百度安全用技術構築安全的數據保護系統

2018-12-03

人工智能時代，數據的廣泛可連接、愈發豐富的數據維度及應用場景，在驅動人工智能發展的同時，也為用户個人信息的保護提出了全新的挑戰。

2018年11月30日，中國泰爾實驗室和電信終端產業協會(TAF)聯合舉辦的“泰爾論壇2018——用户個人信息保護論壇”在京舉辦，與會發布《智能終端產業個人信息保護白皮書》，白皮書着眼於智能終端產業新的發展階段，針對終端行業上下游各環節的參與者，闡述個人信息保護安全要求，匯聚了產業界在開展個人信息保護工作中的優秀做法和最佳實踐。

百度安全事業部總經理馬傑出席本次會議，從技術、管理和行業角度，闡述了百度安全對於當下用户個人信息保護方面的思考和實踐。

“人工智能等一系列新技術讓數據安全的邊界不斷泛化，拓寬了安全認知的範疇，延長了傳統安全的防線。”在馬傑看來，用户個人信息保護問題正在成為當下一個相當急迫的議題，企業應高度重視，以制度與技術提供雙重保障，全面落實主體責任，同時加強企業間、行業內的協作與共享。

《智能終端產業個人信息保護白皮書》指出，由於在移動終端市場佔據絕大部分份額的Android系統碎片化嚴重等問題，當前移動應用的個人信息保護問題突出——2017年10月至2018年10月，在第三方監測機構所檢測的2722萬餘款應用中，存在資費損耗、妨害滋擾、隱私竊取等侵犯用户權益行為的應用達到299萬個，其中竊取敏感信息的應用比例達到11.86%。

從企業業務管理角度來講，馬傑將用户個人信息保護的行業痛點歸納為三項：

首先，“短時間容易，長時間難。”眾所周知，一款應用從開發、上線、不斷迭代更新，直至退出歷史舞台，在代碼、功能和權限方面可能有着不少的變動。在應用的整個生命週期中，如何實現對用户個人信息保護項目的長期監控和持續升級，這是個難題。

其次，“做一個容易，做很多難。”很多互聯網公司都擁有龐大的產品矩陣，根據功能和受眾的不同，其用户活躍度和更新頻率存在着較大的差異。面對如此眾多的產品，如何做到全方位的監控與管理，同樣是個難題。

第三，“管內部容易，管外部難。”如今的互聯網是個巨大的生態鏈，作為以搜索方式收錄第三方網站的平台，如何確保用户搜索到的結果，使用到的第三方服務於功能同樣達到個人信息保護合規，還是個難題。正所謂“給自己制定規則容易，要求別人很難。”

由此，對於百度安全而言，以技術構建安全的數據保護系統，以開放協作的心態率先加入到全網個人信息生態保護和治理當中，變得至關重要。

事實上，基於在安全領域18年最佳實踐的總結與提煉，百度安全長期以來始終致力於通過前沿技術的研發，實現對於安全問題的快速響應與持續對抗。百度安全亦將這個思路沿用到數據安全與個人信息保護層面上，在實現產品化和解決方案的同時，全面開放給生態夥伴。

2018年，百度安全將KARMA系統自適應熱修復、MesaLink TLS下一代安全通信庫、MesaLock Linux內存安全操作系統、MesaTEE下一代可信安全計算服務、OpenRASP下一代雲端安全防護系統、AdvBox對抗樣本工具包和HugeGraph大規模圖數據庫七大技術匯成“七種武器”全面開源，解決雲管端以及大數據和算法層面的一系列安全風險問題。在切實保障百度系統內部數據安全與用户隱私的基礎上，向生態合作伙伴開放，提供技術支點及包括智能終端在內的完善的產品解決方案。

作為以搜索方式收錄第三方網站的平台，淨化治理全網違法違規信息、加強居民個人信息保護、打擊侵犯用户信息安全違法犯罪行為，是百度在維護網絡空間良好生態層面上承擔的重要使命。長期以來，百度安全針對涉嫌竊取網民隱私數據的惡意網站及盤踞其上的網絡黑產開展重點監控打擊工作，2017年全年累計下線“涉嫌竊取用户隱私”惡意網站20.8萬個，累計下線“涉嫌竊取用户隱私”網址540萬條，同比增幅達到100%。

與此同時，藉助在AI和大數據領域的領先技術積累，百度安全配合公安機關在“濾網行動”中偵破國內首例新型侵犯用户個人隱私黑產團伙“手機訪客營銷”黑產，抓獲犯罪嫌疑人數十名。在保護用户個人信息安全的同時，也全方位實現了從警務數據整合治理到分析挖掘，助力智慧公安新業態。

在產學研合作方面，百度安全結合國家科研體系框架開展了大量隱私保護研究工作，參與國家重點研發計劃“互聯網環境下的隱私保護與追蹤取證項目”，保障了整體研發方向的正確性、創新性和權威性，並取得了包括差分隱私(DP)、審計取證、安全多方計算(SMC)在內的多項“產研學用”成果，在推動企業產品的技術進步和先進隱私保護技術的應用落地的同時，也為理論研究提供實地驗證環境。

百度的努力也獲得了產業界的認可。在論壇現場，百度旗下“簡單搜索”APP便獲頒中國泰爾實驗室“用户個人信息保護最佳實踐獎”，為行業樹立了標杆。

“網絡安全不是一家企業的事情，我們秉承一個開放的心態，把技術能力開放出來，接受監管部門和用户的監督，大家共建一個生態。”在馬傑看來，用户個人信息的保護需要整個政府機構、企業機構、科研院校的通力合作，共同應對這一全新的挑戰。

從下線涉嫌竊取用户隱私網址到治理信息平台中個人信息隱私泄露風險，從預防個人信息被惡意披露到打擊竊取用户隱私黑產，百度安全正與合作伙伴們一道，以保護用户個人信息安全為基本，在AI時代構築起數據保護的防線，為用户提供更好的服務，創造更大的價值。

守護AI的安全，打造安全的AI。