可以有算法 但不能有算計

毛振華

長期以來，有相當一部分互聯網企業肆意收集個人信息，并由此衍生出個人信息打包批量買賣等“灰產”，以及大數據殺熟等濫用行為，致使個人信息“裸奔”，人們對整個行業的信任度也打上了一個問號。專家指出，信息技術的澎湃發展在給生活帶來便利的同時，更要警惕互聯網企業難以抵擋住暴利誘惑，誤入信息濫用的歧途。只有信息安全意識始終在線，互聯網企業才能更好地融入這個時代，被人們所信賴，在線上擁有更光明的未來。

從滴滴出行下架看信息安全隱患

曾經有互聯網行業“大佬”公開表示，為了便利及效率，人們可以放棄隱私。這一說法引發輿論口誅筆伐。與其說是“放棄”，不如說是公眾在面對有限選擇時的“不得不放棄”。如今，隨著自上而下重視程度不斷提高，守住信息安全已經成為對互聯網企業的底線要求，任何企業概莫能外。

滴滴出行如今的境遇最能說明問題。悄然赴美上市，將信息安全拋諸腦后的滴滴很快便迎來監管重拳。7月4日，“網信中國”微信公眾號發布《關于下架“滴滴出行”App的通報》稱，經檢測核實，“滴滴出行”App存在嚴重違法違規收集使用個人信息問題。國家互聯網信息辦公室依據《中華人民共和國網絡安全法》相關規定，通知應用商店下架“滴滴出行”App并要求其認真整改。

緊隨其后，下架范圍進一步擴展到與滴滴出行相關的25款App。國家網信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監管總局等多部門聯合進駐滴滴出行科技有限公司，開展網絡安全審查。這顯然超出了很多人的預料，彰顯出國家開展信息安全治理的決心。

滴滴出行暴露出的問題究竟有多嚴重？滴滴出行CEO程維去年6月曾在內部講話中透露，旗下有1166萬名網約車司機，提供出租車、快車、順風車、公交、共享單車等幾乎全覆蓋式的出行服務。歷經多年且在全國眾多城市的運營，滴滴出行積累了海量的城市及人群數據。這些數據真實且動態更新，已經滲透進了人們的生活及城市運營中。經過不同的排列組合，這些大數據能分析得出很多有關鍵價值的結論。一旦對外泄露，對國家安全和公共利益帶來的損失不堪設想。也正是基于此種考慮，相關部門采取措施迅速且果斷。

其實不只是滴滴出行，工信部新聞發言人、信息通信管理局局長趙志國表示，近年來，工信部持續開展App侵害用戶權益的整治行動，組織檢查了76萬款App，通報748款違規App，下架了245款拒不整改的App，對違規行為繼續保持高壓震懾。

“保障信息安全不是對互聯網企業的高標準要求，而是底線要求。只有守住了底線，行業的發展對社會及公眾才是有價值的。”曹操出行相關負責人告訴記者。曹操出行是吉利集團旗下網約車平臺。行業第三方極光發布的《2021年Q1移動互聯網行業數據研究報告》顯示，曹操出行月活躍用戶數達567.9萬，較去年同期大幅增長近140%，處于網約車B2C頭部。

曹操出行相關負責人表示，針對信息安全保護，曹操出行推出了一攬子舉措。虛擬號碼功能確保乘客叫車后司機端顯示的是乘客的虛擬號碼，進一步保護乘客的個人隱私信息。而在內部，用戶的個人信息也實現了高級別安全管理和加密保護。與此同時，行程錄音功能保障用戶出行安全，便于在司乘發生糾紛后調取證據，在用戶進行授權后，行程中錄音功能將會自動開啟，加密上傳并保存。平臺自動保存錄音期限為7天，除公安、司法等機關依法調取外，曹操出行不會將用戶錄音共享給第三方。

互聯網企業緣何熱衷收集用戶信息？

盡管這些年相關部門針對個人信息買賣持續采取整治措施，但從現實狀況看，一些互聯網企業仍習慣于收集非必要的個人信息，在內部安全管理上又漏洞頻出，進一步放大了信息安全的風險。

不久前，海南省互聯網信息辦公室集中通報了7款App違法違規收集使用個人信息情況，其中不乏國有企業的面孔。如“加油海南”屬于中國石化銷售股份有限公司海南石油分公司，被指存在申請打開可收集個人信息的權限，或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時，未同步告知用戶其目的，或者目的不明確、難以理解；用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權限，或頻繁征求用戶同意、干擾用戶正常使用等諸多問題。另一款App“HAI生活”屬于海口農村商業銀行股份有限公司，同樣存在收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關，未提供有效的更正、刪除個人信息及注銷用戶賬戶功能等問題。

天氣軟件需要讀取電話號碼簿，輸入法要獲取相冊權限，記事本也想知道手機定位信息……為什么眾多互聯網企業熱衷過度收集個人信息？記者調查發現，除了優化App使用體驗的需要外，更多是出于大數據時代商業價值的考量。

中國傳媒大學教授王四新就指出：“信息越豐富，對用戶的畫像就越具體，各類數據信息交叉比對產生的潛在商業價值就越大。不論是App自身變現，還是通過廣告等商業途徑變現，都需要收集這類信息。”廣泛收集個人信息看似給互聯網企業提供了便利，但也埋下了隱患，因為一旦信息管理失當，失控的代價往往是巨大的。

譬如，人臉識別技術對大多數人而言不再陌生。它采集含有人臉的圖像或視頻，并自動在圖像中檢測和跟蹤人臉，可廣泛應用于銀行解鎖、門禁系統、機場安檢等諸多領域。可此前發生的一起人臉識別數據暴露事件，引發了不少人對這項新技術的擔憂。

提供人臉檢測和人群分析的深圳一家互聯網公司，被荷蘭安全研究員發現其人臉識別數據庫沒有密碼保護，直接暴露在網上。該研究員撰寫報告稱，該數據庫包含了超過250萬用戶的記錄，包括身份證號碼、地址、出生日期、識別其身份的位置等。在24小時內，有超過680萬條位置信息被記錄進去。根據這些信息，可以跟蹤任何人的行蹤。

公安部第三研究所信息網絡安全法律研究中心主任黃道麗認為，這次疑似泄露的人臉識別數據如果與以往泄露的隱私信息相關聯，或可達到“為用戶畫像”的程度，將全方位暴露公民個人日常生活，產生精準營銷、網絡詐騙等風險。

“當過度獲取權限成為習慣，安全這根弦徹底松懈下來，風險就會不斷逼近。”云賬戶（天津）共享經濟信息咨詢有限公司董事長楊暉稱。云賬戶是一家專門為零工經濟提供服務的互聯網公司，相當于“線上人力資源公司”，面向全國8100多家平臺企業和5500多萬名個體經營者，提供秒批辦照、身份核驗、業務分包、收入結算、稅費代繳等服務。如何確保這些信息存儲安全，成了擺在云賬戶面前的重要課題。

云賬戶成立5年來，各項經濟指標躍升40倍，2020年實現收入384.55億元，名列中國民營企業500強第261位。之所以能取得這一成績，楊暉認為其仰仗的“法寶”正是云賬戶長期以來一直堅持的底線思維：嚴守信息安全陣地。近年來，云賬戶先后通過了信息技術服務管理體系ISO 20000、國際支付卡行業數據安全標準PCI DSS、國際信息安全管理體系ISO 27001等認證，以及公安部信息系統安全等級保護3級備案，對于信息安全投入不設上限。

楊暉說，信息安全是云賬戶的生命線，也是保障云賬戶長遠穩健發展的紅線、底線。而這一理念同樣適用于其他互聯網企業。守住信息安全底線絕不是杞人憂天、畫蛇添足，而是居安思危、防患未然。高樓大廈平地起，根基牢固，宏偉基業才不是空中樓閣。否則，虛假繁榮過后只會留下一地雞毛。

不負公眾信任方得始終

第四次工業革命正如火如荼推進，互聯網企業站在風口，享受了時代發展的紅利，理應主動肩負起保障信息安全的責任。這既是不辜負公眾一如既往的信任，也是企業應盡的社會職責使命。

騰訊公司副總裁、知名安全專家丁珂坦言，互聯網新興經濟企業基于數字化技術開展外部業務和內部組織管理，呈現出典型的輕資產特征，并在這一過程中沉淀了大量的數據資產，但與此同時也面臨著前所未有的安全挑戰。

一方面，安全的內涵改變：不僅要應對傳統基于網絡、應用、操作系統的系統滲透式攻擊，還要防御基于直播、游戲、金融、文旅等在線服務業務漏洞被“黑灰產”利用牟利；另一方面，對于新興互聯網企業而言，安全做不好的代價已是“不可承受之重”，安全不再是額外的成本，而是直接決定企業業務發展的天花板。更重要的是，網絡安全領域的法律法規密集出臺，頂層設計臻于完善，忽視安全建設還可能有違法違規可能。

事實也的確如此。7月10日，國家網信辦發布關于《網絡安全審查辦法（修訂草案征求意見稿）》公開征求意見的通知，其中，要求“掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查”最為引人注目。

9月1日，《數據安全法》正式施行，規定了對影響或者可能影響國家安全的數據處理活動進行國家安全審查，任何組織、個人收集數據，應當采取合法、正當的方式；并應當在法律、行政法規規定的目的和范圍內收集、使用數據。互聯網不是法外之地，法律法規在制度層面不斷加大對互聯網企業收集使用個人信息的監管力度，將之納入法制化軌道。

同時于9月1日起施行的還有《關鍵信息基礎設施安全保護條例》，公共通信和信息服務被納入關鍵信息基礎設施中，要求相關企業建立健全網絡安全保護制度和責任制，制定網絡安全應急預案，開展網絡安全監測、檢測和風險評估工作，采取安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用，違反本條例規定將會受到行政處罰、判處罰金甚至要承擔刑事責任。

全國信息安全標準化委員會委員、北京威努特技術有限公司CTO黃敏指出，包括互聯網企業在內的運營單位要充分認識到，關鍵信息基礎設施安全不僅僅是企業自己的事，更關乎國家安全、國計民生和公共利益，所以需要企業跳出自身利益范圍，站在更高層面來認識保護的重要性。

騰訊對此有深刻的認識，將安全的理念貫穿日常管理。在主動防御外部安全挑戰方面，騰訊將云作為安全攻防的主戰場，認為上云是應對數字時代安全問題的“最優解”。丁珂說，騰訊建立了多個安全實驗室和工作組，有超過3500人的專業安全團隊。以去年疫情期間為例，騰訊會議用戶量暴增，上線兩個月就突破千萬日活，8天擴容超過10萬臺云主機，100天內迭代超過20個版本。一旦安全防護能力跟不上業務發展速度，業務就會處于“不設防”狀態。騰訊安全基于云原生，為其提供了外部合規治理、內部基礎防護、業務安全、情報監測和應急響應等完整的保障體系，從而有力保障用戶信息安全。

對于當下的互聯網行業而言，在法律制度框架約束下，建立常態化的監管體系，實現系統性法律約束成為當務之急。只有實現常態化監管，才能使互聯網企業保持足夠警醒，一旦觸碰高壓線，不但面臨高額經濟處罰，涉嫌違法犯罪的還將受到刑事處罰。更關鍵的是，企業因為信息安全保護缺失而信譽受損，失去用戶信任，最終會被市場無情淘汰。

除此之外，保障信息安全還有賴于技術的與時俱進。這既包括監管科技不斷提升識別和管控能力，及時將互聯網企業初期的違規行為消滅在萌芽中，避免事態擴大；也包括了互聯網企業自身提高主動防御能力，從源頭杜絕信息泄露風險。

只有多管齊下，信息安全的籬笆才能筑牢，互聯網企業才能在不逾矩中贏得更廣闊的發展空間。