現任奇虎 360 科技有限公司首席隐私官,2013 中國網際網路安全大會主席。 2009 年 7 月加盟北京奇虎科技有限公司擔任副總裁,負責公司網站技術、技術運維、資料分析與挖掘、雲清除、雲存儲等業務的技術團隊管理。
1992 年畢業于西安交通大學計算機科學與工程系計算機應用專業。2003 年 1 月至今先後任 3721 技術開發總監、雅虎中國技術開發總監、雅虎中國 cto、阿裡巴巴-雅虎中國技術研發部總監。還曾任 myspace cto 兼任 coo。
目前還擔任 ccf 副秘書長,yocsef 主席,及今年 cncc 前奏 tech frontier & rockstar 的主席。
以下為編輯整理後的采訪實錄:
1、首先我們從最近的一個社會熱點——電信詐騙說起,在上個月的國家網絡安全周期間(9 月 19 日 - 25 日),360 釋出了《2016 中國電信詐騙形勢分析報告》,360 是如何看待電信詐騙和網絡安全之間的内在聯系的?
首先,比如徐玉玉事件,詐騙團夥實際上提前已經掌握了她的基本資訊,這種資訊的擷取實際上很多是從網絡管道獲得的。雖然最後是通過電話、短信發起詐騙,但網絡變成了電信詐騙的一個資訊來源。
其次,境外的一些電信詐騙團夥很多也是通過網絡實施詐騙的,他們在境外的窩點,通過 voip 向國内撥打詐騙電話,voip 實際上就是一種利用網絡進行語音通信的方式,可以簡單的認為就是網絡電話。那麼他們通過設定 voip 的網關,能起到隐藏電話來源的作用,這個不同于傳統的電信服務。
最後呢,詐騙組織之間的協同分工往往也是以網際網路為平台進行的,不同的犯罪分子可能分布在不同的地方,通過網絡來協同詐騙。
是以,現在網際網路實際上變成了實施詐騙的一個工具或者管道。
2、既然網際網路可能被不法分子利用,那業界可以采取哪些措施來應對呢?
這個事情其實大家都在不同程度地進行,據我所知,包括網際網路公司、營運商、金融服務業、公安等是有協同合作的,但協同的程度肯定還需要提高,最近中央也很重視這個問題,公安也投入了更多的力量,協同的力量在加大、效率在提高,這對預防此類案件應該會有比較大的幫助。
3、就目前做到的程度而言,未來還有多久的路要走呢?
這個問題很難量化地來分析,可能 80% 的問題很快就能解決,但是要徹底解決最後的 20%,往往要花費成倍的時間和精力。
但是,根據我後來了解的情況來看,我是持比較樂觀的态度,我相信電信詐騙頻發的勢頭會很快被遏制住。
4、我們知道 360 手機衛士綜合多種技術手段全面提升了風險電話提醒機制,上線了可疑電話提醒功能,360 搜尋也獨家提供了電信詐騙查詢功能,大家很好奇這些應用的背後都用到了哪些技術呢?
第一個,我們可以認為是“衆包”的方式。源自 360 本身的終端應用的大量安裝,使用者可以回報資訊。比如,使用者接到疑似詐騙的電話,在挂機後可能直接在我們的應用裡進行了标注,那其他的使用者在接到同個号碼的時候就會獲得相關的提醒。
第二個,我們可以利用大資料分析來判斷。以短信為例,普通使用者一般情況下不會把相同銀行賬号大面積群發,而詐騙短信往往是使用廣發網,是以我們可以根據發送數目來進行分析;短信的内容中是否嵌入了短連結或者網頁,通過這些特征我們也可以判斷是否可能是詐騙短信;另外,我們還能分析短信中連結跳轉的網頁是否是假冒的,比如工商銀行的域名和 ip 位址都是确定的,如果突然跳轉到一個北美的域名,但外觀和工商銀行官網非常類似,那麼我們就能斷定這是一個詐騙網站。
5、您剛剛也提到 360 通過免費的安全服務積累了大量終端使用者,終端客戶源源不斷向雲端傳送資料,你們是如何利用的呢?
那麼第一類是銀行賬号之類的資料,我們和銀行也有合作,如果詐騙資訊中出現該賬号,我們會送出給銀行,由他們進行特殊處理,防止使用者的财産受到損失。
第二類主要是短連結資料。比方說,使用者接到的短信中包含一個短連結,點開之後是下載下傳一個 apk,這極有可能就是一個木馬。那麼我們再拿到這個短連結以後會遵循隻是下載下傳這個 apk,然後通過機器程式自動分析這個 apk 檔案是否确定為木馬病毒,如果是的話我們就會對應地提醒使用者,并且今後其他使用者在收到相同短連結時都會收到提醒。我們都知道,如果木馬真的進入了使用者手機,後果是很嚴重的,無論是通訊錄還是其他資訊都會一覽無遺。甚至可以盜取使用者的資訊後,以使用者的名義進行詐騙等等。如果我們能自動識别出木馬,并阻止木馬程式的運作,這對使用者是有很大幫助的。
第三類就是使用者主機号碼,如果使用者接到了詐騙電話并且标記了相關号碼,我們就會對這些标記的資料進行大資料分析,以後其他使用者再接到同一主機号碼就會收到提示。
6、大資料和分享經濟給我們帶來了很多機遇,但這也是把“雙刃劍”,個人資訊安全受到的挑戰越來愈多。有人說,這是大資料和個人隐私之間的博弈,您作為奇虎 360 的首席隐私官是怎麼看待這個問題的呢?
這個問題主要從兩方面來談。
第一個方面來說,大資料和分享經濟使人們的生活變得更加便利,給人們提供的個性化服務會更加貼心。但弊端就是你的個人資訊可能會被使用,甚至基于大資料的分析還能預測出你下一步會做什麼。我沒記錯的話 gartner 出過一個報告,裡面提到 2017 年會有 80% 的使用者願意用自己的個人資訊來換取更加便宜、更加便捷的服務。我認為這是人性使然,當人們能獲得某些便利時,他們可能會主動地出讓自己的一些資訊。是以當大資料給人們帶來一些好處,使他們獲得更好的體驗,更便宜的服務,人往往是很難拒絕的。
第二個方面呢,如果資訊被洩露、被惡意利用,會造成的危害也非常大,人就會像生活在一個玻璃盒子裡面。這似乎是這個社會的演進過程中不得不面對的一個問題,它的解也不是一個簡單的方式。
是以我認為,這二者之間的博弈最後會達到一個平衡點。比如西方經常提到隐私權,國内往往叫做隐私或者隐私資訊,這個說法在我看來不太準确。“privacy”,隐私權,應該是一種權利。也就是說,當你希望不為人知地、孤獨地一個人生活的時候,當你不想讓别人知道自己資訊的時候,你有選擇的權利。但現在的社會中,可能你根本無法選擇,無法達到,即使你不想,别人也能通過其他途徑知道。比如你的健康狀況,你的收入狀況等等,你不希望别人知道,你能不能做到呢?這個就是我說的隐私權,我認為這應該是讓人有自我選擇的權利。當然也不是強制你必須不為人知地生活,比如那些網紅主播,吃飯、睡覺都要做直播,這種屬于自己放棄了自己的隐私權,她們就是希望秀給觀衆看。那麼這種情況下,我們尊重她們的選擇,而不是強制說她們的資訊都不能披露。
最終要解決的這個問題,首先應該是要有法律法規的保障,頒布了相關規定後,再來要求資訊服務商如何做到符合法律法規。比如說,收集的資訊是否和提供的服務有關。如果我去吃飯,非要收集婚姻狀況,這就沒有任何意義。如果你登入的是婚戀網站,了解你的婚姻狀況、收入狀況等等資訊就是必要的,因為提供給你的服務需要用到這些資訊。再者,在收集使用者資訊之前,是否明确地告知使用者了,是否說明資訊的用途了。第三點,是否獲得了使用者的許可,如果使用者不願意提供相關資訊,作為服務提供商可以選擇拒絕提供相關服務,但是不能在使用者未許可的情況下擷取資訊。第四點,收集的資訊是否被妥善保管,不能随意地進行傳播。第五點,資訊的使用是否在約定範圍,如果你給婚戀網站提供了個人資訊,但婚戀網站把資訊賣給了廣告公司,這就屬于超出使用者授權地使用了使用者資訊。第六點,出現使用者資訊不準确的情況時,使用者是否可以修正,這點目前很多地方都做的不好,資訊一旦送出,哪怕是錯誤資訊,之後也沒有可以修改的機會了。最後一點,資訊如何被銷毀,如何能安全地銷毀。比如說,如果存儲資訊的裝置被當做二手機賣了,買主就有可能獲得裡面的資訊。
7、那麼業内現在是如何進行銷毀的呢?
如果是很敏感的資料,一般會把磁盤拆下來進行消磁。另一種就是采用實體破壞的方法,打孔或者砸碎。
上篇《360 首席隐私官談大資料與個人隐私的博弈》到此結束,敬請期待下篇《人工智能時代的網絡安全新發展》。
号外:10 月 19 日,譚曉生老師将參加 2016 中國計算機大會的安全分論壇。我們會贈送價值 2300 元的非 ccf 會員票,憑此票可以參加 19 - 22 日包括譚老師在内的 16 位嘉賓精彩的特邀報告、30 個論壇及 50 場活動(除晚宴外)。報名請掃描下面的二維碼在公衆号背景發送“cncc”報名,我們會每天從報名者中選出一名送出門票~~