《网络安全法》《数据安全法》《个人信息保护法》之后,网络数据安全管理将迎来新规。近日,国家互联网信息办公室近日会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》。《网络数据安全管理条例(征求意见稿)》(以下简称《征求意见稿》)意在通过融合个人信息保护和数据安全的相关法律法规,更加明确互联网平台在数据安全和信息保护领域的责任和义务,进一步推动信息隐私保护、数据安全的法律落地实施。在《征求意见稿》中,进一步强化了对互联网企业的监管,并重点强调了互联网企业,尤其是日活用户超过一亿的大型互联网平台,要保障用户隐私信息和重要数据不被泄露或滥用。其中涉及到重要数据和境外上市的互联网企业,应每年开展一次数据安全评估。

同时,《征求意见稿》特别提出,作为数据处理者的互联网企业,凡是利用生物特征进行个人身份认证的,包括人脸、指纹、虹膜、声纹、步态等生物特征,应当对必要性、安全性进行风险评估,不得将生物特征作为唯一的个人身份认证方式,从而强制用户获取。

为了进一步了解互联网企业当前面临的账户核验难题,记者对行业中的商业化数据安全解决方案供应商进行了调研,联系到了北京采访到以用户隐私保护为核心价值的数据安全公司——北京数字联盟,其业务负责人刘先生与我们进行了对话。

记者:“《征求意见稿》里提到企业不能将生物特征作为唯一的账户验证方式,那么企业为什么需要采集生物特征去验证呢?”

刘先生:“其实很多企业做人脸验证、指纹验证都是为了维护账号安全。因为现在很多黑产会利用虚拟机盗窃、劫持用户的账号,冒充用户进行诈骗或其他违法行为,这种情况出现的多了,APP原来的手机验证码验证也能被黑产拦截到,原来的验证手段不够安全了,所以才加上人脸、指纹这类不容易被仿造的生物特征进行账户的验证。”

“但APP采集用户的很多生物特征验证账户,很容易'冒犯'到用户,让用户感觉自己的个人隐私被侵犯了,用户的体验实际上非常不好。而且APP收集的生物信息多了,一旦有黑产入侵,数据安全面临的危险就会非常大。”

记者:“那有什么技术能够保障APP账户安全,还不会让用户感觉隐私受到威胁呢?”

刘先生:“其实不管是手机验证码还是人脸识别,都可能会被黑产破解和劫持,APP的账户安全并不一定能得到保障。通过接码平台,黑产能够拦截到手机验证码。通过软件黑产照样可以伪造人像,甚至完成视频内点头、摇头、张嘴的动作。如果持续在账户层下功夫,很容易被黑产牵着鼻子走。毕竟,黑产想要作弊,实在是成本太低了。”

“改变一下思路,如果从设备层去验证账户安全,可不可以呢?数字联盟开发出了可信ID的技术,能够在设备层监测风险等级,不需要真实身份认证,就可以从设备底层审核账户安全。我们是怎么做的呢?首先,因为可信ID是第三方的设备ID体系,可信ID能够从120多个维度收集设备层的信息,给每一台设备生成并下发唯一的一个可信ID。其次,通过可信ID,可以精准的识别账户背后的设备是否是虚拟机。举个例子,基于数字联盟与手机运营商多年的合作关系,我们建立了设备IP、基站和地理位置的映射关系库,如果可信ID对应的设备网络IP显示在海南,手机基站却在北京,那么可以判断这台设备是黑产利用虚拟机臆造出的,不是真实设备,因为它设备本身不具备真实设备的IP、基站与位置间的对应关系。通过直接封杀这个设备,就可以从设备层筛除黑产,根本上杜绝虚拟设备。”

(数字联盟:可信ID 数据方案全操作流程)(数字联盟:可信ID 数据方案全操作流程)

《网络数据安全管理条例(征求意见稿)》即将出台,标明了国家数据安全和个人隐私防护的决心。作为数据处理者的互联网APP,也需要承担在数据安全和信息保护领域的责任和义务。相信《征求意见稿》必将推动互联网平台数据治理模式的变革,数字经济的可持续发展也呼吁安全技术的支持,只有完善数据安全管理制度和技术保护机制,互联网平台才能真正实现可持续发展。