术标准。

二是坚持固本强基。网络基础设施承载着海量的数据,加强网络基础设施的防护是构建良好数据安全生态的基石。经过多年的努力,集事前防范、监测预警、应急处置于一体的网络基础设施安全防护体系已有效建立,连续9年组织对上万个网络系统开展等级备案和防护检查,年均成功处置数万起网络安全的威胁,有效降低数据线泄露的风险,积极将防护体系向工业互联网、物联网、云计算等领域延伸,有效保障网络基础设施安全稳定运行。

三是坚持服务人民。以服务人民为中心,切实加强用户个人信息的保护,深入开展网络安全威胁治理,网络产品和服务隐私条款的审查,APP违规收集使用个人信息治理等专项活动,组织指导对十余款APP的个人信息收集使用进行监测,对百余款未落实个人信息保护制度的APP进行下架处理,并公开曝光,督促企业切实落实主体责任,强化社会监督、媒体监督,健全用户的投诉机制,畅通举报受理渠道,并及时回应用户诉求。

四是坚持创新发展。大力推动网络安全技术与产业发展,连续组织开展了4批次网络安全技术应用的试点示范。紧盯大数据、云计算、人工智能等新技术发展方向和融合应用的场景,先后遴选出230余个网络与数据安全的试点示范项目,投资总额近37亿元,引导企业加大网络安全核心技术的研发与应用,有效促进网络与数据安全先进技术的应用推广,积极推进网络安全产业园区建设,深入挖掘和培育网络安全人才队伍,网络安全的支撑能力日益增强。

苗圩部长在上午的致辞中,从增强创新能力夯实产业发展基础、聚焦实体经济推进深度融合、加强数据治理持续优化环境、深化开放合作实现互利共赢等四个方面,介绍了工信部下一步在推进大数据产业发展方面的工作考虑,我们将坚决贯彻落实习近平总书记重要指示批示精神,按照苗圩部长讲话要求,坚持与时俱进,综合施策,通过更加扎实有效的措施推动网络与数据安全保障能力的全面提升,不断健全完善网络与数据安全的保障体系。借此机会,我就进一步做好新形势下网络与数据安全工作谈几点意见,与大家交流。

第一,凝聚共识,构建新时代网络与数据安全工作的通信员。党的十八大以来,中央作出全面实施国家大数据战略、加快构建数字中国、推动大数据和实体经济深度融合等重大决策部署,这就要求我们必须准确认识新形势下做好网络和数据安全工作的重要性、紧迫性和必要性,要站在促进我国经济高质量发展、建设现代化经济体系的高度,进一步统一思想,凝聚共识,广泛汇聚各方智慧,充分发挥各方的作用,扎实推动网络与数据安全不断迈上新的台阶,切实维护国家网络与数据的安全。

第二,聚焦重点,有效提升网络与数据安全的保障能力。网络与数据安全涉及领域广、环节多,在坚持体系化推进的同时,要进一步聚焦基础设施、应用安全、融合安全领域等重点难点问题,坚持补齐短板,强化问题意识,提升保障能力,要与时俱进推进网络基础设施防护体系的建设,进一步强化网络安全危险的监测与处置能力建设,要强化人民立场,着力加强数据安全与用户个人信息的保护,严查违法违规行为,要高度重视融合技术应用领域安全存在的风险,积极开展工业互联网等新型融合应用安全技术的研发布局,积极构建协同的保障体系。

第三,创新引领,积极发展壮大网络与数据安全的产业。要瞄准网络与数据安全核心技术和关键环节,充分调动产业链各相关主体积极性,加大科研和成果的转化,大力推进网络安全核心技术的创新和示范的应用,推动形成完备的安全产业链,要积极引导5G、人工智能、区块链、核心计算等新技术在网络和数据安全应用,促进安全产品、服务应用的普及,加快产品服务迭代创新和升级演进,在网络安全技术、产业政策、人才方面共同努力,打通基础研究、技术创新和市场应用之间的通道,培育良好的网络安全市场环境和产业的生态体系。

第四,共治共享,营造网络与数据安全的良好生态。要充分调动各方的力量,持续深入开展网络安全威胁的治理,构建政府监管指导、企业主体履责、行业自律引导、社会监督共治的责任体系,增强人民群众网络安全的获得感,为数字经济发展营造良好的网络生态环境,要加强国际交流互鉴,深化沟通合作,积极借鉴各国网络与数据安全管理的先进经验,推进信息共享,加强协同促治,共同应对全球网络与数据安全的威胁、挑战。共建和平、安全、开放、合作、有序的网络空间,让数字经济发展成果更好的造福世界各国的人民。

各位来宾,专家,朋友们,新时代赋予新机遇,新时代面临新挑战。我们大家有幸成为新时代网络安全工作的亲历者和实践者,既责任重大、任务艰巨,又使命光荣、大有可为,希望我们共同努力,为推动数字经济的持续健康发展、构建安全有序的网络空间贡献新的更大的力量。

最后,预祝本次会议圆满成功,谢谢大家。

主持人:谢谢赵志国先生的精彩致辞。

随着大数据时代的到来,数据已经成为与物质资产和人力资本同样重要的基础生产要素,大数据正在重塑世界新格局。本次论坛特别邀请到了数据安全领域方面有着丰富研究经验的专家学者、企业等与大家共同分享数据安全领域的发展。接下来,我们将正式进入本次高端对话的主题演讲环节。

让我们共同聆听中国工程院院士、中国互联网协会理事长邬贺铨先生,为大家带来的主题演讲《大数据—信息安全的机遇与挑战》,掌声有请。

邬贺铨:尊敬的孙诚谊主席,赵志国局长,惠特菲尔德·迪菲先生,王小云院士,各位领导,各位专家,下午好!

很高兴到“数据安全”高端对话论坛就大数据安全问题谈一些我的看法。

先说一下大数据对信息安全的挑战。数据采集点现在成为我们拒绝攻击的跳板。往往传感器是在线的,所以很容易受到木马、黑客的入侵,量非常大,因此,一旦被控制了,很容易变成服务器攻击。美国麻省理工2017年就说,十大突破技术里面,僵尸物联网就是其中。2016年10月份,美国遭受到黑客木马的攻击,其中是摄像头被劫持了,所有摄像头在集中同一时间向一个域名服务器发动攻击,这个服务器就瘫了。

数据现在是很有价值的,曾经印度10亿的公民身份数据库被攻击了。我们看右上角的图,是不同领域的,浅蓝色是产业领域的,粉红色的是教育领域的,而红色的是政府的,绿色的是医疗的,还有黄色的是金融的。从中可以看出,随着时间的推移,医疗的数据的价值越来越大,这是对黑客而言的。关于医疗信息的黑市价比信用卡的信息高50倍。我们国家曾经发现过,医疗行业网站被黑客攻击的次数是在行业中排在首位。美国有统计过,医疗信息的泄露会给医疗行业损失每年大约60亿美元。医疗信息泄露影响很多人,在美国曾经大概影响到1/3的美国人都会受到影响。2015年,美国保险公司也发生了黑客盗取了公司医疗保险的数据。

我们说为了防止数据被盗,我们把数据分布式存储,然后加密,这样数据不容易被盗,即便被盗,他也打不开,也看不出里面是什么东西。但是实际上黑客木马有些攻击不完全是要解析你的数据,而是希望数据进行勒索。你加密了,我读不出来,我把你的数据重新加密一遍,就是进行再二次加密,你也解不开了,我就告诉你,你想解开你的数据吗?曾经美国洛杉矶长老会医院被黑客攻击,黑客打电话给长老会医院,说你的医院病历全部被我锁死了,你的病历加密了,我们读不出来,我现在再加密一遍,你也读不出来。医院院长召集一批人来解密,结果十天没有破解,最后医院不得不像黑客交钱。黑客说,我不要从银行转帐,我要你给我比特币,就查不到我是谁。所以,不仅仅是怕别人盗窃数据,还得防止自己的数据别别人锁死。

现在5G出现会带动车联网的发展,5G低时延、高可靠、高宽带、大连接的发展,但是车联网要求时延很低,快速响应,如果这时候采用加密算法,如果比较复杂,可能就会使整个时延变大了,对车联网来说,既要保证低时延,又要保证比较好的加密强度,这实际上还是一个挑战。另外,车联网里面有车到车的通信,车到车之间的验证,所以在车联网上我们需要一些特殊的加密、验证、管理流程,还有包括隐私数据的保护。

另外,大数据本身实际上也会造成一些人工智能上的判断错误,多伦多大学曾经研究过,如果在获取数据上受到一些干扰,准确度是会大大下降,人脸识别准确度会从100%降到0.5%,即便模型做得不错,训练也非常好,但是,如果来的数据有误差,也会产生很明显的错误。右边的图是这样的,美国北加州一个机构,利用亚马逊面部识别程序收集了2.5万名美国罪犯,这是在警察局有档案的、有照片的。然后从网上下载了535位美国两个国会议员所有照片,把两者匹配,找出28位亿议员就是罪犯。当然了,这是误判。

实际上,我们用匿名的办法,可以给我们信息带来保护。但是位置很难匿名,通过曾经到过的位置可以识别出95%的用户。对基因也一样,MIT科学家把匿名的基因组数据和被试的姓氏和家谱树网站中获得的一些基因数据,把两者对应下来,识别了将近50个人。也就是说,即便是匿名,也不能保证不被识别。

前面讲的是大数据带来的信息安全的挑战,下面讲大数据本身可以帮助我们在信息安全方面是有好处的。

利用大数据可以将威胁发现范围扩展到包括数据资产、软件资产、实物资产、人员资产、服务资产和其他为产业提供支持的无形资产。通过对海量日志大数据的分析,可以婉绝发现大量新的网站攻击特征、网站漏洞、溯源定位攻击源。大数据工具还特别适合用高级持续性威胁的检测和取证。利用大数据把所有的日志记录下来,通过大数据分析,实际上可以把进来的APT的风险一步步找到,来找到它潜伏的地方,甚至是攻击的来源。

另外,我们现在访问网络,有些用户是合法用户,但是也有一些恶意的用户。怎么样识别一些恶意的用户呢?不同用户访问的等级是不一样的,我们需要有权限的管理。但是,面对未知大量数据和用户,预先设置角色是比较困难的,所以在大数据场景下采用角色挖掘技术可根据用户的访问记录自动生成角色,是白天上网还是晚上上网多,是什么时段上网多,可以判断这个用户,以及发现这个用户的异常行为。在相同用户角色群里面可以对比,找出来异常的时候,可以判断用户原来是这个单位的,还是不是这个单位的。对于异常用户还可以及时跟踪,判断他什么时候可能会发生攻击,会从哪个地方发生攻击,找出这种攻击意图,可以提前报警。

通过这种及时发现用户偏离日常行为的潜在风险,对用户访问风险可以设定权限,可以限制用户访问,这种用户可能不是恶意用户,但是他可能被利用了。

基于人工智能效率可以处理数据安全问题。人工智能作用就是可以做大量重复工作,这是人类不可比的。一般来讲,利用人工智能技术,一分钟就能完成一个信息安全分析师一年分析数据代码的工作,所以,人工智能对网络安全风险处理有比较高的效率。当然,人工智能本身可以对网络流量、各种各样的数据、成千上万的关联点分析,可以发现异常,可以对企业的预计数据以及外部关联数据关联起来,找出网络风险评估,对伪装的恶意文件包括僵尸网络可以通过人工智能技术分辨出蛛丝马迹来。这些都是很好的应用,美国国防部曾经委托一些公司利用人工智能帮它处理数据安全问题。

当然,人工智能是双刃剑,我们能利用人工智能发现网络安全问题,黑客可以利用人工智能技术来变换黑客入侵方法。

利用大数据与人工智能结合可以实现制定数据风险模型和恶意内容库,通过外部的舆情采集并关联用户行为信息,制定数据风险模型并及时更新调优规整。可以支持图片和视频的鉴黄功能,识别率准确基本上达到99%。支持暴力涉政的识别,包括武器,敏感人物、血腥场面,特定着装,眼光场面以及特殊符号等的识别。

这里举一个例,阿里利用蚂蚁金服和菜鸟网络跟踪奶粉,中国有些年轻的妈妈比较相信新西兰和澳大利亚的奶粉,通过淘宝、天猫来买,怎么知道奶粉原装是在这些地方呢?实际上阿里在每一个生产环节都加一个区块,加上时间标签,加上生产内容,所有区块成为一个区块链,然后送达到消费者手上,可以通过支付宝扫一扫,就能发现它是否是来自原产地的。据说阿里现在还把区块链用在了香港菲佣,香港有很多菲佣,他们在香港寄钱的时候往往半个月才能收到,总之时间比较长,现在阿里在香港用了支付宝,然后在菲律宾有一个类似支付宝的业务,他们与相关银行联系好,这时候香港菲佣通过支付宝寄钱,应该说一分钟搞定。

区块链本身四方面的安全结构,有利于解决数据安全的问题。但是我们要知道,区块链本身是用信用算法,代码如果有漏洞,也会被黑客攻击,所以区块链本身也不能保证百分之百的安全性,它的匿名性防篡改技术也可能会被恶意行为提供监管。

物联网与区块链结合还可以解决中小微企业贷款难问题,现在中央和国务院非常关心我们的中小微企业贷款难贷款贵,因为中小微企业很少有固定资产可以质押,没有不动产,因此,银行很难给它贷款,但是实际上很多中小微企业有半成品,还有一些准备出库的产品,尽管这些是动产,但是短时间在仓库里面是不动产。通过摄像头来监管,把摄像头的对应电视屏送给银行,银行根据电视屏幕发现,东西还在仓库里面,这段时间它是不动产,银行就可以给他贷款。当然了,企业在出库之前首先要还贷,然后银行才能解押。这个过程拿区块链来帮助管控各个环节。没有这个工作之前,所有中小企业贷款,现在民间借贷的利率高达15%,现在有了这种管理方式,借贷利率只是银行正常利率基础上加了1.5个分点,也就是只有7.1%,比民间借贷利率低一倍,所以应该说还是很好的。

工业互联网确实有非常严格的安全问题,需要非常严格的安全防护措施。但是仅靠工业企业本身来做信息安全是不够的,还需要得到公共系统集成商,还需要当地政府给予协同,更好防护提供安全保障。

最后,大数据已经成为信息社会的热点,也是信息安全博弈的焦点。大数据应用本身既是安全防御的重点,也是保障网络与信息安全的有力手段。我们需要将大数据与人工智能和物联网技术结合,增强信息安全保障能力。而大数据的安全需要从技术、产业和管理多维度来保障,还需要人才和法规来支撑,谢谢大家。

主持人:谢谢邬贺铨先生的精彩演讲。我们看到,大数据可以说是一把双刃剑,它可以帮助我们保护信息安全,也可能带来很多新的挑战和问题,而密码技术或许可以帮到我们应对和破解一些新的情况、新的难题。

下面请各位准备好同声翻译器,频道1是中文,频道2是英文,下面我们有请的是2015年度图灵奖获得者、美国国家工程院院士、加密实验室首席科学家惠特菲尔德·迪菲先生来分享《大数据和信息保障》。

惠特菲尔德·迪菲:首先要感谢大会的主办方,感谢这次高峰论坛的主办方,也感谢我们同事邀请我再次做发言。

首先,我想从提纲挈领的角度来谈一谈什么叫做信息保障。

在美国,其实我们对于这样一种说法是在不断的演进,一开始我们谈的是信息沟通的安全,也就是加密,一直到了“信息安全”,有时候信息安全其实也是会和网络安全混合在一块儿的,这就是一种通讯和计算安全的整合。随后又把它延展到很多叫做“信息保障”的领域,这个保障其实就如字面所言,就是要保证你在一些不能保证的领域,要保证它是安全的。所以,这其实还是回到我们“信息”本身来谈一谈。

对于我们现在这个社会来看,这是一个新的挑战,从全球发展来看,有三个最关键历史和阶段,比如数百年以来,我们先经历了农业社会,就在两百年前我们又开始了工业社会,工业社会的演进就带来了第三阶段,也就是我们今天的信息社会。

先谈农业社会,可能大家会觉得,农业社会有什么保障吗,比如要保障足够的食品,要保证我们身体是健康的,要保证我们能迁到另外一个地方有足够的农产品能够种植。这样一种保障其实是没有办法去保证的,因为无法去控制农业社会这么多的因素,从而实现所谓“保证”的目标。比如动物健康,动物健康其实在数千年以来都是在不断演进的过程,土地也是一样,土地在千年当中不断的轮耕,耕种也发生变化和演进,还有种种不同的对土地的影响和伤害 。另外,农业社会可能农民经常看日历和时间,知道什么时候去耕种,何时要进行收获。而且,也必须要对天气进行预测,最重要是要保证有水资源的管理,比如说在很多的地方,包括像建坝、建设水利设施,建设灌溉渠道,保证农业社会有足够的资源来供应。

到了工业社会,对于“保障”的需求又不一样了,我们必须要确保原材料的供应,这种原材料供应其实也会逆转现代社会很多的商业运作,比如会影响到交付,必须要保证机械的维护,这也是非常重要的一个保障目标。而且,必须要保证供应链的运转顺畅。虽然说工业社会和农业社会不一样,但是供应链变得更加紧密,而且要保证分销渠道正常,这是能帮助产品更快的销往各地。

有一个非常伟大的发明,也就是在工业社会早期出现的一个伟大发明加快可互换件。在此之前,其实每一个零件都是完全手工打造的,也就是说每一个企业或者每一个组织,必须要对产品做自己定义化的零件生产,每一个部件都不一样。但是到了“可互换件”这样一个概念出现之后,就是要让机器彼此形成互换和融合,这时候就要保证每一个组织的机器体系是相似的。而且能够让部件标准化,它的规范是标准化的。这样的一个概念,其实最早出现在机械和枪支领域,因为枪支是要求非常标准化的,比如说每一颗子弹进入到枪膛之中,就在几秒钟时间必须保证子弹从枪膛射出和爆炸,这就需要标准化的构建。所以,有没有一些可能性能够把设计层面、研究角度来确保每一个开发、每一个设计能够在功能上是如你所愿,能完全标准化,不需要对每一个部件再做人工的审查。现在我们在管理建筑、管理工程制造上有非常多的法则,有很多法规和标准,比如像所谓标准化的流程、标准化的法规、最佳实践,或者是有很多的规章和一些指南,指导大家该怎么样去做,但更重要的是一些规章制度,要保证功能准确性,比如汽车行业,还有飞机,就是最好的两个例子。当然了,每一种刚刚谈到的社会形态依然会存续,也都是会含有之前的一些社会形态的影子。

我们再谈一谈信息保障。信息保障关乎于两方面融合,第一个是文件性,就是保证系统去准确运作,保障在所有自然条件下,无论是不利或者有利条件下都能保证它的工作。这就是比如航空代码的修订,比如去除一些代码的噪音或者干扰。第二部分就是信息安全,要保证哪怕是受到攻击情况下这个信息系统也能够正常工作。所以,这偶然之间带来另一个话题,也就是质量保障。安全攻击即使会降低大规模的生产效率,如果说能够找到作用于这样一项攻击的方法,其实可以用更要的方法攻击更大的东西。比如今天早上也谈到了在二战的时候图灵为了破解应对德国敌军的密码系统,其实也发了很大的经历。

所以,我今天早些时候也讲大信息安全有三大关键要素,分别是:第一是可利用性,一般来说它总是我们需要让这个系统能在线做好它该做的工作,特别是自动驾驶的汽车控制系统,我们要确保可利用性一直存在。第二点是完整性。我们想要确定信息的来源是你所期望的那个来源,而且过程当中没有被人篡改过。第三点是在某一些系统当中,特别重要的一些系统,比如银行的系统当中要想有保密性想要确保别人不能够知道你不想让他们知道的信息。但是,在我的想法当中,这三者是按照顺序来排列的,前两者的重要性比第三者更重要一些。

主要的方法,至少到目前为止大家公认解决这个问题的办法就是密码学,把数据进行一定程度的混淆,使得只有拥有密码、拥有密钥的人才能够解锁,解开这种混淆,了解它原本的信息。

所以我们可以看到,在信息安全和密码学的关系当中,密码学是信息安全的核心,我觉得没有一个真正的分布式的安全系统不用密码学的。但我绝对不是说光有密码学就可以保证信息安全,但是我现在不讲别的,因为到目前为止,我认为信息安全当中,密码学是绝对不可或缺的一部分。有的密码学,也许在解决问题的过程当中仍然还有一些问题,那可以用其他技术进行密码。但是,没有密码学,就绝对不会有信息安全。

根据我们之前所讲的重要元素,密码学它给了我们两大关键元素。我们能确保密码学保证真实性,因为入侵者发出的信息会被破解为乱码,大家可以判断得出来这些经过非正常加密的信息,然后就知道这个信息已经被篡改了,它不是我所想要的信息,所以可以直接抛弃。而另外一方面,密码学可以保证保密性,这也是密码学通常情况下大家都认识的一种情况,比如说以前的无线电通讯、卫星通讯,这些信号可以让偷听者随便拦截到信息,但是没有密钥就无法破解,无法了解信息具体内容。现在在大数据和密码学之间有一个非常重要的关系,这个传统的系统密码学做法就是去把密钥的安全性或不安全性扩大为消息的安全性或不安全性及我们知道,往往一个密钥的数据量比较小,只有几个字节或者几百个字节,但是当我们把它的安全性看到可控制消息的安全性或者不安全性,它的重要性就提升了,因为这个消息可能是非常重要,数据量大到几GB的数据传输,数据量非常大。通过这样一种技术,我们可以把这些非常大量的数据,也就是大数据通过非常小密钥进行安全保障。也就是说本来这么大量数据的安全性现在转化为了密钥管理安全性问题,密钥尺寸小得多,管理起来相应就容易一些,这也是密码学的一大优势。

但是我们还面临一个很大的问题,就是安全计算,我们想让计算机替我们人类做复杂计算,我们一直都在努力的写出更加复杂的程序来发挥计算机的功能,但是我们也知道,计算机应当是永远在做我们让它做的事情。但是,这一点并不是在任何情况下都能做得到。因为安全计算问题的本质在我看来本质上就是因为我们不知道如何使用程序来解决,不知道如何去编程,我以前也是一个编程人员,我学到一定程度就发现,我靠编程吃饭是没什么问题了,但是编程这件事情现在过去的50年当中可以说一直都在飞速的进化,而我们仍然不知道本质上究竟该怎么样去编程,我们没有办法编出一个程序确保它百分百永远按照我们想法去运作。但是我们也可以使用外部的程序,我们做的程序有各种格式,PDF、HTML,把它的导入计算机当中,让计算机进行执行,如果我们不知道如何从本质上了解编程的本质,那就没有办法保持这个过程的安全。在67年前,有一个NSA的加密算法,目前让很多人都知道,一家著名的美国公司,结果有一个人打开了一个EXCEL表格,且这一张EXCEL表一个木马程序,控制了整个计算机网络,并且还在网络上面向外传播。我们大家都在强调电子邮件中的附件不要随便打开,但是说实话,这样的警告效果真的很有限,我们总是告诉大家我们要好好工作,但是工作当中必须的这些电子邮件的附件我们在打开的时候没有办法确定真实性大地怎么样,毕竟我们还是要开这些附件,不开的话,我们工作没有办法进行,但是开了的话,说不定它是一个木马,那系统就完蛋了。计算机有硬件和软件两部分组成,我们想一想,硬件比软件在本质上更加简差单,但是要修复是很难的。50多年前,英特尔发现了硬件的一个BUG,不是芯片的问题,但是后来要一直去修复。也就是说在硬件上面我们必须要做到正确,否则后续修订太难了,而软件不一样,软件体现了整个社会人类当中最复杂的元素都纳入到软件当中,软件当中往往充满了错误,这就是为什么我们软件需要不停进行更新,大家会发现自己在使用的软件不停的都在进行更新修复过去所存在的一些错误。如果大家都一直把它接受了,或者认为这是很标准的做法就太可笑了。我们知道,现在是软件的时代,软件是钢铁之后最伟大的生产资料,大家可能听过这句话,大家的智能手机就是一个小小的平台,在这个平台之上,人们可以创造出这么多新的软件,通过编程这种实践就给大家带来新的价值,这就是现在由计算机统治时代其中一个重要信息。历史上有一个历时45年的计划,在2000年遇上一点麻烦,我给大家简单介绍一下,有一款软件,做得很好,研究非常精确,确保它可以正常运作,而且也经过了数学的验证,一切都是正确的,确保系统当中一切都是受控的,这是一个非常棒的环境,但是却仍然面临着两个重要大难题,人们发现,要想达到这个程度,证明是一件比预期要困难得多的事情。第二点,当我们在进行这些密钥生成过程中,可能会形成一个秘密通道,秘密通道当中还没有一个特别良好的系统性解决方案,到2000年时我们发现,信息可能从变换渠道当中泄露,也就是我们需要更加互动的打击犯罪方法来解决这个问题,这就是在2000年的时候发生的。我们发现一些防病毒软件的公司,防恶意软件的公司,他们不停的在给我们提供新的防火墙隔离最新的病毒和恶意软件,这已经成了一个很大的软件市场,但是我要告诉大家,其实这已经带来了一个新的问题,就是在计算方面,我们还没有在工业社会中可以使用的可互换零件,确实有一些零件是可互换,比以前好得多了,但是怎么样能让大家代码都能够进行零件的可互换呢,怎么样确保这些程序都可以满足这样的标准呢,怎么样确保我们能够针对这些二进制的代码进行一系列的流程验证,就能确保它百分之百安全了呢,或者说尽管大家不愿意接受,还是愿意花很多时间让软件通过相应质量认证的过程,但目前这非常困难。方法方面我们会提出一个问题,编程的有点是很有趣,但是有一个问题是如何保持编程的有趣优点,让更多人参与到编程当中,同时避免写出来软件有太多的问题和bug。

为什么这些难题还没有被攻克呢?我觉得其中一个可能的答案就是,这些大型的电脑公司并不真心希望用户去拥有真正安全能赋予他们的自主权。比如他们想做的是这样的,我给你看一部电影,但是受到版权保护,所以不能随便复制。如果拥有系统完整自主权的话,那任何文件都能够被你被复制,毕竟我们也是受到这种社会制度规则的制约。但是我觉得现在很多投资进入到了目前一些解固途径当中,这些对于解决某些基础安全是非常好,可以在基础方面加强。我提议的做法是模仿建筑的做法,建筑做法有些程度上很像编程的,建筑师现在也会使用一些设计软件,但他们最开始的时候是通过模型来开始的,后来这些模型在历史上经过发展之后,到后来可以变成非常精细的模拟代码,在软件当中模拟出他们所设计一切环境和建筑,我觉得这个在我们编程当中可以借鉴。

我觉得人工智能和大数据将会在解决我们安全问题方面起到非常重要的作用。因为针对我们这些编程和编程的方法地,我们要关注一点,高级语言与低级语言之间需要花很多时间进行编译,编译器每一秒钟处理几千个代码,这过程需要我们关注。如果编译器经过详细检查可以避免其中一些错误的话,将是非常一件非常好的事情,但是目前很多人并没有看到这一点。另外,大家再想一想代码,想一想人类语言跟编程语言之间的区别,大家也许会有一些新的启发,我们现在没有时间给大家详细讲解保障的所有方法,不可能做到这其中所有的事情,动态规范、动态文档或者正式验证,进行相应比较等等,我们知道,在大部分编程过程当中,相应的开发文档需要有完整记录,这样的话,后续开发人员能够无缝衔接之前开发人员的工作。而且我已经离开具体编程领域五十多年了,但是我相信,这些流程仍然是行业当中广泛使用的。我们认为,保障是非常值得的,必须要去做。数据量越大,安全保障的重要性显然就越大,有太多案例已经证明了这一点,甚至我们没有办法判断这些案例当中软件到底写得怎么样。举个例子,开平方的算法,开平方根听起来是非常简单的一个算法,但实际上具体代码当中,绝大多数代码行数都是用来验证它得出来的结果究竟与真实的结构是否够接近。

我要讲的就是这么多内容。

主持人:谢谢惠特菲尔德·迪菲先生,刚才感觉好像坐了一趟时间穿梭机,从密码保障沿革到最新技术做了讲解。先前领域了解一下密码技术中国智慧,我们有请中国科学院院士、清华大学高等研究院“杨振宁讲座”教授王小云女士,为大家分享《密码技术与数字经济高质量发展》,掌声欢迎。

王小云:非常高兴我是第一次参加数博会,今天我报告题目是《密码技术与数字经济高质量发展》,今天非常高兴在这儿见到了惠特菲尔德·迪菲教授。

首先我介绍一下数字经济和安全问题。在我们信息技术高度发展的今天,万物互联极大改变了人们的生活和思维方式,激发出创造的无限可能。同时,信息技术极大地推动着世界向更高效、智能、环保、边界性格的方向前进,出现了无人超市,还有很多无人机,还有智慧城市等高科技产品和应用。当然,我们也有很多技术,比如说云计算、大数据,还有物联网的很多技术以及人工智能的技术。但是,在通往智能社会的道路上,信息安全问题是不容忽视的。

下面我引用一下2016年杭州召开的G20会议“数字经济”的概念。数字经济指的是使用数字信息和知识作为生产的关键要素,以现代信息网络作为重要的活动空间,以信息与通信技术有效使用作为生产率增长和经济结构优化的重要驱动力的各类经济活动。大家知道,目前我国以及世界已经进入到大数据应用和数字经济高速发展的新时期。但是我们信息的恶意获取、篡改、伪造和滥用,使得数字经济的安全问题日趋严重。密码技术就是保障数字经济高质量发展的一个重要技术手段。

在数字经济时代,大数据安全和个人隐私保护问题是非常严重的。比如说我们在无人超市里留下了购物记录,在手机里存着很多个人的隐私,在医院里有疾病的诊断和治疗记录,智慧城市产生了敏感的统计信息,我们的生物特征被广泛采用滥用,越来越多场景的泄密行为更加隐蔽。

在信息化世界里,我们希望做到既保障隐私过程无痕,又实现事后审计与司法鉴定取证。就是我们保护隐私同时又不能做到犯罪泛滥。如何做到溯源定责,保证电子证据真实性、合法性和可认证性,微电子签名法的顺利实施提供技术支撑如何做到最大程度的信息利用和最小程度的信息泄露和滥用。目前我们国家已经制定了三部法律,电子签名法、网络安全法和去年公布的电子商务法,现在还有三部法律:密码法、大数据安全法和个人信息保护法。这些法律的制定,将会为我们大数据安全提供法律保障。

云计算印发的安全挑战。我们知道,海量数据存储、传输、处理和利用,特别需要大型计算能力,云计算的不可信任也带来了新的问题。

我们就需要对密文进行一些处理,特别是新型密码技术,比如有密文检索技术,密文计算、同台加密,同态加密就是一种密文检索技术。还有函数加密等各种手段。

物联网引发很多安全挑战。比如说RFID、智能卡、无线传感器等,我们需要各种设备融合在一起的复杂网络进行信息分析,找到泄露源,做安全防护。这个过程当中,有一些设备是轻量级的,因为这些设备资源少、低功耗等特点,需要我们轻量级的密码研究。

人工智能引发的安全挑战。人工智能技术技术应用广泛,我在这里就不多说了。但是人工智能发展给密码技术带来了哪些挑战呢?生物特征和个人隐私保护的问题,还有人工智能计算模型和大数据攻击的问题,人工智能的自动化控制问题,比如我们有很多人工智能的场景,如果自动化控制的参数发生了改变,那么它的后果是不可设想的。还有密码技术为人工智能的安全提供理论与技术支撑。还有一个方向是密码领域我觉得值得考虑的问题,就是基于深度学习的密码分析技术的研究。

生物特征系统的威胁,比如我们对一个指纹进行采集,我们有特征的提取,有特征数据的存储,特征匹配以及到应用系统。在这个过程当中,有很多环节可能被攻击的。在屏幕上我列了一些具体攻击的手段,前一段时间,做了一个人工智能的攻击报告,也是在贵州,刚做完没有多久,就两周时间。如果加一个扰动引起的假冒、篡改攻击。大家知道,密码安全性基于数学性难题,如果一个问题不是数学难题,那么可能有很多攻击方法和手段出现。?

数字经济高质量发展离不开密码技术。安全是发展的前提,发展是安全的保障。信息与网络安全保障体系需要完善一些技术:比如云服务的远程身份鉴别、隐私保护问题,大数据的安全治理问题,支付的安全问题,生物特征的保全问题,万物互联的审计溯源取证问题,芯片的安全问题等等。

今天我们的数字经济涵盖了金融、税务、工控、交通、医疗、水利、电力、物联网、自动汽车、无人机、卫星通讯系统等等很多。

第二部分,我简单介绍一下密码学发展大家知道,1949年shannon完善密码安全系统的概念,1976年是Diffie和Hellman的创始人。从DES到AES,形成了对称密码的较为系统的设计方法。

在密码设计的过程当中,我们有很多算法或者系统在应用过程当中我们会有更复杂的密码系统,但是基本算法有三类,一类是加密算法,保证机密性。签名算法保证合法性和不可抵赖性,哈希算法保证完整性。

密码分析推动密码设计学的发展,我们密码有对称算法,比如有差分,线性分析、代数攻击、模差分比特分析法,这些分析方法对现代密码学的发展起到非常好促进作用。

在公钥算法分析有很多著名的密码学家和数学家提出非常好的算法。

下面这个图提出了哈希函数的算法,后面的红点是我们首次提出的碰撞攻击的算法。

我本人做了十年多哈希函数的应用工作,比如支付,身份鉴别、文件保护、口令保护、区块链等都离不开哈希函数。

先面我讲一下哈希函数的特性。哈希函数必须满足三个特性,第一个是抗原像攻击,我们知道一个文件是Y,要找到这个文件M,或者另外一个文件M,全球计算机资源上万亿年求不出来这个M,很难求。但是,如果我们加一个条件,找一个M,它的数字指纹有70个0,就是一个比特币,所以大家认为比特币非常深奥,实际上就是一个弱化的密码破解的结果,我们做的是全算法的比较难的破解解决,这是一个比较简单的破解,就是比特币。抗第二原想攻击,就是给一个消息M1,找到另外一个消息M2,如果有一个人对M1进行签名,另外一个人找到M2,跟M1的数字指纹一样,签名就是一样的,那就叫偷梁换柱的一种攻击。抗碰撞攻击,就是说只要两个信息M1和M2信息指纹相同就可以,我带着我的学生做的就是碰撞攻击。

新一代的哈希函数,比如说SHA2、SHA3、SM3(中国标准)、STREEBOG等。大家在做哈希函数或者比特币算法的时候,我相信对哈希函数比较了解。

另外一个方向是抗量子计算机攻击的公钥密码。我在2006年开始做高维格理论的密码体制研究。当然,今天看两,高维格理论的密码体制研究是抗量子计算机攻击公钥中非常重要的算法。中国的密码专家在格密码的分析和算法中也做了非常重要的工作。

大家知道,2017年1月,有一个叫心脏起搏器以及监控设备被指出存在着威胁生命的缺陷。这个设备使用了RSA认证参数,但是远没有达到足够安全强对,攻击者可以通过RF从远处发送指令。大家知道,如果你心脏里面有一个芯片,医生要对芯片采集信息,调整你的参数,如果没有密码技术,黑客也可以控制,不是特别难,他也可以改参数,他把你的心跳改为200次,我想,你的生命是非常难以保障的。

我这里列了一个基本框架图,不是特别精确,只是框架性的结构。我们通过事前的准备,通过密码技术做了一些身份认证、授权管理方面管理准备工作,管理过程中进行存储加密、传输加密、电子签名等手段,事后可以有安全审计的作用,保证不可抵赖性、可用性。也许我们医疗大系统会得到比较可靠的安全保障。

工控系统的安全问题。大家知道,我们大量工控系统采用私有协议通信,缺少安全设计和论证,并且工作控系统运行环境相对落后,很多场景我们牺牲了安全性,换取了稳定性。我们的安全更新维护不及时,问题是非常常见的事情。我这儿列了一个大体的工控示意图,我就不再一一介绍。大家知道,工控领域有非常多的攻击行为。比如说黑客远程入侵智能汽车,还有电厂遭遇USB的攻击等等。

电力系统的云端安全管理问题。比如有无线专网和有线公网,可能存在窃听、篡改、通信主体身份伪造等问题,所以,我们需要全方位的防护体系。

还有一个比较经典的例子就是电磁泄露攻击,远程射频控制,如汽车钥匙等采用Keelogq算法加密,大家知道,算法必须公开的,这样算法是保密的,公开以后,2008年,欧密会、美密会等得到攻击,就是黑客采取信息,可以得到一个和你的钥匙,可以打开你的汽车。

另外一个是火焰病毒,2009年十大黑客技术之一。后来火焰病毒攻击了很多的电脑。

还有一些攻击是网络密码设施的攻击,比如说RSA算法的安全性比较好,但是使用过程中用户不清楚造成的一些攻击。

还有一些就是协议,SSL协议是非常安全的,但是实践过程当中由于不正确性,导致了心脏的漏泄事件。

我在图上展示的是电力系统的密码保护方案示意图。

最后提一下抗侧信道攻击的安全密码芯片研究。我们在密码领域可以有一些非常有意思的攻击方法,比如说计时攻击、能量分析、电磁泄露攻击、冷启动攻击等新型技术,降解破解难度,来得到密钥。

基于芯片安全就歼整体安全框架,我们设计一个密码算法主要是设计一个安全框架,加入一些技术,使这个芯片抗各种侧信的攻击。

最后总结一下,密码技术将深度融合到5G、区块链、人工智能、卫星通信、物联网、智慧城市等众多数字经济领域。密码系统既要抵抗现有计算机能力攻击,也要抵抗未来量子计算机的攻击,网络技术发展的安全保障,需要培养高水平的解决密码安全的科学交叉型人才。

我的报告结束,谢谢大家。

主持人:谢谢王小云女士的精彩演讲谢谢,可见我们今天的对话是业界对高端最有深度也是最具国际化视野的,哪怕您是一个密码技术的小白,听到现在,应该也会有一些体会,有一些认识了。有体会才会有了解,有了解会产生理解,但是有理解很可能会产生一些自己的偏解和误解。不瞒各位讲,现在全球范围内真的对数据安全有一些重大误解,我们请到了阿里巴巴集团技术副总裁、阿里巴巴首席安全专家杜跃进先生为各位厘清《数据安全的六大误解》,掌声欢迎。

杜跃进:尊敬的各位领导,各位专家,以及各位听众们,大家好!

很高兴有机会在这里分享一下我对数据安全的一些看法。

我先有个引言。其实大家都知道今天有一个很新的概念,就是第四次工业革命。我们现在是在第四次工业革命的上半场,也就是说不断的有全新的技术在出现,颠覆性的技术应用都在发生,按照前三次工业革命一般性规律,这次工业革命还有三十年左右时间。在这次工业革命中,一切东西都在被数字化,数据驱动是所有行业所有企业的一个必然之路。因此,数据安全问题变成这里面最关键的问题。但是,在工业革命中间阶段有一个基本特点,这是全世界的共识,就是一切都在快速变化和充满的不确定性。在这样一个基本特点下,给我们安全工作或者是社会治理、社会管理工作带来的挑战是极其巨大的。大家可以想像,如果什么都不知道,未来是什么样子一点都不知道,那我怎么来管理它,管不好的话,可能不但没有达到预期效果,反而有很大的副作用。很遗憾的是,在今天,数据安全领域中我用两个词来形容现状,其中一个词是数据恐慌,所有公众、全世界的人谈数据色变,我们看到各种各样数据泄露、数据滥用,我们看到各种精准化服务,我们认为背后是不是有人随时随地偷看我们隐私,我们并不清楚背后真相是什么。与此同时,全世界的管理者、学者们其实在陷入一片混乱。我们在快速变化、充满不确定情况下出台各种各样法律政策,我们并不知道它会怎么样。在这种情况下,一个地区或者一个行业出现的做法,会快速被别的地区别的行业效仿,同时所有人都不知道会怎么样。所以,一片混乱这件事情并不是我说的,而是一些诺贝尔经济学家讲,我们开了两天会议之后,大家谈到全世界数据安全法律治理时得到的最后的共识性结论。

我今天想跟大家探讨的是,既然在今天这样一个充满了不确定性、快速变化的时代,数据安全问题又是这样一个状态下,我们是否需要反思一下我们对数据安全理解是否要不断调整,所以定了今天这个题目。

我先说六大误解:

第一大误解,限制数据采集就能保护数据安全。现在很多人熟悉当一个应用向大家采集数据时,要你同意才行,并且要最少够用。但是我想反思的问题是,这件事情真的能解决数据安全问题吗,或者是我们今天的重点吗。至少在中国大家关注个人隐私保护是因为很多的黑灰产在充分窃取个人信息之后产生电信诈骗甚至导致人的生命安全受到威胁,这都是有真实案例的。大家看到是因为过渡采集这些数据,还是因为这些数据没有被保护好使用好。在中国大家特别反感动不动有骚扰电话打进来,这些骚扰电话打进来是因为拥有你电话这些机构非法采集了你的数据,还是它滥用了你的数据。所以,目前法律界更多精力放在了限制数据采集,有一定效果,但是我认为,此时此刻特别重要的需要加强的是数据保护和使用。哪怕是合法采集的数据,这些企业、机构、组织是否对它进行了足够好的保护,是否正确使用了这些数据,是否是使用这些数据时没有危害到个人消费者利益,这点更加重要,可是我们这方面还做得比较少。

第二个误解,精准营销就等于隐私侵犯。现在存在各种各样恐慌,觉得我们随便说一句话,当天有一个应用推销你说过话的东西,其实这是一种误解。什么是隐私?是你不希望被别人知道的个人秘密,这些秘密本身并不是问题,这些数据没有问题,放在笔记本里、说给树洞都没有问我们担心的是心里面不想被别人知道的秘密被某个自然人知道。但是,精准营销这件第四次工业革命一定会存在的基本特点,第四次工业革命未来一定是个性化服务,如果它等于隐私侵犯的话,那第四次工业革命不要搞了。所以,本质问题在于,当企业服务给别人提供个性化服务、精准营销使有没有意识到这个过程中不要侵犯隐私,有没有能力做到这个过程不侵犯隐私。技术上可以做到的,但是很多企业可能现在没有做。所以,问题不在于个性化服务、精准营销,在于怎么做的。

第三个误解,大数据安全能防止我们的数据被偷。我们今天大家在讲大数据,但是我们今天要解决的问题不是大数据安全,我们今天要解决问题是大数据时代下数据安全。什么区别?今天在网络上面任何一个行为,你的数据要经过一个很大的数据供应链才能完成服务。在网上买一个东西,看上去数据给到一个APP,其实后面给到了商家,商家给到了支撑它的软件供应商,还要给到支持物流服务的多家企业,支持金融服务的机构,平台服务等等,这只是一个例子而已。所有事情都是很复杂数据链来完成的,这些数据链上有很多企业和渎职。我们要解决的问题是,数据在这么复杂链条旋转大循环过程中谁来保护数据的安全。这个大链条中只有极少部分企业或者组织可以一定程度上说数据很多,但是只保护了它没有用,因为黑客是在更容易偷数据情况的地方来偷,因为数据是要大循环流转,不需要攻坚克难哪里难往哪里去。所以,数据今天不只是只盯着很大的大数据平台就够的,而是要解决全链条数据安全问题。

第四个误解,DT时代和IT时代一样,先有应用后有数据。在IT时代,我们先要有一个披萨,按照这个配料去买材料,降低成本,提高效率,减少出错率,但是这并不是DT时代特点,至少不是未来三十年供数字经济或者第四次工业革命时代的特点。我们看一看今天所有的大数据领域中的创新,没有一个是这样做的。大数据时代的创新是他到菜市场去看,还有这些东西,然后发现用这些东西可以做出一个很有意思的事情,无穷无尽创新是这样产生的。在这个时代,如果坚持要求任何一个服务先一清二楚说清楚拿这个数据要怎么做,这是违反今天的趋势,会破坏大数据时代的创新。

第五个误解,过去的思路和方法,能够解决今天的数据安全。安全这件事情有很长的历史,传统的数据安全历史更长,传统数据安全保护的是,我作为一个组织,我保护我手里的数据,刚才讲到IAC问题,可用性、完整性、机密性问题。但是今天手里数据不光是我自己的,可能还包括我的客户的,或者别人的,同时,数据不再是固定文件,不再是简单存放在硬盘上,是快速流转很碎片化的信息。传统信息安全或者网络安全大家非常熟悉以系统为中心的安全,我们过去要解决一个软件一个应用、一个操作系统、一个服务器一个手机设备甚至网络系统安全,首先解决是这些系统要按照预定的功能完成预设功能。当数据在这个系统里面的时候,才会跟数据泄露有关系。但是今天数据是不停的在转,跟非常多产品、系统、服务、人员甚至企业之间极快速流转,传统以系统为中心安全并不能满足今天数据的安全。所以我们过去积累的方法、经验、思路都不足以解决今天的数据安全。总之,今天数据安全是全新问题,需要新的方法,需要重新定义。

第六个误解,数据是石油,所以应该像保护石油一样保护数据。我们知道,数据在今天这个时代以及未来像石油一样重要,可是,如果我们把数据当成石油这样的资源来保护,我们就会犯下非常大的错误,因为石油是一个总量有限一次性消费的资源,但数据完全不是,数据是人类自己加工生产出来的,人类在过去三年里面产生的数据,在人类历史上总数据量超过90%。我们希望数字经济或者第四次工业革命要想更健康的发展,我们希望有更多数据产生,而不是像石油那样。所以,如何鼓励数据更多产生,如何鼓励数据更好的流动,那就像血液一样,其实是更加重要的。

了解了这样一些误解,我还想跟大家分享一些在这样误解下有哪些值得反思的地方。

第一个思考,我们该如何适应未来。我一再讲,我们处于第四次工业革命中间,挑战非常大,快速变化,不确定性,过去经验越来越没有用,在这种情况先我们如何适应未来,不仅仅是政府官员,不仅仅是我们教育子女,还包括我们每一个人,我们下一个工作在哪里,我们如何适应社会,对每一个人都是巨大挑战,在这样的挑战下,我们一定需要非常开放、非常创新的思维,一定要非常重视那些冲在一线摸爬滚打的地方得到的经验,一定要快速的试点迭代,没有办法用一个规则出来之后大面积快速使用,同时一定要有更大的视野和格局才能适应未来。

第二个思考,数据安全需要重新定义。刚才讲了那么多这个不对那个不对,这个不行、那个不行,那今天该怎么做,我不敢说今天一定要怎么做,刚才说要尝试一个全新的思路。对一个组织来说,当数据给到一个组织的时候,不要说有多少APP,它的系统是否安全,我们先看这个组织是否安全,你是否信任它,或者你有多信任它。那怎么看?三个概念,合规是政府监管的底线,该做到的有没有做到,就像考试是否及格。安全就是对风险控制,这就好象对知识掌握能力。但是当我们选择数据是否可以给到一个组织的时候,最佳模式是看它的能力,能力有效其实是更加稳定的,一个人有非常强的语言能力、非常强的数学能力,会支撑他非常稳定的相当稳定时间能应对风险,能达到合规。但是另外两个可不是,因为安全是对抗的,今天合规了,或者今天没有风险,下一秒钟可能就没有了,因为下一秒钟可能发现新的漏洞,风险又出现了,但能力不是的。所以1984年,卡耐基梅隆大学做的,把组织能力度分五级,加上今天数据安全和安全的经验,形成以能力成熟度来衡量一个组织,就是这三句话,以数据为中心、以组织为单位、以能力成熟度为核心,可以衡量单一组织可信任还是不信任,或者可以信任到什么程度,数据是否可以给它,哪些数据或者哪一类型数据可以给它。跨组织怎么办?我刚才讲,一个服务完成是要很多组织,同样可以这样,当一个组织和另一个组织进行数据交换共享的时候,可以根据对方数据安全能力决定是否要做,并不需要对方能力始终比我高,而是需要看根据数据效果流转的目的地和我要哪些数据和哪些类型数据转过去,够用就行,用这种方法来解决更大循环的安全问题。如果是这样的方式,传统管理方式是完全不适应。以阿里巴巴为例,过去建一个系统,对它进行系统数据强行监控,这种模式不适应未来,中国有5000家企业,每一家企业未来都面临数据严重问题,今天数据没有成熟标准,一定要走到很多方面更自主的多方面配合参与的治理模式,我们不是为了安全而安全,这种治理模式下最终希望达到目的是让数据安全和数据流动能正促进,我们更好模式是安全不再仅仅是成本和责任,安全意味着更好的商业机会。把安全变成内在动力,只有这样,企业才更愿意提升自己数据安全,而不是等着别人开罚单。

我们看到,在法律界比较重视个人信息的保护,在传统技术界重视企业自己的数据安全保护,在今天,这两个要互相多学一学别的领域。在法律界我们需要考虑数字经济企业保护,因为他们是让数字经济持续发展的重要组成部分,在技术界,不光要考虑保护自己的数据,还要考虑保护我们手里个人用户数据,这是一个交互。在治理层面不能一味罚款,大量小微企业他们也有数据安全问题,但是他们可能能力不够,我们需要帮助它,对抗过程中可能经常犯错误,我们要帮助他但是对于该做不做,故意危害消费者利益的,应该送罚。

这是我的分享,谢谢大家。

主持人:谢谢杜跃进先生的精彩分享。我们谈到了关于数据安全的六大误解,我发现刚才这个误解我自己强真的有过,比如关于广告精准投放,我曾经跟朋友说我想换一双球鞋,没有搜索过,居然在某宝打开首页推荐上是一双球鞋,当时我觉得是不是我的隐私被侵犯了,现在看来好像我们需要更新视角看待它,它可能是一种技术问题。谈到个人隐私问题,下面我们将有请励讯集团全球高级副总裁及首席信息安全官菲拉维欧·维拉纳斯特先生来谈一谈《大数据时代的身份安全保护》。

菲拉维欧·维拉纳斯特:大家下午好!非常感谢邀请我来到这里,今天我会讲解关于身份安全的保护,如果大家知道现在个人数据是非常具有价值的,而有的时候,这些能力打开系统的钥匙是由一些人掌握的,大家要知道,这些人的身份就需要进行保护,否则的话就非常危险,我们要保证身份认证,才能保证系统不被别的人伪造钥匙打开大门。

我们知道,身份认证过去一般通过人们在数字世界当中生活会生成系统当中的数字指纹和数字足迹,这些数据足迹就会实现一个身份,这些身份是实体的可观测的数据点,比如账户密码组合、生物特征、安全设备等等,都是与信息和程序相关的,这些信息,当我们在进行大数据分析时是非常重要的,因为我们需要去进行身份的识别才行。但是,真正理解身份的一种方法就是把所有具体数据点给连接起来,从而可以覆盖到更大的数据面上。现在有很多技术进行身份识别,我们会把所有信息用来进行身份的识别和统一,来确保在运行程序的时候声称自己是谁的用户确实是他自己。在这个过程当中,我们可以去构建一个以身份为中心,能够体现其属性与其他身份之间关系的网络图,或者是社交网络图。这样的话,在网络图当中,各个身份以及他们之间的关系都能够明显体现出来。另外,我们可以通过唯一识别码来代表身份,并且在关系图中体现更清楚一点。

大家跟我一样,也会读很多新闻,相信没有必要再跟大家强调身份现在已经成为了欺诈的主要目标这一点。现在有很多黑客会伪造别人的身份来进行商业犯罪、网络犯罪。一般来说,身份盗窃有两种方法,一种是身份数据的盗窃,盗窃了之后,他就可以以你的身份进行网络世界中的操作,比如说偷取了你的账户名和密码,就可以登录到你的账户当中去。还有一种身份欺诈方式,可以说是规模更大的就是去合成身份。合成身份的意思并不一定是要攻破个人账户,而是去生成非常多的假账户,这些假账户并不是真实的身份,但是假账户的存在唯一目的就是进行欺骗和欺诈,欺诈的对象可能是消费者,或者是公司,甚至是政府。

我们来看一看右边这张坐标,从这张图上可以看到有很多跨行业的合谋欺诈,我觉得这是非常重要的一张图,因为这些欺诈者,他们会非常关注从欺诈行为中获利,所以他们也会关注更容易获得利益的重点行业。这些重点行业在面临欺诈的时候往往是一些重灾区,因为他们的能力之间匹配意味着他们的客户对于欺诈者来说价值更高。?

在谈到身份的欺诈,其实已经会看到越来越多不同的攻击方式和欺诈,身份合成欺诈其实已经占到身份欺诈的85%份额,所以,不仅仅是你身份的盗窃,或者是身份合成,这都是现在网上身份欺诈最重要的组成部分。而且这也导致了80%的信用卡损失,从全球层面上来看,根据统计,每年有2000万人因此受害,所以,这个数字是非常惊人的。

当然了,我们谈到了身份验证这个主题,当偷窃一个身份或者合成一个身份,为了所在潜在的非法利益去做这个工作,这只是其中一方面。从最近在网上的交易来看,我们越来越看到有另外一个新的增长趋势,不仅仅是在身份欺诈层面上进行欺诈和去攻击,更重要的是还要窃取第二个身份验证的要素,比如说通过一连串的工具或者是密钥的操控和控制,来去实现移动设备远程操控。所以,不仅仅只是对固定设备像个人电脑攻击,更重要是对移动端设备像手机的攻击。这对于网络电子商务来看是非常严重的一个问题。

刚才谈到了,你可能拿到很多密码信息,比如说验证短信或者验证密码,对你身份进行验证的所谓二次密码。在我们集团的ThreatMetrix平台记录了2.44亿次的攻击,而且不算30亿次计算机的攻击。

我们怎么样解决这些欺诈的攻击问题。首先我们要先把数据拿到,把它联系起来,然后建立起一个非常大的数据图,通过独特不变的唯一标识符(LexID),准确定位各个数据源中同一身份的相关数据。将此基本事实用于身份验证、基于知识的身份确认、以及为为行为分析提供背景信息。可以利用这样一种唯一标识符的身份识别强关联的关系来进行验证。当然了,也可以组合多个认证要素加强认证,比如说这样的用户可能只是用特定方法做某些交易的话,可能突然间出现了一种新的交易方式,那就可以知道这个用户可能不是真实用户,这是有风险的。

我们还做了另外一个工作,其实就是把多个不同要素结合在一块儿,结合我们的LexID,尤其是通过预先绑定的移动设备作为额外认证要素,去了解强认证的过程。当然了,从认证的要素来看,不同验证设备加上移动设备,这就是我们谈到的组合多认证要素的加强要素过程。

当然了,我们要找到这么多数据属性点非常难,并非所有数据都是有同等权重性。谈到大数据的层面来看,很多数据并不是完全准确的,这就意味着我们需要实现这样一个目标,要找到真相目标,还需要非常大的努力,而且很多身份有非常多角色,可能某一些角色彼此相联,更重要的是,要在人实体个体和商业实体身份信息层面上变得更加复杂和更有层次化。

谈到商业实体身份信息,这个为什么更加复杂呢?因为这是一种所谓层次化或者是架构化的身份信息,比如说品牌的所有者、品牌方所有下属子公司信息等等,通常来说,我们认识到不可以跨领域使用,就是无法从一个领域规则系统拿出来用到另外一个领域去寻找身份真相。

我们使用基于概率算法的大数据关联技术,通过不同的数据层级、纬度之间连接,来实现这样一个关联。我们其实可以用同样的一个技术来构建更加复杂的社交关系图,不仅仅只是根据个人的身份信息,还有根据它的社会关系建立这样一个网格图,这是概率算法的类聚技术可以用社交网格图建立。

这里我想强调一点,在设备层面上是如何对其他一些身份认证要素的重要性,比如口令令牌,如果能控制令牌,对令牌进行验证的话,其实能控制风险,但是有时候我也不能够完全依靠所谓的令牌,因为可能令牌随着时间推移越来越多看到它会被侵犯或者破解,所以需要设备绑定。

这里给大家举几个例子,但是我不谈更多的细节。

第一个就是身份验证,所谓加身份合身。对于个人来看,希望能够确保身份信息的正确性。而且,对于我们来看,哪怕是个人的钱包被偷了,或者身份证被偷了,我们仍然能够很快迅速确认核实这个身份是否是这个身份人发起的行为。从这张图可以看到,通过不同打分,这是对于美国整个体系中的打分来看一下它的身份欺诈的情况。如果是对于个人欺诈来看话,它的打分其实是比较低,但是和发生风险事件数量不成比例。换句话说,身份欺诈的分析其实是可以能够让你远离欺诈,可以关注更多高利润客户。

第二个案例是移动端,对于网上交易来看,这是成为身份欺诈的重灾区。而且现在在移动端上网络犯罪分子更容易获得身份信息,比如通过短信就拿到的你的身份信息,而且很多所谓的密钥也可以通过这样的方式来获得。比如你可能开一个银行帐号的时候,你输入了密码,你再去进行后续的交易时,比如说你使用所谓的浏览器,或者是利用了手机,或者是其他的终端进行交易时,其实你的信息可能会被截获。所以,在我们平台上1/8的新账户创建要求被认定是欺诈,所以被拒绝。

另外一个例子是美国的一个案例,我们谈到移动端新账户欺诈时,其实欺诈者使用很多技术避免被发现,包括使用多个不同的方式,我们就是把这些欺诈行为联系在一块儿,帮助商家发现,防范高风险行为。

所以,欺诈分子现在有很多方式,而且从安全角度上来看,我们必须通过不同算法,密码算法作为基石来进行监测,而且关注新的方式、新的技术来解决,包括哈希函数算法,我们必须随时关注包括防御方和攻击方之间攻方效果,而且不断改进我们防御效率。

第二点,AI技术这块也是欺诈防御当中越来越多,包括像利用机器学习,同时,欺诈分子和攻击者也利用AI技术。因此,如果我们不跟进新技术发展,是远远不够的,甚至我们必须领先于攻击分子一步,不然没有办法防御的。

第三点,现在从很多低延迟或者延时攻击来看,会导致攻击变得比较强势,而且多层级的攻击也是网络攻击新的特点,在合身客户身份和你的能力行为时,我们一定要在相关背景信息了解这些客户真正是谁,要通过所谓行政方法、管理方法、科学方法了解真正身份。

第四点,我们一定要几率与算法的大数据关联技术来准确体现实体身份,而且我们基于传统的规则算法和几率算法是不可比拟的。

以上就是我的介绍。

主持人:谢谢,我们看到,数据安全问题不仅仅关乎个人隐私,也关乎企业机密甚至是国家安全,因此,构建一个数据安全的防护体系势在必行。下面有请天融信科技集团CEO李雪莹女士分享《数据安全防护体系》,掌声欢迎。

李雪莹:尊敬的各位领导,专家,业界同仁,大家下午好!

今天我给大家汇报的是《数据安全防护体系》这样一个题目。

首先我们来看数据安全,数据安全是网络安全重要组成部分。我引用了《网络安全法》当中一段话,最后一句提到,保证网络数据完整性、保密性、可用性的能力。网络安全不仅包括网络信息系统,还包括其中的数据。因此,我们看到,之前我们一直关注物理安全、网络安全、超系统安全、平台安全、应用安全,现在很重要的是数据安全。

我们可以看到,从近几年国家出台的法律法规和一些标准来看,在数据安全上面,国家已经投入大的力度在做相关规划。在这些法律法规的基础之上,我们如何来去构建数据安全防护体系呢?

我们通常讲网络安全防护体系,网络安全防护体系在构建中基本的设计思路是什么呢?

从技术角度来讲,我们会考虑到它的管理、技术、运维,从这三个纬度来构建我们整个的网络安全防护体系。想达到一个什么样的目标呢,达到的目标就是在这样一个体系当中的实体是可信的,行为是可控的,资源是可管的。

我们把通常所看到网络安全系统划分为安全计算环境、安全区域边界、安全通信网络,是这样三个部分。

在这样一个设计思路下,我们构建了网络安全防护体系框架,我今天不是来讲网络安全防护体系框架,我们讲是数据安全防护体系框架。在这样一个框架中,在安全计算环境当中涉及和数据安全直接相关的部分,就是我飙红的部分。在区域边界我们可以看到边界防护而且也是和数据安全相关的。在安全通信网络也有和数据相关的部分。数据安全在网络安全防护体系当中已经考虑到了,但是还不够,数据安全有它自身的特点。

数据的特点是什么?我们通常看到的网络安全防护时,看到的网络、平台、应用系统是一个一个实体,是固定的,而数据是流动的。从数据产生、存储、处理、应用、流动、销毁,整个过程当中,数据存在不同状况,它在哪里传输,一定又是和不同实体相关。所以我们看到,整个数据在应用当中会涉及到数据使用应用环境。

数据流动和多状态特点,给数据安全防护体系建设带来很大挑战。首先,要建这样一个安全体系,要知道这些信息数据是什么样的,这个很难,这么多数据,哪些是关键的,哪些是敏感的数据,这是第二个挑战。数据是流动的状态,所以我们说对数据要做全生命周期管理,到底数据生命周期状态是什么样,怎么能够全面掌握这是第三个挑战。实际的情况就是现在通常所用的还是原有的安全措施。所以,它很难去应对复杂的数据安全这个问题。我们采用的,策略更多考虑实体部分的策略,没有考虑到数据流动性特点,所以很难适应数据多变的场景。综合下来,我们实际上在数据安全建设当中缺乏系统方法论。

那怎样构建数据安全防护体系?我们应该有一些基本思路。首先我们还是要以网络安全通用防护作为基础,我们还是以保障关键数据为核心,数据很多,最重要的还是关键数据。我们怎么样区别出关键数据?要做分级和分类,在管理过程当中采用的是数据治理。最后目标是实现对数据全生命周期保护。这是我们在建立数据安全防护体系中的总体思路。

基于这样的思路,首先是数据安全防护范围要做到两个全覆盖。刚刚发布的等级保护2.0,其中讲到两个特点就是要覆盖全社会,所有我们能看到的,省、地、市,到机关、所有单位,到具体组织,是要全覆盖,网络、信息系统、数据,覆盖有云、物联网、工控等等。对于数据全覆盖有两个覆盖:第一个是覆盖全场景,在整个信息系统链条当中,每一点上的数据都要做覆盖,计算环境、边界上、网络传输中,这些数据都要做全覆盖。第二个全覆盖是对于我们要管理的关键数据覆盖全生命周期,从它的产生到销毁。

第二步就是在建设过程中的设计思路,现在我们安全防护讲一个中心重防护。我觉得在数据安全当中也是一样的,在三层防护当中数据安全会涉及哪些?我们可以看到,在可信的环境当中,有数据产生、存储、流转、使用、销毁都会在发生。在边界和网络当中,更多外部流转。到终端会产生数据,会使用数据,也会流转出去,也会在终端把它销毁掉。这三层上面,可以把数据全生命周期防护起来。这一过程当中我们管理中心管什么?就是和数据所有相关的,要做相应管控。数据资源所在系统管控,所有跟系统相关安全行为、安全事件在安全这部分,数据流转过程当中一些行为实际上在审计部分。所以,总的设计思路还是基于一个中心三个防护来做。

仅仅是这样还不够,这里我提到可信计算。数据安全防护当中我们要考虑数据环境安全。我们看到,在系统主件和布件上面,如果采用可信方式,就可以保障基本运行环境安全。在整个数据使用过程中,如果在主客体之间采用了可信的软件机,就能保证整个数据使用过程中行为的可信和安全。整个这些过程是可以去做审计的。所以,在数据安全防护体系的建设当中,我们应该去运用可信计算技术加强整个数据安全防护的强度。

既然有这样总体思路,我们运用了这样一个技术,在具体建设当中要贯彻三同步:同步规划、同步建设和同步运行。这里面会覆盖网络信息、数据以及所有涉及的主要应用场景。

怎么样三同步?第一点是以数据安全为视角,来牵引防护体系的同步规划。这里我讲的四部分,一是组织体系,从决策、管理、咨询、参与、监督层都要考虑针对数据部分怎样做设计。二是在管理体系上面,无论策略、规范、标准、具体记录,一定要对数据安全治理进行相应的约束,只有这样,才可能在具体执行当中考虑整个数据安全方法。三是技术体系方面,全生命周期每一个阶段考虑监测和防护内容,都应该对应的相应技术去做落地。四是运维体系,看起来都是通常的方式,但是这里我们要考虑和数据安全相关的落地。我们在规划当中要以数据安全视角来牵引整体的规划。第二是具体建设当中要以治理评估手段推动同步建设。我觉得治理和管理是有很大的差别,治理是管理当中一部分,我觉得从本质上来讲,管理就是少出力,能够尽可能的达到效果,管理是通过规划、强制手段,以最小成本达到目标,而治理更多的是一种服务本质,为了一个共同目标协同。所以,我觉得更多采用治理+评估的概念,就是从业务到数据到策略,我们以这样的思路和方法来做。治理不仅是在具体实地落地有可操作性,实际上治理对于最是管理体系规划也会进行验证。所以,以治理的手段来推动整个防护体系同步建设会是很好的方式。做起来实际上就是这样一张图,治理评估所有工作和组织建设、管理建设、技术建设、改进过程是密切相关的。第三是同步运行,同步运行的侧重点或者关键点就是以能力支撑服务来保障整个体系同步运行。能力怎么样来体现呢?一定是要落地的支撑工具,就是数据安全管控平台,就是刚才我们说的一个中心三层防护的“中心”,这个是我们支撑点,同时要辅以专家、服务来给整个防护体系提供能力支撑。

基于前面讲到的建设理念,我们构建的数据安全防护体系的框架,在这个框架具体实施当中应该分步建设,要符合内部和外部合规性要求,要进行常态化的审计,碰到任何异常,要持续纠错,持续改进这样一个体系。

讲到这里,对于数据安全防护体系从现在开始大家认识到它的重要性,我们这个体系未来是不断进化的,进化的目标是什么,我总结了四点,从我们之前被动的防护状态向主动防护去转变,从静态防护向动态防护转变,从我们之前的单点向整体的体系化防护转变,从最开始粗放型的,可能是一个大块防护,能够到更精准防护去计划。这就是我们未来,整个防护体系进化的目标。

我就汇报这么多,谢谢大家。

主持人:谢谢李雪莹女士的精彩演讲。

构建数字安全生态 助力数字经济发展”主题 任重而道远,需要政府、企业和社会组织齐心协力共同面对才可以构建网络安全新秩序,创造发展新机遇。

贵州省坚持大数据发展与安全并重的原则,充分发挥国家大数据综合试验区先行先试的优势,按照1+1+3+N的大数据及网络安全的总体思路和八大体系的建设架构,逐步构建起大数据及网络安全保障体系,下面有请中国电子信息产业发展研究院网络安全研究所所长刘权先生上台为我们详细解读蓝皮书,掌声欢迎。

刘权:非常高兴,有机会跟大家分享一下我们蓝皮书的研究成果。应该说这个蓝皮书在编撰过程当中得到了贵州省大数据局、贵阳市政府还有经开区的大力支持,我们团队是今年年初的时候,历经将近半年时间,应该说也是对贵州省大数据安全整体进行了摸底,简单给大家介绍三个部分,如果大家需要蓝皮书的话,我们后台有详细的。

从发展现状来看,贵州在大数据这个领域确实这几年,尤其从数博会,大家可以看到,贵州已经成为中国大数据的名片。从整个来看,贵州省大数据安全不管能力、体系还是机构,各个方面处在全国比较好的位置。目前,顶层设计基本完成,统筹推进大数据安全发展,从这点来看,截止到今年4月份,贵州出台大数据安全相关的规章制度有十余部。第二块是贵州在政策引导持续化加强,2014年贵州省发布了国内最早的省级大数据发展指导意见和规划纲要,突出数据安全的基础性重要作用,建成了大数据网络安全引用示范中心,成立的大数据安全监管中心,成立了工业信息安全创新中心,这方面,贵州全国确实走在前面。同时产业实里不断增强,成为大数据产业安全高地,比如建成国内第一个数据安全的总是靶场,获批创建全国首先个大数据安全认证示范区,也持续推进国家大数据综合试验区数据安全产业建设,形成了十大技术创新成果。

有几个显著特点:比如1+1+3+N思路,形成了大数据安全发展的总体框架,这一点大家应该是比较清楚,很多场合都提到。特点二是八大体系牢固大数据安全发展基石,比如推动大数据安全保护组织体系、大数据安全预防保护体系、大数据安全监管保护体系、大数据安全应急处置体系、大数据安全技术服务体系、大数据安全人才教育训练体系、大数据安全工作支撑体系,特点三是通过安全靶场建设,聚集了包括两院院士在内一批资源。特点四是认证示范区打通标准、测评认证产业链,特点五是从基础研究入手提升大数据自身安全保障能力,特点六是利用大数据+思维推动大数据安全的行业发展。

从政策方面,截止2014年出台大数据相关政策40余部,相关法律法规有十余部,在国内其他地方确实没有看到出台这么多,相关的标准,也确实走在大数据安全的前面。

从产业规模上来讲,这个数据提出来之后,大家都在思索,这个数据确实不是太大,安全产业是2018年将近13亿,但是增长速度将近30%,应该说是快速增长的模式。从企业机构上来讲,截止今年4月,贵州聚集了大数据安全企业60余家,初步形成了大数据安全的产品设计、研发、应用,从园区建设来看,贵阳大数据安全产业示范区有52家企业入驻,对外合作上,安全靶场,有5支攻防演练部队,包括清华等20多家院校建立合作关系。标准方面成立了14个专业委员会,监测认证成立了大数据资产评估实验室、大数据安全认证示范区、大数据安全工程研究中心。技术体系这块来看,贵州应该说基本上,无论是材料比较齐全,同时,大数据安全体系尤其阿里的杜总也在,大数据安全标准在贵州率先进行适用。人才储备这块,贵州这几年人才增长挺快,贵州省大数据从业人员超过14万人,大数据安全从业人员超过2万人。截止今年4月份,贵州省引进院士及团队十带人,各类层次骨干人员2000多名,贵州省建立大数据及相关业态博士后流动站5个,大数据教育实验中心已经完成培训2000多人次。

从技术应用这块来看,贵州省政府对大数据安全应用挺重视,攻防演练、大数据安全网络培训,比如典型应用有几个,国家级大数据安全靶场,建立了关键基础设施专业靶场,同时,贵州省大数据敏感信息监测预警平台,工业网络资产安全评估、态势感知、预警平台,还有贵阳市数据铁笼等等,这样的数据应该说国内都是非常大的影响力。

二、存在的问题

虽然发展取得突出成效,但是还有待进一步提升的地方。比如产业发展环境目前来看还是有待进一步提升,安全技术水平有待进一步提高,产业综合实力需要进一步增强,还有现有资源优势有待进一步挖掘。

三、对策建议

由于时间关系我不再重复说,比如要加强关键技术研发,构建核心技术生态圈。强化数据治理,提升数据安全保障水平。优化产业环境,加速推动产业高速度发展。完善人才激励机制,加快人才队伍建设。

关于这个报告详细的内容一会儿会发布,需要的话,可以贡献给大家,有讲得不对的地方欢迎大家批评指正,谢谢各位。

主持人:谢谢刘权先生的精彩解读。下面我们将进行蓝皮书正式的权威发布仪式,请到的四位揭幕嘉宾,他们分别是原总后勤部政治部主任陶德平先生、中国科学院院士、清华大学高等研究院“杨振宁讲座”教授王小云女士、中国电子信息产业发展研究院网络安全研究所所长刘权先生、贵州数安汇大数据产业发展有限公司董事长宋伟先生。

请四位嘉宾分别站在红幕两侧,共同抓好红盖头,我倒数三秒钟。

3、2、1!

请揭幕。

《贵州大数据安全产业蓝皮书》正式发布,让我们掌声祝贺,也请各位摄影师合影留念,记录下这一块。

蓝皮书是对贵州大数据安全产业发展经验的系统总结,也是对贵州大数据安全产业发展模式的推广应用,再次感谢四位嘉宾为蓝皮书揭幕。

下面进入第四个环节,就是对话环节,今天对话环节将围绕“大数据应用与个人信息保护”议题,将邀请到五位嘉宾就大数据应用背景下个人信息保护、政策法律等热点问题展开探讨,包括谈到大数据权属及保护、大数据安全实践等问题,我会展开深入的交流,请各位千万不要错过。

我们有请今天的五位嘉宾:他们分别是:

北京互联网法院党组书记、院长张雯女士

北京师范大学网络法治国际中心执行主任吴沈括先生

中国消费者协会商品服务监督部主任皮小林先生

普华永道中国风险及控制服务合伙人许森渠先生

全知科技(杭州)有限责任公司CEO方兴先生

下面有请五位嘉宾走上舞台,共同开启我们的对话环节。

非常激动和五位业界大咖来对谈,五位名字都如雷贯耳,但是各位听众可能只听其声不见其人,所以请大家介绍一下。

许森渠:谢谢主持人,我是普华永道的风险及控制服务合伙人许森渠,过去二十多年,分别在澳洲、香港及国内服务我们国际和国内客户,主要从科技创新还有信息安全方面服务我们的客户,今年非常荣幸受到大会邀请,代表普华永道中国出席本次研讨会,非常谢谢大会的邀请。

主持人:下面有请吴教授。

吴沈括:感谢主持人,大家下午好!我是北京师范大学网络法治国际中心执行主任吴沈括,非常荣幸来到贵阳,能够见到各位专家和自身性质的从业人员,我个人主要研究网络安全、网络治理、数据保护包括网络犯罪的问题,也期待能够修改更多机会和大家进行交流,谢谢。

主持人:谢谢吴沈括先生,有请张院长做介绍。

张雯:非常荣幸受大会邀请能够有这样一个非常好的学习机会,我本人一直在法院系统从事司法实践工作,现在算下来有将近30年时间,大概从去年9月9号,按照中央深改组要求,北京互联网法院设立了,我跟同事开启了互联网网络治理和司法治理作用发挥非常具有挑战性的征程,所以今天我们是来学习的,非常荣幸,谢谢。

主持人:欢迎张雯女士,皮主任。

皮小林:谢谢主持人各位嘉宾好,我是中国消费者协会商品服务监督部主任皮小林,非常荣幸参加这次会议。我非常关注大数据的开发应用所涉及到消费者权益保护问题,同时十分期待大数据运用更多的造福于消费者,更好服务于消费者。

主持人:谢谢皮小林先生。下面有请方总。

方兴:大家下午好!我是方兴,全知科技,我是安全行业老兵,1999年从事安全行业,以前更多是在技术层面上做网络攻防,最早的漏洞挖掘这些方面。2007年开始创业做公司,最早做云计算安全,后面我们公司被阿里收购了,我就到了阿里,在杜跃进的博士下面走上了跟黑灰产对抗第一线,发现数据安全是非常重要的事情,所以现在又创办的这家公司,聚焦数据安全领域。

主持人:我们五位嘉宾涵盖了政产学研还有司法领域,非常全面,很期待我们对话。我们主题就是大数据运用和个人信息保护,看到这两个词我有一个莫名感受,想到一个画面,想到一个透明玻璃盒子,里面放着两个气球,一个写着个人信息保护,一个写着大数据应用,一个是在不断扩大扩张,另外一个是不是只能缩小,想问一下方兴总,你怎么看待这两者关系,他们只能此消彼涨零和博弈吗,我们应该怎么理解和平衡他们关系?

方兴:实际上我觉得大数据和AI技术发展本身面向人类更未来,用机器产生人类更需要知识和情报,所以这一定是一个战略方向,我们不能因为完全只是为了保护隐私就停止了大数据的应用,这实际上会反倒带整个国家未来在战略上的安全问题,所以,不发展可能是最大安全问题。但,我们在发展同时,发展大数据、AI这些技术同时,怎么样要同步保护个人隐私。这当中就需要改变以前传统的保护策略,建一个圈把数据围起来,实际上数据要流动、要使用,实际上这当中业界首先明确一些规则,由国家组织,比如数据什么情况下该采什么情况不该采,把哪些权利还给消费者。确定这个规则之后,实际上企业把数据采回来之后,承担了很多保护职责。第一个要提前预防,包括刚才天融信李总讲到数据分类分级,但是实践当中发现还有一点缺乏,就是要分析在企业流动当中数据暴露面,针对重要的数据以及数据威胁和暴露面怎么做提前预防,比如说脱敏、加密等对应保护措施。第二步就是要时时监测,数据流动当中使用,很难用高管控但是影响使用效率方式保护,就需要同步增强同步监测能力,数据风险到底在哪里,怎么能够实时快速发现这些风险,然后对它进行处置。最重要是要建立全程可溯源机制,我们很难保证一旦应用发展起来,很难完全保证一定百分百安全,我们要能容忍一定风险。但是,一旦产生了风险,怎样用最小代价找到根本原因,改善整个体系,不断更新,让它更加安全,做到这几步,可能能平衡我们发展和安全之间的矛盾,变成一个共赢的局面。

主持人:数据是流动的,所以我们对数据治理和思考也必须要改变观念,不能是静态的非此即彼此消彼涨,而是考虑怎么样达到平衡共赢共同发展。皮主任作为政府监管部门主任,您怎么看待个人信息保护和大数据应用的关系呢?

皮小林:我简单说三个观点。

第一,消费者权益保护应该是大数据在开发和利用过程中一个绕不开的课题,刚才我们专家这样讲那样讲,很多这样的技术那样的技术,最终是保护我们消费者。大数据的应用首先应该要合法、正当,咱们各方面的

参与经营者、开发商都必须要与之相匹配的技术保护能力,没有技术能力就别干这行,这样是为了防止消费者的个人信息泄露或者是滥用,必要的法律门槛和技术措施是必须的,用法律和技术加持,消费者安全才有保障。

第二,涉及消费的大数据应用应当尽量不要使用非脱敏的个人信息。同时要保证应用结果的非指向性,就是不要指向特定消费者,否则,很难得到消费者的信任、理解和支持。

第三,大数据应用的价值实际上最后是通过服务消费者来实现的。这也就是我们要落实以人民为中心发展理念和树立消费者至上观念,这种对于咱们大数据运用的必然要求。

主持人:感谢皮主任,他认为大数据的保护和使用关键是落到我们消费者权益的维护上和行使上。谈到权利的行使,在法律上有一种观点,权利的行使,意味着你在用权利,其他人替你履行着义务,不知道张雯院长怎么看待大数据使用和个人权利保护关系,从法律视角,您觉得它们的这种平衡和冲突是怎样的?

张雯:作为法官来讲,其实我们最终的职业属性就是进行价值判断,进行利益保护,从利益保护的角度来讲,个人利益也是一种利益保护,比如个人信息安全、隐私权的保护,商业利益也是一种保护,因为我们国家要往前走,商业的发展、科技的创新、产业的进步带来的国富民强的利益,实际上也是要进行保护的。更大一个层面,比方说安全的保护,这些产业和未来的发展保护,其实都是摆在法官面前的一个新兴难题。

我们互联网法院成立以后,实际上我们跟互联网企业进行过多次的很深度的交流,到目前为止,我们大概学习和走访了六七十家的互联网平台公司,在这个过程中我们也在观察我们受理的案件,我们互联网从9月9号到现在受理案件已经接近2万件,这个过程中,有一些很敏感案件,或者很具有挑战性的案件,就是涉及到侵权保护的问题,这些案件怎么样去审理,怎么进行价值平衡,这是我们法官必须要面对的一个现实挑战。

我想,对于法院来讲,我们与北京大学、清华大学、人民大学等10所高校建立了深度的对接,在与他们学院进行交流的时候,其实我们也感受到,人民大学有未来法治研究院,清华大学成立了计量法学研究院,很多高校现在对于大数据时代的法律发展和法律边界都保持了非常高的关注和我觉得作为法律人的责任心。我们想,在数据保护和安全这个问题上,个人权利和数据使用这个问题上,我们应该持一个在个案中进行平衡把握的位置。我的感觉,随着互联网的大跨步技术进步,其实传统我们民法或者是权益保护过程中的固定的权益边界,可能随着技术发展已经开始进入了个人和社会、产业多角度杂融的状态,如果我们不了解这个状态,就没有办法作出一个比较好的符合时代发展和面向未来的判断。其实如果要是对个人权益保护过严过紧、过于保守的话,也是不利于个人权益真正得到在互联网时代的权益实现的,我觉得这是我们要考虑的一个点,也就是要用一种开放和热情态度去观察互联网产业发展。但同时,对于产业的发展,我觉得这个过程中一定要鼓励数据流动,但是对于数据流动边界以及源头的合法性,我特别同意刚才方兴总的意见,能溯源的一定要溯源,发现问题能够尽快的了解,能尽快的调整,但是大的战略导向和价值导向是应该让人和产业、社会在大数据时代都能够得到共同的发展和受益,这是我们的价值观。

主持人:谢谢,因为我们谈到,数据是流动的,权利边界可能也会进行一些不断的变形,可能会扩张,也可能限缩,这会考虑到我们法律审判者、法律从业人员的司法智慧,要结合时代的价值和特征不断的去发展和变化。我想请问一下吴沈括教授,您来自北师大网络法治国际中心,能不能请您从时代价值角度,包括国际范围来谈一谈大数据使用和我们个人信息保护的关系,您怎么看?

吴沈括:刚刚听了张院长发言,我特别有感触,最近参加北京互联网法院作出具有历史意义的判决,涉及到人工智能生成内容的保护问题。在这个案件过程中,包括研讨过程当中我有一些感触,当我们讲到数据治理和数字经济发展的时候,我们要有什么样的关切、什么样的角度。从目前来看,数字经济在全球范围内的发展已经到了一个非常快速的阶段,根据2019年,APEC组织有一个组织会做的报告,指出,目前,全球跨境数据所产生的GDP总值已经超过全球跨境货物的GDP总值。从这个角度来说,数字经济发展本身对于提高社会效率,对于提高社会的透明度和整个产出都是有非常高价值。这个意义上来说,目前全球对数据治理提到了非常高的高度。这个过程当中包括看到欧盟有关数字单一市场建设战略,没有有关新的AI战略,在新加坡包括日本、韩国甚至是巴西和巴拿马都提出了新的数字化战略,在这个过程当中我们看到两个非常有意思的论断,或者一个现象,第一是良好的数字经济发展需要一个有效的数据治理框架支撑,包括立法、司法和执法层面支持,在欧盟,我们看到数据通用保护条例GDPR,在美国我们看到加州消费者隐私保护法案,我们看到日本、巴西、新加坡甚至包括缅甸对于个人信息还有非洲的坦桑尼亚都有关于个人信息、数据保护的新规范出台。在这个过程当中本身体现了这个领域个人权利、产业利益、国家安全甚至是国际稳定的多层关切,也正是在这个意义上我们认为有效的数据保护,有效的数据治理事实上对于数字经济发展本身是有很好的促进作用的,也正是因为这个原因,包括6月28日在日本大阪将会开幕的G20峰会,包括后续的阿根廷的APEC峰会,包括正在进行WTO的机制改革,甚至是正在考虑当中的像联合国层面的数据隐私框架改革,都体现了这样一个趋势。目前,这些工作在进行过程当中,本身也是对于全球范围内数字经济发展有力促进,我想,在这里面,我们需要从数据治理、数据保护和数字经济发展的未来途径来考虑这个问题。

主持人:我们看到全球范围内各国政府都从司法和治理角度考虑数据治理问题,考虑数字经济发展。我想问一下许森渠先生,您在工作中相比和很多企业大量数据接触,包括一些个人数据,以您的视角,您怎么看待他们的关系?

许森渠:我们普华永道一直跟很多客户接触,我们会发现,最近大数据发展,还有各个国家从信息安全上面的法规要求上,的确给我们企业带来很多的压力和挑战。但是,根据我们最近的调查报告,我们会发现大部分的受访者都对个人信息保护方面态度有所改变,他们会更加关注数据存储、保护,还有数据的处理,在合规上面对他们的影响。所以,我们发现很多企业实际上已经采取一些很主动的方式,在他们每一个业务行为当中,都加上风险管理思维,来体现企业的社会责任,尽量营造社会和公众诚信。我相信,这一点我们从信息安全和大数据发展两边互动必须的,这是我们企业社会的责任,还有对我们手上信息的保护意愿和消费者的尊重。

主持人:谢谢,许先生谈到一个词“企业的社会责任”,比如像刚才谈到广告精准投放技术,让我们用户感到有一点胆寒,好像某个APP比我自己还懂我,它居然知道我还没有搜索过的商品信息,我想再问一下许先生,您能不能从企业的视角来看一看到底在企业使用用户数据和保护个人隐私方面的这个平衡,企业大概是怎样去考虑的?因为讲到社会责任的话,它需要有一个成本的承担,在这个部分,企业做得怎么样?

许森渠:一方面,这些企业会不断提升他们在安全上面的技术和能力,另一方面,他们其实也通过培训他们的员工,在信息安全上面提升敏感度跟责任感,通过这样的形式,可以达到尊重我们的用户,尊重群众给我们的信任,这种情况下,我们才可以得到更好的评价。

主持人:讲到尊重和信任,这是两个特别好的词,这是一个美好的理想状态,但是,其实在实务当中并不总是尊重和信任的,有一些人就会利用这些数据漏洞做一些非法的勾当,刚刚我们谈到网络安全灰黑产,能不能请网络安全老兵方总给我们介绍一下,现在在实务当中会有什么样方式方法使我们个人信息遭遇到泄露情况?

方兴:我来回答这个问题还是非常好的。因为我在阿里是负责情报,天天干的就是去抓这一帮干坏事的坏人,所以对他们手段是非常了解的。可能出乎大家意料,大家可能觉得我们这么多数据是靠漏洞,不是的,黑灰产根本不靠漏洞,靠的更多是应用层攻击。而且可能大家有一个误解,觉得重要的数据才会触发问题,不是,黑灰产靠的是大数据能力,把很多数据爬回去之后搞分析,网上偷漏出来能爬的数据全部爬下来。

我给大家举一个例子,大家可能更能理解数据价值跟我们认知的不一样。在阿里有一个新商家保证金诈骗,在阿里上面你可以去开店,阿里有很多规则,比如有一个库存规则,如果有10件货,如果被别人拍了10件货,再拍11件货,就卖不出来。骗子先把10件货完,拍得没有了,然后再伪装成人拍11件,你就卖不出去,他就来投诉你,你这店铺等级太低,被阿里封了店。商家就很着急,骗子伪装成阿里小二,联系商家说,你交5000块保证金,就可以提你信用。如果是新商家,有20%的可能性上当受骗。但是,如果不是新商家,不会上这个当。所以,对骗子来说,如何识别新商家就变成他骗人非常重要的手段。骗子怎么来识别?我们以前写过程序的就知道,给用户生成ID是用递增字节,骗子就爬ID,这个ID的数据是敏感的吗?是重要的吗?但是不经过这样的攻防,就不知道这个数字对骗子意味着什么。我们很多时候对数据安全是有误解的,所以,很多时候我们公开的应用上那些数据,你觉得不重要不需要保护,对骗子来说都是很重要的,他把所有数据搞到,然后用海量数据推理和关联。所以,如果对应用层数据外控没有做好管控,可能很多数据被爬走。第二个就是特种的木马,这种特种木马不像传闻的很厉害,人家只针对有应用层的应用,比如酒店有专门的住店系统,就专门针对这个住店系统改,杀毒系统改不了,改的是企业内部应用,所以没有升级,杀毒软件不知道是被更新还是被篡改了。植入也是靠人肉植入,但是很厉害,可以拿到很多特定数据,比如酒店的数据,我们阿里也有这种,我们对抗时抓了很多,同时发现大量针对其他的不只是针对阿力的应用搞数据。第三种就是售卖内鬼,黑市上面,一条个人隐私数据,比如订单数据最高可以卖到16元/条,在阿里上买五块钱东西,这条数据是值16块,是5分钟内热度的数据,因为这个时候他打电话来诈骗,成功概率最高,所以会大量收买内部的,比如客服人员,或者直接买帐号,两三万块钱买一个帐号,所以,大量数据都是在应用层泄露数据。但是应用层数据安全基本上在业界都不提,这是最严峻的问题。这是很奇怪的。

主持人:您感觉他们为什么没有提,是太过简单不值一提还是什么?

方兴:跟理念有关,原来数据安全更多强调像DOP等强调数据在存储访问是否是可信任的人来访问,外发是否是安全,但是数据应用层是内部人员使用,但是内部和合作伙伴暴露出来接口实际上还是修改很多安全问题,以前我们天然把数据当成资产里看,资产存在那里,谁来取它,是否外出出去了,但是资产使用过程中的安全反倒没有人关注。但是未来真正安全,我们觉得数据最后是资源是生产资料,所以使用环节是非常重要环节,但是整个业界在这块认知还没有上升到这一步来。

主持人:听过之后又喜又忧,喜在于这些网络黑灰产幕後黑手没有那么厉害,他们技术就那么回事,找一些最基本资源。但是忧在于,我们看似很琐碎无用信息,他们拼凑起来,再结合我们一些心理机制,再编一些剧本和故事,就可以真的伤害到每个人真实生活。想就这个问题问一下张院长,在司法领域,对于个人信息案件是什么样状况,在案例审理和认证过程中有没有一些盲点或者难点?

张雯:互联网法院没有成立之前,数据信息和权利保护这个问题在司法界是常见的,包括引起学界非常关注的问题。前不久,人民大学的王立民(音)老师,全国人大法工委讨论民法典的人格权篇,在人格权篇中对于数据和个人信息保护,包括隐私保护实际上现在也是一个讨论热点,应该会独立成篇,我觉得这也是隐私保护或者权益保护非常重要的一个历史性之,或者是一个法律的价值体现吧。

我们感觉,随着实践发展,我们要纵看互联网的情况,整体上来讲,社会公众一开始对互联网带来的便捷性是非常欣喜,中国公民应该说用“拥抱互联网”是不为过的 ,但是随着这几年,慢慢随着权利意识,包括涉刑事犯罪的数据犯罪打击,数据概念、个人隐私保护概念慢慢浮出水面,成为社会公众脑子里概念,成为学界关注问题,也成为司法前沿挑战问题。通过这个阶段,我们感觉到,现实的司法保护中,不光是学界学者关注、业界关注数据保护的问题,其实更多的是普通公民,不光是以前通过被侵权来起诉,现在更多的是在采集过程中已经开始,我们已经有这种案件,只要你采集,我就认为你不对,已经有这种权利意识不能强的诉讼进入我们法院,我觉得这是公众的概念。

对于法院来讲,因为我们法院是被动受案,案件来了,我们去审理,我们了解这个情况,关注到这个问题。还有就是看能不能依职权加大保护,吴老师刚才提到案件,前天我们还有一个黑灰产业的案件,这个案件就是我本人审理的,除了爬虫,用的就是JS的技术,包括即刷技术,进行造假,形成黑灰产业地带。最后我们案子判无效,但是违反社会公共利益,我们进行了罚没。近期我们会与行业行政监管部门把数据造假的问题再往前推一步,这也是揭开黑灰产业社会损害的黑产也是法院责任。从我们实践来看,一个是大数据对数据越来越关注,我们对数据研究,这种案件挑战越来越多,再一个,如果我们碰到黑灰产业案件,我们应该加大打击力度,我觉得这是我们法院的一个司法态度。

具体的案件中,我觉得可能一方面就是举证责任分配在司法中间是一个难题,另外一个难题就是技术,因为数据后面一定是技术,数据+技术和复杂技术,甚至没有想到的很简单的技术,都会产生很复杂的原因力判断。对于法官来讲,数据技术的过程到底是怎么跟案件事实紧密结合的,怎么去查明事实,对于法院来讲,审理这一类案件就是很大挑战。刚才我跟大家介绍的黑产的案件,我们是走访了十多家部门,才把这个数据过程和数据在这个案件中的原因搞清楚。我觉得这个过程对一个法官来讲是巨大的挑战。还有就是简直观判断,对于国家网络强国这方面政策的落地,法官是必须要进行很科学而且很理性、饱有热情判断。

主持人:我们看到法院被动受案,但是法官在主动学习应对这些新的挑战,想再问一下张雯院长,刚才你谈到现在很多案件很新,一些新技术不断出现,我们审理之后,在法院后续关于这些新案件执行上是不是也会存在着一些新的挑战?

张雯:我觉得,从传统的法院角度来讲,侵权最后填补的几种形式,比如说救济渠道,或者道歉渠道,这种都会往前走,跟传统的实体法是不冲突的,但是怎么真正让我们的执行能够落地,或者让我们判决能够尽可能不变成一个空的判决,这里也跟大家介绍一下,我们北京互联网法院实际上也在进行数据学习,我们现在大概涉及到人工智能法官,有人工智能形成的裁判文书批量生成,智能起诉状的生成,包括执行阶段也有一些新的工作做法,比如通过数据链接,对于要成为老赖的当事人会进行精准数据投放,对他产生震慑,希望他主动履行,这些技术我们也在用。

主持人:你感觉人工智能法官水平怎么样,跟您比还差多少?

张雯:人工智能法官是这样, 我们跟搜狗公司合作的,是采了我们一个真实的法官的声纹还有形象、身体特征,做成了一个画面,当然他是可以随时开口的,原则上我们赋予他什么样的内容,他可以表达出什么样的内容。这样深度合作,对于将来法院诉讼服务,诉讼过程的说明,一些辅助行驶项的减负,提高法官工作效率都是极有简直。也就是说,它本身只是一个影像,还没有到主动思考的阶段。我们所谓的人工智能只是身体合成,主要这是样子。但是,我们下一步比如人工智能形成的起诉状,我们现在已经用了4万多件次的,当事人用这个APP软件就不用找律师写起诉状,所以,我觉得人工智能未来发展还是要持一种热情和理性以及审慎的态度。

主持人:AI法官可能还有一段时间才能出现,但是AI主持人已经真的在抢爱情饭碗。刚才我们谈到大数据使用新的变化,想再问一下吴教授,国际上关于网络犯罪和大数据个人隐私信息相结合的情况,能不能帮我们再做一个介绍?

吴沈括:我想还是顺着张院长的话题,讲到个人信息保护时,我们要结合数据包括个人信息业务发展现状,我们看到,个人信息的利用、收集和处理事实上给我们带来了新的机遇。包括新的技术支持,AI、5G等等,同时也有新的业务模式,包括云计算、大数据,另外也有新的在线内容。在过程中看到与此相关风险来源,体现在个层次:第一个是涉及技术要素层面风险,包括DOOS攻击,第二个有组织管理层面风险,比如目前比较泛滥的电信诈骗问题。第三个包括侵害在线内容风险,像儿童色情、身份盗窃都是比较常见的。基于这样情况,我们现在看到,围绕数据收集、利用、处理相关的包括非刑事责任、刑事责任有各自不同侧重。从非刑事角度,包括数据收集、处理、流转,这些是比较高发的点。从刑事角度来说,可能从数据获取、非法买卖是比较多的。面对这样情况,包括我们国家在内国际社会对于网络犯罪现在重视度越来越高,我可以举一个例子,三年前,联合国成员国对于提出关于网络关切的成员国不到33个,现在提升到166个,网络犯罪趋势基本覆盖了全球,反映了网络犯罪网络黑产成产全球发展态势。除了联合国国际层面工作,包括今年3月份在维也纳召开第五次网络犯罪政府的会议,甚至包括一些达沃斯经济论坛专门成立全球网络安全中心,这个中心负责人是前欧洲刑警组织网络犯罪主任,本身意味着,当我们讲到个人信息保护时,网络犯罪防止和打击已经成为必不可少的组成元素,从这个角度来说,我们能够看到的问题就是,网络犯罪本身的发展态势是非常严峻的,可能需要引起爱情注意。除了刚刚张院长讲到黑产甚至渗透到城市竞争当中。从数字来看,英国网络犯罪每年增长率是50%,中国目前网络犯罪,根据公安部的数字是30%以上的速度递增。目前从犯罪总量上来说已经占到全部犯罪总量的1/3以上,所以这个问题是非常严峻的。从这个意义上来说,当我们讲到数据保护时,有效网络犯罪打击是不可避免的重要问题。有效及时的网络犯罪打击,尤其是侵害个人信息、侵害数据安全的网络犯罪打击,也能够提升公众对于数据治理以及数字经济发展的信心。现在国际上讲的一句话,如果一个区域数字经济发展不谈网络犯罪打击的,这个区域肯定没有可信的数字经济发展。我们国家包括像刚才张院长所讲到,我们现在在司法领域、刑事领域是最前卫最突出的,包括2017年两高关于侵犯公民个人信息司法解释出台之后,对于业内产生很大影响,也形成了一批有典型意义的案例,后续包括像两高发布的涉及到网络犯罪的指导意见,对于我们企业和产业的风控合规产生了非常大的作用,像2019年,如果不出意外的话,事实上文本已经形成,就是两高关于网络犯罪的司法解释,主要是涉及到三个罪名的新型刑法修正案九的解释,对于网络黑产打击,对于个人信息刑事保护提升有非常大作用,我个人觉得将来民刑交叉是非常大问题,如何在民事案件中准确剔除和甄别刑事问题,如何在刑事案件中准确区分和界定民事问题,这是非常重要的。司法官员包括法官在面对黑产判断时价值观、理论勇气和选择勇气非常重要的,所以这里想特别表达一下我个人对于北京互联网法院刚刚所做的人工智能生成物司法保护问题的判决,我认为法官体现非常高的理论素养和价值判断勇气,在我们目前司法相对保守的大趋势下是非常重要的,这一点我也很期待,北京互联网法院,包括杭州、广州互联网法院在司法实务中能够有更好的释法和用法的过程,或许给我们民众能够提高更大范围的信心,这个可能是后续我们全社会的期待。

主持人:谢谢吴教授,我们期待有更多个的出台可以推动整个法治体系建设,我们讲到国家层面的保护在不断完善和发展,想再问一下方兴总能不能给个人支支招,我们怎么样能够在麻烦国家保护我们之前,我们自己可以先保保我们自己,怎么样让我们数据不那么容易被人利用,有什么方法吗?

方兴:实际上从技术层面上讲,在现在这样一个大数据时代是挺难做到了。但是,第一个要做的是首先是提高自己的认知,不管怎样,各种不明的APP要少装,少提供必要的个人信息,这是最重要的。第二点,?当然,这个挺难,我也做不到,不同网站,不同级别上密码最好不要一样,很多黑灰产搞数据时,搞到一个数据,通过账户把所有其他的密码都和数据都搞来。另一个就是有主权维护意识,当发现有自己的隐私、数据泄露,遭到了侵害,要主动反馈。比如阿里为什么做得好,就因为诈骗这些有回流信息回来,对企业施加压力,要管理好数据,第二个是有数据回流,才有情报信息线索输入回来,我们才组织力量分析到底是哪里存在问题,然后去改进它,这样把个人主动和企业的自律和保护,还有个人隐私主动诉求联动起来,能更好帮助保护个人的隐私信息。

主持人:好像所谓的高招和锦囊妙计不是很多,但是从我们身边点滴做起,提高安全防范意识做起,不管是什么身份,最后都离不开一个身份,就是消费者,我想问一下皮小林主任,国家不断推进法治保护消费者的信息保护,您觉得意义是什么?

皮小林:刚才听了方总和张院长讲的,我作为消费者真的很恐惧,只有在收集使用时,我们消费者有知情同意,在其他过程中消费者实际上都是无助的,现在处于一种保护技术措施或者是全社会宣传不够,也很高兴看到张院长他们采用一些技术手段来慢慢的破解大数据时代消费者隐私保护的难题,通过一些案例的解决,我觉得这是一个很好的迹象。

另外,作为消费者来讲,其实我们每个消费者在社会经济活动中产生大量的数据,这些数据实际上有个人属性,也有公利的属性,为什么我们愿意奉献给社会,知情同意,愿意在社会生活中把自己数据贡献给大家,其实一方面是享受大数据给我们带来的获得感,比如说交通的过身份验证,一个是安全的需要,另一方面是国家需要交通布局和调整,所以作为消费者来讲是非常愿意参与的,但是全社会需要在这方面进行立法的保护,行政的保护,咱们社会共治。

主持人:谢谢皮小林主任,感谢五位嘉宾精彩分享。由于时间关系,我们的交流到这儿就暂告一段落了。

我们看到,在政产学研包括司法领域有一个空前一致的观点,就是大数据在流动,我们相关的意识、技术保障、法律规范也需要不断变化,以动制动,而不是保守形而上学的保护,看来,真的要治理好数据安全问题,推动经济发展是一场任重而道远的漫长旅途,希望政府、企业、社会组织可以同心协力,携手走好这段旅程,感谢五位的发言,谢谢。

今天我们整个论坛环节全部完成,再次感谢各位守候和陪伴,谢谢,希望明年有机会我们还可以再次来相聚,共同探讨更多更新智慧成果。

祝各位工作愉快,再见。

打开网易新闻,阅读体验更佳
大家都在看