CNCC 人物專訪 譚曉生（上）| 360 首席隱私官談大數據與個人隱私的博弈

雷鋒網按：本文由雷鋒網獨家采訪整理而成，未經許可嚴禁轉載！全文分為上下兩篇，上篇《360 首席隱私官談大數據與個人隱私的博弈》，下篇《人工智能時代的網絡安全新發展》

現任奇虎 360 科技有限公司首席隱私官，2013 中國互聯網安全大會主席。 2009 年 7 月加盟北京奇虎科技有限公司擔任副總裁，負責公司網站技術、技術運維、數據分析與挖掘、云查殺、云存儲等業務的技術團隊管理。

1992 年畢業于西安交通大學計算機科學與工程系計算機應用專業。2003 年 1 月至今先后任 3721 技術開發總監、雅虎中國技術開發總監、雅虎中國 CTO、阿里巴巴-雅虎中國技術研發部總監。還曾任 MySpace CTO 兼任 COO。

目前還擔任 CCF 副秘書長，YOCSEF 主席，及今年 CNCC 前奏 Tech Frontier & Rockstar 的主席。

以下為編輯整理后的采訪實錄：

1、首先我們從最近的一個社會熱點——電信詐騙說起，在上個月的國家網絡安全周期間（9 月 19 日 - 25 日），360 發布了《2016 中國電信詐騙形勢分析報告》，360 是如何看待電信詐騙和網絡安全之間的內在聯系的？

首先，比如徐玉玉事件，詐騙團伙實際上提前已經掌握了她的基本信息，這種信息的獲取實際上很多是從網絡渠道獲得的。雖然最后是通過電話、短信發起詐騙，但網絡變成了電信詐騙的一個信息來源。

其次，境外的一些電信詐騙團伙很多也是通過網絡實施詐騙的，他們在境外的窩點，通過 VOIP 向國內撥打詐騙電話，VOIP 實際上就是一種利用網絡進行語音通信的方式，可以簡單的認為就是網絡電話。那么他們通過設置 VOIP 的網關，能起到隱藏電話來源的作用，這個不同于傳統的電信服務。

最后呢，詐騙組織之間的協同分工往往也是以互聯網為平臺進行的，不同的犯罪分子可能分布在不同的地方，通過網絡來協同詐騙。

所以，現在互聯網實際上變成了實施詐騙的一個工具或者渠道。

2、既然互聯網可能被不法分子利用，那業界可以采取哪些措施來應對呢？

這個事情其實大家都在不同程度地進行，據我所知，包括互聯網公司、運營商、金融服務業、公安等是有協同合作的，但協同的程度肯定還需要提高，最近中央也很重視這個問題，公安也投入了更多的力量，協同的力量在加大、效率在提高，這對預防此類案件應該會有比較大的幫助。

3、就目前做到的程度而言，未來還有多久的路要走呢？

這個問題很難量化地來分析，可能 80% 的問題很快就能解決，但是要徹底解決最后的 20%，往往要花費成倍的時間和精力。

但是，根據我后來了解的情況來看，我是持比較樂觀的態度，我相信電信詐騙頻發的勢頭會很快被遏制住。

4、我們知道 360 手機衛士綜合多種技術手段全面提升了風險電話提醒機制，上線了可疑電話提醒功能，360 搜索也獨家提供了電信詐騙查詢功能，大家很好奇這些應用的背后都用到了哪些技術呢？

第一個，我們可以認為是“眾包”的方式。源自 360 本身的終端應用的大量安裝，用戶可以反饋信息。比如，用戶接到疑似詐騙的電話，在掛機后可能直接在我們的應用里進行了標注，那其他的用戶在接到同個號碼的時候就會獲得相關的提醒。

第二個，我們可以利用大數據分析來判斷。以短信為例，普通用戶一般情況下不會把相同銀行賬號大面積群發，而詐騙短信往往是使用廣發網，所以我們可以根據發送數目來進行分析；短信的內容中是否嵌入了短鏈接或者網頁，通過這些特征我們也可以判斷是否可能是詐騙短信；另外，我們還能分析短信中鏈接跳轉的網頁是否是假冒的，比如工商銀行的域名和 IP 地址都是確定的，如果突然跳轉到一個北美的域名，但外觀和工商銀行官網非常類似，那么我們就能斷定這是一個詐騙網站。

5、您剛剛也提到 360 通過免費的安全服務積累了大量終端用戶，終端客戶源源不斷向云端傳送數據，你們是如何利用的呢？

那么第一類是銀行賬號之類的數據，我們和銀行也有合作，如果詐騙信息中出現該賬號，我們會提交給銀行，由他們進行特殊處理，防止用戶的財產受到損失。

第二類主要是短鏈接數據。比方說，用戶接到的短信中包含一個短鏈接，點開之后是下載一個 APK，這極有可能就是一個木馬。那么我們再拿到這個短鏈接以后會遵循只是下載這個 APK，然后通過機器程序自動分析這個 APK 文件是否確定為木馬病毒，如果是的話我們就會對應地提醒用戶，并且今后其他用戶在收到相同短鏈接時都會收到提醒。我們都知道，如果木馬真的進入了用戶手機，后果是很嚴重的，無論是通訊錄還是其他信息都會一覽無遺。甚至可以盜取用戶的信息后，以用戶的名義進行詐騙等等。如果我們能自動識別出木馬，并阻止木馬程序的運行，這對用戶是有很大幫助的。

第三類就是用戶主機號碼，如果用戶接到了詐騙電話并且標記了相關號碼，我們就會對這些標記的數據進行大數據分析，以后其他用戶再接到同一主機號碼就會收到提示。

6、大數據和分享經濟給我們帶來了很多機遇，但這也是把“雙刃劍”，個人信息安全受到的挑戰越來愈多。有人說，這是大數據和個人隱私之間的博弈，您作為奇虎 360 的首席隱私官是怎么看待這個問題的呢？

這個問題主要從兩方面來談。

第一個方面來說，大數據和分享經濟使人們的生活變得更加便利，給人們提供的個性化服務會更加貼心。但弊端就是你的個人信息可能會被使用，甚至基于大數據的分析還能預測出你下一步會做什么。我沒記錯的話 Gartner 出過一個報告，里面提到 2017 年會有 80% 的用戶愿意用自己的個人信息來換取更加便宜、更加便捷的服務。我認為這是人性使然，當人們能獲得某些便利時，他們可能會主動地出讓自己的一些信息。所以當大數據給人們帶來一些好處，使他們獲得更好的體驗，更便宜的服務，人往往是很難拒絕的。

第二個方面呢，如果信息被泄露、被惡意利用，會造成的危害也非常大，人就會像生活在一個玻璃盒子里面。這似乎是這個社會的演進過程中不得不面對的一個問題，它的解也不是一個簡單的方式。

所以我認為，這二者之間的博弈最后會達到一個平衡點。比如西方經常提到隱私權，國內往往叫做隱私或者隱私信息，這個說法在我看來不太準確。“Privacy”，隱私權，應該是一種權利。也就是說，當你希望不為人知地、孤獨地一個人生活的時候，當你不想讓別人知道自己信息的時候，你有選擇的權利。但現在的社會中，可能你根本無法選擇，無法達到，即使你不想，別人也能通過其他途徑知道。比如你的健康狀況，你的收入狀況等等，你不希望別人知道，你能不能做到呢？這個就是我說的隱私權，我認為這應該是讓人有自我選擇的權利。當然也不是強制你必須不為人知地生活，比如那些網紅主播，吃飯、睡覺都要做直播，這種屬于自己放棄了自己的隱私權，她們就是希望秀給觀眾看。那么這種情況下，我們尊重她們的選擇，而不是強制說她們的信息都不能披露。

最終要解決的這個問題，首先應該是要有法律法規的保障，頒布了相關規定后，再來要求信息服務商如何做到符合法律法規。比如說，收集的信息是否和提供的服務有關。如果我去吃飯，非要收集婚姻狀況，這就沒有任何意義。如果你登錄的是婚戀網站，了解你的婚姻狀況、收入狀況等等信息就是必要的，因為提供給你的服務需要用到這些信息。再者，在收集用戶信息之前，是否明確地告知用戶了，是否說明信息的用途了。第三點，是否獲得了用戶的許可，如果用戶不愿意提供相關信息，作為服務提供商可以選擇拒絕提供相關服務，但是不能在用戶未許可的情況下獲取信息。第四點，收集的信息是否被妥善保管，不能隨意地進行傳播。第五點，信息的使用是否在約定范圍，如果你給婚戀網站提供了個人信息，但婚戀網站把信息賣給了廣告公司，這就屬于超出用戶授權地使用了用戶信息。第六點，出現用戶信息不準確的情況時，用戶是否可以修正，這點目前很多地方都做的不好，信息一旦提交，哪怕是錯誤信息，之后也沒有可以修改的機會了。最后一點，信息如何被銷毀，如何能安全地銷毀。比如說，如果存儲信息的設備被當做二手機賣了，買主就有可能獲得里面的信息。

7、那么業內現在是如何進行銷毀的呢？

如果是很敏感的數據，一般會把磁盤拆下來進行消磁。另一種就是采用物理破壞的方法，打孔或者砸碎。

上篇《360 首席隱私官談大數據與個人隱私的博弈》到此結束，敬請期待下篇《人工智能時代的網絡安全新發展》。

號外：10 月 19 日，譚曉生老師將參加 2016 中國計算機大會的安全分論壇。我們會贈送價值 2300 元的非 CCF 會員票，憑此票可以參加 19 - 22 日包括譚老師在內的 16 位嘉賓精彩的特邀報告、30 個論壇及 50 場活動（除晚宴外）。報名請掃描下面的二維碼在公眾號后臺發送“CNCC”報名，我們會每天從報名者中選出一名送出門票~~

想參加的小伙伴也可以點擊 CNCC 大會報名鏈接進行報名喲~~

推薦閱讀：

CNCC 人物專訪 譚曉生（下）| 人工智能時代的網絡安全新發展 

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。