“把复杂的信息安全问题说得更准确些。”这是中国信息安全测评中心党委书记吴世忠对自己提出的履职要求。首次担任全国政协委员,吴世忠希望能传达信息安全工作者的声音。

在他看来,新技术新应用隐含的风险,已成为网络安全的突出特点。在新技术智能程度和自主能力不断提升的同时,“如果不进行安全应对和风险把控,那是对我们自己的不负责任。”

图为吴世忠。

3月19日,在接受南都记者专访时,吴世忠还就网络安全、技术标准和个人信息保护等话题,一一进行了回答。

谈网络安全快变成传统安全问题了,但新情况值得关注

南都:你曾提到,在“互联网+”的大环境下,政务、金融、军事、交通等各项重要敏感数据将进一步在互联网络上汇集成流。如此海量的数据信息一旦泄露,将产生巨大威胁。在你看来,网络安全的重要性是什么?

吴世忠:有数据统计,2016年,全球数据泄露量比前一年增长了556%,达到了40亿条。2017年,数据泄露更是成为常态了。比较典型的是去年7月,瑞典发生大量公民敏感信息泄露,直接导致了两名内阁大臣被革职。实际上,这样案例在国内外都已经越来越多了。

我们生活在一个大数据时代,每个人既是数据的消费者,又是数据的生产者。手机就是生产工具,所以数据的收集流动和利用事关个人,也关乎社会和国家的安全和利益。就个人而言,个人信息泄露可能直接影响到他的个人隐私,社会声誉和经济利益。但局部、行业性个人信息泄露事件,可能引发网络犯罪和社会问题。而大规模的个人信息泄露更会引起公众恐慌,危及到社会稳定。跨越国境的、敏感的个人信息泄露,则直接关系到国家的发展和安全利益。

南都:在你看来,当前面临的网络安全问题主要有哪些?

吴世忠: 首先是对政治安全的影响越来越大,维护国家安全的压力上升。虚假新闻等内容安全问题已成各国关注的热点就是例子。

第二是对经济安全的威胁也在明显提升,维护基础设施安全的压力增大。如今社会经济生产无不依赖于网络,所谓的高级可持续攻击(APT)开始锁向金融、交通系统,甚至电力能源乃至核电系统等。这就和传统的安全问题交织在一起,触及到了国家经济、金融安全的底线和命脉。

第三是网络犯罪花样翻新,维护社会稳定的压力在攀升。最典型的就是去年出现的“Wannacry”勒索病毒,一个看不见的群体在挑战整个人类,向全球的政府部门、企业事业单位勒索钱财。截至目前,“Wannacry”勒索病毒危害已涉及150多个国家。在传统意义上,这是不可想象的,要用多大的力量才能够影响到100多个国家。

第四是新技术新应用隐含新风险。从云计算、物联网到人工智能、区块链,这些新技术的应用,不断颠覆我们的认识,突破常规的想象,当然也带来安全隐患和风险。由于这些新技术的智能化程度很高,普遍依赖信息,由软件程序驱动,而程序都是人编的,漏洞隐患在所难免。

南都:如何应对这些问题?

吴世忠:首先要提高认识,深刻领会习总书记“没有网络安全,就没有国家安全”的论断,从思想上重视。其次,要贯彻依法治国。大力推进网络安全法的实施,网络安全法是我国网络治理的重要里程碑。对基础设施保护、个人信息保护、网络运行维护、风险评估和应急处置等均作了规定。需要尽快出台具体实施细则,同时加强技术标准的制定。

第三,要强化科技创新。没有科技创新就很难做到自强,没有产业的支持就难以获得自信。核心技术受制于人,就有挖不完、找不完和补不完的漏洞隐患。据了解,西方国家在网络信息安全的投入占到信息化投入的10%-15%左右,我们现在还远远没到达到,特别是基础研究还比较薄弱。目前,我们在大数据、物联网、人工智能和量子通信等领域的新技术研发上,面临众多机遇和挑战,需要国家加大投入,需要科技界持之以恒地攻坚克难。

第四,要加强产业支撑和人才培养。现在国内信息安全产业的规模相对较小,还满足不了网络强国建设的刚性需要。希望国家在产业政策、采购政策和科技成果转化等方面加大扶持力度,鼓励产学研结合,研发出更多安全可靠、自主可控的产品和系统。网络安全关键在人,网络安全人才短缺是一个全球性的问题。对中国来讲,尤其如此,我们信息安全测评中心面向政府部门开展培训服务。累计起来,培训人数也才十万多人,还远远满足不了现实需求。国家加大了学科建设和学历教育的力度,非学历教育,特别是社会办学和在职教育需要大力倡导。

谈技术标准“实践是检验标准的唯一真理”

南都:在个人信息保护方面,据你了解,有哪些技术标准已经出台了?近期还有哪些标准出台?

吴世忠:我国专门成立了全国信息安全标准化委员会。在个人信息保护方面做了相当大的努力。去年就出台了两项标准,一是《移动智能终端个人信息保护技术要求》,二是《个人信息安全规范》。2012年,还出台了《信息安全技术公共及商用服务信息系统个人信息保护的指南》。

据我了解,现在有些标准项目还在研究。比如2017年立项的“个人信息去标识化指南”,“个人信息安全风险评估指南”等。2018年立项的“个人信息告知同意的指南”、“个人健康医疗信息指南”和“个人信息安全工程化指南”,“移动应用软件个人信息保护要求”等等。相信这些标准的研究,对个人信息保护工作的不断细化、充实和完善,会起到直接的推动作用。但具体何时出台,要根据研究的成熟度和现实需要而定。

南都:如何让推荐性的标准发挥作用?

吴世忠:这些年我们在标准制定上,花了很多功夫,取得了可喜成果,如何让它们确确实实得到很好的实施,还有大量工作要做。现在整个社会对技术标准重要性的认识还不太到位。我认为采用标准的力度要加大。政府首先应该发挥采标的带头作用,各级政府部门应把标准的采用作为推动信息化的一项重要工作。不要将“推荐性”标准看成可用可不用的选项,一旦采用它,便会发挥实质性作用。

南都:有人提出个人信息安全的这些标准太宽泛了,或者说太严格了?

吴世忠:有一句非常重要的话,叫“实践是检验真理的唯一标准”。引进到标准方面,可以说“实践是检验标准的唯一真理”。标准是为“用”而定的,目前已颁布的标准有一个使用过程,我们先用着看,没有说一项标准一定就是“终生”,它还有可修订的程序。我觉得对一项标准也好,或者像网络安全法这样的法规也是一样的,提出批评意见是很容易的,关键是怎么在实施中去完善和丰富它。

谈个人信息保护法“现在是时候了”

南都:每年都有不少代表委员呼吁加快个人信息保护立法。你怎么看待这部法律的出台?

吴世忠:我觉得现在是时候了。《网络安全法》对个人信息做了相关规定,是核心内容之一,但我觉得还不解渴。在刑法等多部法律中,都涉及到个人信息保护的内容,显得有点分散,希望能够有一个更具整体性、一致性和系统性的条规。比如当人们遇到个人信息泄露问题时怎么解决?如何取证和诉讼,怎么维护利益和获得赔偿。

南都:我们注意到代表委员中也持两派观点,一派认为,让个人信息充分流动是大数据发展的前提,另一派则认为,应对个人信息的流动进行管制。两种观点背后是数据发展和个人信息保护如何平衡的问题,你怎么看?

吴世忠:互联网时代,对信息流动的治理,如果说有平衡或者博弈的话,我认为涉及两个层面,一个是个人和国家。一个是个人和商家。以美国政府要求微软提供存储在海外服务器的数据为例,特别是跨国公司出现了以后,面临着如何既保持信息自由流通,又保证政府基于国家安全和打击犯罪的执法需要,这是一种平衡。

第二个是个人和商家。现在商家千方百计地想获得更多的信息。为了达到这个目标,不惜免费送设备、平台和服务。某种程度上,企业获取信息的便捷性和能力,已超过政府部门。数据无处不在,而且非常廉价和方便获取。这种情况下,怎么保证商业利益和个人权利之间的平衡,这更是一场博弈。

南都:就后者而言,如何达到平衡?

吴世忠:我觉得还是从三个方面,一是要遵守商业最基本的契约精神。在获得信息前,一定要征得用户的同意,而且要提示相应的风险。然而,我们现在往往是一个APP卸载不掉,在你根本看不见的地方,替你同意收集很多信息。

第二个是商业诚信。取得信息后,企业就要为用户保管好数据,但这里面有个问题比较复杂,比如你买了一个手机,你无偿把信息都交出去了,随后你的信息可能又被卖给第三方公司。基于厂家占有的优势,只能要求他们不能恶意使用。

第三个是法律的约束。我们现在已经有了网络安全法,基本原则已经有了,但在操作细则上仍有待细化。同时,这也对我们的司法部门提出挑战,要培养更多法官、检察官和律师懂得和理解这些信息化时代的新问题,完善相应的审判体系和审判能力。

如果说,我们立法以后,老百姓都不知道怎么通过它去维权打官司,这个法的实际效力和作用就会大打折扣。同时,还需要解决现在公众遇到个人信息泄露事件时,举证难、赔偿低、周期长的现实问题。

谈技术发展“把人工留给机器,智能留给人类”

南都:现在区块链技术受到人们的热议。有人认为,区块链技术在大数据应用过程当中能起到隐私保护的作用,你觉得这项技术在隐私保护这方面的作用有多大呢?

吴世忠:区块链技术太热了。现在好像不提区块链,就不时髦一样。因为区块链去中心化等特点很切合网络空间的文化生态,引起了网络上的热炒。可人们讨论得比较多的是比特币赚了多少钱,而很少涉及底层的技术问题。讨论者大多是投资界的人。真正的技术人员反而谈得很谨慎。我个人认为区块链技术,通过先进的密码算法,提供一种分布式账本计算方法,是一个很有创意的思想。

这种技术思路为网络空间的隐私保护提供了现实可用的解决方案,但是关键问题是技术由谁来提供?密码算法是谁设计的?谁管控的?并非说你找任何一个区块链就能给你保障,而是看这个区块是谁做的。对于任何创新技术,我们要保持一个开放的心态,但也要冷静观察,知其然,并知其所以然。没有忧患意识和无视安全风险,是不可取的。

南都:最近有一个奔驰定速巡航失控的事件。虽然疑点重重,但却引起了公众的普遍关注。事件背后反映了人们对物联网、车联网技术的担忧。你怎么看?

吴世忠:这个问题牵扯到技术伦理,人和技术的关系问题。现在人工智能技术迅猛发展,比过去任何一次技术革命带来的挑战都要大。就拿阿尔法狗来说,第一天人机对弈之后,人得回去休息。第二天,双方又坐到围棋盘前,人还是昨天的人,但经过一晚上的再学习,阿尔法狗已经迭代进化,不再是昨天的“狗”了。这就提出了一个严酷的原则问题,机器学习不分昼夜。我们能否掌握住人工智能的控制权?我想,这是人类面临的安全问题。刚刚去世的霍金,对此持的是否定态度,他认为人类要担心。

所以,我们在发展人工智能的过程中,一定要注意对风险的把控。没有安全意识和风险把控,那是对我们自己的不负责任。

南都:技术的发展总伴随安全问题,人和机器如何相处?

吴世忠:我们强调安全,不是说就不要发展,而是要更好地保障发展,促进发展。有一种观点认为,机械最终会替代人。作为一个科技工作者,我认同科技泰斗钱学森提出的“人机结合,以人为主”的思想。我所理解的人工智能,实际上是把人工交给机器,把智能永远留给人类,这样人才能够把控机器。拥有人工智能和把控它是两个概念。举个例子,一个不会开车的人,你给他一辆车,除了享受刺激外,等待这个人的最终结果可能是灾难。只有他拥有驾驭车的能力,才能把它当成交通工具,打破时空的限制,享受行动的自由。

采写:南都记者 李玲 裘萍(受访者供图)

声明:本文来自南方都市报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。