中国网:中国访谈,世界对话,欢迎您的收看。从1994年4月20日,中国正式接入国际互联网到今天,中国互联网的发展历程已经走过24年。在过去的24年当中,互联网给中国带来了巨大的变化,也极大地改变了我们的生活方式,随着互联网的普及,我们在享受网络带来便利的同时也越来越关注互联网的安全问题,我们应当如何在网络上保护自己的信息安全与隐私?大数据又会对互联网安全产生哪些影响呢?《中国访谈》在2018互联网安全大会上特邀北京奇虎科技有限公司高级副总裁首席安全官谭晓生来为我们解答。
北京奇虎科技有限公司高级副总裁首席安全官谭晓生接受中国网《中国访谈》专访
中国网:谭总您好,感谢您接受中国网的专访。现在我们在注册或者登陆一些社交媒体平台的时候,经常会被要求提供一些个人信息。但是许多信息都被盗用甚至买卖了。那么在您看来,企业应当如何承担起保护用户个人信息及隐私安全的责任呢?
谭晓生:我认为企业首先要搜集自己的业务所必需的信息,而不是越权、要很多其他的东西。比如在互联网上,要是通过电商购物,要不提供地址,商品没法送到。所以这个地址是必须要提供的。但是你的婚姻状况就没必要告诉一个电商网站;你的收入也没必要告诉电商网站。所以,要搜集只搜集此业务需要的信息。第二,信息搜集完之后,要妥善地进行保管。不能因为自己的安全措施不够、数据库被拖走,而造成用户的信息丢失。其实这时候这些企业是要担责的。其次,是对信息的使用。因为数字信息有一个坏处,它可以无损地被拷贝。从一个地方转换到另外一个地方的时候,和原来的信息是一模一样的。比如还拿电商网站做例子,这些网站可以自己用用户的信息。但是,如果把信息卖给了另外一家做广告的,那这个信息就是有问题的。因为这个信息在转移过程之中是完全没有损失的。等于第三方获得了用户相应的信息,将非授权的信息进行转移等等,这是一系列的问题。欧盟的GDPR在这方面做了非常好的尝试。今天大会我们也请了GDPR提出的专家们来给大家做了演讲。
GDPR规定:首先,要提取用户的信息,必须要接受用户的许可,授权使用才行。第二,用户还可以随后要求把这个数据删除,只要和有关的国家法律法规不冲突便可。用户可以要求把数据清除掉,而且还可以拒绝你对数据做深度的分析。因为商家拿到用户的数据之后,可以分析其行为。你即使没告诉他你的收入,但是他根据你买的东西、买的频率、住的小区,可能能分析出来你的收入经济状况。而GDPR里可以允许用户拒绝数据的分析,我不让你给我做大数据分析,我也不让你给我精准推送广告。我们有这个权利。此外,用户对数据有转移权。我的数据不想在你这存了,我想带到另外一个商家,只要那个商家提供数据导入的接口就可以。还有对于数据的保管,要求企业要妥善保管。万一出了安全事故,例如数据被拖了,要求72小时之内必须要告知相应的机构。GDPR还会要求企业要有对数据管理的官员,比如有DPO的职责等等。
咱们国家在过去的几年时间里面也有一系列的法律法规出台。在做这些事情,尤其是去年下半年的时候,工信部曾经有一个很大的行动:让这些互联网公司对用户信息保护,从用户使用条款的制定、修改等方面以及通过实际的措施来改进。做了很多的事情。而360从2012年开始一直在做致力于用户信息保护这方面的事情。我是在2012年3月15号被任命为首席隐私官,是中国的第一个首席隐私官。现在非常好,我看到蚂蚁金服也有自己的首席隐私官。首席隐私官的职责就是在企业生产经营过程中,对用户信息的使用提供保护。比如我们当年就制定了一个顺口溜叫“不该看的不看,不该传的不传,不该存的不存,不该用的不用。”“不该看的不看”就是不该向用户要的数据不要要。第二,能在用户的电脑里、手机里解决的事,不要往网上传。传上去之后,你还可以选择不存储。如果今后不需要长期使用的信息,为什么非要存下来呢?“不该存的不存,不该用的不用”,我们只在用户授权范围内使用数据,不要非授权使用。到今天来看,我们在2012年提出来“四不”,我觉得还是非常之重要的。除了“四不”之外,还有“三必须”其中包括我们要提取什么数据,必须经过用户的显性许可,和现在GDPR的要求,以及现在用户隐私保护的要求(相同),但是我们在2012年的时候就已经做到绝大部分了。
北京奇虎科技有限公司高级副总裁首席安全官谭晓生接受中国网《中国访谈》专访
中国网:正如您刚才所说,大数据在互联网安全当中是一把双刃剑,我们如何利用大数据来维护互联网安全呢?
谭晓生:大数据首先是安全的手段。我们要搜集到用户行为数据等等这些东西之后,对于非授权用户的一些行为,比如偷取信息等,我们才有机会能够发现。这是大数据发现安全攻击的一个非常有利的手段。当然了,说双刃剑是,有了大数据,大数据本身会不会被别人偷走,被用来干坏事之类的,这也确实如此。我们在享受大数据带来的红利的同时,大数据的安全保护也变得非常之重要。这也是一个悖论,我们可以用大数据的安全保护的方法来保护大数据安全本身。
中国网:互联网于1969年诞生于美国,而1994年中国才首次连接到国际互联网当中。那么,中国在短短24年的互联网发展历程当中,中国互联网企业取得了巨大的进步,其中一些大型的互联网企业甚至可以和美国的互联网公司相媲美。在您看来,中国互联网企业在短时间内取得巨大的成就的秘诀是什么呢?
谭晓生:有几个原因,第一是中国的人多,我们有人口红利。如果在一个人口几百万人或者几千万的国家,有的商业模式根本是难以成立的。在中国,比如广告模式,只有用户基数足够大,挣来的钱才能够支持公司的运行。如果是在一个很小的国家,只有几百万人,那再怎么做广告,挣的钱都不足以支持技术团队,运营团队等。人口红利是其中的一个(因素)。第二是中国人确实是很勤奋的,比如就像京东的线下配送等,我们能那么飞速地配送,恐怕在全世界都是非常少见的。中国人的勤劳也是在这些年,在互联网时代(充分体现的)。大家知道互联网行业的加班在全世界咱们都属于加班加得最多的地区。百度的楼下,360的楼下,(根据)每年的统计,这些公司加班时长都是非常之长。勤奋工作也能够帮我们追回一些时间。还有这些年技术创新。中国的互联网公司在这些年还是有非常多的技术创新,不管是百度在人工智能技术上,还是阿里在支付的创新上面,360在安全的创新上面,这些公司在这些领域里所做的技术创新,不仅仅是商业模式创新,包括技术创新,在全世界的企业当中,大家都是认的。
中国网:互联网未来的发展也依然应该把安全摆在非常重要的位置上。您认为在未来互联网安全事业的发展过程当中,着力点应该放在哪里呢?
谭晓生:中国的互联网安全有几个重点,第一,保护关键基础设施。因为关键基础设施关系到一个社会运行是否稳定,关系到国家安全。今天的关键基础设施例如水、电、煤气、交通等越来越多都连在互联网上。所以我们作为互联网安全企业,首先要保护到这些东西,不要让它出了事,影响到老百姓日常生活。还有是关系到国家安全和国防安全。像美国大选期间的事,一直到现在都怀疑被俄罗斯攻击了。如果国家大选这种事情都有可能被来自于网络上的攻击影响,这无疑是国家政权首先要解决的问题。所以网络安全是和国防、国家安全联系起来的。
还有要解决安全人才严重不足的问题。因为各行各业都在拥抱互联网,用专业的行话叫攻击面越来越大。攻击者可以攻的东西越来越多,但是我们又没有足够多的守卫者能够去防护这些东西。所以这些年来,网络安全的人才培养会是一个非常重大的问题。还有在安全的体系化方面,相对于美国,您刚才讲中国的互联网起步比美国晚了25年。在网络安全的防御思想上,我们也还是落后的,在体系化方面和美国有着非常大的差距。今后的几年,我国安全防线的体系化建设上,需要花很大的工夫来提高。
本期人员——责编/文字/主持:白璐;摄像/后期:刘凯;摄影:董宁;主编:郑海滨