📖 ZKIZ Archives

保護個人信息：“精準詐騙”需要“精準治理”

（向春/圖）

今天，數據正在成為隱私最大的載體。一個數據極其充沛的時代，也是一個隱私極其脆弱的時代。

人人都有免於恐懼的權利，這是信息社會最起碼的安全準則。中國社會要避免出現更多的基於個人信息的精準詐騙，就必須從基礎做起，從規則、法律和標準做起，做到精準治理、精準打擊。

從1946年第一臺電子計算機發明，到1989年萬維網誕生，再到近年來數據的爆炸，信息時代一路狂奔，還從來沒有像今天這麽沈重過。2016年8月19日，因為個人信息泄露而遭遇詐騙，準大學生徐玉玉病發死亡，此後各地不斷爆出信息詐騙導致的惡性案件；2016年8月29日，又傳出清華大學一名教師被騙1760萬元，案犯掌握信息之精準、騙局之精細，令人瞠目。

一條條信息的泄露，一道道防線的失守，一次比一次更嚴重的傷害，整個社會都在追問：是誰泄露了徐玉玉等人的隱私信息，讓騙子可以按圖索驥，實現精準詐騙？又是誰通過數據操縱篡改他人的人生，連知識精英都未能幸免？

我認為，這些案件表明，中國社會的個人信息保護體系還未成熟，要盡快面對和化解系統性的危險。

原因，是多方面的。

問題一：違法成本低

很多人驚詫，在中國，地下非法信息買賣就像買賣一根蔥一樣方便，是無法可依嗎？

實際上，雖然中國尚未出臺全國性、系統性的個人信息保護辦法，但立法層面的基本框架已經具備。據專業人士統計，中國有至少40項有關個人信息保護的法規。

在國家層面，泄露公民個人信息已經入刑。2015年8月通過的“刑法修正案”規定：“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金……”該條款常被指責處罰力度不夠，與當前電信詐騙的猖獗程度及其帶來的嚴重後果不匹配。

2015年3月，國家工商總局頒布了“侵害消費者權益行為處罰辦法”，此外還有“電信和互聯網用戶個人信息保護規定”“消費者權益保護法”“網絡安全法”等一系列法規都有相關規定。

在地方政府層面，也有諸多嘗試。如“杭州市網絡交易管理暫行辦法”“山西省公共信用信息管理辦法”都有涉及這個話題。

這些法律法規看起來很多，但散落在各個部門，不成體系。這說明，從中央到地方，都意識到這是一個問題，但如何增強立法修法系統性、科學性，進一步強化落實已是當務之急。

舉一個例子。2015年12月，安徽省就該省的“消費者權益保護條例”向社會公開征求意見。其中有條款規定：“經營者非法向他人提供消費者個人信息的，應當給予消費者經濟賠償”，賠償的額度為“非法提供個人信息獲取的收益”和“給消費者造成的實際損失”兩者中的較大者，“實際損失難以確定的，賠償額度不低於500元；造成嚴重精神損害的，賠償額度不低於3000元”。

我當時就為這“500元”和“3000元”的最低額度暗暗叫好，因為這明確地標明了違法者的風險和成本，大大降低了執法的難度和舉證的門檻，清晰明確，可操作性強。

但令人意外的是，2016年2月，安徽人大宣布該條例正式實施，在其最終的定稿中，“500元”和“3000元”的最低罰款額度等規定都被一一刪除了，僅僅提出了經濟賠償和精神損害賠償，到底多少，沒有明確。

可以想象，立法過程當中的猶豫、反複和最終的妥協。這反映了我們的立法對這種違法行為的“惡”認識不足、決心不夠大。

徐玉玉等人的遭遇表明，放任個人隱私數據泄露、倒賣，整個社會將付出慘重的代價。今天，我們每一個人都在源源不斷地產生數據，這些數據表征著我們的位置、狀態、習慣、喜好和需求，一旦這些個人數據落入詐騙者手里，人人都可能成為下一個“徐玉玉”。在精心構置的精準詐騙中，騙與被騙是一種獵與被獵、吃與被吃的關系。

總結起來說，法律規定不成體系，令出多門，一旦出現違法的問題，消費者不知道應該向誰投訴、無法鎖定責任、茫無頭緒，管理部門也莫衷一是、互相推諉。再加上法律條文概念化、處罰標準模糊、操作性不強，受害者就會面臨舉證困難，即使證據確鑿，對不法分子的處理也無關痛癢，犯罪分子就更加囂張。

相比較而言，也有不少國家要規範得多，他們正在不斷地拓展著個人隱私保護的外延。如歐盟即將推出一項強化個人隱私保護的政策，規定手機等電子設備可以記錄一個人曾經停留過的地理位置，相關企業將被禁止處理這些數據，除非經過匿名處理或得到用戶的明確允許。

此外，從文化傳統和個人權利意識上來說，大眾的隱私意識比較淡泊，最終導致分散、寬泛的法規成了擺設、硬不起來。數據表明，2015年全國電信詐騙發案近60萬起，破案率卻不到3%。大量的案件，消費者只能自認倒黴、不了了之。中國在個人信息保護上還處於比較初級的階段。

問題二：信息過度收集

除了立法的問題，數據的收集者也存在類似問題。當下中國社會的數據收集，是一種泛收集、過度收集，沒有科學規劃，也缺乏權利意識。

再以徐玉玉一案為例，其助學金申請表格包含了26個數據項，其中不僅包括姓名、身份證號、聯系方式、住址，還有個人照片、生日、銀行賬號、學號、家庭經濟情況、家庭成員信息等。這些數據不僅呈現了申請者自身的狀況，還反映了她的社會關系網。悲劇發生之後，各方討論，但鮮有人認真地問一句：申請助學金真的需要如此多的數據嗎？

過度收集的問題還在於，大部分的數據在收集後，都沒有加密保存。今天的信息技術，已經讓數據複制、轉移的成本非常低廉、過程非常簡單快捷。沒有加密的數據，基本上就是在“裸奔”。

簡而言之，數據被大量收集起來，又沒有加密保存，非但無用，一旦落入不法分子之手，還有副作用，甚至反作用。

因此，我們應該質疑、反思現行的數據收集體制和機制，重點是其合法性、正當性和科學性。

回到上文中提到的“侵害消費者權益行為處罰辦法”，其實對數據收集的問題也有規定:“經營者未經消費者同意收集、使用消費者個人信息的……或在消費者明確表示拒絕，仍向其發送商業性信息的，都將受到處罰”。但在現實生活中，這條法規得不到有效的實施：中國仍然存在大量未經個人同意就收集數據的，絕大部分人也不知道自己居然有拒絕的權利。

一個人一生填報的表格、提交的信息，其實非常可觀。1995年，美國聯邦政府做過統計，他們一年的信息收集任務需要65億個小時才能完成，這相當於320萬人一年的工作量。也就是說，除了填表格，這320萬人什麽都不用做，也需要一整年的時間才能完成美國聯邦政府下達的信息收集任務。到2009年，信息采集的時間已經上升到99億小時。

這其中有相當部分是重複采集，還有相當一部分，一經收集，可能只使用一次，便永遠沈睡在檔案庫中。

過度收集會造成多方面的問題。我認為這方面要借鑒發達國家的經驗。美國有專門的“紙面工作精簡法”規範政府的信息收集，其規定，任何一個部門如果要向社會收集數據，必須得到信息管制辦公室（OIRA）的批準。這個辦公室首先判斷該項數據在整個政府的範圍內是否屬於重複收集，如果不重複、又要求合理，將會授予該部門一個“信息收集許可號”。這個“號”是政府收集數據的通行證，並限定了本次數據收集的範圍。缺少這個號，公民有權拒絕填報。

對於和個人身份相關的數據項，在采集之後，無論是靜態存儲還是動態傳輸，都必須加密。除了加密，政府還應該設計完整的管理機制，例如，政府文件有絕密、機密、秘密、公開之分，相應級別的公務人員只有權力查看相應級別的文件。有關於公民隱私的個人數據也一樣，要有特定的權限才能接觸、查看。道理很簡單，如果一份申請表，需要層層遞交、審批，經手的人越多，數據泄露的風險也越高。

在加密手段尚未普及的情況下，應該盡量減少、避免“過度收集”。這將從源頭上減少信息泄露的風險，把個人數據的風險降至最低。中國應當盡快出臺相應的法規，明確統籌的部門，詳盡規定數據收集的目的、類型、流程和使用權限，抑制過度收集數據，這不僅可以提高數據收集的科學性，還可以減輕全社會的負擔、減少“信息擾民”。

問題三：數據監管有漏洞

關於立法者、數據收集者，主要是制度建設。接下來，我想談談數據的管理者，管理得好不好，直接決定了制度的剛度。

2016年9月9日，公安部公布了徐玉玉案信息泄露的原因：嫌犯杜某利用技術手段攻擊了“山東省2016高考網上報名信息系統”，並在網站植入木馬病毒，盜取了包括徐玉玉在內的大量考生報名信息。

高考關系到千萬學子，網上報名系統如此脆弱，這令人心驚。2015年，國內網絡安全界的翹楚“安恒公司”對2.6萬個教育行業網站進行了評估和監測，發現了19.3萬個漏洞，平均每個教育網站漏洞7.4個。其他公共服務網站也同樣不容樂觀，25萬個政務網站有漏洞841萬個，平均每個政府網站漏洞34個。

也就是說，徐玉玉之案源於“外盜”，網站的脆弱為“外盜”打開方便之門，外盜猖狂。

但除了外盜，還有“內盜”“監守自盜”，更加防不勝防。

這方面我有親身經歷。半年前，我離開阿里巴巴，在杭州註冊了自己的新公司。在走出當地工商局的第二天，騷擾電話就來了：請問是觀數的塗總嗎？需要開發票嗎？需要購買複印機嗎？需要財務服務嗎？需要律師服務嗎……

一開始，這些電話來自杭州本地，一兩個星期之後，寧波、臺州等周邊地區的電話接踵而至。再接下來，河北、內蒙古、廣東一個個跨省電話輪番轟炸。每接一個電話，我就知道，我的數據又被賣到了一個新的地方。在辦公室放下電話，望向遠方，我仿佛看到一條地下數據買賣的黑色鏈條在不斷地延伸。

我在自己的微信公眾號吐槽了這段經歷，引來了大量網友的共鳴：一名孕婦去醫院建卡，一回到家就接到月子中心的營銷電話；另一網友在人社廳報名參加一個資格考試，隨後就接到上百條買賣答案、修改成績的短信……林林總總，不一而足。

2016年8月，北京海澱法院就判處一起教育機構“內鬼”倒賣信息案，罪犯之一楊某先後在北京3家教育機構工作。其間，楊某私自拷貝複制公民個人信息兩百余萬條，將這些信息分批出售，平均每條信息賣半分錢，共獲利1萬余元。

相當一部分的個人數據泄露緣於公共機構工作人員的監守自盜。

立法分散、寬泛，執法不力、管理乏力，黑客橫行、家賊難防，它們最終將徐玉玉們推向了深淵。如果數據的巨人行走在流沙之上，崩塌怎麽避免？

問題四：運營責任不清

徐玉玉案暴露的另外一個重大問題，是關於電訊運營商的，作為電話、短信的平臺運營者，我認為，其在大眾輿論中的責任也一直有模糊不清之處。

據中國互聯網協會發布的《2016中國網民權益保護調查報告》，2016年上半年，中國網民平均每天接到3個騷擾電話、2.9條短信。不難計算，平均一天就是十幾億個電話、十幾億條短信，不妨追問，這些業務每個月、每一年為運營商增加了多少收入？

這令我聯想到另一個社會熱點：阿里巴巴打擊“假貨”。作為中國最大的電商平臺，阿里曾因平臺上有假貨流通和欺詐行為備受批評。有人為之辯稱說，阿里巴巴只負責平臺的建設，對平臺上流通什麽東西，阿里負不了責，也不用負責任。

這些論點站得住腳嗎？大家都看到了結果，從2015年下半年開始，受累於假貨，阿里的股票一跌再跌。

和阿里一樣，三大運營商也是一個平臺。電商平臺上流通的是實物，三大運營商平臺上流通的是虛擬信號。實話說，電商平臺上的實物商品千千萬萬，差異性很大，而三大運營商平臺上流通的虛擬信號相對單一，主要是短信和電話，要說打假的難度，遠小於阿里。

我在阿里任職期間，對此深有體會。為減少假貨，阿里成立了2500人的專職打假隊伍，1萬多名“小二”參與；搭建了上百個模型，根據關鍵詞、照片、語義等維度進行監控分析，一年間刪除了1.2億條涉假商品鏈接。阿里還繪制了一張展現了各地假貨活躍情況的“假貨地圖”，派人前往這些市場暗訪。

阿里打假的成果尚待時間檢驗，但其做法運營商應該借鑒。

電話詐騙看似虛無，同樣有其可控的源頭。在現有大數據手段下，根據頻繁撥打陌生號碼、通話時間長短、是否為改號號碼等特征，甄別哪些號碼每天撥打騷擾電話、群發詐騙短信並不難。

但三大運營商是否做出足夠努力呢？

綜觀當下電信欺詐泛濫的現實，我們不難發現，三大運營商不是管不好，而是管得不力，管得不到位。誠如工信部近日所言，“不排除個別基層電信企業為追求短期經濟效益而罔顧社會責任。”

建議：成立隱私保護局

幾千年來，中國社會的隱私意識向來薄弱。

今天，人類“隱私”的表現形式，正在經歷大的演變。從歷史上看，人類早期的隱私集中表現在以住宅為中心的物理空間上，意味著個人可以在這個空間內不受監督、不受幹涉地發展個性、決定自己的生活方式；隨著新技術的產生和發展，對隱私權的侵犯已經不需要物理的、強制性的侵入，即便在公共場所，個人也有隱私，隱私從以“住宅”為中心變遷到以“人”為中心；進入信息社會，隨著政府和商業機構大規模收集個人數據，隱私又逐漸從以“人”為中心轉變到以“數據”為中心。

今天，數據正在成為隱私最大的載體。一個數據極其充沛的時代，也是一個隱私極其脆弱的時代。

最近一兩年來，在歐美發達國家，Google、Facebook等互聯網巨頭登上新聞頭條，往往不是因為其技術創新，而是因為隱私糾紛。因為它們擁有了大量的用戶數據，時時可能侵犯個人隱私。美國的大部分互聯網公司，也因此設置了首席隱私官，但迄今為止，我還沒有看到中國有企業設置這個職位。

隱私保護，是一個全球的問題，我認為，未來幾十年，它將成為全世界大數據時代的頭號社會話題。

除了在大眾層面上普及隱私的觀念和意識，我們還需要調整監管措施、改進治理方法。我的建議，是建立個人信息保護的統一立法、明確標準和執法主體，成立專門的隱私保護部門，以期對信息泄露、電信詐騙等行為進行“精準打擊”

例如在政府的監管部門——工信部設立專門的部門。

據了解，工信部下設了三十多個司局，執行相關職能的，有“網絡安全管理局”和“信息通信管理局”，在網頁上，我看到它們的職責有：“電信網、互聯網網絡數據和用戶信息安全保護管理工作”“監督管理電信和互聯網市場競爭秩序、服務質量、互聯互通、用戶權益和個人信息保護”等相關職能。但我認為，當前網絡安全的範疇太大，任務很重，這兩大部門互有交叉、職責不清。

我建議工信部率先成立一個專門的“個人隱私保護局”。具體名稱可再商榷，但其職責就是制定相關隱私保護政策，打擊因為個人數據泄露導致的詐騙行為，保護公民的隱私權益，未來的各級政府，都應該有隱私保護的工作部門。

這是一個時代的要求。在諸多發達國家，除了正在完善相關隱私保護法律，還在著力調整行政職能、設立專門的隱私監管部門。美國的聯邦政府，下轄有七十多個部委直屬機構，其中絕大多數不僅設立了首席數據官，還設立了首席隱私官。

人人都有免於恐懼的權利，這是信息社會最起碼的安全準則。中國社會要避免出現更多的基於個人信息的精準詐騙，就必須從基礎做起，從規則、法律和標準做起，做到精準治理、精準打擊。

（作者為《數據之巔》作者，大數據專家）

公安部：4月以來抓獲侵犯個人信息的行業“內鬼”270人

據公安部網站25日消息，自今年4月公安部部署全國公安機關開展打擊整治網絡侵犯公民個人信息犯罪專項行動以來，截至目前，全國公安機關網絡安全保衛部門累計查破刑事案件1200余起，抓獲犯罪嫌疑人3300余人，其中抓獲銀行、教育、電信、快遞、證券、電商網站等行業內部人員270余人，網絡黑客90余人，繳獲信息290余億條，清理違法有害信息42萬余條，關停網站、欄目近900個，專項行動取得明顯成效。

據悉，公安部對於打擊網絡侵犯公民個人信息犯罪高度重視，近年來部署全國公安機關對網絡侵犯公民個人信息犯罪進行了多次集中打擊，在一定程度上遏制了其高發態勢。

但此類犯罪仍屢打不絕，並呈現出一些新的發展動向：

一是公民個人信息泄露的源頭除了黑客入侵竊取、行業內部人員泄露、設立釣魚網站騙取之外，還出現了使用專門掃號軟件掃取密碼的不法團夥。

二是遭泄露的公民個人信息涉及領域廣泛，涉及金融、電信、教育、醫療、工商、房產、快遞等部門和行業共計40余類，銀行和第三方支付平臺的賬號及密碼等也成為犯罪分子交易的對象。

三是犯罪團夥反偵查意識強，犯罪嫌疑人依托QQ群、網站、黑客論壇等，使用網絡電話、虛假身份等進行聯絡，通過網銀轉賬或第三方支付平臺進行交易，相互交換、倒賣公民個人信息。

四是對人民群眾的財產威脅更大，不法分子獲取公民個人信息後販賣給電信網絡詐騙、網絡盜竊等侵財犯罪團夥，人民群眾財產面臨直接威脅。

對此，公安部要求，各地公安機關要以打擊侵犯公民的個人基本信息和身份認證信息為重點，嚴厲打擊非法獲取、非法買賣公民個人信息的不法分子，嚴厲打擊使用公民個人信息實施詐騙、盜竊、敲詐勒索等犯罪的人員，整治一批問題突出的網絡服務商，查處犯罪鏈條上的違法犯罪人員，最大限度遏制電信網絡詐騙、網絡盜竊、敲詐勒索等犯罪活動。

公安機關相繼破獲幾起重大電信網絡詐騙案件

專項行動開展以來，公安機關相繼破獲了一批重大案件。四川綿陽公安偵破“5.26”侵犯公民個人信息案，抓獲犯罪嫌疑人9人，查獲大量個人銀行征信報告，扣押作案電腦45臺、手持上網終端61部，銀行卡132張，涉案資金230余萬元。

江蘇無錫公安偵破“佳佳拍”侵犯公民個人信息案，抓獲邱某某等13名犯罪嫌疑人，包括黑客、行業內部人員、中間商等，查獲淘寶網、天貓網、京東網、當當網等網站買家個人信息6000余萬條。

山東菏澤公安打掉一個涉及數據源頭和中間商的上遊犯罪鏈條，抓獲犯罪嫌疑人29名，包括22名中間商，以及7名行業內部人員，查扣受侵犯公民個人信息200余萬條，涉案資金500余萬元。

公安部網絡安全保衛局相關負責人表示，下一步，公安機關將繼續對竊取、販賣、非法利用公民個人信息犯罪活動保持嚴打高壓態勢，同時，將重點整治侵犯公民個人信息的相關渠道，督促電商平臺、即時通訊平臺、社交網絡平臺等信息服務商以及擁有承載公民個人信息重要信息系統的各部門、各行業嚴格落實安全管理責任，加大自查自糾力度，對自身系統和第三方應用進行全面排查；對銷售、傳播公民個人信息的網站(網店)、網絡賬號、通訊聯絡號碼等繼續加大整治力度，依法予以關停、關閉。

同時，公安機關也提醒廣大群眾，要切實增強個人信息安全保護意識，防止個人信息被不法分子侵害造成損失。

科技金融監管，讓技術創新解決信息不對稱

科技金融的快速發展和問題顯現，給中國的金融監管體系出了一道不小的難題。如何實現監管以及控制風險？在近日的2016浦江創新論壇科技金融分論壇上，來自政界、學界和業界的人士提出了各自的建議。

監管規則要不斷創新

中國銀監會上海監管局局長廖岷在上述論壇上表示，監管者前瞻性地預判商業的變化，建設一個靈活的、可以適應變化的風險體系是全球監管當局面臨的一大挑戰。

他認為，監管者首先要建立一個有效的制度來協調科技與金融的關系，建立合理的激勵機制讓科技成果的商業化和產業化不再受阻。其次，科技的發展會帶來新的金融模式，同時也會產生新的風險，因此必須高度重視。

廖岷提出，互聯網和移動技術的發展帶來快速的變化，對於監管者來說就必須要拓展新的領域、采納新的觀點、不斷創新監管規則。

上海高級金融學院教授錢軍在論壇發言時以上海自貿區為例說，在上海自貿區的建設中，很重要的理念就是建立了負面清單，因為看到科技創新的速度非常快。和以前的正面清單相比，這就是理念和監管的創新。

上海高級金融學院教授錢軍

在廖岷看來，國際上的三個科技金融模式是值得中國借鑒的。首先是以美國為代表的、以風投創新組織和金融組織的形式推動了企業的創新。第二是以以色列為代表、以私人投資的模式為主，同時建立了與市場機制有效對接的互惠互利的機制。第三則是絕大多數國家采用的協同獨立主題，即綜合使用多種金融工具創新的模式，形成一個創新的生態系統，兼具市場性。

監管核心是鼓勵創新

作為學者代表，錢軍表示：“第一，我們要理解監管的核心目的是什麽……互聯網金融的發展空間非常大，原因之一就是我們的傳統金融相對落後，無法很好地服務實體金融，導致需求很大。在這樣的情況下，總的監管目的就應該是鼓勵創新，因為最終的目標是要讓百姓過上好生活。如果傳統金融無法讓大量的人群獲得服務，那麽就需要通過互聯網金融的普及讓更多人受益。所以我認為監管部門總的方向是對的——扶持和鼓勵創新。”

然而，廖岷也提出：“實際上市場經濟的發展非常需要更加適合的監管規則和監管的框架。但如果我們總是通過重大風險的爆發來推動制度的建設，這個成本是很高的。”畢竟一旦互聯網技術和金融關聯，影響的速度和傳播的幅度就會特別大。因此，錢軍說，監管者一方面要鼓勵試錯，另一方面也要盡最大努力不出現大規模的金融風險。要掌握其中的平衡特別難，尤其需要監管領域的創新。

讓技術解決信息不對稱

“我在最近的演講中經常說，80%的投融資平臺倒閉是很正常的，因為它們沒有核心的優勢，那就是風險控制。”錢軍說，要想把風險控制做好，需要很強的數據以及信息處理的能力。而和金融監管相關的關鍵因素就是加強事前的信息披露。這不單單是技術上的披露，還包括商業模式、背後創始人的關聯方以及投資比例等，就好比是一個公司上市之前要做一份很詳細的報告。

英國伯明翰大學副校長梅森（Robin Mason）提出，限制科技金融發展以及帶來高風險的原因是信息不對稱，因此“風險評估要盡量對投資者越透明越好”。

米缸金融董事長曹曉峰建議稱，可以通過技術手段來改變信息的不對稱。“通過技術手段來識別風險，這是技術的一個方向，包括區塊鏈的技術如何在各種文本、證書、合約方面保證它們是真實並且不可篡改的，這種技術手段是改變信息不對稱性的重要手段。”

誇客金融創始人郭震洲給出了一個他們正在使用的經驗，那就是利用履約保證保險來降低風險：投資者購買理財產品時可以享受履約保證保險的服務，不管任何原因，一旦借款人不能足額償付，就由保險公司代為償付。由於第三方公司在出具保單前會對企業的風險控制和所有步驟進行逐一檢查，因此也相當於獲得了第三方的認可。

矽谷安全教父加盟滴滴：AI將成未來信息安全關鍵

滴滴出行29日宣布，矽谷知名信息安全科學家、AssureSec聯合創始人弓峰敏和蔔崢加入滴滴。弓峰敏將擔任滴滴信息安全戰略副總裁和滴滴研究院副院長，蔔崢將擔任滴滴信息安全副總裁，全面負責滴滴信息安全的運營。

這是滴滴在信息安全領域相關內容的首次重大披露。目前，全球信息安全市場正面臨新挑戰，同時也充滿機遇。在兩位重量級安全大佬加盟之後，滴滴很可能將嘗試用人工智能和機器學習技術去發展信息安全技術。

安全威脅日益嚴峻

作為Palo Alto Networks聯合創始人及多家知名信息安全公司高管，弓峰敏指出，過去幾年，信息安全威脅的發展很快。相對於安全防禦者，黑客似乎總是可以更快地利用網絡和移動技術去發動攻擊，找到繞開防禦的種種規避手段。另一方面，黑客工具的制造者、僵屍網絡的運營者之間已形成了“高效”的信息分享產業鏈。

一系列事件證明了信息安全形勢的嚴峻。例如，在9月19日的國家網絡安全宣傳周上，百度安全發布了《百度安全打擊網絡黑產白皮書》。白皮書顯示，2016年上半年，涉嫌泄露或竊取用戶信息的事件超過10.6億次，其中用戶信息泄露超過5.4億條，用戶隱私竊取超過6.3億次。與此同時，網絡黑產的規模不斷“壯大”。上半年，網絡黑產從業者已達56萬人，市場規模超過1482億元，從業者人均收入26.5萬元。

在這樣的情況下，企業IT團隊應對信息安全威脅的能力依然有限。以往，企業信息安全防護著眼於孤立的網絡連接、數據存儲和計算資源，通常只在安全威脅出現後才會被動地去響應。隨著雲計算和移動設備的普及，企業IT環境正變得日趨複雜。而物聯網的發展，家電、汽車和工業設備紛紛接入網絡則進一步導致了可能被黑客突破的“攻擊面”不斷擴大。換句話說，傳統信息安全策略在新環境中很可能顧此失彼，難以實現整體式防禦。

策略：以業務為中心

弓峰敏指出，信息安全行業以往強調入侵防禦，對攻擊的應對策略是“拒敵於國門之外”。但實際上，近期出現了越來越多傳統方法難以檢測的高級安全威脅。同時，日趨多樣化的安全威脅往往有著不同意圖：一部分會對企業業務產生重大威脅，而另一部分則是黑客或業余愛好者的惡作劇。

以往，大多信息安全產品只關註安全問題的某個階段或某個側面，例如軟件是否存在漏洞。然而，這些漏洞並不一定會給業務造成不利後果，例如數據丟失，交易信息泄露。企業並不需要去處理所有安全漏洞。如果繼續沿用傳統的信息安全策略，那麽效果通常不佳，安全防禦只能被動地跟隨黑客的步伐。

對於這樣的局面，弓峰敏認為，安全防禦重點應當轉向以業務為中心，以不間斷、大規模的監測為基礎，並利用大數據和人工智能技術去判斷是否有威脅和異常的出現。簡而言之，這就是分布式的安全檢測配合中心化的威脅數據分析。

安全的未來：人工智能

傳統上，企業信息安全團隊需要在沙箱中運行惡意軟件，人工分析，進而得出潛在威脅的屬性，並在此基礎上制定防禦規則，將規則應用於安全網關或其他網管設備。這樣的流程耗時耗力，且分析能力有限。在這種架構下，安全網關等設備對企業的信息安全能力至關重要。一旦安全網關被攻破，企業內部網絡將門戶洞開。

與此不同，弓峰敏和蔔崢團隊的技術擺脫了中心化的安全網關。這一技術基於軟件和虛擬配置，在終端設備中部署分布式“探針”，從而充分利用終端設備去收集潛在威脅信號，在威脅剛剛出現時捕捉其中的蛛絲馬跡。與此同時，系統利用機器學習和人工智能技術，通過雲計算平臺沙箱對終端設備收集到的海量數據進行自動化分析和學習，不斷尋找惡意軟件和非惡意軟件所表現出的不同模式。

用機器學習算法去取代傳統的“if-else”邏輯帶來了很強的通用性，能將數千輸入信號考慮在內。與此同時，利用持續輸入的數據，機器學習算法能以流程化方法不斷建立新模型，並隨惡意軟件的變化而主動調整，增強檢測能力。

這樣做帶來了兩方面優勢。一方面，系統對信息安全風險的監測將不再是孤立的，而是有能力全面了解各方面環境因素。因此，無論是底層硬件還是業務邏輯，各種異常都可以被檢出。另一方面，這將成為基於雲計算的一體化產品，並具備極強的自主運行能力。企業IT團隊將無需去維護碎片化工具，減少所投入的人力。

滴滴助力信息安全研究

實際上，弓峰敏和蔔崢團隊加入滴滴正是由於，滴滴提供了團隊迫切需要的大數據集。弓峰敏指出，其團隊的技術要求與業務數據密切交互，而利用滴滴的框架和資源，團隊能更方便地去展開技術研究。

另一方面，滴滴也帶來了豐富的安全場景。這既包括基本的安全攻防問題，也包括如何應對網絡欺詐和犯罪，預防用戶信息泄露，交易出現風險。通過滴滴的業務實踐，以及滴滴自身對雲計算、大數據和人工智能等前沿技術的開發，研發團隊將獲得第一手研究素材，使持續發展的新技術在第一時間得到嘗試和應用。

信息安全市場仍在快速發展。根據市場研究公司Gartner的數據，2016年全球信息安全產品和服務支出將達到816億美元，同比增長7.9%。這一市場正受到傳統企業IT巨頭的密切關註。例如，甲骨文上月宣布收購雲計算信息安全公司Palerra，而思科和賽門鐵克近期也均在這一領域進行過收購。

在國內，移動互聯網的發展也給信息安全帶來了挑戰和機遇。弓峰敏認為，作為具有代表性的移動互聯網公司，滴滴在這筆收購後有望實現突破性的成功應用案例，進而給整個中國互聯網安全市場產生積極影響。

公安部破獲特大侵犯公民個人信息案，201名嫌犯落網

9日從公安部獲悉，為有效打擊侵犯公民個人信息犯罪活動，經半年多的縝密偵查，公安部近期組織遼寧、四川等25個省區市公安機關對一起特大侵犯公民個人信息案開展集中收網行動，共抓獲犯罪嫌疑人201名，成功鏟除42個信息泄露源頭，摧毀了9個涉案地域廣、涉案人員多、信息數量、種類及涉案金額大的侵犯公民個人信息犯罪團夥。

2015年11月以來，遼寧省公安機關在偵辦一起侵犯公民個人信息案件中，發現了大量涉及全國各地的販賣公民個人信息犯罪的線索。公安部對此高度重視，立即成立專案組，組織部署各地循線追蹤，深入開展偵查工作，並逐漸摸清了犯罪團夥的組織架構和人員組成。在前期縝密偵查的基礎上，公安部於近期統一組織遼寧、四川等25個省、區、市公安機關開展了集中抓捕行動，成功偵破該特大侵犯公民個人信息案。

經初步查明，涉及該案的侵犯公民個人信息犯罪團夥均由信息泄露源頭(查詢員)、一級代理商(均無業)、二級代理商、下遊代理商和客戶多個層級組成，各團夥既獨立形成上下線，又相互交叉，形成聯系密切的犯罪集團，信息泄露源頭相對獨立，但同時為多個信息販賣代理商提供信息，代理商通過建立微信群、QQ群買賣信息。例如，犯罪嫌疑人張某某等人通過微信從江西省贛州市某銀行員工徐某某及上海市某信息服務有限公司員工陳某等人手中購買銀行賬戶、手機定位等信息1萬余條，加價倒賣，非法獲利10萬余元。

該案涉及的公民個人信息種類繁多，涉及銀行信息、民航信息、上網信息、快遞信息等10余種個人信息，衍生電信網絡詐騙、敲詐勒索等多種下遊犯罪，危害十分嚴重。經對上述查獲的公民個人信息進行比對，發現有19名持機人曾遭受電信網絡詐騙，涉案金額870萬元。再如，犯罪嫌疑人夏某某於2015年9月至2016年5月期間，多次從某侵犯公民個人信息犯罪團夥手中非法獲取公民信息，用於非法追討債務等違法犯罪活動，獲利12萬元。犯罪嫌疑人韓某某於2015年成立“商務調查公司”，從犯罪團夥購買大量公民個人信息，用於實施“找人、婚外情取證”等違法犯罪活動。

公安部有關負責人表示，近年來，侵犯公民個人信息犯罪持續多發高發，誘發大量電信網絡詐騙、敲詐勒索等下遊犯罪，嚴重侵害群眾利益，嚴重影響群眾安全感，廣大群眾對此反響十分強烈。公安部對此高度重視，將持續保持對此類犯罪的嚴打高壓態勢，全鏈條打擊涉案的違法犯罪人員，最大限度遏制侵犯公民個人信息犯罪活動，不斷提高群眾安全感，堅決保障群眾合法權益。

CNNIC：96%手機網民曾遭遇信息安全事件

近日，中國互聯網絡信息中心(CNNIC)發布《2015年中國手機網民網絡安全狀況報告》顯示，截至2015年12月，國內手機網民規模達6.2億，手機網民已經占到整體網民的90.1%。截至2015年12月，95.9%的手機網民在2015年遇到過手機信息安全事件，其中，52.7%的用戶認為自己沒有因此造成損失。

在所有遇到過手機信息安全事件的用戶中，52.7%的用戶認為自己沒有因此造成損失;由於個人信息泄露影響正常工作生活和由於手機安全問題花費時間和精力解決的用戶占比分別為26.4%和26.1%;造成用戶話費、流量丟失或者賬戶資金丟失等直接經濟損失的比例為8.9%。

報告指出，2015年，國內手機信息安全事件數量顯著增長，其中騷擾類安全事件的用戶覆蓋率很高，騷擾、廣告電話和廣告違法短信的用戶覆蓋率均在75%以上。

通過手機病毒、惡意軟件竊取用戶信息的信息安全事件其用戶覆蓋率均未達到20%，不過其手段越來越隱蔽，大多數用戶被盜取了個人信息之後很難察覺。報告指出，雖然用戶察覺到的比例較低，但手機病毒和惡意軟件在2015年影響群體不減反增。

具體來看，報告顯示，8%的手機網民認為目前使用手機上網非常安全或比較安全，而認為使用手機上網比較不安全或很不安全的比例僅為12.8%。

根據調查，在連接過公共Wi-Fi的用戶中，44.7%的用戶會在不確認公共Wi-Fi是否安全的情況下直接連接，這部分用戶很容易在上網過程中泄露自己的個人信息。絕大部分用戶會在使用公共Wi-Fi時避免使用手機購物或支付，在連接公共Wi-Fi的情況下使用手機購物或進行支付的用戶占比為19.6%。

而對於二維碼風險的認識，67.5%的手機網民認為掃描二維碼可能存在風險，並會在掃描二維碼時進行有意識的鑒別，不過仍有29.4%的用戶認為不會有風險或沒有想過此類問題。

同時根據調查，2015年國內手機網民對於偽基站的認知仍有很大不足，58.9%的用戶沒有聽說過偽基站，另外15.8%的用戶雖然聽說過偽基站但對其帶來的危害並不了解，僅有25.2%的用戶聽說過偽基站也了解其可能帶來的危害。

截至2015年12月，國內手機安全軟件用戶規模達到4.5億，占整體手機網民的72.6%。主動安裝手機安全軟件雖然已經成為主流，但手機出場系統預裝仍是重要渠道，25.2%的用戶手機安全軟件是手機自帶或系統預裝的。

公安部破獲一特大侵犯公民信息案，201名嫌疑犯落網

9日從公安部獲悉，為有效打擊侵犯公民個人信息犯罪活動，經半年多的縝密偵查，公安部近期組織遼寧、四川等25個省區市公安機關對一起特大侵犯公民個人信息案開展集中收網行動，共抓獲犯罪嫌疑人201名，成功鏟除42個信息泄露源頭，摧毀了9個涉案地域廣、涉案人員多、信息數量、種類及涉案金額大的侵犯公民個人信息犯罪團夥。

2015年11月以來，遼寧省公安機關在偵辦一起侵犯公民個人信息案件中，發現了大量涉及全國各地的販賣公民個人信息犯罪的線索。公安部對此高度重視，立即成立專案組，組織部署各地循線追蹤，深入開展偵查工作，並逐漸摸清了犯罪團夥的組織架構和人員組成。在前期縝密偵查的基礎上，公安部於近期統一組織遼寧、四川等25個省、區、市公安機關開展了集中抓捕行動，成功偵破該特大侵犯公民個人信息案。

經初步查明，涉及該案的侵犯公民個人信息犯罪團夥均由信息泄露源頭(查詢員)、一級代理商(均無業)、二級代理商、下遊代理商和客戶多個層級組成，各團夥既獨立形成上下線，又相互交叉，形成聯系密切的犯罪集團，信息泄露源頭相對獨立，但同時為多個信息販賣代理商提供信息，代理商通過建立微信群、QQ群買賣信息。例如，犯罪嫌疑人張某某等人通過微信從江西省贛州市某銀行員工徐某某及上海市某信息服務有限公司員工陳某等人手中購買銀行賬戶、手機定位等信息1萬余條，加價倒賣，非法獲利10萬余元。

該案涉及的公民個人信息種類繁多，涉及銀行信息、民航信息、上網信息、快遞信息等10余種個人信息，衍生電信網絡詐騙、敲詐勒索等多種下遊犯罪，危害十分嚴重。經對上述查獲的公民個人信息進行比對，發現有19名持機人曾遭受電信網絡詐騙，涉案金額870萬元。再如，犯罪嫌疑人夏某某於2015年9月至2016年5月期間，多次從某侵犯公民個人信息犯罪團夥手中非法獲取公民信息，用於非法追討債務等違法犯罪活動，獲利12萬元。犯罪嫌疑人韓某某於2015年成立“商務調查公司”，從犯罪團夥購買大量公民個人信息，用於實施“找人、婚外情取證”等違法犯罪活動。

公安部有關負責人表示，近年來，侵犯公民個人信息犯罪持續多發高發，誘發大量電信網絡詐騙、敲詐勒索等下遊犯罪，嚴重侵害群眾利益，嚴重影響群眾安全感，廣大群眾對此反響十分強烈。公安部對此高度重視，將持續保持對此類犯罪的嚴打高壓態勢，全鏈條打擊涉案的違法犯罪人員，最大限度遏制侵犯公民個人信息犯罪活動，不斷提高群眾安全感，堅決保障群眾合法權益。

“墨子號”發射之後 第二次信息革命走來

中國科學院10月12日上午舉行新聞發布會，介紹量子科學實驗衛星“墨子號”8月16日發射以來，已開展的部分測試及科學實驗情況。

量子衛星首席科學家潘建偉院士介紹，量子科學實驗衛星“墨子號”在酒泉衛星發射中心成功發射以來，量子科學實驗衛星任務計劃包括三個部分：發射入軌、在軌測試、開展實驗。之前完成的是發射入軌的任務，目前正在開展在軌測試，為期約三個月。包括三個方面的測試，衛星平臺測試、有效載荷測試、星地鏈路測試。

我國於8月16日1時40分左右成功發射了世界首顆量子科學實驗衛星“墨子號”，它是人類歷史上第一顆用於量子通信研究的量子科學實驗衛星。該衛星由中國科學技術大學和中國科學院上海技術物理研究所共同研制，經過前期準備，於2012年正式立項，並歷時多年研制成功。

該衛星將配合多個地面站實施星地量子密鑰分發、星地量子糾纏分發和地星量子遠程傳態等量子通信領域的實驗。中科院量子信息與量子科技前沿卓越創新中心、中國科技大學上海研究院副研究員張文卓告訴《第一財經日報》記者：“接下來量子號會積累大量實驗數據，驗證衛星量子通信的可行性和遠距離量子糾纏的存在。”

據潘建偉介紹，目前衛星已經完成衛星平臺測試的情況，能源監控方面，電池組狀態正常，太陽帆板供電正常，充電、放電功能正常。遙控指令與數據註入遙控成功率100%。

同時姿態控制完成了速率阻尼模式、太陽捕獲模式、帆板展開模式以及對慣性定向模式測試，衛星姿控系統運行正常，性能穩定。數傳通信方面，重要遙測量穩定，符合預期。熱控分系統加熱回路工作正常，滿足要求。星務管理方面，星務計算機狀態正常，星務軟件運行正常。

潘建偉對《第一財經日報》記者表示，衛星已經完成測試，有效載荷各單機開機檢查，狀態均正常;完成載荷內部光軸自校正測試，光軸匹配精度滿足任務要求;完成載荷單光子探測專項測試，單光子探測器暗計數指標符合預期;完成對所有地面站的跟瞄，穩定性良好，跟蹤精度滿足要求。在天氣條件滿足跟瞄要求的條件下，對站跟瞄均成功;糾纏源工作正常，光源亮度等指標滿足任務要求;載荷指令註入、遙測下傳以及科學數據下傳均正常。

此外，星地鏈路的測試目前正處於參數調整，尋找最佳工作點以及積累有效數據的過程中。在這之後還將完成三項科學任務，高速星地量子密鑰分發，星地量子糾纏分發，實現大尺度量子非定域性檢驗，星地量子隱形傳態。

中國的目標是，力爭到2030年左右率先建成全球化的廣域量子保密通信網絡，並在此基礎上，構建信息充分安全的“量子互聯網”。

張文卓對《第一財經日報》記者表示，量子通信衛星是在不同的空間使用同一個系統的工作原理，利用高速相幹激光將兩個不同大洲的基站進行連接。如果此次發射的中國量子通信衛星實驗成功，那麽“墨子號”將是人類歷史上的首創，也是世界上第一個實現跨大陸量子密鑰分配的網絡。

據張文卓介紹，量子通信屬於量子信息領域中最先實用化和產業化的方向，而量子信息是以量子物理學為基礎的新一代信息科學技術。主要包含兩個方面，一個是信息的傳輸，即量子通信。另一個是信息的處理，即量子計算。

自量子力學誕生以來，物理學家通過認識各種宏觀物質背後的量子力學規律，產生了凝聚態物理學和量子光學等學科方向，並在此基礎上發展出了各種高新技術來改變世界。例如通過量子力學研究中電子性質而發現了半導體，通過量子力學研究電子能級受激輻射光子而發現了激光。在此基礎上，20世紀50年代，物理學家們開始陸續研制出了半導體晶體管和激光器，從而催生了第一次信息革命，使得我們今天能便捷地使用各種計算機、智能手機和互聯網。

張文卓告訴《第一財經日報》：“第一次信息革命是屬於‘經典信息’的革命。雖然我們必須用量子力學才能理解半導體和激光的本質與工作原理，我們所處理的還是經典的二進制信息(即經典比特)。信息傳輸和計算都基於經典物理學規律。而隨著量子信息科學技術的誕生，這一條路逐漸發展到了一個全新的階段，催生著第二次信息革命的出現，即完全屬於‘量子信息’的革命。信息傳輸和計算都將直接基於量子物理學。其中量子通信作為排頭兵，走在了這次信息革命的最前面，成為它的第一個突破點。”

他還表示，由於量子計算需要直接處理量子比特，於是“量子遠程傳態”這種直接傳的量子比特傳輸將成為未來量子計算之間的量子通信方式。未來量子遠程傳態和量子計算機終端可以構成純粹的量子信息傳輸和處理系統，即量子互聯網。這也將是未來量子信息時代最顯著的標誌。

“墨子號”量子科學實驗衛星就把遠距離量子遠程傳態作為三個主要目標之一。通過地面站到衛星的糾纏光子發射，共享糾纏光子對。在地面站制備需要傳輸的量子比特，通過隱形傳態將該量子比特發到衛星上。這將是人類第一次在空間尺度上實現量子比特傳輸。

此外，“墨子號”的成功研制並發射，使得中國進一步擴大了在量子通信領域世界領先的優勢。歐洲和美國也感受到了危機，並提出了一系列計劃。歐盟在2016年3月提出的十億歐元量子技術項目《量子宣言》(quantummanifesto)中，將地面和衛星之間的量子保密通信作為一個主要目標。美國國家科學基金(NSF)也啟動了1200萬美元的量子保密通信項目。因此“墨子號”和後續多顆量子通信衛星計劃會進一步引發量子通信的國際競爭，加速全球量子保密通信網絡的實現。

國稅總局：明年起施行非居民金融賬戶涉稅信息盡職調查

東北特鋼破產重組“拉鋸戰”開幕 至今未披露財務信息

東北特殊鋼鐵集團有限責任公司(下稱“東北特鋼”)日前發布公告稱，大連市中級人民法院已於10月10日依法裁定受理債權人提出的對東北特鋼集團重整申請，並於同日指定東北特鋼集團清算組擔任東北特鋼集團管理人。

公告指出，東北特鋼債權人自本公告發起之日起向管理人書面申報債權，並稱東北特鋼集團的債務人或財產持有人應當向管理人清償債務或交付財產。此外，將於12月1日召開東北特鋼重整案第一次債權人會議。

按照《中華人民共和國企業破產法》規定，破產重整程序啟動後，債權人依法申報債權，破產管理人在人民法院和債權人的監督下，將在最長9個月內提交重整計劃草案，並最終由人民法院裁定是否批準執行。

一位持有東北特鋼債券的券商人士告訴第一財經記者，破產重整方案出臺的最終截止日期是明年7月份，這中間或許將是一場漫長的“拉鋸戰”。

令債權人不滿的是，東北特鋼至今仍未披露相關的財務信息，這使得最終債權人能夠從多大程度上討回利益充滿不確定性。

近日，中國銀行間市場交易商協會發布了自律處分的決議，指責東北特鋼作為債務融資工具發行人，未能按照相關自律規則的規定及時披露2015年年度報告及2016年第一季度財務信息，且截至2016年第8次自律處分會議召開時仍未披露。

交易商協會因此給予東北特鋼嚴重警告處分，責令東北特鋼立即糾正違規行為,並針對本次事件中暴露出的問題進行全面深入的整改，並暫停東北特鋼債務融資工具相關業務。

不過，根據東北特鋼在8月2日就2015年度三期短融以及第一期超短融的第三次持有人會議決議給予的答複，受債券違約事件影響，發行人當前面臨的內外部環境存在較大不確定性。發行人將在債務解決方案最終確定後，組織審計機構依照企業會計準則編制並披露相關財務信息。

此外，也有債權人認為，破產管理人主要來自遼寧省政府或許會有失公允。

據媒體報道，大連中院目前已指定東北特鋼集團清算組、大連特鋼清算組、大連棒線材清算組分別擔任東北特鋼集團等三家公司管理人。三家公司管理人組成人員相同，由遼寧省國資委、遼寧省金融辦、遼寧省發改委、遼寧省工信委、北京金杜律師事務所有關人員組成。

地方大國企東北特鋼是一家具有上百年歷史的特殊鋼企業。據該公司董事介紹，由於長期以來投資巨大，導致債務負擔較大，帶來的財務成本已經超出企業承受範圍。今年以來，企業發行的企業債券已經連續9次違約，累計本金58億元。

今年7月份，隨著東北特鋼多只債券密集發生連環違約，當時遼寧省政府曾形成一個東北特鋼重組脫困方案，提出七成金融債務債轉股，遭到了持有人的一致反對。最終，東北特鋼承諾“不惡意逃廢債”、“不單方面債轉股”。

【相關】

東北特鋼破產重整 專家稱最快兩三年內重現生機

東北特鋼否認半停產 本月工資打9折發放