AI安防企業被曝數據洩露 敲響人臉識別安全警鐘

　　日前，國內一家專注安防領域的人工智慧企業被曝發生大規模數據洩露事件，超過250萬人的數據可被獲取，有680萬條數據疑似洩露，包括身份證資訊、人臉識別圖像及圖像拍攝地點等。

　　據微博安全應急響應中心及其他平臺的消息，這家企業為深圳市深網視界科技有限公司(以下簡稱深網視界)，成立於2015年，由上市公司東方網力科技股份有限公司(以下簡稱東方網力)控股，後者主營業務為視頻監控。人臉識別技術是深網視界的主要研發方向，也是其與不少地方的公安部門、大型活動開展人工智慧安防合作的基礎。

　　被曝發生數據洩露事件後，深網視界官方網站已無法打開。中國青年報·中青線上記者致電深網視界希望核實此次事件，有工作人員稱此事正在調查中。

　　在人工智慧逐漸發展的今天，人臉識別技術正逐步應用到生活中。有的地方通過人臉識別實現門禁管理，還有一些地方已經啟用“刷臉執法”，對闖紅燈者進行人臉識別，還有不少手機、App也可實現人臉識別功能。不過，也有不少人疑慮，這項技術若被濫用，會否不利於保護個人隱私。

　　此次深網視界疑似洩露數據事件發生後，一個更為棘手的問題擺在了公眾面前：該如何看待人臉識別技術及相關企業的安全性？一家以安防為主業，以人工智慧為基礎的科技企業並未防止數據洩露事件的發生，到底是哪個環節出了問題？

　　“AI+安防”企業防不住數據洩露

　　正如許多數據洩露事件一樣，深網視界疑似大規模洩露數據的消息，並不是來自企業本身，而是來自外部的網路安全界。

　　2月中旬，有網路安全研究人士發現，提供人臉檢測和人群分析服務的中國科技公司SenseNets(深網視界)的人臉識別數據庫缺乏密碼保護，導致大規模的數據洩露。據稱，該數據庫包含了超過256萬用戶的記錄，包括身份證號碼、地址、出生日期、照片、工作單位，能夠識別用戶身份的位置資訊等高度敏感的隱私資訊。

　　在公開介紹中，深網視界由東方網力和人工智慧領域“獨角獸企業”商湯科技集團合資成立，瞄準“AI+安防”市場。在具體合作中，商湯科技、香港中文大學研發團隊提供演算法支撐，東方網力負責做面向安防行業産品的深度開發。數據洩露事件發生在這樣一家AI安防企業身上，確實讓許多網路安全界人士驚訝不已。

　　2015年成立之初，東方網力與商湯科技各自持有深網視界51%和49%的股權。但兩方的合作並未長久，商湯科技在逐步減資後，于2018年4月從深網視界撤資，東方網力由此成為深網視界的最大股東，公開資料顯示，東方網力副總裁萬定銳也是深網視界總經理。而東方網力相關公告顯示，深網視界2018年上半年並未盈利，凈利潤為-569.25萬元，2017年，其凈利潤為-2042.95萬元。

　　中國青年報·中青線上記者致電深網視界，工作人員告知，此事正在調查中。之後記者又致電東方網力核實此次事件，但截至發稿前，尚未獲得回復。商湯科技則向中國青年報·中青線上記者表示，深網視界目前與商湯科技已沒有關聯，該公司涉及數據泄漏的産品也並非由商湯科技提供，至於從深網視界撤資，主要是商湯科技自身的業務規劃調整所致。

　　雖然股權變動有些週折，但深網視界在人臉識別技術的市場應用方面，已經頗有積累。拉勾網資訊顯示，深網視界主要有2個重要産品：人臉識別布控系統、智慧人群分析系統，前者可實現在無人監控操作、無需人員配合的情況下，快速抓取並識別所有監控中出現的人臉，實時與數據庫中目標人臉名單匹配；後者針對人口密集場景對人群狀態進行有效監控，並及時採取有效干預措施，可降低事故發生率，對人群異常行為及時預警。

　　國內安防行業的權威雜誌《中國安防》在2017年12月刊發了一篇對深網視界的報道。該公司總經理萬定銳在報道中表示，2015年以來，該公司與江蘇省連雲港市公安局合作，承建了該市的人臉識別實戰系統，包括分佈全市各處的人臉動態布控系統、全市集中的大庫檢索應用，以及重點區域、重大活動的人群安全防控應用。此外，該公司也在廣東陸豐、貴州都勻等地建設了人臉識別動態布控系統。

　　內部漏洞甚于駭客竊取，如何守好“最後一道防線”

　　隨著網路服務提供者蒐集、存儲的用戶個人資訊越來越多，數據洩露事件也頻頻發生。從華住酒店集團1.3億消費者的個人資訊在暗網售賣，到Facebook用戶數據洩露，再到趣店被曝數百萬學生數據疑似洩露……涉及隱私的用戶數據總是被不法分子盯上，而蒐集、存儲、使用了大量用戶數據的企業則顯得十分被動和無力。

　　安全情報提供商Risk Based Security(RBS)發佈的一份報告顯示，2018年全球公開披露的超過6500起數據洩露事件中，有三分之二來自商業部門，有12起數據洩露事件涉及人數超過1億甚至更多。導致數據洩露的常見原因中，駭客攻擊佔據絕大多數，但因內部漏洞而導致數據洩露的事件記錄遠遠超過駭客竊取。

　　2017年起施行的《網路安全法》明確提出了“誰收集、誰負責”的原則，要求隱私資訊的收集方承擔起保障數據安全的義務，集中存儲用戶隱私資訊的數據庫就顯得尤為重要。而在人臉識別技術逐漸擴展應用領域，甚至在消費、借貸等金融領域逐漸落地的今天，許多企業並未做好相應的安全保障。

　　重慶大學國家網路空間安全與大數據法治戰略研究院院長齊愛民表示，企業、機構數據庫安防力量薄弱、責任意識淡薄以及數據市場需求旺盛等因素為大規模數據洩露埋下伏筆。360網際網路安全中心發佈的《WannaCry一週年勒索軟體威脅形勢分析報告》顯示，2017年勒索病毒爆發前夕，各機構有58天的時間可以進行補丁升級等安全佈防工作，但一些機構錯誤認為自身隔離措施足夠安全、打補丁太麻煩，致使其最終遭受勒索病毒攻擊。

　　其次，數據流轉程式較多，部分企業責任意識淡薄，用戶數據倒賣在我國已形成相對成熟的黑灰産業，打包出售用戶數據的情況在黑市中隨處可見。對於企業而言，數據安全保護部門只能作為成本支出部門，而非盈利部門。

　　齊愛民認為，外部監管尚未有效落實也是一個重要原因，我國個人資訊保護制度尚不完善，執法權責並不清晰，尚未形成統一有效的監管機制，很多數據洩露事件也在人們關注度下降後不了了之。大部分機構在涉嫌數據洩露後以“一紙聲明”的形式撇清關係，後續調查結果也未向公眾披露，間接導致行業內用戶數據保護的氛圍惡化。

　　公安部第三研究所資訊網路安全法律研究中心主任黃道麗則認為，在數據洩露事件頻發的今天，關注個人資訊的關聯影響比單純地確定“敏感”程度更為緊迫。例如，深網視界本次疑似洩露的人臉識別數據如果與以往洩露的隱私資訊相關聯，或可達到“用戶畫像”的程度，將全方位暴露公民個人日常生活，産生精準行銷、網路詐騙等風險。

　　黃道麗指出，人臉識別和指紋識別等屬於生物特徵，而非密碼技術，單獨使用無法實現保護個人資訊的作用。網路企業在追求便捷性的同時，應該對這類生物特徵採取必要的加密措施，“這恰是體現廠商市場地位和領先性的方面”。

　　在DCCI網際網路數據中心主任胡延平看來，人臉、指紋、虹膜等用戶生物資訊是個人資訊安全“一定不能出問題的最後一道防線”。面對安全防護水準較低、隱私保護力量薄弱的現實，他建議用戶小心使用這些生物資訊，“在網上，這些資訊能不提交就不提交”，以免過多的隱私資訊進入缺乏安全保障的數據庫後臺。

　　中國青年報·中青線上記者 王林 實習生 孫吉 來源：中國青年報

　　2019年02月26日 10 版