2021年08月04日 星期三
互联网企业数据与国家安全
第13版:数据安全 2021-07-19

互联网企业数据与国家安全

陈冰

7月2日晚间,国家网信办官网发布公告称,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。

2020年1月20日,广州大学城生物岛内无人驾驶车辆测试运行,无人驾驶车辆会收集、调用大量路况数据。

深度伪造技术可能引发各种风险。

变幻莫测的人脸生成。 漫画/崔泓

数据对国家而言,是新的“战略资源”;对产业是新的“生产要素”;对个人更是新的“生活必需品”。从某种意义上讲,数据正在不断催生新的社会形态:“未来社会发展在很大程度上将用‘数据说话’”。数据安全不仅是一个技术问题,也是一个安全问题,同时还涉及伦理、法律和国际规则的相关问题。

记者|陈 冰

“滴滴一下,美好出行”。

所有人都没想到滴滴的美好出行来得这么快。6月30日,滴滴悄无声息地在纽交所挂牌上市。

所有人也没有想到,滴滴的下架来得这么快。7月2日启动安全调查,7月4日就被下架了。

惶恐滩头说惶恐,一着不慎叹零丁。作为中国最大的出行平台,“滴滴出行”下架整改引发的震荡已经持续了整整一周,其所引发的蝴蝶效应也在四处显现。

一度沉寂的国内网约车市场突然被激活,相关企业迅速开展“抢人”大战——抢司机,抢乘客,狂撒优惠券。人们突然发现,没有滴滴的世界,出行依然美好。曾经市场的绝对王者,可能只需要短短的45天,就发现自己并不是那么不可替代。

一方面,国内市场被群“狼”环伺;另一方面,政府监管的“利刃”愈加锋利。

7月2日,国家网信办发布通报,网络安全审查办公室对“滴滴出行”实施网络安全审查,审查期间“滴滴出行”停止新用户注册。

7月4日,国家网信办官微发布通报,根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App。一天后,网络安全审查办公室发布关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告。

7月7日,滴滴出行在支付宝小程序、微信小程序内同时下架。7月9日晚间,网信办再次发布通报,因严重违法违规收集使用个人信息,继“滴滴出行”全网下架后,滴滴旗下另外25款App也被国家网信办要求下架。网信办明确要求,各网站、平台不得为“滴滴出行”和“滴滴企业版”等25款已在应用商店下架的App提供访问和下载服务。

7月10日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》(以下简称《意见》)公开征求意见的通知。其中明确提出,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。

与此同时,国际资本市场也是风起云涌,暴击不断。

自6月30日在纽交所低调上市以来,10天之内,滴滴的市值蒸发已经超过200亿。然而,这还不是最糟糕的。目前,美国已经有若干间律师事务所正式对滴滴发起集体诉讼,其中就有最“能赚”的证券诉讼律师事务所——罗森。从人均代理案件数量到理赔金额,“罗森”在证券集体诉讼领域都位列全美第一。而“中概股”则一直是美国证券诉讼律师事务所眼中的肥肉。从百度、阿里、京东到拼多多、新东方,都曾经遭遇过集体诉讼。这一次,滴滴在劫难逃。

美国律师认为,滴滴在上市时涉嫌发布了具有严重误导性的商业信息,侵犯了投资人的权益。而国内,也有律师事务所在进行着类似工作。几乎可以肯定,滴滴将难逃来自中美两国的巨额集体诉讼。

实际上,滴滴等近期赴美上市的几家企业,有一个共同的特点,那就是均为互联网平台企业,拥有海量数据,随着这些企业在境外上市,不可避免地存在着跨境数据流动问题,因而面临着数据出境当中涉及的国家网络安全审查问题。

“资本可以没有国籍,但企业家要有底线。”当资本和潜在的对国家安全产生巨大威胁的数据安全发生冲突时,该听谁的?听资本的吗?国家相关部门的一系列雷霆之举已经给出了明确答案——在涉及国家安全的重大是非面前,没有讨价还价的余地。

内外交困的滴滴

进入盛夏,持续的高温让在外奔波的人们更爱打车了。在滴滴被下架的日子里,你会选择什么出行?美团、高德、曹操、嘀嗒……

可以说,滴滴被全线下架,对它的竞争对手而言简直是天赐良机,美团、高德们原地复活,试图夺取滴滴在中国网约车市场的份额。共享出行这一赛道在中国已经“混战”十年,从早期滴滴和快的补贴大战,再到合并后与Uber大战,最后三家归晋——“滴滴出行”一统江山。

根据研究机构德勤的数据,2018年,滴滴在中国网约车市场的份额曾高达96%,这几年,在竞争对手追赶下,滴滴在中国网约车市场份额降至约80%-90%,但仍然是绝对的王者。有分析师估计,假设此次数据安全调查持续时间为普通情况下的45天,那么在此期间滴滴可能损失约600万新用户。

即便是老用户,也可能有大量流失的风险。毕竟,大部分人对网约车的品牌忠诚度并不高,且对价格非常敏感。换言之,就是谁便宜我就坐谁的。也正因为此,用户端成为滴滴竞品们发力的重要环节:这些平台通过大幅折扣来吸引新用户,激活老客户。一时之间,出行的人们对于滴滴的下架毫无痛感,甚至发现,没有滴滴的世界,出行变得更加美丽了。

在司机端,也是暗流涌动。原来使用量不大的网约车软件突然业务量大增,司机有点忙不过来的感觉。而那些新入局的司机,如何挑选一家合适的平台,则成为了幸福的“烦恼”。一度停止扩张的美团打车在三十多个城市开始大力招募司机,一位司机表示,滴滴下架的第二天,美团就疯狂短信+电话轰炸,让滴滴司机加入。其他平台也在加大司机招募的力度。群狼环伺,国内外一场围猎滴滴的大戏正在启幕。

此外,美国的律师事务所已经对着“滴滴”这块板上钉钉的肥肉虎视眈眈。目前已有至少三家美国律所宣布介入,诉方将滴滴首席执行官程维、总裁柳青和其他几名执行董事列为答辩人,公司上市主承销商高盛、摩根士丹利和摩根大通也被列为被告。

上海正策律师事务所的董毅智律师在接受《新民周刊》采访时表示,今年4月,自己的团队已经受瑞幸咖啡美股投资人的委托,就瑞幸咖啡财务造假事件向法院正式提交了立案申请。“之前,因为中美证券市场投资人属性之间存在差异,投资金额、沟通成本等因素都会使境内个人投资人被美国集体诉讼拒之门外。现在,首批瑞幸境内投资者的诉讼请求已经被法院接受,如今的滴滴也必将面临着一场规模巨大的境内集体诉讼。”董毅智表示,自己的团队已经开始着手前期的准备工作,征集投资者了。

“滴滴成立九年以来,融资超过20轮,很多知名机构都参与,融资额超过200亿美元。前几年因为安全事件而错失上市窗口期,投资人急需上市获利退出。随着美联储加息步伐的加快,国际资本们个个急得如热锅上的蚂蚁,一旦启动taper(紧缩),滴滴这种互联网公司会首当其冲被刺破泡沫,到时会不会跌得一文不值都难以预料。等下去自己就成了韭菜,冲一下妥妥就变成了镰刀,在泡沫和压力面前,滴滴的管理层未能撑得下去,毅然选择了蒙混过关。”董毅智说,“资本可以没有国籍,但企业家要有底线,企业不能一味地按照资本的要求行事。试图先斩后奏,漠视国家的法律法规,将会产生严重的连锁反应。”

7月6日,国务院办公厅罕见发布《依法从严打击证券违法活动的意见》表示,“加强中概股监管,做好中概股公司风险及突发情况应对,推进相关监管制度体系建设”。意见提出,完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定,压实境外上市公司信息安全主体责任。

中国证监会主席易会满同一天向新华社表示,这个文件是资本市场历史上第一次以中办、国办名义联合印发打击证券违法活动的专门文件,是当前和今后一个时期全方位加强和改进证券监管执法工作的行动纲领,意义重大、影响深远。

7月7日,中国反垄断机构以未能提前报告并购交易为由,对滴滴等多家公司处以罚款,其中滴滴因八项违规交易被罚款400万元。相关部门正在以前所未有的力度审视这家共享出行龙头企业。

滴滴究竟会走向何方?董毅智律师表示,由滴滴引发的强监管趋势已成必然。可以预见,后续网信办还将与证券监管机构和其他部委合作,修订长久以来实施的针对可变利益实体(VIE)的规则。这种称为VIE的公司架构使外国投资者能在不直接拥有公司投票权股份的情况下,入股中国科技业和其他敏感行业的公司。“滴滴这类VIE架构的企业存在着违规跨境传输我国重要数据的风险,为此国家相关部门采取了这场针对资本市场的‘零容忍’联手行动。”

企业大数据到底有多重要?

以滴滴为代表接受安全审查的几家公司,赴美上市提交的数据资料至于危害国家安全吗?答案是肯定的。

安全威胁首先来自硬件。《网络安全法》第二十条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

其中,“采购网络产品和服务”是指,“核心网络设备、高性能计算机和服务器,大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务”。

业内人士指出,这些设备上,存在后门、能被远程操控的简直是行业内公开的秘密,所以,苹果早早把自己在中国的数据放在了“云上贵州”。特斯拉也在贵州建立了数据中心,将所有在中国内地市场销售的车辆所产生的数据都储存在中国境内。

滴滴不上市,这些设备放在哪里、买自何家、用来干什么,外界知之甚少,但一旦上市,就需要审计和披露,有想法的情报机构只要按图索骥,就能轻易抄掉滴滴的老底。网信办公告的原文是,“为防止风险扩大”。证明实际风险已经产生了,现在要做的是减少损失。

另外一个威胁来自数据。

滴滴研究院一篇2015年发表在新华网的旧文再次流传开来。这篇文章使用了滴滴研究院的详细数据,分析了几个政府部门在一天的不同时间打车的次数,得出了这些部门员工加班时间的结论。谁能想到,当初一篇宣传企业大数据挖掘能力的文章,会在六年后的今天引发轩然大波。现在,大家已经轻而易举地知道,这样的信息对于有心之人意味着什么。

同样被审查的“运满满”,是国内基于云计算、大数据、移动互联网和人工智能技术开发的货运调度平台。公司官网称,“运满满已经成为全球出类拔萃的整车运力调度平台和智慧物流信息平台”。“货车帮”公司官网则介绍,“货车帮”是中国最大的公路物流互联网信息平台,建立了中国第一张覆盖全国的货源信息网,并为平台货车提供综合服务,致力于做中国公路物流基础设施。

相比于这两家公司,“BOSS直聘”或许更广为人知。官网介绍称,该平台应用人工智能、大数据前沿技术,提高雇主与人才的匹配精准度,缩短求职招聘时间,从而提升求职招聘效率。

综合来看,这几家企业都掌握大量用户隐私数据,并且业务与关键信息基础设施有关联。

“上述几家被审查的企业,分别为日常出行、网络货运及大众求职领域的头部平台,至少掌握了所属行业领域80%以上的深度数据。这些数据可以直接或间接地反映我国各区域人口分布、商业热力、人口流动、货物流动、企业经营等情况。”上海观安信息技术有限公司创始人、首席专家张照龙告诉《新民周刊》,位置信息、移动轨迹、时间节点这些数据要素形成的动态数据都足以形成对国家安全的重大影响。

“举个简单的例子,某孩子妈妈每周末都带两个娃去东部战区附近看一下爸爸,那么很容易推算出这是个军嫂,家里那位是营级以上职务。等到哪天忽然几百上千的军嫂都不再叫车了,轻易就能推算出解放军要搞什么大动作。再比如说,有用户轨迹的地方,有路,有人在这里活跃;没有用户轨迹的地方,但如果又有设施,那这里是用来干嘛的?”

在张照龙看来,目前我国手机号实行实名制,手机绑定App应用,很容易轻松掌握特定人的行动信息。一个人的信息不算什么,但是当精准的数据收集变成海量的时候,数据分析工程师可以利用各种手法或者分析方法、统计方法、推测方法,通过关联分析、融合分析等等,挖出这些表面信息隐含着的情报。“美国是非常善于做数据分析的国家,这些上市公司将经营的原始数据都提供给美方的时候,这些聚合在一起的数据所蕴含的其他类信息,足以产生许多潜在的国家安全风险。”

数据安全,事关重大

数据对国家而言,是新的“战略资源”;对产业是新的“生产要素”;对个人更是新的“生活必需品”。从某种意义上讲,数据正在不断催生新的社会形态:“未来社会发展在很大程度上将用‘数据说话’”。

面向全球数字化转型成立的专业化智库赛博研究院,在刚刚结束的2021世界人工智能大会上,不仅举办了2021世界人工智能安全高端对话,探讨人工智能发展引发的网络、数据和算法等多层面的风险和挑战,还联合相关机构发布了《人工智能赋能网络安全白皮书2021》《以数据为核心,构建新型数字信任体系》《全球数据安全报告:认知、政策与实践》三份重磅报告。其中,《全球数据安全报告》指出,在全球数据爆发增长,海量集聚的新形势下,数据也成为安全的“重灾区”,针对数据的攻击、窃取、劫持、滥用等手段不断推陈出新,甚至形成地下数据产业链,给经济、政治、社会带来巨大风险。

数据的依赖性越强则脆弱性越大。各国从自身国家安全、社会公益以及个人权利保护等角度出发,越来越重视数据安全问题。但现实情况是各主体出于各自的利益诉求和安全关切,对于数据安全的认知与要求并不一致,企业与用户之间,国家与企业之间,国家与国家之间,都可能会出现利益冲突。如何平衡数据安全与发展的关系,找到政策的合理区间,既能促进数字经济的发展,又能满足各方安全诉求成为各国数据政策制定者们的最大挑战。

作为一种“泛在”性的存在,数据的安全维护是一个非常复杂的系统,面临着数据确权、数据垄断、数据泄露以及数据作假等主要挑战,由此带来的安全风险包括:数据非法跨境流通可能危害国家主权和国家安全;数字信息的过度采集和非法使用,可能侵犯公民的权利和隐私;算法的偏好可能加剧社会的偏见或歧视,威胁公平正义;机器深度学习难以理解人性的道德,无人驾驶汽车紧急避险等智能决策可能威胁特定的人群生命;人机相互交互式产品广泛应用带来的工作、生活、感情的高度依赖,可能威胁社会伦理。

所以说,数据安全不仅是一个技术问题,也是一个安全问题,同时还涉及伦理、法律和国际规则的相关问题。简而言之,如果数据背后代表了个人,就有个人权益的概念;如果数据背后代表的是组织,就涉及知识产权、商业秘密;如果数据背后代表了行业或者国家,就有数据的主权和国家安全这些概念交织在里面。企业需要盘点自己的数据资产,并考虑在数据使用的过程中可能牵扯到哪些权利。

张照龙指出,数据风险点可能出现在数据的产生、收集、存储与传输的各个环节。近几年工信部处理了一些违规App,这些违规的App多数是采集了个人的一些隐私信息。“大家都有过这样的经历,刚刚说了某样东西,某个购物软件就向你做了推荐;或者某个新闻就向你做了推送。这些互联网企业挖掘海量用户数据资源,用于定向推送,产生商业利益。我们的衣食住行变得越来越方便,我们的隐私也就变得越来越少。如何在隐私保护与开发数据资源之间达成某种平衡,一直是各国立法面临的重要问题。与此同时,海量数据集中在少部分平台和公司之中,无形中也增大了大规模数据泄露的风险。近年来数据泄露的事件屡见不鲜,涉及工业制造、政府数据、医疗信息、个人账号、军工情报等诸多领域。”

另外一个不容忽视的问题是数据造假。数据篡改或作假问题日益引起广泛关注。环境监测、金融数据、电商交易、视频网站以及社交平台上的公开数据不时爆出造假新闻,而这些假数据对于依赖数据真实性的行业发展极为不利,更会影响国家相关领域的宏观判断与政策制定。更严重的后果还在于,人工智能和机器学习的应用中,无论是算法还是机器学习,都基于海量数据,如果基于被篡改的数据与作假的数据,算法的有效性与学习效果可想而知会出现多么大的偏差。一个最现成的案例就是人脸识别技术。早期的人脸识别可能对白种人或者亚洲人的识别效果比较好,但是对于非洲人、黑人的识别效果比较差,这就涉及数据偏差和歧视问题。

目前的人工智能应用场景中,个人生物识别信息以其独特性、唯一性、可数据化和便携性而被广泛应用在生活的方方面面。指纹锁、小区人脸识别门禁、疫苗注射登记乃至于天网系统都与个人生物识别信息密切相关。而在刚刚结束的2021世界人工智能大会上,参与人工智能安全高端对话的复旦大学计算机学院副院长杨珉透露,很多国家级政务平台,包括头部App厂商的生物特征身份登录,都存在着一定的问题。

此外,利用人工智能的“深度伪造”技术对生物信息进行替换、合成和调整,已经足以实施“换脸术”“变声术”,甚至造出集合上百人特征的“合成脸”,实施各种犯罪行为。这些深度伪造技术足以引发政治风险、社会风险乃至影响国家安全和国际社会安全。

“现在很火的自动驾驶汽车、无人驾驶,如果当它面临投毒攻击或者定向攻击,或者它本身的算法出现问题的时候,很容易导致车祸出现人身伤害,这也是和我们的传统计算机安全不太一样的地方,人工智能的数据安全出现问题的时候,可能会引发社会安全乃至国家安全问题。”张照龙说。

安永网络安全及隐私保护咨询大中华区合伙人高轶峰在2021世界人工智能安全高端对话上感慨,过去一周国家一系列监管措施的出台,让很多企业第一次把数据安全真正视为企业生存的一条生命线了。“这对所有做安全的人来说,都是一个好消息,我们不再需要教育市场和教育管理层了。”

放大

缩小

上一版

下一版

下载

读报纸首页