搜索引擎记录隐私问题？白帽子竟是黑产大佬？这届429有啥看点

北京的夏天还没来，429先来了。

今年还是熟悉的配方，甚至进门后阿里云展台的位置都没变（不是打广告）。第六届 429 有什么新鲜议题可以分享？宅客频道编辑听了一波。

不可信的AI没人用

AI时代无隐私。

去年2月，Facebook 被曝泄露5000万用户信息，这些信息被剑桥分析（Cambridge Analytica）拿去加以分析，创建数据库，以此在2016年美国总统大选期间投其所好、作有针对性的定向宣传。

几个月后，其又被曝出将用户位置、设备信息、所连接Wi-Fi网络的情况、观看的视频记录等数据提供给广告主进行忠诚度预测。这项基于AI的服务，通过预测用户的未来行为，作为广告投放的依据。 

今年2月，国内某人脸识别公司发生大规模数据泄露事件。超过250万人的数据可被获取，680万条记录泄露，其中包括身份证信息，人脸识别图像及捕捉地点等。

不久前结束的315晚会上也曝光了从APP安装（隐私截取）、探针盒子（隐私下载）、大数据分析（隐私数据整理）和AI语音电话骚扰（隐私变现）等一连串产业链成熟的黑产链。

不良商家正是利用人工智能和高科技，织就了一张无形的大网围猎我们的隐私。

“AI的底线是什么？是可信，不可信的AI没人会用，没有任何的价值。”百度高级法律顾问张朝说道。

从PC到移动、再到IoT时代，智能设备渗入生活中方方面面，积累的数据也越来越多。AI的三大基础是算法、算力和数据，算法和算力的突破是AI发展的基础和关键，但都受到瓶颈限制，而数据是决定AI竞争力的一个核心要素。

全世界目前有40亿人口使用手机，会在各种场景下通过数据进行AI学习训练，进而给人们创造智能和便利。 过去人们主要关注个人信息到企业的数据接收系统过程中的安全性，而AI是通过个人信息去复制系统，系统反过来作用到个人，此时人们开始关注系统通过处理信息以后对个人的反作用。 

也就是说，AI时代要解决的个人信息问题，既包括用户对企业数据收集和使用的知情权及选择权，也包括系统反作用于个人过程中的准确和公正性的问题。

怎样做到AI的可信？

张朝举了几个产品场景。

比如在搜索引擎中，用户可能会搜索一些私密问题，在这种场景下如果选择隐私模式，引擎就不会记录这时候的搜索词。

或者在使用个性化推荐的过程中，用户认为推荐的不够准确，这个时候用户可以进行反馈，并且重新收集其他的信息优化算法对自己的理解，比如在地图场景下，用户可以让记录搜索轨迹，完善路径推荐，当然也可以一键删除整个轨迹。

“这就需要我们在不同的场景下考虑用户期待的隐私权是什么，期待我们怎样保护他的主权，同时把这种期待集合到产品功能中。”

百度从四个方面去保护用户信息，包括制度、流程、技术的储备以及文化的宣传。

在制度方面百度成立了一个数据隐私保护委员会组织，负责制定法律保护策略，包括技术储备，各个产品要以怎样的流程进行数据的收集使用和流转。在流程方面，开发了很多隐私检测的工具，利用这些工具测试产品是否有告知用户收集数据。

最后，AI的产品需要AI的文化，隐私保护文化是整个AI文化中非常重要的一个组成部分，所以要通过技术或事宣传教育及考核逐步灌输给员工隐私保护的意识和能力。

据说不少安全公司会挖坑给自己人跳，时不时发个钓鱼软件测试你有没有警惕心，也是很会玩了。

白帽子or黑产大佬

今天看到一则有意思的新闻，加拿大某个不明身份的黑客入侵了一个陌生人的麦当劳应用程序，在4月12日至4月18日期间订购了近100顿饭，麦当劳这波被坑了几千美元，虽然不是很多，但气啊！

不少网友猜测干坏事的就是这家麦当劳附近公司的某个程序员。

这不禁让编辑想起之前的消息，某技术人员利用软件修改共享单车APP用户信息，将用户共享单车账户内的余额押金退到自己掌握的账户上，短短的两天时间盗取了34个用户账户的资金共计两万余元人民币。

凝视深渊过久，深渊将回以凝视。技术似乎是一把双刃剑，掌握它的勇士一方面要与恶斗争，一方面也要与自我斗争。这时候，法律约束的重要性油然而生。

360信息安全中心总经理高雪峰谈到，招聘安全技术人才最关键的就是看人品。因为他们手里掌握着很强的技术，一旦这些技术没有法律和道德的约束，将变成潘多拉魔盒。

此前也有媒体报道过，某些企业内部的员工将企业核心数据窃取出来进行贩卖，另外，从事黑灰产的不法人员也可能主动找到某个技术人员利诱，有人在高额收入的诱惑下从事起了黑产工作。但在法律的约束下，安全从业人员更加清楚的了解到法律边界以及违法带来的惩罚，进行了自我约束，将手中技术之剑发挥正向作用。

同样的，法律也会推动内部业务安全发展。对不少互联网公司来说，问题不及时整改和修复可能会导致种种后果，而借助相应法律是对内部做安全整改和推进的有力帮手。

所有公司都是业务为王，安全与业务会存在一些冲突，出于安全考虑采取的措施可能对业务有阻碍。但由于法律对安全的重视，公司也会相应的重视起来，从安全角度可以借助网络安全法推动相关业务。

另外，法律也会在治理公司业务时提供便利，尤其是互联网公司的业务模型都来自不同业务部门，数据管理是非常重要的。在2016年网络安全法颁布后，由公安部牵头做了很多检查工作。这些检查其实对我们也有帮助。拿数据来说，因为这些数据来自不同部门，重要性也不一样，在和业务部分合作进行安全部署时候，对方可能对于数据支持比较为难。

但有了法律文件或相应检查后，各个业务部门就会配合，在信息安全部门做业务整改时候会很容易梳理清楚数据类型，数据如何打通，怎么防护，怎样帮助公司业务更好地将数据融会贯通。

总体来说，自2016年网络安全法颁布后，网络安全环境是都逐渐走向健康。一方面对安全方面的执业人员来说更能了解哪些可以做，哪些不可以做，带来了行为规范。另一方面对于企业内部来说，业务也更好推广，互联网公司也更重视安全及对用户隐私的维护。

泄露信息的N种骚操作

如果你认为只有黑客暗戳戳搞事情才会泄露你的隐私就错了，来看几个例子：

2018年3月，网上传出范冰冰和李晨购买豪宅的新闻，文章中有精准的房屋产权编号、产权价值、产权人姓名等。经过青岛市房管局官调查发现，是该市不动产登记中心一名工作人员擅自查询了范冰冰的购房信息并发送到微信群，导致隐私被泄露。

上图中几个案例是金融行业违规查询公民征信被判刑，可以看出查询人都是有相关业务权限的，只是他们做了与工作无关的征信查询，多数目的是商业利益，最终导致个人征信敏感数据泄露。

某公积金查询APP并不直接与各地公积金中心合作，而是依靠用户提供的账号和密码，通过技术手段，快速获取该用户的公积金缴纳明细，相当于受用户委托的第三方。这里有几个问题：依靠技术手段爬取公用数据的行为并未得到监管或者公积金中心的认可，是否违法？该APP使用这些数据是否得到用户的充分授权？利用绑架用户获得的授权是否有效？

 

这一系列案例又名泄露信息的一百种奇葩操作。在这些事件中可能并没有任何黑客攻击，也并非IT运维人员的内部数据盗取，仅是一个正常的与工作无关的业务查询操作，就导致了个人隐私泄露。

来自美创科技北京分公司总经理的沈武林认为出现上述事件的原因主要有三个方面：