数字经济时代 保护信息安全应该怎么做?
当今时代,大数据、AI算法等方便了我们的生活,提高了生产效率,但大数据的存在也意味着海量的用户信息被用来发掘产生价值,信息泄露、黑灰产攻击等问题层出不穷,安全似乎已经成为了数字经济发展木桶上的那一块“短板”。
企业技术发展和用户信息保护的平衡上,存在哪些难点?在不断发展的科技、复杂多变的国际形势和人民新的生活方式面前,现有法律框架面临着什么样的挑战?如何让安全为数字化发展“保驾护航”?
2021新京报贝壳财经夏季峰会——数字经济时代的风险防控线上论坛举行,中国政法大学传播法研究中心副主任朱巍、北京师范大学网络法治国际中心执行主任吴沈括、中国信通院云计算与大数据研究所副所长魏凯、蚂蚁集团安全事业群总裁赵闻飙就上述问题阐述了自己的观点。
当人变成“电池人” 保护信息安全难在哪儿?
AI时代,不少APP都需要收集足够多的用户数据,才能支持其运营。如短视频平台的视频推送,电商平台的商品推荐等都需要收集用户数据后才能让算法正常运转,在此过程中,用户也往往面临着暴露隐私的潜在风险。
“互联网时代,人慢慢变成了‘电池人’。”朱巍表示,“每个人在互联网时代中通过算法、人工智能、数据采集后都变成了手段,而不是目的。消费者和用户在很多平台中,通过自己的数据为这些平台‘蓄能’,这种生态到底可不可取,利弊关系到底在什么地方,我觉得需要予以好好解决。”
在朱巍看来,要解决技术发展与用户信息保护平衡点的问题,需要明晰大数据产权问题,“目前,从中国的法律体系来看,《民法典》、《个人信息保护法》二审稿等相关法律里对个人信息的概念已经做了非常详细的描述,但并没有对大数据的性质做出具体的规定。《民法典》最后一审稿出来之后,曾经把数据信息纳入到《民法典》中的知识产权的课题里面,对此我们曾提出反对,因为数据信息里既包括大数据,也包括个人信息,个人信息是隐私权,不能转化成大数据,至少一定程度上是不可以的,因为有巨大的争议,《民法典》后来把这条删掉了。”
贝壳财经记者注意到,《民法典》第一百二十七条规定,法律对数据、网络虚拟财产的保护有规定的,依照其规定。
“所以我们能发现,个人信息和大数据有千丝万缕的关系,在行业适用领域中,大数据的产权问题还没有明晰。现在,国家正在出台关于数字经济的指导意见,有一些还没有向社会公布,公布的时候我相信数据信息的概念至少在产权领域会变明晰。”朱巍称。
此外,朱巍认为,当个人信息与其他法律交织在一起,让问题变得更加复杂。“目前,《刑法》、《个人信息保护法》等都有对敏感信息范围的相关规定,且内涵和外延完全不一样,这就出现了一个非常有意思的问题:当我们研究的时候提到敏感信息,我们要先问一下是哪部法律中的。所以是不是应该有一个统领,至少在概念上能够说清楚,但是目前为止好像还没有。现在当我们研究一些法律问题,不单纯是个人信息保护问题,而是个人信息保护和其他法律关系相互交叉的问题,这就让问题本身变得复杂了。”
从企业到国际社会数字化转型风险几何?
事实上,每个用户贡献的数据最终都将汇成一道数据洪流,个人、产业、国家、国际社会由此交织在一起。除了用户外,企业在数字化转型的过程中面对着什么样的风险?
“什么是‘数字化’背后的风险?它指的是——数字经济生活中,用户在享受数字化带来的便捷与普惠同时,所面临的、伴随而来的风险。例如,对于行业商户来说,羊毛党造成的‘营销资金风险’,足以让商户精心打造的营销活动毁于一旦。对于个人用户而言,网络欺诈、账户盗用等问题,更是成为了数字经济中高发的、危害性极大的安全问题。如今的黑产作案越来越趋于多平台、多链路、团队化和智能化。这使得对抗黑产、防范智能化风险,已经转化为了一个全新的命题。”赵闻飙表示。
赵闻飙透露,早在六七年前,蚂蚁团队就已经在平常应对黑产攻击中,发现了AI的痕迹。“不可忽略的是,伴随着人工智能技术的高速发展和加持,这一风险仍将持续加剧,并且演变为‘智能化’背后的风险。”
那么,当我们把视野从个人用户、企业再扩展到国际社会,数字化的风险又有何变化呢?
在吴沈括看来,随着数字化转型的加速,经济构成、民众生活方式、社会治理甚至是国家层面和全球治理层面都已经产生了非常大的变化。
吴沈括认为,在这个变化的过程中,需要注意到三个复杂性,“第一个是参与数据活动当中主体的复杂性,从用户个人到产业、国家甚至国际社会,在这个过程中,主体结构的复杂性是跨部门、跨行业、跨国的存在,而这使得数据处理和数据活动过程中面对的场景更为复杂,而且在快速的迭代更新中,这就是第二个场景的复杂性。因此,我们在一些传统的场景中归纳总结出来规则,面对新场景的时候,或许面对着非常大的适用困难。于是,在这样的背景下形成了第三个复杂性,就是诉求的复杂性。”
“举例来说,哪怕是主体单一的情况下,这个主体在不同阶段的诉求是不一样的,在一定的阶段可能会更加关注自身的隐私,自身的个人信息的保护,在一定场景中可能会更倾向于对某种经济利益或者其他类型的利益的追求,所以在这样的情况下我们面对着非常复杂的情形或者说在新阶段中,我们需要有一个非常宽阔的视野去看待这个现象。”吴沈括说。
如何保护数字经济发展?用AI对抗AI
针对如此之多的复杂问题,我们应该怎么做?专家们给出了不同的建议。
首先,是充分的激励机制。
在吴沈括看来,数据业务和数据流转利用过程中,知识、能力的不对称导致很多情况下透明度不足,进而导致了信任度不足,“国内国际跨部门跨行业的主体之间形成有效的信任度,是我们对数字化生活给予有效信赖的基础。在有了充分的信用度之后,我们需要一个必要的激励度,目前来看,以数据驱动的各类创新在不断推动(经济的发展),在这个过程中,如何确保,以及如何最大限度地激励在数据流转利用等各类数据活动中做出了贡献的主体的价值,给它必要的推动,是我们需要特别重视的点。”
“我们欣喜地看到《数据安全法》以及未来要出台的《个人信息保护法》正在给数字经济的发展制定一些规则,这是市场急需的,但不是事无巨细的,可能只能做到原则性的。至于如何落实,可能需要细则,需要透明度,需要让企业实际有动力落实这个机制,例如对其声誉有显性化激励,这就需要配套的措施,而不只是惩罚。”魏凯表示。
此外,通过技术来帮助解决安全问题也是专家们共同的观点。
在魏凯看来,前几年,大数据的应用侧重于做报表,做大屏幕,给决策者直观的相关数据。但是现在大数据的技术应用往往不是这样,而是已经深入到决策闭环里去了。“以前的报表,看了以后采取决策仍然要靠人拍板,而现在很多大数据的风控,大数据的精准广告,其实人都不在闭环里面,人只要把规则定好,数据驱动就可以闭环自动执行。”
“现在,一种新的模式正在崛起,如区块链的技术允许我们不再把数据集中起来也能够享受数据融合的红利,当前这类技术正在快速升温,这就有可能创造一种新的大数据的应用模式。”魏凯表示。
赵闻飙表示,传统风控受制于技术成本、数据规模和算法效能,许多场景还是专家经验驱动,而不是数据智能驱动。“支付宝每天有数亿笔交易,面对如此庞大的计算量,一旦决策产生延迟,就给了黑产可乘之机。因此,发展面向可信人工智能技术的下一代风控技术体系成为了我们的必由之路。”
他举例称,通过人工智能与金融风控的深度融合,支付宝的AI大脑AlphaRisk能够在零人工干预的全自动模式下,对风险进行毫秒级的响应。例如,在网络欺诈风险识别场景下,当系统识别到用户遇到诈骗风险时,AI机器人会以小于0.1秒的速度向用户呼出“叫醒电话”。此外,在快速响应当下风险的同时,AlphaRisk还具备自学习、自适应的能力,从而将安全从静态的被动防守,转变为动态的主动对抗。
贝壳财经记者还发现,在谈论数字经济发展的同时,多位专家都将安全视为了经济发展木桶潜在的“短板”,认为需要充分重视数字经济时代的风险防控。
“以前我们发展任何产业的时候都是包容审慎,而现在更多的是审慎包容。以前是效率优先,安全其次,先发展起来再说。现在看来,安全可能就是木桶上的短板,我国互联网产业、规模、技术发展已经很大很快了,如果追求安全问题,一定会牺牲市场,一定会牺牲效率,但从长远的角度看,我认为这种做法是没有问题的。”朱巍表示。