CNCC 人物专访 谭晓生(上)| 360 首席隐私官谈大数据与个人隐私的博弈

本文涉及的产品
云原生大数据计算服务MaxCompute,500CU*H 100GB 3个月
云原生大数据计算服务 MaxCompute,5000CU*H 100GB 3个月
简介:
    

CNCC 人物专访 谭晓生(上)| 360 首席隐私官谈大数据与个人隐私的博弈

现任奇虎 360 科技有限公司首席隐私官,2013 中国互联网安全大会主席。 2009 年 7 月加盟北京奇虎科技有限公司担任副总裁,负责公司网站技术、技术运维、数据分析与挖掘、云查杀、云存储等业务的技术团队管理。

1992 年毕业于西安交通大学计算机科学与工程系计算机应用专业。2003 年 1 月至今先后任 3721 技术开发总监、雅虎中国技术开发总监、雅虎中国 CTO、阿里巴巴-雅虎中国技术研发部总监。还曾任 MySpace CTO 兼任 COO。

目前还担任 CCF 副秘书长,YOCSEF 主席,及今年 CNCC 前奏 Tech Frontier & Rockstar 的主席。

以下为编辑整理后的采访实录:

1、首先我们从最近的一个社会热点——电信诈骗说起,在上个月的国家网络安全周期间(9 月 19 日 - 25 日),360 发布了《2016 中国电信诈骗形势分析报告》,360 是如何看待电信诈骗和网络安全之间的内在联系的?

首先,比如徐玉玉事件,诈骗团伙实际上提前已经掌握了她的基本信息,这种信息的获取实际上很多是从网络渠道获得的。虽然最后是通过电话、短信发起诈骗,但网络变成了电信诈骗的一个信息来源。

其次,境外的一些电信诈骗团伙很多也是通过网络实施诈骗的,他们在境外的窝点,通过 VOIP 向国内拨打诈骗电话,VOIP 实际上就是一种利用网络进行语音通信的方式,可以简单的认为就是网络电话。那么他们通过设置 VOIP 的网关,能起到隐藏电话来源的作用,这个不同于传统的电信服务。

最后呢,诈骗组织之间的协同分工往往也是以互联网为平台进行的,不同的犯罪分子可能分布在不同的地方,通过网络来协同诈骗。

所以,现在互联网实际上变成了实施诈骗的一个工具或者渠道。

2、既然互联网可能被不法分子利用,那业界可以采取哪些措施来应对呢?

这个事情其实大家都在不同程度地进行,据我所知,包括互联网公司、运营商、金融服务业、公安等是有协同合作的,但协同的程度肯定还需要提高,最近中央也很重视这个问题,公安也投入了更多的力量,协同的力量在加大、效率在提高,这对预防此类案件应该会有比较大的帮助。

3、就目前做到的程度而言,未来还有多久的路要走呢?

这个问题很难量化地来分析,可能 80% 的问题很快就能解决,但是要彻底解决最后的 20%,往往要花费成倍的时间和精力。

但是,根据我后来了解的情况来看,我是持比较乐观的态度,我相信电信诈骗频发的势头会很快被遏制住。

4、我们知道 360 手机卫士综合多种技术手段全面提升了风险电话提醒机制,上线了可疑电话提醒功能,360 搜索也独家提供了电信诈骗查询功能,大家很好奇这些应用的背后都用到了哪些技术呢?

第一个,我们可以认为是“众包”的方式。源自 360 本身的终端应用的大量安装,用户可以反馈信息。比如,用户接到疑似诈骗的电话,在挂机后可能直接在我们的应用里进行了标注,那其他的用户在接到同个号码的时候就会获得相关的提醒。

第二个,我们可以利用大数据分析来判断。以短信为例,普通用户一般情况下不会把相同银行账号大面积群发,而诈骗短信往往是使用广发网,所以我们可以根据发送数目来进行分析;短信的内容中是否嵌入了短链接或者网页,通过这些特征我们也可以判断是否可能是诈骗短信;另外,我们还能分析短信中链接跳转的网页是否是假冒的,比如工商银行的域名和 IP 地址都是确定的,如果突然跳转到一个北美的域名,但外观和工商银行官网非常类似,那么我们就能断定这是一个诈骗网站。

5、您刚刚也提到 360 通过免费的安全服务积累了大量终端用户,终端客户源源不断向云端传送数据,你们是如何利用的呢?

那么第一类是银行账号之类的数据,我们和银行也有合作,如果诈骗信息中出现该账号,我们会提交给银行,由他们进行特殊处理,防止用户的财产受到损失。

第二类主要是短链接数据。比方说,用户接到的短信中包含一个短链接,点开之后是下载一个 APK,这极有可能就是一个木马。那么我们再拿到这个短链接以后会遵循只是下载这个 APK,然后通过机器程序自动分析这个 APK 文件是否确定为木马病毒,如果是的话我们就会对应地提醒用户,并且今后其他用户在收到相同短链接时都会收到提醒。我们都知道,如果木马真的进入了用户手机,后果是很严重的,无论是通讯录还是其他信息都会一览无遗。甚至可以盗取用户的信息后,以用户的名义进行诈骗等等。如果我们能自动识别出木马,并阻止木马程序的运行,这对用户是有很大帮助的。

第三类就是用户主机号码,如果用户接到了诈骗电话并且标记了相关号码,我们就会对这些标记的数据进行大数据分析,以后其他用户再接到同一主机号码就会收到提示。

6、大数据和分享经济给我们带来了很多机遇,但这也是把“双刃剑”,个人信息安全受到的挑战越来愈多。有人说,这是大数据和个人隐私之间的博弈,您作为奇虎 360 的首席隐私官是怎么看待这个问题的呢?

这个问题主要从两方面来谈。

第一个方面来说,大数据和分享经济使人们的生活变得更加便利,给人们提供的个性化服务会更加贴心。但弊端就是你的个人信息可能会被使用,甚至基于大数据的分析还能预测出你下一步会做什么。我没记错的话 Gartner 出过一个报告,里面提到 2017 年会有 80% 的用户愿意用自己的个人信息来换取更加便宜、更加便捷的服务。我认为这是人性使然,当人们能获得某些便利时,他们可能会主动地出让自己的一些信息。所以当大数据给人们带来一些好处,使他们获得更好的体验,更便宜的服务,人往往是很难拒绝的。

第二个方面呢,如果信息被泄露、被恶意利用,会造成的危害也非常大,人就会像生活在一个玻璃盒子里面。这似乎是这个社会的演进过程中不得不面对的一个问题,它的解也不是一个简单的方式。

所以我认为,这二者之间的博弈最后会达到一个平衡点。比如西方经常提到隐私权,国内往往叫做隐私或者隐私信息,这个说法在我看来不太准确。“Privacy”,隐私权,应该是一种权利。也就是说,当你希望不为人知地、孤独地一个人生活的时候,当你不想让别人知道自己信息的时候,你有选择的权利。但现在的社会中,可能你根本无法选择,无法达到,即使你不想,别人也能通过其他途径知道。比如你的健康状况,你的收入状况等等,你不希望别人知道,你能不能做到呢?这个就是我说的隐私权,我认为这应该是让人有自我选择的权利。当然也不是强制你必须不为人知地生活,比如那些网红主播,吃饭、睡觉都要做直播,这种属于自己放弃了自己的隐私权,她们就是希望秀给观众看。那么这种情况下,我们尊重她们的选择,而不是强制说她们的信息都不能披露。

最终要解决的这个问题,首先应该是要有法律法规的保障,颁布了相关规定后,再来要求信息服务商如何做到符合法律法规。比如说,收集的信息是否和提供的服务有关。如果我去吃饭,非要收集婚姻状况,这就没有任何意义。如果你登录的是婚恋网站,了解你的婚姻状况、收入状况等等信息就是必要的,因为提供给你的服务需要用到这些信息。再者,在收集用户信息之前,是否明确地告知用户了,是否说明信息的用途了。第三点,是否获得了用户的许可,如果用户不愿意提供相关信息,作为服务提供商可以选择拒绝提供相关服务,但是不能在用户未许可的情况下获取信息。第四点,收集的信息是否被妥善保管,不能随意地进行传播。第五点,信息的使用是否在约定范围,如果你给婚恋网站提供了个人信息,但婚恋网站把信息卖给了广告公司,这就属于超出用户授权地使用了用户信息。第六点,出现用户信息不准确的情况时,用户是否可以修正,这点目前很多地方都做的不好,信息一旦提交,哪怕是错误信息,之后也没有可以修改的机会了。最后一点,信息如何被销毁,如何能安全地销毁。比如说,如果存储信息的设备被当做二手机卖了,买主就有可能获得里面的信息。

7、那么业内现在是如何进行销毁的呢?

如果是很敏感的数据,一般会把磁盘拆下来进行消磁。另一种就是采用物理破坏的方法,打孔或者砸碎。

上篇《360 首席隐私官谈大数据与个人隐私的博弈》到此结束,敬请期待下篇《人工智能时代的网络安全新发展》。

号外:10 月 19 日,谭晓生老师将参加 2016 中国计算机大会的安全分论坛。我们会赠送价值 2300 元的非 CCF 会员票,凭此票可以参加 19 - 22 日包括谭老师在内的 16 位嘉宾精彩的特邀报告、30 个论坛及 50 场活动(除晚宴外)。报名请扫描下面的二维码在公众号后台发送“CNCC”报名,我们会每天从报名者中选出一名送出门票~~

  
 
  本文作者: 陈杨英杰

本文转自雷锋网禁止二次转载, 原文链接
相关实践学习
基于MaxCompute的热门话题分析
本实验围绕社交用户发布的文章做了详尽的分析,通过分析能得到用户群体年龄分布,性别分布,地理位置分布,以及热门话题的热度。
SaaS 模式云数据仓库必修课
本课程由阿里云开发者社区和阿里云大数据团队共同出品,是SaaS模式云原生数据仓库领导者MaxCompute核心课程。本课程由阿里云资深产品和技术专家们从概念到方法,从场景到实践,体系化的将阿里巴巴飞天大数据平台10多年的经过验证的方法与实践深入浅出的讲给开发者们。帮助大数据开发者快速了解并掌握SaaS模式的云原生的数据仓库,助力开发者学习了解先进的技术栈,并能在实际业务中敏捷的进行大数据分析,赋能企业业务。 通过本课程可以了解SaaS模式云原生数据仓库领导者MaxCompute核心功能及典型适用场景,可应用MaxCompute实现数仓搭建,快速进行大数据分析。适合大数据工程师、大数据分析师 大量数据需要处理、存储和管理,需要搭建数据仓库?学它! 没有足够人员和经验来运维大数据平台,不想自建IDC买机器,需要免运维的大数据平台?会SQL就等于会大数据?学它! 想知道大数据用得对不对,想用更少的钱得到持续演进的数仓能力?获得极致弹性的计算资源和更好的性能,以及持续保护数据安全的生产环境?学它! 想要获得灵活的分析能力,快速洞察数据规律特征?想要兼得数据湖的灵活性与数据仓库的成长性?学它! 出品人:阿里云大数据产品及研发团队专家 产品 MaxCompute 官网 https://www.aliyun.com/product/odps 
目录
相关文章
|
6月前
|
存储 人工智能 安全
AI大数据分析对企业安全隐私的保护非常重要
AI大数据分析在提供企业发展和决策支持的同时,也涉及到大量的企业数据和用户隐私信息。因此,保护企业安全隐私是非常重要的。
|
12月前
|
存储 安全 大数据
数据隐私与安全在大数据时代的挑战与应对
数据隐私与安全在大数据时代的挑战与应对
981 0
|
安全 大数据 数据安全/隐私保护
瓴羊Dataphin隐私计算:数据安全流通方案-大数据产业发展概览-发展数字经济成为国家战略
瓴羊Dataphin隐私计算:数据安全流通方案-大数据产业发展概览
153 0
|
安全 大数据 数据安全/隐私保护
瓴羊Dataphin隐私计算:数据安全流通方案-大数据产业发展概览-数据产业面临的挑战与机遇
瓴羊Dataphin隐私计算:数据安全流通方案-大数据产业发展概览
122 0
|
安全 大数据 数据安全/隐私保护
瓴羊Dataphin隐私计算:数据安全流通方案-大数据产业发展概览-数据要素市场的发展趋势
瓴羊Dataphin隐私计算:数据安全流通方案-大数据产业发展概览
121 0
|
存储 数据采集 分布式计算
大数据治理系列:6 如何保护大数据的安全和隐私
从安全和隐私的角度来看,大数据与其他传统数据不同,需要不同的方法。但是可以扩展许多现有的方法和实践,以支持大数据的安全和隐私模式。
大数据治理系列:6 如何保护大数据的安全和隐私
|
云安全 存储 运维
4项认定!阿里云DataTrust隐私增强计算平台通过信通院大数据产品能力评测
6月24日,中国信通院第十二批“大数据产品能力评测”评审会圆满结束,共计65家企业的120款产品通过了本次评审。
401 0
4项认定!阿里云DataTrust隐私增强计算平台通过信通院大数据产品能力评测
|
存储 运维 安全
4项认定!阿里云DataTrust隐私增强计算平台通过信通院大数据产品能力评测
同时获得“多方安全计算”、“可信执行环境”、“联邦学习”4项测评通过。
742 0
4项认定!阿里云DataTrust隐私增强计算平台通过信通院大数据产品能力评测