西安电子科技大学网络与信息安全学院执行院长李晖：智能算法对个人信息保护是一柄双刃剑

新闻背景：2021年国家网络安全宣传周闭幕，西安再次给全国留下深刻印象

在圆满完成各项议程和活动后，2021年国家网络安全宣传周10月17日在西安落下帷幕。从10月11日到17日，每天都有鲜明的主题和丰富的活动内容。继十四运之后，西安再次给来自全国的嘉宾留下了深刻的印象。

国家网络安全宣传周自2014年开始，曾先后在北京、武汉、上海、成都、天津、郑州等地举办，西安是第八届。本届网安周由中央宣传部、中央网信办、教育部等十部门联合举办，西安市人民政府承办网安周重要活动，来自政府、科研机构、高校、社会组织、企业、媒体的近千位嘉宾出席。

华商报记者注意到，除开幕式外，本届网安周还举办了网络安全博览会、网络安全技术高峰论坛及九大分论坛、网络安全教育云课堂、网络安全赛事、网络安全进基层等重要活动，另外还安排了校园日、电信日、法治日、金融日、青少年日、个人信息保护日等六大主题日活动。网络安全宣传触及社会面的广度，以及对网络安全问题关注和剖析的深度，至少在陕西可谓前所未有。

特别值得一提的是，不仅仅是论坛上唇枪舌剑、条分缕析，本届网安周还组织了“长安杯”网络安全实战攻防比赛及全国青少年网络安全竞赛，对网络安全技术的重视，以及对网络安全人才培养问题的重视，由此也可见一斑。而网安周期间组织的“媒体行”活动，邀请来自全国的18家媒体记者走进西咸新区和西安高新区，实地了解秦创原综合服务平台和西安软件新城的建设情况，园区内企业拥有的各类新技术也给记者们也留下了深刻印象。

据来自2021年国家网络安全宣传周官网的消息，本届网安周重要活动线下直接参与超过7万人次，本地区辐射上千万人次，线上参与、阅读突破6亿人次，大力营造了全社会共筑网络安全防线的浓厚氛围。

在本届网安周最后一次专题论坛上播放的视频短片中有一句话让人印象深刻：“打造永不落幕的网络安全周”。由此可见网络安全在我国已成为常态化、制度化的重要工作。

盛会已经闭幕，网络安全领域的专家如何看待本次网安周？本次网安周上又有哪些新动态引起了专家的特别注意？近日，华商报记者就此问题采访了西安电子科技大学网络与信息安全学院执行院长李晖。

“很成功，达到了向全国网络安全领域展示陕西的作用”

华商报：您对在西安举办的这届全国网络安全宣传周怎么看？

李晖：虽然今年国家网络安全宣传周的举办也受到了疫情影响，比如要求必须要有48小时核酸检测结果才能来参会，好多人因此可能会觉得麻烦。但总的来看，我觉得效果还是很不错的。经过这几年国家大力的宣传，大家都深刻意识到了网络安全对经济社会发展、对百姓生活的重要意义。我觉得是网络安全已经进入到更深、更广的发展方向，变成了常态化建设内容。总的来说，今年在西安举办的国家网络安全宣传周还是非常成功的，达到了向全国网络安全领域展示陕西、展示西安的作用。

“网络安全已经进入到制度化、法制化这样的阶段”

华商报：您怎么看待、分析和评价近十年来国家对网络安全问题的态度？

李晖：总书记说“没有网络安全，就没有国家安全。”从2014年开始到今年，经过这些年的发展，我觉得现在从各方面来看，网络安全已经进入到制度化、法制化这样的阶段。开始还只是政策导向，这两年规范性日益增强，各种法律也逐渐健全，从《网络安全法》到《密码法》，到《数据安全法》，到《个人信息保护法》，还有《关键基础设施保护条例》，这些都从法治轨道上要求网络安全成为各个单位，包括党政机关、企事业单位、互联网行业在内，规范他们行为的制度化的要求。以前可能你做不做都行，没有强制的要求，但有了法律，从合法合规的角度来讲，网络安全已经成为了必备的要素，是一个基础性的保障。由于法律的引领，目前在网络安全方面从人才的教育到产业的发展，都进入了快速发展阶段。这两年，网络安全产品、网络安全服务的市场规模都在不断扩大。我觉得，国家已经将网络安全作为国家安全的16个领域之一，已经成为国家战略。

“人工智能促进了安全技术的发展，也带了新问题”

华商报：网络安全在技术方面近年来有哪些明显的变化和提升？

李晖：我觉得有几个趋势：国家目前推动网络安全建设，一个是从密码应用的角度来推动，去年《密码法》已经颁布实施了。密码作为保护整个网络空间包括产品、包括设备的一个最核心的基础性技术，这两年国家非常强调对密码的应用，不断推进密码在整个信息保护中的重要性。第二个是安全技术。随着这些新技术的发展，可能有一些伴生性的安全问题，包括人工智能、区块链等技术的发展，都对网络安全带来了新的影响。比如人工智能，一方面它能促进网络安全技术的发展，一方面这些新技术本身可能又会带来新的安全问题。现在网络安全实际应用中有一种服务化倾向，光提供产品可能还不行，还得让人家知道产品怎么用、怎么去配置、怎么去利用产品发现威胁并进行应对，所以现在很多厂商都在向网络安全服务发展。这个服务可能就要用到人工智能去进行态势感知以发现入侵，在减轻人的工作量同时，更准确地发现攻击行为。但与此同时，攻击者也在使用人工智能的方法。所以，这就成了一种对抗。网络安全发展总是在对抗中发展。有了新技术，就会有新的安全问题，它是一个不断迭代的螺旋式上升过程，这是由网络安全问题自身的特点来决定的。所以网络安全肯定不能一劳永逸，它总是在路上，总会有新的问题产生，又要有新的解决方案。

“网络安全，其实指的是网络空间安全”

华商报：要解决新问题就需要有人才。西电网络与信息安全学院可能也是在这十年内才成立发展起来的吧，为什么要这样命名？

李晖：我们学院是2014年12月31日挂牌成立的，正式建设是从2015年开始的，经历了这六七年的建设发展时间，刚好也在这十年内。不过信息安全专业其实2001年就有了，西电的信息安全专业是从2002年开始招生的。信息安全专业快有20年的历史了。以前都叫信息安全，当时信息安全也曾申请成为一级学科，但后来又觉得网络安全的概念比较大，再后来做学科论证的时候又称为网络空间安全。网络空间是一种新的形态，包含的不光有信息，它有物理的东西，有设备，有虚拟化的人，还有在设备和网络当中流动的信息和数据。而网络空间安全大家现在又习惯简称为网络安全。

“把数据信息跟个人身份脱开，是大量个人信息保护的关键”

华商报：网络安全与个人信息保护之间是一种什么样的的关系？

李晖：对数据和信息这两个概念，各人的看法可能不一样。我认为，数据只是记录了各种各样信息的一种实际的形态。信息是蕴含在数据里头的，当然它也有一定量化的表示方法，是一个抽象的概念。数据安全要保护的是整个数据在产生、传输、存储、交换、利用和销毁过程中的安全，隐私保护是希望能保护数据里头和个人相关的那部分。对于个人信息的保护，重点是要把数据信息跟个人的身份脱开，我们叫做解耦、去标识，就是这个数据只要不要个具体的人关联上，并可以加以利用的，就算达到了隐私保护的效果。所以隐私保护或者个人信息保护，我觉得最根本的就是把个人的身份跟信息的关联性去掉，就可以达到个人信息保护的目的。发展大数据产业和个人信息保护之间的矛盾，还是要通过技术来解决。

国家已经开始对智能算法的透明性和公平性进行监管

华商报：在个人信息保护方面这些年有什么新的情况？您怎么看这些年的个人信息保护？

李晖：我觉得个人信息保护一直是个比较大的问题。现在很多智能决策的算法都希望对人进行画像，画像以后就可以精准地去投放广告，或者利用这种算法获得最大的收益。比如利用大数据“杀熟”，网络有意地利用算法去“引流”等，这种技术现在叫做个人信息的自动化决策。当然有的人可能刚好希望能有这种精细的服务，但它有可能就带来了很多隐私泄漏的问题。

所以最近我觉得，比较大的问题就是智能算法对个人信息带来的这种威胁，包括对生物特征这些个人敏感信息。现在智能算法对人脸、指纹、声纹的识别技术都进展得非常快。因为人脸认证比较方便，大家可能就会觉得那就不用记密码了，不用到银行去用优盾了，有张人脸就行了。但到处都是摄像头照着，人脸很容易就会被获取，这就可能会带来比较大的危险。近年来这个问题很严重。我们有时候不能太图方便，因为由此造成的隐患会比较大。

所以个人信息保护法也有一些要求，给用户提供服务，就得保护用户的信息。今年国家开始监管互联网公司的推荐算法，就是你在做服务的时候，你的智能算法应该保持一种透明性，保持一种公平性，不能用歧视性的算法、不透明的算法去获取自己的利益，而损害消费者的权益。对算法的监管，咱们国家在国际上是在最前头的。

“人脸识别已经有过度使用的倾向，不应该到处都用人脸识别”

华商报：在个人生物信息保护方面，现在有哪些新趋势和变化？

李晖：现在新技术对生物特征识别的准确率越来越高，人脸识别用得越来越多。但我觉得这个趋势并不好。对于人脸识别这种应用，我觉得还是应该要注意控制，不是必要的情况，不一定非要用人脸识别。我感觉现在人脸识别已经是有些过度使用了，不应该到处都用人脸识别。我觉得若涉及公共安全可以用一下人脸识别，但移动支付有必要一定要用人脸识别吗？现在有些APP采用人脸识别的同时还会有密码等别的验证方式，我宁愿用密码也不愿意用人脸识别。我觉得未来这个问题也应该通过法律或者标准来进行明确。因为人脸这类生物特征容易获取，但保护起来却很难，走在大街上你也不知道谁拿手机就照了你。所以我觉得人脸识别技术要有控制地使用。不仅仅对人脸，对指纹、声纹、步态等这些生物信息特征都要进行保护。其实除了以上这些生物特征，现在连呼吸特征也可能被用来作为身份验证的手段。

华商报：据我了解，现在对人脸识别已经专门编制了国家标准？

李晖：是的。对人脸、基因、步态、声纹等生物特征的标准好像都在做，也应该都有相关的标准。

“个人基因数据保护现在也是一个很大的问题”

华商报：现在人们经常需要做核酸检测，个人基因数据的保护是不是现在也面临着新的情况？

李晖：是的，这也是一个很大的问题。因为疫情防控成为常态，人们经常需要做核酸检测，由此而带来的个人基因信息的保护也是一个比较大的问题。所以个人信息保护法将来在执行时可能要面临怎么检测才算合规的问题，这也是一个比较大的这个任务。比如采集了核酸，相关数据是怎么保护的，会保持多长时间，什么时候就可以销毁，在采样的时候是不是得告诉被采样的人？或者你要利用这个数据就得征求我的同意？对于这些问题，被采样者有知情权。

“对于网络安全的治理，法律、技术和管理都得要”

华商报：网络安全相关的法律在具体执行中还应注意哪些问题？

李晖：如果技术手段不能完全解决，那就得首先从法律上去规范，然后用技术去尽量去支撑法律。技术支撑不到的，就只能用管理的手段。有些问题还可能需要建立一种诚信体系，你违法了也许现在抓不住你，但你的行为可能已经留下一个污点，保不住将来有被追究的可能性，要有这样的威慑在。所以我觉得，法律、技术和管理都得要。

后记：希望未来“数据不做恶、AI不作恶”

网络安全涉及的问题很多，但对于普通人来说，对个人信息保护问题最为关切。

在10月17日的个人信息保护论坛圆桌对话环节，北京大学法学院教授、博士生导师张平在发言时感慨地说：在如今这个网络时代，“被遗忘”已经成了一种奢侈的事情。在最后的总结环节，她说：“我们处在一个大数据时代，每个人都离不开数据。希望未来数据处理者能更多地带给人类福祉，数据不做恶、AI不作恶。”

这可能也是所有人的衷心期盼。故借用此言作为本文结尾。

华商报记者 马虎振

相关热词搜索： 大学 院长 智能