毛振華

長期以來，有相當一部分互聯(lián)網(wǎng)企業(yè)肆意收集個人信息，并由此衍生出個人信息打包批量買賣等“灰產(chǎn)”，以及大數(shù)據(jù)殺熟等濫用行為，致使個人信息“裸奔”，人們對整個行業(yè)的信任度也打上了一個問號。專家指出，信息技術的澎湃發(fā)展在給生活帶來便利的同時，更要警惕互聯(lián)網(wǎng)企業(yè)難以抵擋住暴利誘惑，誤入信息濫用的歧途。只有信息安全意識始終在線，互聯(lián)網(wǎng)企業(yè)才能更好地融入這個時代，被人們所信賴，在線上擁有更光明的未來。

從滴滴出行下架看信息安全隱患

曾經(jīng)有互聯(lián)網(wǎng)行業(yè)“大佬”公開表示，為了便利及效率，人們可以放棄隱私。這一說法引發(fā)輿論口誅筆伐。與其說是“放棄”，不如說是公眾在面對有限選擇時的“不得不放棄”。如今，隨著自上而下重視程度不斷提高，守住信息安全已經(jīng)成為對互聯(lián)網(wǎng)企業(yè)的底線要求，任何企業(yè)概莫能外。

滴滴出行如今的境遇最能說明問題。悄然赴美上市，將信息安全拋諸腦后的滴滴很快便迎來監(jiān)管重拳。7月4日，“網(wǎng)信中國”微信公眾號發(fā)布《關于下架“滴滴出行”App的通報》稱，經(jīng)檢測核實，“滴滴出行”App存在嚴重違法違規(guī)收集使用個人信息問題。國家互聯(lián)網(wǎng)信息辦公室依據(jù)《中華人民共和國網(wǎng)絡安全法》相關規(guī)定，通知應用商店下架“滴滴出行”App并要求其認真整改。

緊隨其后，下架范圍進一步擴展到與滴滴出行相關的25款App。國家網(wǎng)信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監(jiān)管總局等多部門聯(lián)合進駐滴滴出行科技有限公司，開展網(wǎng)絡安全審查。這顯然超出了很多人的預料，彰顯出國家開展信息安全治理的決心。

滴滴出行暴露出的問題究竟有多嚴重？滴滴出行CEO程維去年6月曾在內(nèi)部講話中透露，旗下有1166萬名網(wǎng)約車司機，提供出租車、快車、順風車、公交、共享單車等幾乎全覆蓋式的出行服務。歷經(jīng)多年且在全國眾多城市的運營，滴滴出行積累了海量的城市及人群數(shù)據(jù)。這些數(shù)據(jù)真實且動態(tài)更新，已經(jīng)滲透進了人們的生活及城市運營中。經(jīng)過不同的排列組合，這些大數(shù)據(jù)能分析得出很多有關鍵價值的結論。一旦對外泄露，對國家安全和公共利益帶來的損失不堪設想。也正是基于此種考慮，相關部門采取措施迅速且果斷。

其實不只是滴滴出行，工信部新聞發(fā)言人、信息通信管理局局長趙志國表示，近年來，工信部持續(xù)開展App侵害用戶權益的整治行動，組織檢查了76萬款App，通報748款違規(guī)App，下架了245款拒不整改的App，對違規(guī)行為繼續(xù)保持高壓震懾。

“保障信息安全不是對互聯(lián)網(wǎng)企業(yè)的高標準要求，而是底線要求。只有守住了底線，行業(yè)的發(fā)展對社會及公眾才是有價值的?！辈懿俪鲂邢嚓P負責人告訴記者。曹操出行是吉利集團旗下網(wǎng)約車平臺。行業(yè)第三方極光發(fā)布的《2021年Q1移動互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)研究報告》顯示，曹操出行月活躍用戶數(shù)達567.9萬，較去年同期大幅增長近140%，處于網(wǎng)約車B2C頭部。

曹操出行相關負責人表示，針對信息安全保護，曹操出行推出了一攬子舉措。虛擬號碼功能確保乘客叫車后司機端顯示的是乘客的虛擬號碼，進一步保護乘客的個人隱私信息。而在內(nèi)部，用戶的個人信息也實現(xiàn)了高級別安全管理和加密保護。與此同時，行程錄音功能保障用戶出行安全，便于在司乘發(fā)生糾紛后調(diào)取證據(jù)，在用戶進行授權后，行程中錄音功能將會自動開啟，加密上傳并保存。平臺自動保存錄音期限為7天，除公安、司法等機關依法調(diào)取外，曹操出行不會將用戶錄音共享給第三方。

互聯(lián)網(wǎng)企業(yè)緣何熱衷收集用戶信息？

盡管這些年相關部門針對個人信息買賣持續(xù)采取整治措施，但從現(xiàn)實狀況看，一些互聯(lián)網(wǎng)企業(yè)仍習慣于收集非必要的個人信息，在內(nèi)部安全管理上又漏洞頻出，進一步放大了信息安全的風險。

不久前，海南省互聯(lián)網(wǎng)信息辦公室集中通報了7款App違法違規(guī)收集使用個人信息情況，其中不乏國有企業(yè)的面孔。如“加油海南”屬于中國石化銷售股份有限公司海南石油分公司，被指存在申請打開可收集個人信息的權限，或申請收集用戶身份證號、銀行賬號、行蹤軌跡等個人敏感信息時，未同步告知用戶其目的，或者目的不明確、難以理解；用戶明確表示不同意后，仍收集個人信息或打開可收集個人信息的權限，或頻繁征求用戶同意、干擾用戶正常使用等諸多問題。另一款App“HAI生活”屬于?？谵r(nóng)村商業(yè)銀行股份有限公司，同樣存在收集的個人信息類型或打開的可收集個人信息權限與現(xiàn)有業(yè)務功能無關，未提供有效的更正、刪除個人信息及注銷用戶賬戶功能等問題。

天氣軟件需要讀取電話號碼簿，輸入法要獲取相冊權限，記事本也想知道手機定位信息……為什么眾多互聯(lián)網(wǎng)企業(yè)熱衷過度收集個人信息？記者調(diào)查發(fā)現(xiàn)，除了優(yōu)化App使用體驗的需要外，更多是出于大數(shù)據(jù)時代商業(yè)價值的考量。

中國傳媒大學教授王四新就指出：“信息越豐富，對用戶的畫像就越具體，各類數(shù)據(jù)信息交叉比對產(chǎn)生的潛在商業(yè)價值就越大。不論是App自身變現(xiàn)，還是通過廣告等商業(yè)途徑變現(xiàn)，都需要收集這類信息。”廣泛收集個人信息看似給互聯(lián)網(wǎng)企業(yè)提供了便利，但也埋下了隱患，因為一旦信息管理失當，失控的代價往往是巨大的。

譬如，人臉識別技術對大多數(shù)人而言不再陌生。它采集含有人臉的圖像或視頻，并自動在圖像中檢測和跟蹤人臉，可廣泛應用于銀行解鎖、門禁系統(tǒng)、機場安檢等諸多領域?？纱饲鞍l(fā)生的一起人臉識別數(shù)據(jù)暴露事件，引發(fā)了不少人對這項新技術的擔憂。

提供人臉檢測和人群分析的深圳一家互聯(lián)網(wǎng)公司，被荷蘭安全研究員發(fā)現(xiàn)其人臉識別數(shù)據(jù)庫沒有密碼保護，直接暴露在網(wǎng)上。該研究員撰寫報告稱，該數(shù)據(jù)庫包含了超過250萬用戶的記錄，包括身份證號碼、地址、出生日期、識別其身份的位置等。在24小時內(nèi)，有超過680萬條位置信息被記錄進去。根據(jù)這些信息，可以跟蹤任何人的行蹤。

公安部第三研究所信息網(wǎng)絡安全法律研究中心主任黃道麗認為，這次疑似泄露的人臉識別數(shù)據(jù)如果與以往泄露的隱私信息相關聯(lián)，或可達到“為用戶畫像”的程度，將全方位暴露公民個人日常生活，產(chǎn)生精準營銷、網(wǎng)絡詐騙等風險。

“當過度獲取權限成為習慣，安全這根弦徹底松懈下來，風險就會不斷逼近?！痹瀑~戶（天津）共享經(jīng)濟信息咨詢有限公司董事長楊暉稱。云賬戶是一家專門為零工經(jīng)濟提供服務的互聯(lián)網(wǎng)公司，相當于“線上人力資源公司”，面向全國8100多家平臺企業(yè)和5500多萬名個體經(jīng)營者，提供秒批辦照、身份核驗、業(yè)務分包、收入結算、稅費代繳等服務。如何確保這些信息存儲安全，成了擺在云賬戶面前的重要課題。

云賬戶成立5年來，各項經(jīng)濟指標躍升40倍，2020年實現(xiàn)收入384.55億元，名列中國民營企業(yè)500強第261位。之所以能取得這一成績，楊暉認為其仰仗的“法寶”正是云賬戶長期以來一直堅持的底線思維：嚴守信息安全陣地。近年來，云賬戶先后通過了信息技術服務管理體系ISO 20000、國際支付卡行業(yè)數(shù)據(jù)安全標準PCI DSS、國際信息安全管理體系ISO 27001等認證，以及公安部信息系統(tǒng)安全等級保護3級備案，對于信息安全投入不設上限。

楊暉說，信息安全是云賬戶的生命線，也是保障云賬戶長遠穩(wěn)健發(fā)展的紅線、底線。而這一理念同樣適用于其他互聯(lián)網(wǎng)企業(yè)。守住信息安全底線絕不是杞人憂天、畫蛇添足，而是居安思危、防患未然。高樓大廈平地起，根基牢固，宏偉基業(yè)才不是空中樓閣。否則，虛假繁榮過后只會留下一地雞毛。

不負公眾信任方得始終

第四次工業(yè)革命正如火如荼推進，互聯(lián)網(wǎng)企業(yè)站在風口，享受了時代發(fā)展的紅利，理應主動肩負起保障信息安全的責任。這既是不辜負公眾一如既往的信任，也是企業(yè)應盡的社會職責使命。

騰訊公司副總裁、知名安全專家丁珂坦言，互聯(lián)網(wǎng)新興經(jīng)濟企業(yè)基于數(shù)字化技術開展外部業(yè)務和內(nèi)部組織管理，呈現(xiàn)出典型的輕資產(chǎn)特征，并在這一過程中沉淀了大量的數(shù)據(jù)資產(chǎn)，但與此同時也面臨著前所未有的安全挑戰(zhàn)。

一方面，安全的內(nèi)涵改變：不僅要應對傳統(tǒng)基于網(wǎng)絡、應用、操作系統(tǒng)的系統(tǒng)滲透式攻擊，還要防御基于直播、游戲、金融、文旅等在線服務業(yè)務漏洞被“黑灰產(chǎn)”利用牟利；另一方面，對于新興互聯(lián)網(wǎng)企業(yè)而言，安全做不好的代價已是“不可承受之重”，安全不再是額外的成本，而是直接決定企業(yè)業(yè)務發(fā)展的天花板。更重要的是，網(wǎng)絡安全領域的法律法規(guī)密集出臺，頂層設計臻于完善，忽視安全建設還可能有違法違規(guī)可能。

事實也的確如此。7月10日，國家網(wǎng)信辦發(fā)布關于《網(wǎng)絡安全審查辦法（修訂草案征求意見稿）》公開征求意見的通知，其中，要求“掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查”最為引人注目。

9月1日，《數(shù)據(jù)安全法》正式施行，規(guī)定了對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查，任何組織、個人收集數(shù)據(jù)，應當采取合法、正當?shù)姆绞?；并應當在法律、行政法?guī)規(guī)定的目的和范圍內(nèi)收集、使用數(shù)據(jù)?；ヂ?lián)網(wǎng)不是法外之地，法律法規(guī)在制度層面不斷加大對互聯(lián)網(wǎng)企業(yè)收集使用個人信息的監(jiān)管力度，將之納入法制化軌道。

同時于9月1日起施行的還有《關鍵信息基礎設施安全保護條例》，公共通信和信息服務被納入關鍵信息基礎設施中，要求相關企業(yè)建立健全網(wǎng)絡安全保護制度和責任制，制定網(wǎng)絡安全應急預案，開展網(wǎng)絡安全監(jiān)測、檢測和風險評估工作，采取安全保護措施應當與關鍵信息基礎設施同步規(guī)劃、同步建設、同步使用，違反本條例規(guī)定將會受到行政處罰、判處罰金甚至要承擔刑事責任。

全國信息安全標準化委員會委員、北京威努特技術有限公司CTO黃敏指出，包括互聯(lián)網(wǎng)企業(yè)在內(nèi)的運營單位要充分認識到，關鍵信息基礎設施安全不僅僅是企業(yè)自己的事，更關乎國家安全、國計民生和公共利益，所以需要企業(yè)跳出自身利益范圍，站在更高層面來認識保護的重要性。

騰訊對此有深刻的認識，將安全的理念貫穿日常管理。在主動防御外部安全挑戰(zhàn)方面，騰訊將云作為安全攻防的主戰(zhàn)場，認為上云是應對數(shù)字時代安全問題的“最優(yōu)解”。丁珂說，騰訊建立了多個安全實驗室和工作組，有超過3500人的專業(yè)安全團隊。以去年疫情期間為例，騰訊會議用戶量暴增，上線兩個月就突破千萬日活，8天擴容超過10萬臺云主機，100天內(nèi)迭代超過20個版本。一旦安全防護能力跟不上業(yè)務發(fā)展速度，業(yè)務就會處于“不設防”狀態(tài)。騰訊安全基于云原生，為其提供了外部合規(guī)治理、內(nèi)部基礎防護、業(yè)務安全、情報監(jiān)測和應急響應等完整的保障體系，從而有力保障用戶信息安全。

對于當下的互聯(lián)網(wǎng)行業(yè)而言，在法律制度框架約束下，建立常態(tài)化的監(jiān)管體系，實現(xiàn)系統(tǒng)性法律約束成為當務之急。只有實現(xiàn)常態(tài)化監(jiān)管，才能使互聯(lián)網(wǎng)企業(yè)保持足夠警醒，一旦觸碰高壓線，不但面臨高額經(jīng)濟處罰，涉嫌違法犯罪的還將受到刑事處罰。更關鍵的是，企業(yè)因為信息安全保護缺失而信譽受損，失去用戶信任，最終會被市場無情淘汰。

除此之外，保障信息安全還有賴于技術的與時俱進。這既包括監(jiān)管科技不斷提升識別和管控能力，及時將互聯(lián)網(wǎng)企業(yè)初期的違規(guī)行為消滅在萌芽中，避免事態(tài)擴大；也包括了互聯(lián)網(wǎng)企業(yè)自身提高主動防御能力，從源頭杜絕信息泄露風險。

只有多管齊下，信息安全的籬笆才能筑牢，互聯(lián)網(wǎng)企業(yè)才能在不逾矩中贏得更廣闊的發(fā)展空間。