網路安全新京報

㈠ 該應用未上架,未經小米安全審核怎麼解決

暗開敏感許可權 小米華為「代用戶審核」？
記者下載多款APP測試，不同手機隱私許可權不同，華為、小米應用商店下載時默認開啟多個敏感許可權
新京報記者此前調查測試各類APP發現，安卓系統下，多個常用APP存在未經明示提醒就收集敏感信息的行為。近日，記者進一步調查發現，同一款APP在不同品牌手機的安卓系統下，讀取敏感信息的行為也不同。
1月24日至2月8日，新京報記者在華為、小米、OPPO、vivo四款市面上常見手機的內置應用商店下載APP時發現，天貓、攜程、58同城、優酷、今日頭條、愛奇藝、趕集網七款APP在華為和小米應用商店下載時未經明示提醒就默認開啟了定位或其他敏感許可權，而在OPPO和vivo應用商店下載時則基本都對其許可權進行了明示提醒。
「正常的APP下載時都會有授予許可權的操作，個別APP沒有隻能說明和手機內置的應用市場有關系。」從事安卓系統開發的李宇（化名）告訴記者，「事實上，當APP處於手機廠商的白名單列表中時，應用商店就有可能替用戶省略掉提示許可權的操作。」
北京郵電大學移動互聯網與大數據安全聯合實驗室主任馬兆豐博士曾表示，一些APP產品廠商和軟體商店有合作，以白名單模式放行本該提示用戶知情的選擇權，從而沒有進行「明示同意」的提示，這並不符合個人信息安全使用規范和要求。
華為小米商店多款APP隱私提示不全
根據《網路安全法》第四十一條規定，網路運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，並經被收集者同意。
中國國家標准化管理委員會發布的《信息安全技術 個人信息安全規范》（下稱《規范》）對個人敏感信息做出了定義，也明確了收集信息的原則。其中重要的一條是「選擇同意原則」，即APP方需要向個人信息主體明示信息處理目的、方式、范圍等，徵求其授權同意。規范自2018年5月1日正式開始實施。
《規范》指出，收集個人敏感信息時，應取得個人信息主體的明示同意。明示同意則指個人信息主體通過書面聲明或主動做出肯定性動作，對其個人信息進行特定處理做出明確授權的行為。
「APP使用過程中，用戶在看到許可權要求彈窗時點擊了同意，這就是肯定性動作。」李宇稱，「具體來說，肯定性動作包括用戶主動做出聲明（電子或紙質形式）、主動勾選、主動點擊同意、注冊、發送、撥打等。」
但目前市面上並非所有APP都按規定對所要求的許可權進行了明示提醒。此前江蘇省消保委就曾以手機應用侵犯消費者個人信息，兩次約談無整改為由，向網路公司提起民事訴訟。手機網路高級經理田彪此前回應稱，有的系統會授予它認為安全的APP一些許可權，安卓系統的許可權授予非常復雜，許可權授予完全取決於手機系統本身，並非由APP自身判斷和決定的。
為驗證許可權授予究竟是否會因手機系統的差異產生變化，1月24日至2月8日，新京報記者分別在華為、小米、OPPO、vivo四部安卓系統手機上安裝了相同的十一款APP。這十一款APP分別是天貓、攜程旅行、網路地圖、騰訊視頻、網路、京東、58同城、今日頭條、優酷、愛奇藝和趕集網。
測試結果顯示，同一款APP，在不同品牌手機應用市場下載時，所進行的明示提醒也不相同。其中，部分APP在vivo、OPPO手機安裝後對敏感許可權進行了明示提醒，在華為、小米手機安裝後則並未對敏感許可權索取進行明示提醒。
其中，網路、網路地圖、京東、騰訊視頻四款APP在上述4個品牌手機下載並首次打開時，都會對用戶進行明示提醒，而其餘七款APP所明示提醒的許可權則根據手機品牌的不同產生了不同的結果。
以天貓為例，當記者通過華為、小米、OPPO手機的內置應用商店下載該APP時發現，首次安裝使用時其並未出現任何明示提醒，而通過後台的許可權設置則發現，天貓在小米手機安裝後，默認開啟了定位、相機、錄音許可權；在華為手機安裝後，默認開啟了定位、相機、讀取通話記錄許可權；OPPO手機安裝後，未開啟任何許可權；vivo手機安裝後，明示提醒並開啟了定位許可權。
記者測試發現，天貓、攜程、58同城、優酷、愛奇藝、今日頭條、趕集網七款APP在華為和小米手機內置應用商店下載時均在沒有明示提醒的條件下默認開啟了定位等敏感許可權，而在vivo和OPPO手機內置應用商店下載時，除優酷在OPPO安裝時默認開啟了攝像頭和錄音外，其餘APP均做到了明示提醒。
從上述實例來看，11款APP中，網路、京東等4款APP在小米和華為做到了所有敏感許可權的明示提醒，10款APP在OPPO上做到了所有敏感許可權的明示提醒，11款APP都在vivo上做到了所有敏感許可權的明示提醒。
手機應用商店「代」用戶「審核」APP許可權
「造成不同手機品牌上APP許可權索取情況不一樣的原因，是每家手機品牌應用市場上線APP的審核策略不同導致的。」李宇稱，「作為APP方，肯定要老老實實的申請許可權，再根據應用市場商家審核的要求有所改變。」
2月6日，新京報記者以開發者身份聯系華為應用市場負責審核的相關人士，想要了解自身APP能否以默認開啟通訊錄許可權的方式上架華為應用市場。得到的答復是，「許可權是否選擇默認開啟，開發者可以在自己的SDK（軟體開發工具包）中『自行實現』。」但該人士同時表示，若應用索取許可權過高，可能存在讀取用戶通話記錄、讀取用戶通訊錄、讀取用戶簡訊記錄、獲取用戶手機號碼、通知欄推送廣告等情況，就不符合華為應用市場審核標准。
「應用市場一般執行最低許可權策略，除非許可權是剛需，比如讀取通訊錄是為了實現加通訊錄好友。」李宇解釋稱，「至於APP具體能夠開啟哪些許可權，要看應用商店的審核要求。如果應用商店覺得你索取的許可權出於正當目的，就可以上架，至於默認開啟許可權的功能，只能是與應用商店有關。」
需要注意的是，應用商店本身就具備審核功能，如《小米應用商店應用審核規范》明確規定應用未提示用戶或未經用戶授權情況下不得搜集、傳輸或者使用用戶的位置信息。而《OPPO應用市場審核規則》也規定未經用戶授權，不得搜集、傳輸或者使用用戶的位置信息。
根據華為發布的《華為應用市場2017年度安全報告》，華為應用市場2017年全年接納了64.7萬次應用上架申請，其中20.2萬沒有通過審核，通過率為68.8%。在沒有通過審核的APP中，有15.4%的未通過原因是被華為判斷「存在惡意行為」。
「從應用商店下載APP本身必須要經過安全監測，對用戶的隱私保護是一則利好，但手機廠商賦予了內置應用市場一個更高的許可權，從而繞過了原版安卓系統的許可權提示，這本身也違反了《規范》中的選擇同意原則，不符合相關規定。」李宇表示。
2月5日，記者在華為手機上使用瀏覽器下載了天貓APP安裝包後發現，在安裝過程中確實對索取的許可權進行了明示。但當使用應用商店下載時，明示提醒就不見了。
「通過瀏覽器下載時，上面就列出了所有的許可權提示。你如果在應用商店裡邊裝的話，它就把這個過程給你省略掉了。因為應用商店本身是內置在這個系統里的，它的許可權是叫廠商許可權，基本上和root的許可權差不多高，所以它有能力做這些事情。」梆梆安全研發中心副總裁方寧解釋稱。
在方寧看來，原版系統和應用市場上下載到的APP所採用的都是同一個程序，但當用戶通過手機內置應用商店下載APP時，應用商店佔主導地位，有話語權，APP方必須要通過應用商店的審核才能上架自己的應用。「這一點蘋果和其他手機廠商都不一樣，由於蘋果的操作系統無法像安卓一樣定製，所以就不會出現廠商許可權的問題。」
不同品牌手機隱私許可權判斷不同
新京報記者測試發現，不同手機品牌對隱私許可權的判定也不相同。
例如從小米和華為內置應用商店下載愛奇藝時，雖然沒有任何明示提醒，但從後台許可權系統觀察，可以發現小米手機關閉了愛奇藝撥打電話許可權，但開啟了定位和錄音許可權；華為則相反，關閉了定位錄音許可權，卻恰恰對撥打電話許可權「網開一面」。
騰訊視頻在四款品牌手機上都明示了隱私協議，這也意味著在法理上騰訊視頻可以開啟隱私許可權。但記者查閱後台許可權系統發現，騰訊視頻在華為和小米手機上沒有開啟任何隱私許可權，但在OPPO手機上則開啟了攝像頭和錄音許可權。
對此，一家APP負責開發定製的技術人員向新京報記者表示，雖然手機都是安卓的，但並非谷歌的純原版系統，由於不同手機廠家對用戶體驗以及產品設計上的理念有區別，所以每個手機廠商都會對自己的系統做出些自己的優化。如OPPO可能會對一些許可權沒有設定默認使用，而另一些品牌手機可能就默認通過了。另一方面，開發者按照原型和產品需求，在軟體設計中也可以設定不進行彈窗提示，但在上架不同應用商店時，也會有不同的規則要求，這個規則可能也會影響APP最終許可權的表現方式。
不過，在獵豹安全專家李鐵軍看來，廠商對安卓系統進行的「優化」，從成本角度，一般不會改太多。因為「改動越大，之後的版本升級代價也就越大。」
實際上，手機廠商和APP對用戶隱私數據的博弈，早就已經開始。
2017年8月，華為和騰訊曾就用戶數據使用一事發生爭執。事情的起因是華為榮耀Magic手機主打的高度識別用戶場景，比如在聊天過程中提及「看電影」這樣的文字時，手機會自動給出當前熱門的電影推薦，並進一步推薦附近的影院甚至是選座買票。
但這一技術的實現需要進行相應的數據分析，騰訊因此指責華為「獲取騰訊的數據，侵犯了微信用戶的隱私。」
對此，騰訊副總裁丁珂曾在接受新京報記者采訪時表示，微信的價值導向是從來不會涉及用戶相互聊天，華為的AI技術可以更高效，但兩家公司理念確實不一樣。
在北京工作的任女士使用的是華為mate 10手機，她發現，該手機的「智能生活」提醒頁面可以顯示她的火車票預訂信息、快遞物流信息，有一天甚至精準顯示了她的停車信息。「我很驚訝，為什麼手機可以知道我有車，還知道我車停到哪。」
對此，獵豹安全專家李鐵軍表示，手機廠商為實現相關功能，可以專門設置自帶的官方應用，再向這些官方應用開放許可權訪問介面。這樣，訂票信息、快遞信息等就可以通過相應廠商的數據查詢介面，得以查詢用戶生活相關的服務。
新京報記者 羅亦丹
(編輯：倪萍)

㈡ 導致阿里雲被暫停合作的漏洞 究竟是什麼

新京報貝殼 財經 訊（記者 羅亦丹）因發現安全漏洞後的處理問題，近日阿里雲引發了一波輿論。

據媒體報道，11月24日，阿里雲安全團隊向美國開源社區Apache（阿帕奇）報告了其所開發的組件存在安全漏洞。12月22日，因發現Apache Log4j2組件嚴重安全漏洞隱患後，未及時向電信主管部門報告，阿里雲被暫停作為工信部網路安全威脅信息共享平台合作單位6個月。

12月23日，阿里雲在官方微信公號表示，其一名研發工程師發現Log4j2 組件的一個安全bug，遂按業界慣例以郵件方式向軟體開發方Apache開源社區報告這一問題請求幫助，「隨後，該漏洞被外界證實為一個全球性的重大漏洞。阿里雲因在早期未意識到該漏洞的嚴重性，未及時共享漏洞信息。」

「之前發現這樣的漏洞都是直接通知軟體開發方，這確實屬於行業慣例，但是《網路產品安全漏洞管理規定》出台後，要求漏洞要同時通報給國家主管部門。由於上述法案頒布的時間不是很長，我覺得漏洞的發現者，最開始也未必能評估到漏洞影響的范圍這么大。所以嚴格來說，這個處理不算冤，但處罰其實也沒有那麼嚴格，一不罰錢，二不影響做業務。」」某安全公司技術總監鄭陸（化名）告訴貝殼 財經 記者。

漏洞影響有多大？

那麼，如何理解Log4j2漏洞的嚴重程度呢？

安全公司奇安信將Apache Log4j2漏洞的CERT風險等級定為「高危」，奇安信描述稱，Apache Log4j 是 Apache 的一個開源項目，通過定義每一條日誌信息的級別，能夠更加細致地控制日誌生成過程，「Log4j2中存在JNDI注入漏洞，當程序將用戶輸入的數據進行日誌記錄時，即可觸發此漏洞，成功利用此漏洞可以在目標伺服器上執行任意代碼。」

安域雲防護的監測數據顯示，截至12月10日中午12點，已發現近1萬次利用該漏洞的攻擊行為。據了解，該漏洞影響范圍大，利用方式簡單，攻擊者僅需向目標輸入一段代碼，不需要用戶執行任何多餘操作即可觸發該漏洞，使攻擊者可以遠程式控制制受害者伺服器，90%以上基於java開發的應用平台都會受到影響。

「Apache Log4j RCE 漏洞之所以能夠引起安全圈的極大關注，不僅在於其易於利用，更在於它巨大的潛在危害性。當前幾乎所有的技術巨頭都在使用該開源組件，它所帶來的危害就像多米諾骨牌一樣，影響深遠。」奇安信安全專家對貝殼 財經 記者表示。

「這個漏洞嚴重性在於兩點，一是log4j作為java日誌的基礎組件使用相當廣泛，Apache和90%以上的java應用受到影響。二是這個漏洞的利用入口非常多，幾乎達到了（只要）是這個漏洞影響的范圍，只要有輸入的地方就受到影響。用戶或者攻擊者直接可以輸入的地方比如登錄用戶名、查詢信息、設備名稱等等，以及一些其他來源的被攻擊者污染的數據來源比如網上一些頁面等等。」從事多年漏洞挖掘的安全行業老兵，網友「yuange1975」在微博發文稱。

「簡而言之，該漏洞算是這幾年來最大的漏洞了。」鄭陸表示。

在「yuange1975」看來，該漏洞出來後，因為影響太廣泛，IT圈都在加班加點修補漏洞。不過，一些圈子裡發文章為了說明這個漏洞的嚴重性，又有點用了過高評價這個漏洞的詞語，「我不否認這個漏洞很嚴重，肯定是排名很靠前的漏洞，但是要說是有史以來最大的網路漏洞，就是說目前所有已經發現公布的漏洞里排第一，這顯然有點誇大了。」

「log4j漏洞發現者恐怕發現漏洞時對這個漏洞認識不足，這個應用的范圍以及漏洞觸發路徑，我相信一直到阿里雲上報完漏洞，恐怕漏洞發現者都沒完全明白這個漏洞的真正嚴重性，有可能當成了Apache下一個普通插件的一個漏洞。」yuange1975表示。

9月1日起施行新規 專家：對於維護國家網路安全具有重大意義

據了解，業界的開源條例遵循的是《負責任的安全漏洞披露流程》，這份文件將漏洞披露分為5個階段，依次是發現、通告、確認、修復和發布。發現漏洞並上報給原廠商，是業內常見的程序漏洞披露的做法。

貝殼 財經 記者觀察到，白帽黑客建立漏洞發現與收集的平台並告知企業的做法一度在圈內流行。根據《 財經 天下》的報道，把漏洞報給原廠商而不是平台方，也會有潛在的好處。包括微軟、蘋果和谷歌在內的廠商對報告漏洞的人往往會有獎勵，「最高的能給到十幾萬美元」。更重要的是名譽獎勵。幾乎每一家廠商對第一個報告漏洞的人或者集體，都會公開致謝。「對於安全研究人員而言，這種名聲也會讓他們非常在意。

不過，今年9月1日後，這一行業「常見程序」就要發生變化。

7月13日，工信部、國家網信辦、公安部印發《網路產品安全漏洞管理規定》，要求任何組織或者個人設立的網路產品安全漏洞收集平台，應當在兩日內向工業和信息化部網路安全威脅和漏洞信息共享平台報送相關漏洞信息。該規定自2021年9月1日起施行。

值得注意的是，《規定》中也有漏洞發現者需要向產品相關提供者通報的條款。如《規定》第七條第一款顯示，發現或者獲知所提供網路產品存在安全漏洞後，應當立即採取措施並組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬於其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。第七條第七款則表示，不得將未公開的網路產品安全漏洞信息向網路產品提供者之外的境外組織或者個人提供。

奇安信集團副總裁、補天漏洞響應平台主任張卓在接受新京報貝殼 財經 記者采訪時表示，《網路產品安全漏洞管理規定》釋放了一個重要信號：我國將首次以產品視角來管理漏洞，通過對網路產品漏洞的收集、研判、追蹤、溯源，立足於供應鏈全鏈條，對網路產品進行全周期的漏洞風險跟蹤，實現對我國各行各業網路安全的有效防護。在供應鏈安全威脅日益嚴重的全球形勢下，《規定》對於維護國家網路安全，保護網路產品和重要網路系統的安全穩定運行，具有重大意義。

張卓表示，《規定》第十條指出，任何組織或者個人設立的網路產品安全漏洞收集平台，應當向工業和信息化部備案。同時在第六條中指出，鼓勵相關組織和個人向網路產品提供者通報其產品存在的安全漏洞，還「鼓勵網路產品提供者建立所提供網路產品安全漏洞獎勵機制，對發現並通報所提供網路產品安全漏洞的組織或者個人給予獎勵。」這兩條規定規范了漏洞收集平台和白帽子的行為，有利於讓白帽子在合法合規的條件下發揮更大的 社會 價值。

㈢ 人臉識別怎麼了，專家為什麼要極力反對發展人臉技術

人臉作為生物識別的一種，具備唯一性，一旦發生信息泄露風險很大。

當人臉識別站上風口，爭議也未曾間斷。

如今，人們刷臉支付、刷臉安檢、刷臉入住酒店……縱然人臉識別技術已經被應用於多層面，但目前仍舊有技術困局。與此同時，狂飆突進之際，反思的聲音逐漸多了起來：人臉識別，邊界在哪？在隱私、安全和便利三者的平衡上，應當恪守怎樣的「游戲規則」？

就爭議來說，重點不是換臉本身會不會存在問題，而是民眾能不能對這一技術形成可靠的辨識，比如我們看漫畫時，知道是假的。如果一些技術的使用，使得民眾或一般人在短時間里難以辨識，就可能存在風險，例如對新聞聯播主播進行換臉，然後製造假新聞。

人臉識別在有的領域可能會產生很大風險，包括新聞領域，通過深度偽造技術使得偽造的新聞圖片傳播。

吳沈括（聯合國網路安全與網路犯罪問題高級顧問）：技術是中立的，但使用技術的人是有立場的。人臉識別技術的安全問題不在於該項技術本身，而是應用的問題。危險在於利用這項技術達到了不該達到的目的，實施了不該實施的行為。

人臉識別技術一旦被普及，它可以定位某人而該人卻毫不知悉。該項技術用於偵查犯罪就是助力公共安全；當用於跟蹤他人，就可能侵犯隱私，干涉他人自由；假如應用於冒充他人，就是在實施犯罪。因此，人臉識別技術是否有害關鍵在於如何使用。

人臉識別技術的安全性能不能保證？

張百川（網路安全專家）：人臉數據被廣泛應用肯定會存在風險，網路黑產也是沒有辦法避免的。人臉識別剛出現時，拍張照片列印出來就可能破解，現在你可能會注意到，有些軟體會要求你眨一下眼，點一下頭，但其實也可能被破解。但我還想說，其實指紋識別一樣有風險，曾經也有過指紋數據泄露的案例。

馬傑：所謂「破解生物識別」，是個「欺騙感測器」的過程。如今越來越多的智能設備都採用了生物特徵識別技術，但是我們深入研究後發現，其實這些生物特徵識別技術大都存在「感測器容易被欺騙」的安全隱患。網路安全研究表明，雖然生物識別已經越來越主流，但是從安全的角度考慮，並非萬無一失。

但大家也不用過分擔心，此前曾經發現的漏洞基本都找到了相應的解決方案。我們投入大量精力研究生物識別安全性的目的，一方面是呼籲設備廠商在考慮產品體驗的同時多兼顧安全性，另一方面和廠商共同來探討如何解決這些問題，共同推進生物識別技術的進步。

陳立彤（大成律師事務所高級合夥人）：人臉識別技術本是用來驗證「你是否真的是你所說的你」，在遠程式控制制交易或者身份確認的情形下，確認一個行為是由本人親自實施的。它是解決電子支付、網路交易、網路申請公共服務等身份安全問題，至今最有效的技術措施。但是，一旦人臉信息這種易獲取的「生物密碼」丟失或者被人隨意更換，那麼利用人臉識別技術驗證真實身份，也成了無稽之談。

大眾如何才能保護隱私？

陳立彤：大眾應當提高自我防範意識，認真閱讀隱私政策，發現可疑條款或者隱私條款過於模糊不清、晦澀難懂的情況以及對APP或者其背後公司信任度不夠時，應當拒絕使用該APP。此外，在個人信息侵權事件發生後，應當及時向法院起訴、向政府有關部門舉報。

吳卓群：由於人臉識別的方式是先收集人臉數據，然後來匹配驗證的，所以人臉識別機構其實已經搜集了很多面部特徵、原始圖片以及照片，這些都會保留在其伺服器上，因此普通的民眾很難去規避人臉識別的風險。大眾能注意的是不要給特別小的人臉識別機構提供照片。

來看，人臉識別被曝光濫用的案例是比較少的，但是換臉等攻擊方式已經比較普遍了。對於人臉識別，事實上每一家公司的演算法都是有一些區別的，採用不同演算法通過不同感測器傳回來的人臉數據每一家也都不一樣。因此，同一張照片在一家能識別成功，在另一家就不一定能識別成功。

㈣ 2017網路安全博覽會舉行時間是

2017年網路安全博覽會暨網路安全成就展將於9月17日至20日在上海舉行。屆時，將有鷹眼智能反電話詐騙盒子、真實攝像頭劫持演示、「工銀融安e信」等多個新科技項目亮相博覽會。

網路日益發達的今天，網路安全是非常重要的。

㈤ 數字經濟時代 安全科技如何為經濟「保駕護航」四位專家這樣說

當今時代，大數據、AI演算法等方便了我們的生活，提高了生產效率，數據已經成為了數字時代的「石油」。但大數據的存在也意味著海量的用戶信息被用來發掘產生價值，信息泄露、黑灰產攻擊等問題層出不窮，安全似乎已經成為了數字經濟發展木桶上的那一塊「短板」。

企業技術發展和用戶信息保護的平衡上，存在哪些難點？在不斷發展的 科技 、復雜多變的國際形勢和人民新的生活方式面前，現有法律框架面臨著什麼樣的挑戰？如何讓安全為數字化發展「保駕護航」？

8月6日，2021新京報貝殼 財經 夏季峰會——數字經濟時代的風險防控線上論壇舉行，中國政法大學傳播法研究中心副主任朱巍、北京師范大學網路法治國際中心執行主任吳沈括、中國信通院雲計算與大數據研究所副所長魏凱、螞蟻集團安全事業群總裁趙聞飆就上述問題闡述了自己的觀點。

當人變成「電池人」 保護信息安全難在哪兒？

AI時代，不少APP都需要收集足夠多的用戶數據，才能支持其運營。如短視頻平台的視頻推送，電商平台的商品推薦等都需要收集用戶數據後才能讓演算法正常運轉，在此過程中，用戶也往往面臨著暴露隱私的潛在風險。

「互聯網時代，人慢慢變成了『電池人』。」朱巍表示，「每個人在互聯網時代中通過演算法、人工智慧、數據採集後都變成了手段，而不是目的。消費者和用戶在很多平台中，通過自己的數據為這些平台『蓄能』，這種生態到底可不可取，利弊關繫到底在什麼地方，我覺得需要予以好好解決。」

在朱巍看來，要解決技術發展與用戶信息保護平衡點的問題，需要明晰大數據產權問題，「目前，從中國的法律體系來看，《民法典》、《個人信息保護法》二審稿等相關法律里對個人信息的概念已經做了非常詳細的描述，但並沒有對大數據的性質做出具體的規定。《民法典》最後一審稿出來之後，曾經把數據信息納入到《民法典》中的知識產權的課題裡面，對此我們曾提出反對，因為數據信息里既包括大數據，也包括個人信息，個人信息是隱私權，不能轉化成大數據，至少一定程度上是不可以的，因為有巨大的爭議，《民法典》後來把這條刪掉了。」

「所以我們能發現，個人信息和大數據有千絲萬縷的關系，在行業適用領域中，大數據的產權問題還沒有明晰。現在，國家正在出台關於數字經濟的指導意見，有一些還沒有向 社會 公布，公布的時候我相信數據信息的概念至少在產權領域會變明晰。」朱巍稱。

此外，朱巍認為，當個人信息與其他法律交織在一起，讓問題變得更加復雜。「目前，《刑法》、《個人信息保護法》等都有對敏感信息范圍的相關規定，且內涵和外延完全不一樣，這就出現了一個非常有意思的問題：當我們研究的時候提到敏感信息，我們要先問一下是那部法律中的。所以是不是應該有一個統領，至少在概念上能夠說清楚，但是目前為止看好像還沒有。現在當我們研究一些法律問題，不單純是個人信息保護問題，而是個人信息保護和其他法律關系相互交叉的問題，這就讓問題本身變得復雜了。比如說我們天天講的金融廣告，你的行為產生了數據採納之後給你推金融廣告，表面看是廣告法的相關內容，但實際上是完完全全的基礎大數據和個人信息產生的法律關系。」

從企業到國際 社會 數字化轉型風險幾何？

事實上，每個用戶貢獻的數據最終都將匯成一道數據洪流，個人、產業、國家、國際 社會 由此交織在一起。除了用戶外，企業在數字化轉型的過程中面對著什麼樣的風險？

「什麼是『數字化』背後的風險？它指的是——數字經濟生活中，用戶在享受數字化帶來的便捷與普惠同時，所面臨的、伴隨而來的風險。例如，對於行業商戶來說，羊毛黨造成的『營銷資金風險』，足以讓商戶精心打造的營銷活動毀於一旦。對於個人用戶而言，網路欺詐、賬戶盜用等問題，更是成為了數字經濟中高發的、危害性極大的安全問題。如今的黑產作案越來越趨於多平台、多鏈路、團隊化和智能化。這使得對抗黑產、防範智能化風險，已經轉化為了一個全新的命題。」趙聞飆表示。

趙聞飆透露，早在六七年前，螞蟻團隊就已經在平常應對黑產攻擊中，發現了AI的痕跡。「不可忽略的是，伴隨著人工智慧技術的高速發展和加持，這一風險仍將持續加劇，並且演變為『智能化』背後的風險。」

那麼，當我們把視野從個人用戶、企業再擴展到國際 社會 ，數字化的風險又有何變化呢？

在吳沈括看來，隨著數字化轉型的加速，經濟構成、民眾生活方式、 社會 治理甚至是國家層面和全球治理層面都已經產生了非常大的變化。

吳沈括認為，在這個變化的過程中，需要注意到三個復雜性，「第一個是參與數據活動當中主體的復雜性，從用戶個人到產業、國家甚至國際 社會 ，在這個過程中，主體結構的復雜性是跨部門、跨行業、跨國的存在，而這使得數據處理和數據活動過程中面對的場景更為復雜，而且在快速的迭代更新中，這就是第二個場景的復雜性。因此，我們在一些傳統的場景中歸納總結出來規則，面對新場景的時候，或許面對著非常大的適用的困難。於是，在這樣的背景下形成了第三個復雜性，就是訴求的復雜性。」

如何保護數字經濟發展？用AI對抗AI

針對如此之多的復雜問題，我們應該怎麼做？專家們給出了不同的建議。

首先，是充分的激勵機制。

在吳沈括看來，數據業務和數據流轉利用過程中，知識、能力的不對稱導致很多情況下透明度不足，進而導致了信任度不足，「國內國際跨部門跨行業的主體之間形成有效的信任度，是我們對數字化生活給予有效的信賴的基礎。在有了充分的信用度之後，我們需要一個必要的激勵度，目前來看，以數據驅動的各類創新在不斷推動（經濟的發展），在這個過程中，如何確保，以及如何最大限度的激勵在數據流轉利用等各類數據活動中做出了貢獻的主體的價值，給它必要的推動，是我們需要特別重視的點。」

「我們欣喜地看到《數據安全法》以及未來要出台的《個人信息保護法》正在給數字經濟的發展制定一些規則，這是市場急需的，但不是事無巨細的，可能只能做到原則性的。至於如何落實，可能需要細則，需要透明度，需要讓企業實際有動力落實這個機制，例如對其聲譽有顯性化激勵，這就需要配套的措施，而不只是懲罰。」 魏凱表示。

此外，通過技術來幫助解決安全問題也是專家們共同的觀點。

在魏凱看來，前幾年，大數據的應用側重於做報表，做大屏幕，給決策者直觀的相關數據。但是現在大數據的技術的應用往往不是這樣，而是已經深入到決策閉環里去了。「以前的報表，看了以後採取決策仍然要靠人拍板，而現在很多大數據的風控，大數據的精準廣告，其實人都不在閉環裡面，人只要把規則定好，數據驅動就可以閉環自動執行。」

「現在，一種新的模式正在崛起，如區塊鏈的技術允許我們不再把數據集中起來也能夠享受數據融合的紅利，當前這類技術正在快速的升溫，這就有可能創造一種新的大數據的應用模式。」魏凱表示。

趙聞飆表示，傳統風控受制於技術成本、數據規模和演算法效能，許多場景還是專家經驗驅動，而不是數據智能驅動。「支付寶每天有數億筆交易，面對如此龐大的計算量，一旦決策產生延遲，就給了黑產可乘之機。因此，發展面向可信人工智慧技術的下一代風控技術體系成為了我們的必由之路。」

他舉例稱，通過人工智慧與金融風控的深度融合，支付寶的AI大腦AlphaRisk能夠在零人工干預的全自動模式下，對風險進行毫秒級的響應。例如，在網路欺詐風險識別場景下，當系統識別到用戶遇到詐騙風險時，AI機器人會以小於0.1秒的速度向用戶呼出「叫醒電話」。此外，在快速響應當下風險的同時，AlphaRisk還具備自學習、自適應的能力，從而將安全從靜態的被動防守，轉變為動態的主動對抗。

「以前我們發展任何產業的時候都是包容審慎，而現在更多的是審慎包容。以前是效率優先，安全其次，先發展起來再說。現在看來，安全可能就是木桶上的短板，我國互聯網產業、規模、技術發展已經很大很快了，如果追求安全問題，一定會犧牲市場，一定會犧牲效率，但從長遠的角度看，我認為這種做法是沒有問題的。」朱巍表示。

㈥ 中國有多少台電腦被勒索病毒感染

12日起，我國多所高校遭遇網路勒索病毒攻擊。被攻擊電腦上文檔資料被鎖定，彈出界面提示，須支付價值300美元（約合人民幣2000元）的「比特幣」才能解鎖。
勒索病毒不局限於我國及高校。國家網路與信息安全信息通報中心稱，100多個國家和地區數萬台電腦遭勒索病毒感染。
國家互聯網應急中心發布應急公告，勒索病毒向終端用戶進行滲透傳播，並勒索比特幣或其他價值物，構成較為嚴重的攻擊威脅。已著手對勒索軟體及相關網路攻擊活動進行監測，建議用戶及時更新Windows已發布的安全補丁，同時在網路邊界、內部網路區域、主機資產、數據備份方面做好相關工作。
公安部網安局一位工作人員也表示，已關注此事，並著手調查。目前尚未接到關於此次病毒事件的報告，建議網友使用一些網路安全工具檢查個人電腦，同時加強防範，防止中毒遭受損失。
學生電腦收到「勒索信」
12日下午6點多，南昌大學大三學生李敏（化名）打開電腦，接收室友論文幫忙改格式時，發現網很卡，保存也很慢，甚至白屏了半分鍾。
「隨後，電腦屏幕突然顯示一封勒索信，能選擇中文、韓文、日文、英文等，大致內容是，想要解鎖文件，需支付300美金等價的比特幣」。李敏說，大部分文件都打不開了，包括雙學位畢業論文、答辯PPT及一些有記錄信息的圖片等。班上有三位同學遇到類似情況。
該校新傳院大三學生張宏莉回憶，自己12日晚10時登錄學校的移動網下載論文，發現電腦中毒。
「當時C盤文件拓展名都被改了，我第一反應是用硬碟拷下來還完好的文件，沒想到備份硬碟也中毒了。」她表示，安裝了微軟補丁也無濟於事，「希望盡快找到解決方案，實在沒辦法只能重裝系統。」
新京報記者了解到，山東大學、浙江大學、南昌大學、寧波大學等多所高校電腦「中招」。學生電腦中文檔被鎖定，有黑客留下聯系方式，表示要恢復文檔必須支付比特幣。
淮陰工學院一名同學表示，自己正在寫畢業論文時，電腦突然出現彈窗，後來論文、知網下載的文檔都變成不可讀。其嘗試去淘寶購買修復服務，最終因修復價格太高，選擇重寫論文。
上百國家遭「感染」
多名網友表示，全國多地的加油站在加油時，無法進行網路支付，只能使用現金。
昨日下午，多位中石油工作人員稱，集團出現網路故障，正在搶修，只能使用現金和加油卡消費，且加油卡無法使用圈存功能。
中石油遼陽石化分公司一位工作人員透露，接到集團通報，12日晚開始，陸續出現針對Windows操作系統的敲詐者病毒，文件被加密，並索要贖金。目前公司網路與系統暫停服務，如發現電腦感染病毒，立即關閉該電腦，拔掉網線。公司網路恢復時間另行通知。
病毒攻擊並不局限在我國。國家網路與信息安全信息通報中心發布通報：12日20時許，新型「蠕蟲」式勒索病毒爆發，目前已有100多個國家和地區的數萬台電腦遭感染。
昨日凌晨，微博「英國那些事兒」發文，一個多小時前，英國16家醫院遭到大范圍網路攻擊，醫院內網被攻陷，電腦被鎖定，電話打不通。黑客索要每家醫院300比特幣的贖金，否則將刪除所有資料。16家機構對外聯系基本中斷，內部恢復使用紙筆進行緊急預案。英國國家網路安全部門正在調查。
騰訊公司安全部門向新京報提供的數據顯示，初步統計，該「蠕蟲」已影響了約上百個國家的學校、醫院、機場、銀行、加油站等設備，使得這些設備上的文檔資料全部被加密，損失慘重。
據IT之家消息，目前受感染地區主要集中在中國中部和東南沿海地區，歐洲大陸、美國五大湖地區。中國、歐洲大陸地區受到的感染情況最為嚴重。
揭秘1
罪魁禍首是「永恆之藍」病毒
昨日上午，360公司董事長周鴻禕發微博稱，此次勒索病毒是由NSA泄露的「永恆之藍」黑客武器傳播的。「永恆之藍」可遠程攻擊Windows的445埠（文件共享），如果系統未安裝3月的微軟補丁，用戶只要開機上網，「永恆之藍」就能在電腦里執行任意代碼，植入勒索病毒等惡意程序。
國家互聯網應急中心介紹，已著手對勒索軟體及相關網路攻擊活動進行監測，13日9時30分至12時，境內境外約101.1萬個IP地址遭受「永恆之藍」攻擊，發起攻擊嘗試的IP地址數量9300餘個。
應急中心發布通報稱，勒索軟體利用此前披露的Windows SMB服務漏洞攻擊手段，向終端用戶進行滲透傳播，並勒索比特幣或其他價值物。包括高校、能源等重要信息系統在內的多個國內用戶受到攻擊，對我國互聯網路構成較為嚴重的安全威脅。
據新華社報道，尚未有黑客組織認領這次襲擊。但業界共識是，病毒源於美國國安局的病毒武器庫。上個月，美國國安局遭遇泄密，其研發的病毒武器庫被曝光。美國國安局尚未作出回應，美國國土安全部計算機緊急應對小組稱，正密切關注這起波及全球的黑客攻擊事件。
揭秘2
加密電腦文件勒索高額「贖金」
騰訊公司的安全專家指出，該事件實際上是一次蠕蟲攻擊。蠕蟲一旦攻擊進入能鏈接公網的用戶機器，就會利用內置了「永恆之藍」的攻擊代碼，自動尋找開啟445埠的機器進行滲透。一旦發現存在漏洞的機器，不僅繼續傳播蠕蟲病毒，還會傳播敲詐者病毒，導致用戶機器上所有文檔被加密。
360安全衛士的專家指出，「永恆之藍」勒索病毒以ONION和WNCRY兩個家族為主，受害機器的磁碟文件會被篡改為相應的後綴，圖片、文檔、視頻、壓縮包等都無法正常打開，只有支付贖金才能解密恢復。兩類病毒勒索金額分別是5個比特幣（約合人民幣5萬多元）和300美元。
360公司提供的數據顯示，國內首先出現的是ONION病毒，平均每小時攻擊約200次，夜間高峰期達每小時1000多次；WNCRY勒索病毒是12日新出現的全球性攻擊，並在中國校園網迅速擴散，夜間高峰期每小時攻擊約4000次。
國內某知名比特幣公司高管提醒，尚不清楚支付比特幣後，被攻擊的電腦能否解封。目前國內很多比特幣交易所是不能提取比特幣的，若想購買比特幣解封電腦，需選擇能提幣的交易所，不然會遭受二次損失。
揭秘3
相關埠暴露高校成「重災區」
國家互聯網應急中心通告，此次攻擊主要基於445埠，互聯網上共900餘萬台主機IP暴露該埠（埠開放），中國大陸地區有300餘萬台。
中國高等教育學會教育信息化分會網路信息安全工作組發布聲明，經初步調查，此類勒索病毒利用了基於445埠傳播擴散的SMB漏洞，部分學校感染台數較多，大量重要信息被加密。
中國信息安全研究院副院長左曉棟稱，國內曾多次出現利用445埠傳播的蠕蟲病毒，因此部分運營商對個人用戶封掉該埠。但教育網並無此限制，存在大量暴露該埠的機器，成為被攻擊的重災區。
杭州安恆信息技術有限公司創始人、總裁范淵表示，某些特定行業網未限制445埠，因此攻擊變得「有效」，很多學校及一小部分醫療機構受到影響。「可以通過更新微軟發布的補丁進行防範，但對已受到攻擊的用戶，解決仍是難題。」其介紹，前段時間已檢測到零星的勒索病毒，多數單位可能沒足夠重視。
清華大學則因採取封禁措施而「避難」。4月15日，學校為防止校園網內部主機受攻擊，封禁TCP埠139、445、3389。昨日，該校發布通知稱，最近兩次全球大規模網路安全疫情，均未大面積危害校園網路和用戶。
小貼士
6步驟抵禦「勒索病毒」
安全工作組提出兩條預防措施：未升級操作系統的處理方式(不推薦，臨時緩解)：啟用並打開「Windows防火牆」，進入「高級設置」，在入站規則里禁用「文件和列印機共享」相關規則；升級操作系統的處理方式(推薦)：建議師生使用自動更新升級到Windows的最新版本。
對於學校等單位，建議在邊界出口交換路由設備禁止外網對校園網135/137/139/445埠的連接，同時，在校園網路核心主幹交換路由設備禁止上述埠的連接。
騰訊公司的安全專家指出，微軟已支持所有主流系統的補丁，建議用戶使用電腦管家修補補丁，開啟管家進行防禦。
國家互聯網應急中心建議，用戶及時更新Windows已發布的安全補丁更新，同時做好如下工作：
1.關閉445等埠(其他關聯埠如135、137、139)的外部網路訪問許可權，在伺服器上關閉不必要的上述服務埠；
2.加強對445等埠的內部網路區域訪問審計，及時發現非授權行為或潛在的攻擊行為；
3.及時更新操作系統補丁；
4.安裝並及時更新殺毒軟體；
5.不要輕易打開來源不明的電子郵件；
6.定期在不同的存儲介質上備份信息系統業務和個人數據。