融易媒体：AI安防企业被曝数据泄露 敲响人脸识别安全警钟(2)

　　安全情报提供商Risk Based Security(RBS)发布的一份报告显示，2018年全球公开披露的超过6500起数据泄露事件中，有三分之二来自商业部门，有12起数据泄露事件涉及人数超过1亿甚至更多。导致数据泄露的常见原因中，黑客攻击占据绝大多数，但因内部漏洞而导致数据泄露的事件记录远远超过黑客窃取。

　　2017年起施行的《网络安全法》明确提出了“谁收集、谁负责”的原则，要求隐私信息的收集方承担起保障数据安全的义务，集中存储用户隐私信息的数据库就显得尤为重要。而在人脸识别技术逐渐扩展应用领域，甚至在消费、借贷等金融领域逐渐落地的今天，许多企业并未做好相应的安全保障。

　　重庆大学国家网络空间安全与大数据法治战略研究院院长齐爱民表示，企业、机构数据库安防力量薄弱、责任意识淡薄以及数据市场需求旺盛等因素为大规模数据泄露埋下伏笔。360互联网安全中心发布的《WannaCry一周年勒索软件威胁形势分析报告》显示，2017年勒索病毒爆发前夕，各机构有58天的时间可以进行补丁升级等安全布防工作，但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦，致使其最终遭受勒索病毒攻击。

　　其次，数据流转程序较多，部分企业责任意识淡薄，用户数据倒卖在我国已形成相对成熟的黑灰产业，打包出售用户数据的情况在黑市中随处可见。对于企业而言，数据安全保护部门只能作为成本支出部门，而非盈利部门。

　　齐爱民认为，外部监管尚未有效落实也是一个重要原因，我国个人信息保护制度尚不完善，执法权责并不清晰，尚未形成统一有效的监管机制，很多数据泄露事件也在人们关注度下降后不了了之。大部分机构在涉嫌数据泄露后以“一纸声明”的形式撇清关系，后续调查结果也未向公众披露，间接导致行业内用户数据保护的氛围恶化。

　　公安部第三研究所信息网络安全法律研究中心主任黄道丽则认为，在数据泄露事件频发的今天，关注个人信息的关联影响比单纯地确定“敏感”程度更为紧迫。例如，深网视界本次疑似泄露的人脸识别数据如果与以往泄露的隐私信息相关联，或可达到“用户画像”的程度，将全方位暴露公民个人日常生活，产生精准营销、网络诈骗等风险。

　　黄道丽指出，人脸识别和指纹识别等属于生物特征，而非密码技术，单独使用无法实现保护个人信息的作用。网络企业在追求便捷性的同时，应该对这类生物特征采取必要的加密措施，“这恰是体现厂商市场地位和领先性的方面”。

　　在DCCI互联网数据中心主任胡延平看来，人脸、指纹、虹膜等用户生物信息是个人信息安全“一定不能出问题的最后一道防线”。面对安全防护水平较低、隐私保护力量薄弱的现实，他建议用户小心使用这些生物信息，“在网上，这些信息能不提交就不提交”，以免过多的隐私信息进入缺乏安全保障的数据库后台。