网络安全大腕:刷脸最大风险在于数据遭“拖库”
“银行支付用了弱口令,发现了还可以改。面相、指纹、虹膜这样的生物特征数据,就不是这么简单了。我不会把自己的指纹等生物特征录给不放心的厂商。”在9月25日下午的“2017第二届SSC安全峰会”圆桌讨论上,一位网络安全界“大腕”说。
安全圈大腕专题探讨个人信息保护
“2017第二届SSC安全峰会”由陕西省互联网信息办公室、西安高新技术产业开发区管理委员会指导,西安四叶草安全信息技术有限公司主办,陕西省信息网络安全协会、陕西省互联网协会、西安高新空间安全产业联盟共同协办。
峰会圆桌讨论总议题为“一带一路·安全”,着重讨论了跨境电子交易中的网络安全与数据保护问题,以及人脸识别、大数据分析、人工智能等技术条件下的个人信息保护问题。华商报为这次安全峰会的圆桌讨论提供了部分议题。
IDF(极安客)实验室联合创始人万涛主持圆桌讨论。360企业安全总裁吴云坤、百度安全事业部技术总监冯景辉、大成天下CTO黄鑫、Wifi Master Key首席安全官龚蔚、四叶草安全创始人马坤参与讨论。华商记者 马虎振
“不会把生物信息录给不放心厂商”
主持人万涛说,最近人脸识别技术特别受关注,说明公众对安全问题并非不关心。现在苹果刷脸新机还没开卖,淘宝上已有人在卖刷脸面具。人脸识别技术带来很多问题:刷脸的数据到底该归谁?刷了脸还有没有撤销权?
黄鑫说:“人脸识别技术在我看来没有危害,只要识别精度不输于指纹,在这个领域够用就行。但我比较担心的是,假设我们的面部特征以及指纹、虹膜等生物特征信息被广泛应用,比如用于银行支付等,而在这之前我们的生物特征数据已被各个银行、手机厂商甚至不知名的APP厂商充分采集到,这个时候我认为才是风险最大的时候。这里的风险并不是来自于人工智能和大数据的分析,而是来自于人们前期对自己生物特征数据的不够重视。这就可能会让别有用心的人随便拖个库,就能把这些数据拿到手。弱口令有问题还可以更改,指纹、虹膜这样的生物特征数据就不是这么简单了。在技术还不是非常成熟、运用前景还不是很准确的情况下,我和家人不会把自己的生物特征数据录给不放心的厂商。”
数据被“拖库”后咋追责 目前还是法律盲点
龚蔚表示,生物特征识别虽然方便,但验证强度并未增强,另外还和隐私相关。“密码再长,和设密码的人并无必然关联。但凭借面相、指纹等信息可以追溯到特定的人,这就属于隐私,而且属于公民的极度隐私”。“数据是一种资源,都有自己的归属。但数据又是流动的,当中国的数据在境外产生,境外的数据在中国产生,这就产生一个问题:这些资源属于谁?再比如,企业把服务器建在别的国家,拥有主权国家的政府部门是否就可以强行要求查看这些数据?或者说你的服务器建在我这里,我就可以强行要求查看这些数据?这就存在一个边界划分的问题。”
讨论中有专家还提到,收集了大量个人信息的平台数据库被人“拖库”后到底该如何追责,这也是目前一个法律盲点。