现任奇虎 360 科技有限公司首席隐私官,2013 中国互联网安全大会主席。 2009 年 7 月加盟北京奇虎科技有限公司担任副总裁,负责公司网站技术、技术运维、数据分析与挖掘、云查杀、云存储等业务的技术团队管理。
1992 年毕业于西安交通大学计算机科学与工程系计算机应用专业。2003 年 1 月至今先后任 3721 技术开发总监、雅虎中国技术开发总监、雅虎中国 CTO、阿里巴巴-雅虎中国技术研发部总监。还曾任 MySpace CTO 兼任 COO。
目前还担任 CCF 副秘书长,YOCSEF 主席,及今年 CNCC 前奏 Tech Frontier & Rockstar 的主席。
以下为编辑整理后的采访实录:
1、首先我们从最近的一个社会热点——电信诈骗说起,在上个月的国家网络安全周期间(9 月 19 日 - 25 日),360 发布了《2016 中国电信诈骗形势分析报告》,360 是如何看待电信诈骗和网络安全之间的内在联系的?
首先,比如徐玉玉事件,诈骗团伙实际上提前已经掌握了她的基本信息,这种信息的获取实际上很多是从网络渠道获得的。虽然最后是通过电话、短信发起诈骗,但网络变成了电信诈骗的一个信息来源。
其次,境外的一些电信诈骗团伙很多也是通过网络实施诈骗的,他们在境外的窝点,通过 VOIP 向国内拨打诈骗电话,VOIP 实际上就是一种利用网络进行语音通信的方式,可以简单的认为就是网络电话。那么他们通过设置 VOIP 的网关,能起到隐藏电话来源的作用,这个不同于传统的电信服务。
最后呢,诈骗组织之间的协同分工往往也是以互联网为平台进行的,不同的犯罪分子可能分布在不同的地方,通过网络来协同诈骗。
所以,现在互联网实际上变成了实施诈骗的一个工具或者渠道。
2、既然互联网可能被不法分子利用,那业界可以采取哪些措施来应对呢?
这个事情其实大家都在不同程度地进行,据我所知,包括互联网公司、运营商、金融服务业、公安等是有协同合作的,但协同的程度肯定还需要提高,最近中央也很重视这个问题,公安也投入了更多的力量,协同的力量在加大、效率在提高,这对预防此类案件应该会有比较大的帮助。
3、就目前做到的程度而言,未来还有多久的路要走呢?
这个问题很难量化地来分析,可能 80% 的问题很快就能解决,但是要彻底解决最后的 20%,往往要花费成倍的时间和精力。
但是,根据我后来了解的情况来看,我是持比较乐观的态度,我相信电信诈骗频发的势头会很快被遏制住。
4、我们知道 360 手机卫士综合多种技术手段全面提升了风险电话提醒机制,上线了可疑电话提醒功能,360 搜索也独家提供了电信诈骗查询功能,大家很好奇这些应用的背后都用到了哪些技术呢?
第一个,我们可以认为是“众包”的方式。源自 360 本身的终端应用的大量安装,用户可以反馈信息。比如,用户接到疑似诈骗的电话,在挂机后可能直接在我们的应用里进行了标注,那其他的用户在接到同个号码的时候就会获得相关的提醒。
第二个,我们可以利用大数据分析来判断。以短信为例,普通用户一般情况下不会把相同银行账号大面积群发,而诈骗短信往往是使用广发网,所以我们可以根据发送数目来进行分析;短信的内容中是否嵌入了短链接或者网页,通过这些特征我们也可以判断是否可能是诈骗短信;另外,我们还能分析短信中链接跳转的网页是否是假冒的,比如工商银行的域名和 IP 地址都是确定的,如果突然跳转到一个北美的域名,但外观和工商银行官网非常类似,那么我们就能断定这是一个诈骗网站。
5、您刚刚也提到 360 通过免费的安全服务积累了大量终端用户,终端客户源源不断向云端传送数据,你们是如何利用的呢?
那么第一类是银行账号之类的数据,我们和银行也有合作,如果诈骗信息中出现该账号,我们会提交给银行,由他们进行特殊处理,防止用户的财产受到损失。
第二类主要是短链接数据。比方说,用户接到的短信中包含一个短链接,点开之后是下载一个 APK,这极有可能就是一个木马。那么我们再拿到这个短链接以后会遵循只是下载这个 APK,然后通过机器程序自动分析这个 APK 文件是否确定为木马病毒,如果是的话我们就会对应地提醒用户,并且今后其他用户在收到相同短链接时都会收到提醒。我们都知道,如果木马真的进入了用户手机,后果是很严重的,无论是通讯录还是其他信息都会一览无遗。甚至可以盗取用户的信息后,以用户的名义进行诈骗等等。如果我们能自动识别出木马,并阻止木马程序的运行,这对用户是有很大帮助的。
第三类就是用户主机号码,如果用户接到了诈骗电话并且标记了相关号码,我们就会对这些标记的数据进行大数据分析,以后其他用户再接到同一主机号码就会收到提示。
6、大数据和分享经济给我们带来了很多机遇,但这也是把“双刃剑”,个人信息安全受到的挑战越来愈多。有人说,这是大数据和个人隐私之间的博弈,您作为奇虎 360 的首席隐私官是怎么看待这个问题的呢?
这个问题主要从两方面来谈。
第一个方面来说,大数据和分享经济使人们的生活变得更加便利,给人们提供的个性化服务会更加贴心。但弊端就是你的个人信息可能会被使用,甚至基于大数据的分析还能预测出你下一步会做什么。我没记错的话 Gartner 出过一个报告,里面提到 2017 年会有 80% 的用户愿意用自己的个人信息来换取更加便宜、更加便捷的服务。我认为这是人性使然,当人们能获得某些便利时,他们可能会主动地出让自己的一些信息。所以当大数据给人们带来一些好处,使他们获得更好的体验,更便宜的服务,人往往是很难拒绝的。
第二个方面呢,如果信息被泄露、被恶意利用,会造成的危害也非常大,人就会像生活在一个玻璃盒子里面。这似乎是这个社会的演进过程中不得不面对的一个问题,它的解也不是一个简单的方式。
所以我认为,这二者之间的博弈最后会达到一个平衡点。比如西方经常提到隐私权,国内往往叫做隐私或者隐私信息,这个说法在我看来不太准确。“Privacy”,隐私权,应该是一种权利。也就是说,当你希望不为人知地、孤独地一个人生活的时候,当你不想让别人知道自己信息的时候,你有选择的权利。但现在的社会中,可能你根本无法选择,无法达到,即使你不想,别人也能通过其他途径知道。比如你的健康状况,你的收入状况等等,你不希望别人知道,你能不能做到呢?这个就是我说的隐私权,我认为这应该是让人有自我选择的权利。当然也不是强制你必须不为人知地生活,比如那些网红主播,吃饭、睡觉都要做直播,这种属于自己放弃了自己的隐私权,她们就是希望秀给观众看。那么这种情况下,我们尊重她们的选择,而不是强制说她们的信息都不能披露。
最终要解决的这个问题,首先应该是要有法律法规的保障,颁布了相关规定后,再来要求信息服务商如何做到符合法律法规。比如说,收集的信息是否和提供的服务有关。如果我去吃饭,非要收集婚姻状况,这就没有任何意义。如果你登录的是婚恋网站,了解你的婚姻状况、收入状况等等信息就是必要的,因为提供给你的服务需要用到这些信息。再者,在收集用户信息之前,是否明确地告知用户了,是否说明信息的用途了。第三点,是否获得了用户的许可,如果用户不愿意提供相关信息,作为服务提供商可以选择拒绝提供相关服务,但是不能在用户未许可的情况下获取信息。第四点,收集的信息是否被妥善保管,不能随意地进行传播。第五点,信息的使用是否在约定范围,如果你给婚恋网站提供了个人信息,但婚恋网站把信息卖给了广告公司,这就属于超出用户授权地使用了用户信息。第六点,出现用户信息不准确的情况时,用户是否可以修正,这点目前很多地方都做的不好,信息一旦提交,哪怕是错误信息,之后也没有可以修改的机会了。最后一点,信息如何被销毁,如何能安全地销毁。比如说,如果存储信息的设备被当做二手机卖了,买主就有可能获得里面的信息。
7、那么业内现在是如何进行销毁的呢?
如果是很敏感的数据,一般会把磁盘拆下来进行消磁。另一种就是采用物理破坏的方法,打孔或者砸碎。
上篇《360 首席隐私官谈大数据与个人隐私的博弈》到此结束,敬请期待下篇《人工智能时代的网络安全新发展》。
号外:10 月 19 日,谭晓生老师将参加 2016 中国计算机大会的安全分论坛。我们会赠送价值 2300 元的非 CCF 会员票,凭此票可以参加 19 - 22 日包括谭老师在内的 16 位嘉宾精彩的特邀报告、30 个论坛及 50 场活动(除晚宴外)。报名请扫描下面的二维码在公众号后台发送“CNCC”报名,我们会每天从报名者中选出一名送出门票~~