信息泄露、算法歧视、数字资产风险……
数字信任如何建立?
“给你看条我前两天刚收到的彩信,用我的身份证照片合成了一张勒索照片,让我赶紧跟他联系,不然后果自负!”上海市数字证书认证中心有限公司总经理崔久强回忆遭遇时不禁感慨到,所谓眼见为实、耳听为虚,而今已经做不到了。“人脸识别是人工智能技术应用最先取得商业化成功的领域,但AI如果开始做坏事,比如各种伪造攻击等,后果很严重。”
作为数字安全专家,也免不了被诈骗分子盯上,这样的“黑色故事”几乎每天都在我们身边上演。除了电信诈骗,平台垄断、算法歧视、假冒伪劣商品、刷单炒信……我们每个人每天都在通过数字身份与网络设备连接,在数字空间中主动或被动留下通信、社交、交易、搜索、娱乐、身份验证等各种活动伴生的大量数据,由此不可避免地带来了关于数据、隐私、安全等风险问题。
9月1日,正值我国《数据安全法》施行两周年之际,2023“浦江护航”数据安全上海论坛在上海举办,来自数字信任和网络安全领域的重量级专家学者、行业精英现场论道,围绕AIGC(生成式人工智能)大模型时代的数据安全、零信任下企业安全边界的构建,上海数字信任的创新实践以及数据资产的治理、后量子时代的密码技术进行深度探讨。
这些前沿而重大的议题不仅仅关乎技术层面的挑战,更关乎在宏观层面构建和谐、透明、安全的数字社会。只有通过政府、企业、研究机构和社会组织等各方共同努力,才能建立更高效、可靠、透明的数字信任体系。
为什么数字信任很重要?
无论是小农经济还是市场经济,“信任”都是人类文明进步和经济发展的基础,在社会财富创造和经济稳健增长中发挥着重要作用。随着经济生产、社会治理、城市生活等各领域的数字化转型全面启动,万物智联世界加速形成,“信任”也在人际关系、制度契约的基础上,被注入新的数字文明内涵。
然而,随着数据开放流动,网络边界日趋模糊,云计算、AI等新技术给数据安全带来严峻挑战。数据泄露、网络安全事故、数据篡改、大数据杀熟、恶意软件、个人信息倒卖等乱象频发,对人类社会的外溢影响不断加深,严重削弱社会主体的安全感,进而抑制科技创新与数字化转型的步伐。因此,构建新型数字信任关系,夯实数字社会和数字经济发展基本面成为摆在各国面前的一项迫切任务。正如诺贝尔经济学奖获得者保罗·罗默在《全球数字经济发展洞察》中所言,“在数字平台的发展中,信任和规则的建立同样重要”。
《中国数字经济发展研究报告(2023年)》显示,2022年我国数字经济规模达到50.2万亿元,同比增长10.3%,GDP占比提升到41.5%。数字经济快速发展下,数字化发展成为国家战略,推动数实深度融合,加速企业与组织的数字化转型,被视为是我国新一轮产业结构转型升级和经济高质量发展的必由之路。
上图:儿童电话手表成诈骗新目标。
其中,数字信任体系的构建又是数字化转型的一块重要基石。业内专家表示,10%的信任提升带来 36%的经济效益提升。
出席2023“浦江护航”数据安全上海论坛的崔久强在接受《新民周刊》专访时指出,数字信任是一个很新的概念,在2020年被他们首次提出。它以可信数字身份、可信数据流通为两大核心,通过制度、管理、技术等一系列组合手段减少一切映射到数字空间的网络实体进行数据交互的安全风险,并形成数字社会安全交互、高效运行的机制。
“从数字治理的角度讲,它聚焦网络安全底座,能够防止城市数据泄露,还能够将城市多源数据打通,实现城市公共数据的共享开放;从数字经济的角度讲,它能够降低数字经济交易成本,支撑数据市场要素建设,减少黑色产业与不正当竞争,推动数字市场经济发展;从数字生活的角度看,它能够确保数字应用来源可靠,支撑多样场景全程线上化,防止个人隐私泄露,赋能城市生活透明化。”
以电信和互联网企业为例,他们承载着大量用户个人信息和业务数据,占全国行业机构产生数据的总量超过四分之一,具有极高价值,但也成为网络攻击的主要目标,勒索病毒、数据泄露等安全事件时有发生,总体形势依然严峻。其中,上海承担着护卫数据安全的重要角色。上海市政府办公厅副主任张宇祥在论坛上透露,上海建设了上海数据交易所,组建上海数据集团,积极发展数据要素市场。截至去年底,上海数字经济核心企业已突破1200家,核心产业规模近3400亿元。与此同时,上海还出台了《上海数据条例》完善数据治理体系,加强安全技术运用,实现互联网安全攻击态势的智能分析、全天候安全监控。
建立数字信任有多难?
相信很多人都有这样的体会,刚刚和家人说了谈论了某件事之后,再次登录某些平台的时候就会收到相同主题的商品或服务推荐。虽然科技巨头们对于监听一事早就多次予以否认,但并没有打消人们的疑虑。与此同时,许多民众对人工智能算法下的定向广告推送持负面看法。最经典的一个案例是,十年前一位网友因好奇心作祟在某购物软件上搜索“棺材”,没想到被“骨灰盒”的广告骚扰了一个月。现在的精准推送,比十年前有过之而无不及。
自2016年“剑桥分析公司”丑闻曝光以来,公众对社交媒体平台的质疑和担忧与日俱增。但是,在另一方面,绝大部分的人如今又都无法避免使用社交媒体,日常沟通联络、工作学习、购物娱乐和资讯传播等几乎都与这些平台相关。“既不相信,又无法摆脱”的困境正日益侵蚀着数字时代的广泛信任基础,进而衍生出更多社会问题。
数字时代,新兴技术的应用导致“个人数据”的边界日益模糊。大量涉及个人信息的数据正不断被抽取、拆分、汇合成支撑社会持续运转的庞大信息流,导致按照传统原则划分个人数据权利边界的难度明显增加。“一个最简单的例子,现在大家都觉得刷脸进小区非常方便,可是这些涉及你绝对隐私的信息就保存在小区物业的机器上,就是一般的人都可以轻易盗取,别说高级黑客了。这些信息到底该怎么保存怎么使用,大家还缺少共识。”崔久强说。
去年11月以来,以ChatGPT为代表的生成式人工智能等新技术、新业务的发布,引发行业变革,但也为数据安全保护和监管带来新挑战。崔久强指出,除了用AIGC(生成式人工智能)伪造图像之外,大模型中隐含着许多敏感数据。不久前韩国三星一技术人员因写代码受困,求助于ChatGPT,将企业生产的核心代码也上传了,使个人、企业及国家敏感数据不断处于风险之下。因此,如何做好数据的防泄密以及统一的数据管控,非常关键。
我们都知道区块链技术是一种分布式、去中心化的信任机制建立,借助于区块链技术可以实现数据和信息的不可篡改和可追溯性,从而确保数字信息的真实性和可靠性,为数字信任的技术实现提供了可行性的路径。这一特性使得区块链技术在数字信任领域具有广泛的应用前景,包括身份认证、数据管理、供应链管理和金融交易等领域。
“利用区块链的特性,有人做奢侈品、钻石珠宝的溯源。本来这是一个让买家觉得更加安全可信的交易方式,但是如果上链的数据就是假的,这不是更助长了奢侈品的造假吗?”崔久强指出,这就对监管提出了更高的要求。更别说如果是被假数据训练出来的大模型,那得出的结论得错得多离谱?
中国科学技术大学教授左晓栋分享了一个关于数据泄密的案例,更加凸显了数据问题的复杂性。在去年国家安全日之前,《焦点访谈》节目披露了一个案件,境外机构和境内机构相勾结,由境内机构在高铁沿线放置信号采集设备,窃取高铁运行数据,后来案子破获。此案被誉为《数据安全法》实施以来,首例涉案数据被鉴定为情报的事例,同时涉案人员被定罪为为境外提供非法情报罪。
当时有人疑问,高铁运行信号为什么要被称为情报,原因是什么?或者说背后的逻辑是什么?实际上这也是无奈之举。我们翻遍刑法,没有适用于这个案例的罪名。《刑法》有关窃取国家相关秘密的罪名,但是高铁数据不是国家秘密,《刑法》后来为了保护个人信息有侵害公民信息罪,但是高铁数据显然也不是个人信息,怎么办?但是它危害国家安全了,最近的罪名就是“情报”。“这说明在我们现有的制度设计,包括法律法规中我们对于数据安全保护的重点还不够。再确切一点说,我们以前认为这个数据影响了国家安全,毫无疑问那就是国家秘密。问题是,非国家秘密中是不是有影响国家安全的数据?是不是应当加以保护?这个问题自然就产生了。”
事实上,在当前千行百业的数字化转型中,无论是数据的复杂度,还是信任主体的类型与数量,抑或是各种新老场景对于数字信任的需求,均远胜过往。这意味着过去的数字信任建设模式、单独一个产品或者一个基础设施,很难匹配上数字化转型的长期需求。
上图:上海市公安局防诈宣传。
如何建立数字信任?
无论是政府企业,还是普通市民,都需要一个信任的数字空间,如果没有数字信任,我们必然会面临着各种挑战和风险。
“以上海市数字证书认证中心有限公司为例,我们是中国第一家专业的电子认证服务机构,给全市乃至全国的几百万企业,大概上亿人口提供基于数字身份的信任服务。我们如何建立一个可靠的数字身份体系?通过AI、区块链、5G、隐私计算等技术的衔接来形成新的数字信任底座。”
崔久强说,大家一直苦恼自己的购物信息、兴趣爱好、社交特性似乎都被大数据拿捏得死死的,如果有一种方式既不泄露个人的敏感信息,但是又能提供你想要的结果,这就是现在非常前沿的隐私计算技术。实际上,经过处理的数据,可以只显示某些特征,却不暴露个人的重要隐私,从而让数据能够流动起来,实现开放共享。
“比如,孩子留学,需要提供各种房产证明、存款证明给留学中介,如果提供了自己在黄浦江畔有一套500平方米的房子的证明,但是不提及具体的住房地址,是不是就能有效保护自己的隐私?同样,针对刷脸进出小区的新需求,其实可以在前端采集的时候通过个体特征去比对,眼距、颧骨高度、人中长短之类的,这样就不用存储个人的照片信息在物业了。再比如,我们去看病产生了大量的诊疗数据,医药厂商或者医生拿到这些数据,可以研究更好的治疗方法,研发更有针对性的药物,如果没有隐私计算,就会泄露病人的很多隐私,但是现在我们搭建了一个新型的信任计算平台,既可以保证信息是真实的,可以放心使用,但是又可以防止敏感信息被泄露。”
崔久强介绍,在推出个人、法人和公务人员身份认证的服务之后,眼下他们正在上海推广居委会的投票系统。之前,投票都需要居委会或者物业人员上门搜集投票结果,现在通过小程序投票,结合隐私保护和密码技术,既能够保证一家只有一名业主投票的身份真实性,又能够保证投票的匿名性,“让投票变得轻松又高效”。
2022年12月19日,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》,针对数据基础制度建设,《意见》从数据产权、流通交易、收益分配、安全治理等方面,提出二十条政策举措意见。今年两会期间,全国政协委员、致公党上海市委会专职副主委邵志清提交了《加快建设国家数字信任平台》的提案,他在提案中指出,《网络安全法》《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》《数据出境安全评估办法》等初步建立了数据要素流通的法律保障体系。在大数据、可信计算、区块链等技术加持下,数字信任能力显著提升。但对于区块链技术、AI应用伦理和算法的安全性等,缺乏全国性规则和一致性监管方案,尚未建立数据要素可信流通体系。
为此,他建议统筹规划数字信任制度体系和技术体系,建立数据安全、权利保护、跨境传输管理、交易流通、开放、共享、安全认证等基础制度和标准规范,建立统一、规范的数字身份和数据安全合规监管体系。自主突破区块链、AI、隐私计算、量子密码等技术关键点,加强对区块链、AI等技术的安全合规体系建设,建立自主可控、安全可靠的数字信任创新技术体系。记者|陈冰