AI项目大量落地 人脸数据安全防护工作却严重缺失
2019-09-24
广州市安全防范行业协会
点击量:7010
AI项目大量落地 人脸数据安全防护工作却严重缺失
事件一:9月初,在一场围绕教育场景概念演示活动中,某AI企业展示的一幅课堂行为分析图片引起了网友们360足球直播:科技滥用的争议。该企业在回应声明中,称始终坚持技术向善,让人工智能造福所有人。在人工智能技术的各种场景中,会坚持正当性、数据隐私保护等核心原则,接受社会的广泛建议和监督。
针对AI进校园,生物识别技术在校园逐步开始应用的现象,9月5日,教育部科学技术司司长雷朝滋在接受澎湃新闻采访时表示,“(对于人脸识别技术应用)我们要加以限制和管理。现在我们希望学校非常慎重地使用这些技术软件。”雷朝滋指出,人脸识别进校园,既有数据安全也有个人隐私问题,“教育部已经在开始关注这个事情,组织专家论证研究。”“包含学生的个人信息都要非常谨慎,能不采集就不采。能少采集就少采集,尤其涉及到个人生物信息的。”
事件二:在今年2月份,荷兰安全研究员VictorGevers在社交网站上表示,中国一家AI企业内部的一个MongoDB数据库暴露在公网上,该数据库内超过250万人的个人信息数据能够不受限制被访问,其中包括身份证数据、照片、工作信息等。此外,该数据库还可动态记录个人位置信息,仅2月12日至2月13日的24小时,就有超过680万个地点被记录在案。
这些年来,网络上360足球直播:个人资料、肖像、消费信息、敏感资料等泄露事件早就不是新闻,但在人工智能等新技术催化下,这类泄密事件只是小儿科级别的新闻。真正的泄密正在围绕“数据”产生,这些数据涉及各类事、物、个人、企业、行业、政府部门等等,包括当事主体的相关生物特征、行为特征也能以数据化的泄密形式出现,这才是值得重点关注和防控的潜在问题。一旦这些数据被非法恶意利用,小则危害公民的个人信息安全及财产安全,大则危害到某个企业或某个行业的运营安全,甚至危害到国家安全。
每一轮先进技术的产生对人类社会的发展都会起到巨大的推动作用。先进技术其本身并不具有善恶的属性,就像人脸识别技术,公安部门用它来抓捕逃犯或寻找失踪的人员,交通部门用来治理违章,企业用来考勤,轨交部门用来检票通行…… 但也有人把它用来玩明星换脸,或植入到色情视频当中,或用到非法侵入他人账户等行为中。所以,在非传统安全风险的领域,以人工智能等新兴科技为主的先进技术在放大其正面价值效应的同时,也会放大其负面效应。其中关键在于先进技术是谁在使用?使用的目的是什么?通过什么手段实施?怎样来监管?
当前在人工智能技术落地安防的热门应用中,以人脸识别技术在项目建设中的各种现象为例,在诸多关键节点上存在风险问题,值得业内主管部门、科研机构和从业企业加强重视,并予以解决。
首先,对人脸数据的采集缺乏准入的门槛。不论是行业的还是商业的项目,或者消费、娱乐类的项目,不论什么样的企业都可以通过各种途径采集大量的数据。在采集的过程中,涉及到大量的个人隐私信息、肖像权保护等问题,甚至涉及敏感人员的保护问题。那么,人脸数据的采集要不要设置准入的标准?这种准入机制,对研究为目的的科研机构,对商业利益为目的的企业又如何区别对待?在不同的行业,准入机制要如何区别?
其次,人脸数据在应用过程中缺乏保密意识。通过各种途径采集来的多维数据经过人工智能技术的处理,再经过大数据的碰撞与汇聚分析,产生了360足球直播,更深层次的数据,可以实现用户画像、知识图谱等等成果,这些成果本身非常有价值,有的是涉密的。然而这些数据在应用过程中,当前缺乏明确的保密规则与措施。在专业的行业项目建设中,公安用户主管部门有强烈的保密意识,但在商业、消费、娱乐、民用等项目建设中,对这些数据应用过程中的保密意识基本是空白。更不用说流行的换脸APP系统中对明星人脸的侵权,以及对用户人脸数据的间接收集等侵权行为,等等。
其三,人脸等数据的保存环节缺乏保密措施,或者保密不到位。某AI企业的数据库暴露在公网上就是一个典型案例。无论是将人脸数据保存在本地服务器,或者是保存在网络空间,相关企业对这些存储介质的安全防护如何保障?在具体的项目中,人脸数据库又是如何加密的,访问的权限和提取的权限又是怎样设置的呢?
其四、非法的人脸识别应用行为难以监测和管控。在人工智能落地安防和泛视频应用的业务当中,不同的企业是基于各种类型的目的,其中绝大多数企业是要抓住人工智能技术的风口,推动各类创新业务和应用的实现,以此实现企业的商业利益达成。用户则是希望导入人工智能技术实现360足球直播的创新应用,提升管理的效率,实现产业的转型升级。但是,也不排除一些企业和用户出于对非法或犯罪利益的追求,将人工智能技术用到了违法犯罪的活动当中,目前在各类新闻事件中报道的案例可能只是开端。因此,如何在相关系统项目的搭建时对其应用目的进行监管和评估,包括运行过程中对其违法、违规行为进行监测,是有必要的。相关技术系统出于社会公共利益为目的由什么机构来监管?若是出于商业利益为目的进行搭建,其针对的社会大众目标对象的知情权,许可权等权利如何切实保障?这都是要考虑的问题。
另外,在一些项目系统的应用中,人脸数据是在公网上传输(实质相当于在网上裸奔),而一些人工智能企业是在国外引入的开源算法基础上做的二次开发,自己并不掌握底层的技术与源代码,等等,这些现象都是潜在风险发生的节点。
当前,在不少省市的数字城市TOG建设规划文件中,对数据生成、应用、存储,包括基础构建等环节的安全防护都有比较清晰的条文说明,例如数字广东的文件中要求“构建全方位、多层次、一致性的安全防护体系,加强数据安全保护,切实保障‘数字政府’信息基础设施、平台和应用系统平稳高效安全运行。增强安全管理、安全保障、安全运用等立体防护能力。完善基于物理、网络、平台、数据、应用、管理的六层立体安全防护体系。”
对比下来,目前人工智能技术在安防或视频应用落地的火热的项目建设中,客观地讲,我们尚缺乏一套能覆盖核心技术、产品系统、建设、运营、使用、监管等主体对象的系统化机制,或者是规则。过去在以视频图像为核心的安防系统建设时,有中国图像图形学学会视频监控与安全专委会、公安部安全防范技术与风险评估重点实验室学术委员会等专家小组参与其中,并从上到下建立了比较完善的法规、标准、规范文件体系。
在人工智能技术快速落地安防或视频应用的新时期,针对由此产生的数据安全防护问题,是时候开始推进与之相关的管理机制、标准规范、保障策略、技术支撑等安全防护体系建设了。正如清华大学媒体大数据认知计算研究中心主任王生进教授所说的,现在视频监控与人脸识别的应用太多了,对数据的安全防护工作刻不容缓。
附件列表