事件一:9月初,在一場圍繞教育場景概念演示活動中,某AI企業展示的一幅課堂行為分析圖片引起了網友們關於科技濫用的爭議。該企業在迴應宣告中,稱始終堅持技術向善,讓人工智慧造福所有人。在人工智慧技術的各種場景中,會堅持正當性、資料隱私保護等核心原則,接受社會的廣泛建議和監督。
針對AI進校園,生物識別技術在校園逐步開始應用的現象,9月5日,教育部科學技術司司長雷朝滋在接受澎湃新聞採訪時表示,“(對於人臉識別技術應用)我們要加以限制和管理。現在我們希望學校非常慎重地使用這些技術軟體。”雷朝滋指出,人臉識別進校園,既有資料安全也有個人隱私問題,“教育部已經在開始關注這個事情,組織專家論證研究。”“包含學生的個人資訊都要非常謹慎,能不採集就不採。能少採集就少採集,尤其涉及到個人生物資訊的。”
事件二:在今年2月份,荷蘭安全研究員Victor Gevers在社交網站上表示,中國一家AI企業內部的一個MongoDB資料庫暴露在公網上,該資料庫內超過250萬人的個人資訊資料能夠不受限制被訪問,其中包括身份證資料、照片、工作資訊等。此外,該資料庫還可動態記錄個人位置資訊,僅2月12日至2月13日的24小時,就有超過680萬個地點被記錄在案。
這些年來,網路上關於個人資料、肖像、消費資訊、敏感資料等洩露事件早就不是新聞,但在人工智慧等新技術催化下,這類洩密事件只是小兒科級別的新聞。真正的洩密正在圍繞“資料”產生,這些資料涉及各類事、物、個人、企業、行業、政府部門等等,包括當事主體的相關生物特徵、行為特徵也能以資料化的洩密形式出現,這才是值得重點關注和防控的潛在問題。一旦這些資料被非法惡意利用,小則危害公民的個人資訊保安及財產安全,大則危害到某個企業或某個行業的運營安全,甚至危害到國家安全。
每一輪先進技術的產生對人類社會的發展都會起到巨大的推動作用。先進技術其本身並不具有善惡的屬性,就像人臉識別技術,公安部門用它來抓捕逃犯或尋找失蹤的人員,交通部門用來治理違章,企業用來考勤,軌交部門用來檢票通行…… 但也有人把它用來玩明星換臉,或植入到不雅視訊當中,或用到非法侵入他人賬戶等行為中。所以,在非傳統安全風險的領域,以人工智慧等新興科技為主的先進技術在放大其正面價值效應的同時,也會放大其負面效應。其中關鍵在於先進技術是誰在使用?使用的目的是什麼?通過什麼手段實施?怎樣來監管?
當前在人工智慧技術落地安防的熱門應用中,以人臉識別技術在專案建設中的各種現象為例,在諸多關鍵節點上存在風險問題,值得業內主管部門、科研機構和從業企業加強重視,並予以解決。
首先,對人臉資料的採集缺乏准入的門檻。不論是行業的還是商業的專案,或者消費、娛樂類的專案,不論什麼樣的企業都可以通過各種途徑採集大量的資料。在採集的過程中,涉及到大量的個人隱私資訊、肖像權保護等問題,甚至涉及敏感人員的保護問題。那麼,人臉資料的採集要不要設定准入的標準?這種准入機制,對研究為目的的科研機構,對商業利益為目的的企業又如何區別對待?在不同的行業,准入機制要如何區別?
其次,人臉資料在應用過程中缺乏保密意識。通過各種途徑採集來的多維資料經過人工智慧技術的處理,再經過大資料的碰撞與匯聚分析,產生了更多,更深層次的資料,可以實現使用者畫像、知識圖譜等等成果,這些成果本身非常有價值,有的是涉密的。然而這些資料在應用過程中,當前缺乏明確的保密規則與措施。在專業的行業專案建設中,公安使用者主管部門有強烈的保密意識,但在商業、消費、娛樂、民用等專案建設中,對這些資料應用過程中的保密意識基本是空白。更不用說流行的換臉APP系統中對明星人臉的侵權,以及對使用者人臉資料的間接收集等侵權行為,等等。
其三,人臉等資料的儲存環節缺乏保密措施,或者保密不到位。某AI企業的資料庫暴露在公網上就是一個典型案例。無論是將人臉資料儲存在本地伺服器,或者是儲存在網路空間,相關企業對這些儲存介質的安全防護如何保障?在具體的專案中,人臉資料庫又是如何加密的,訪問的許可權和提取的許可權又是怎樣設定的呢?
其四、非法的人臉識別應用行為難以監測和管控。在人工智慧落地安防和泛視訊應用的業務當中,不同的企業是基於各種型別的目的,其中絕大多數企業是要抓住人工智慧技術的風口,推動各類創新業務和應用的實現,以此實現企業的商業利益達成。使用者則是希望匯入人工智慧技術實現更多的創新應用,提升管理的效率,實現產業的轉型升級。但是,也不排除一些企業和使用者出於對非法利益的追求,將人工智慧技術用到了違法的活動當中,目前在各類新聞事件中報道的案例可能只是開端。因此,如何在相關係統專案的搭建時對其應用目的進行監管和評估,包括執行過程中對其違法、違規行為進行監測,是有必要的。相關技術系統出於社會公共利益為目的由什麼機構來監管?若是出於商業利益為目的進行搭建,其針對的社會福斯目標物件的知情權,許可權等權利如何切實保障?這都是要考慮的問題。
另外,在一些專案系統的應用中,人臉資料是在公網上傳輸(實質相當於在網上裸奔),而一些人工智慧企業是在國外引入的開源演算法基礎上做的二次開發,自己並不掌握底層的技術與原始碼,等等,這些現象都是潛在風險發生的節點。
當前,在不少省市的數字城市TOG建設規劃檔案中,對資料生成、應用、儲存,包括基礎構建等環節的安全防護都有比較清晰的條文說明,例如數字廣東的檔案中要求“構建全方位、多層次、一致性的安全防護體系,加強資料安全保護,切實保障‘數字政府’資訊基礎設施、平臺和應用系統平穩高效安全執行。增強安全管理、安全保障、安全運用等立體防護能力。完善基於物理、網路、平臺、資料、應用、管理的六層立體安全防護體系。”
對比下來,目前人工智慧技術在安防或視訊應用落地的火熱的專案建設中,客觀地講,我們尚缺乏一套能覆蓋核心技術、產品系統、建設、運營、使用、監管等主體物件的系統化機制,或者是規則。過去在以視訊影象為核心的安防系統建設時,有中國影象圖形學學會視訊監控與安全專委會、公安部安全防範技術與風險評估重點實驗室學術委員會等專家小組參與其中,並從上到下建立了比較完善的法規、標準、規範檔案體系。
在人工智慧技術快速落地安防或視訊應用的新時期,針對由此產生的資料安全防護問題,是時候開始推進與之相關的管理機制、標準規範、保障策略、技術支撐等安全防護體系建設了。正如清華大學媒體大資料認知計算研究中心主任王生進教授所說的,現在視訊監控與人臉識別的應用太多了,對資料的安全防護工作刻不容緩。
本文轉自廣州市安全防範行業協會。轉載目的在於傳遞更多資訊,並不代表贊同其觀點和對其真實性負責。如涉及作品內容、版權和其它問題,請在30日內與我們聯絡,我們將在第一時間刪除內容!