提交需求
*
*

*
*
*
立即提交
点击”立即提交”,表明我理解并同意 《美创科技隐私条款》
免费试用
400-811-3777

logo

    产品与服务
    解决方案
    技术支持
    合作发展
    关于美创
    申请试用
      热门阅读
      1

      2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

      2025-02-07

       2

      美创用户专访 | 精细化管理:医疗行业数据分类分级的策略与实践

      2025-01-10

       3

      容灾演练双月报|美创助力某特大型通信基础设施央企顺利完成多个核心系统异地容灾演练

      2025-01-10

       4

      国家级|美创、徐医附院共建项目入选工信部《2024年网络安全技术应用典型案例拟支持项目名单》

      2024-12-20

       5

      全球数据跨境流动合作倡议

      2024-11-22
      相关文章

      浅谈健康医疗数据的分类分级保护与重要数据识别

      2025-02-14

      构建数据安全治理新格局 促进公共数据开发利用

      2025-02-13

      专家解读:完善数据流通安全治理机制 破解数据流通安全堵点

      2025-02-12

      提升数据流通安全治理能力 保障数据价值释放

      2025-02-10

      2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

      2025-02-07
      DeepSeek火爆出圈背后:AI时代如何保护数据隐私,守护信息安全
      发布时间:2025-02-11 阅读次数: 296 次


      在数字化浪潮的席卷下,人工智能(AI)技术正以前所未有的速度改变着我们的生活和工作方式。从智能语音助手到聊天机器人,AI工具为我们带来了诸多便利。这个春节假期DeepSeek的火爆出圈,更让我们直观了解到AI工具的广泛用途。然而,Wiz Research团队近期发现一个属于DeepSeek的可公开访问的ClickHouse数据库,允许访客全面控制数据库操作,包括能够访问内部数据。这让我们不得不重新审视AI背后隐藏的数据隐私风险。


      01

      DeepSeek事件:

      数据安全的警钟长鸣[1]

      Wiz Research团队发现了一个与DeepSeek相连的可公开访问的数据库,该数据库包含敏感数据,如聊天历史记录、后台数据等敏感信息,并且未设置身份验证机制或防御机制,对外敞开。(注:截至本文发文之日,该问题已被修复)


      02

      法律视角:

      AI数据隐私的保护现状


      (一)国内法律框架


      我国高度重视数据隐私保护,近年来出台了一系列法律法规,构建了较为完善的法律框架。


      《中华人民共和国网络安全法》:明确规定网络运营者应当采取技术措施和其他必要措施,保障网络安全,防止网络数据泄露或者被窃取、篡改。


      《中华人民共和国数据安全法》:规范数据处理活动,进一步强化数据安全保护义务,要求数据处理者采取相应的技术措施和其他必要措施,保障数据的安全。


      《中华人民共和国个人信息保护法》:这是我国首部专门针对个人信息保护的法律,明确了个人信息处理者的义务,规定了个人信息主体的权利,包括知情权、同意权、删除权等。


      (二)法律分析


      即使DeepSeek已经修复该安全问题,但该问题也涉及法律风险:


      1.可能违反"最小必要原则"


      允许访客访问非必要数据,如同有人拿着万能钥匙能打开其他人家门。


      2.缺失安全防护措施


      未部署访问控制、加密审计等基础防护,相当于把保险柜钥匙挂在公司大门。

      03

      AI工具应如何守护我们的数据隐私


      以彼之矛,攻彼之盾,我们向各大AI大模型提出了这个问题,收到的答复如下:

      图片

      (一)DeepSeek


      1.技术防护层


      (1)零信任架构

      实施持续身份验证(如FIDO2/生物识别),结合设备指纹与行为分析动态调整权限。例如,ChatGPT通过OAuth 2.0设备授权码流程限制异常登录。


      (2)加密技术深化

      端到端加密(E2EE):确保数据在传输、存储(如AWS S3服务器端加密)及处理(Intel SGX可信执行环境)全程加密。


      同态加密:允许在加密数据上直接运算(如IBM同态加密库),特别适用于医疗等敏感领域模型训练。


      (3)数据最小化策略

      采用差分隐私(如Google的RAPPOR算法)向训练数据添加统计噪声,在保证模型精度的同时使个体数据不可追溯。苹果已在iOS中规模化应用该技术。


      2.管理控制层


      (1)访问控制矩阵

      实施基于属性的访问控制(ABAC),结合时间、地理位置、设备状态等多维度策略。如AWS IAM的Condition元素可实现精细控制。


      (2)审计与监控

      部署SIEM系统(如Splunk)实时分析日志,结合UEBA检测异常行为。医疗AI公司Owkin采用区块链技术实现不可篡改的操作审计追踪。


      (3)漏洞管理

      建立SRC(安全应急响应中心),通过模糊测试(如AFL)和静态代码分析(Checkmarx)持续发现漏洞。参考微软AI红队对GPT-4的对抗测试机制。


      3.合规与伦理层


      (1)隐私设计

      在系统设计阶段嵌入隐私影响评估(PIA),如欧盟EDPB发布的AI隐私指南要求的数据流映射。


      (2)跨境数据传输

      采用数据本地化部署或符合Schrems II判决的数据传输机制(如欧盟标准合同条款+补充措施)。Salesforce Einstein AI即采用区域化数据中心策略。


      (3)用户权利保障

      通过API实现《通用数据保护条例》(GDPR)规定的数据可移植性、被遗忘权。例如Twitter的隐私中心提供结构化数据导出功能。


      图片

      (二)Kimi


      1.技术层面


      数据加密:AI工具应采用先进的加密技术,对传输和存储的数据进行加密处理,确保即使数据被泄露,攻击者也无法直接读取。


      访问控制:严格限制数据访问权限,采用多因素认证、访问令牌等技术,确保只有经过授权的用户才能访问敏感数据。


      数据脱敏:对敏感数据进行脱敏处理,使其在不影响正常使用的情况下,降低数据泄露的风险。


      2.管理层面


      隐私政策透明化:AI工具应制定清晰、透明的隐私政策,明确告知用户数据的收集、使用、存储和共享方式,并确保用户能够轻松理解和同意。


      定期安全审计:建立定期的安全审计机制,检查数据访问和操作记录,及时发现并处理异常行为。


      用户控制权:为用户提供丰富的隐私设置选项,允许用户控制自己的数据使用方式,并提供用户访问和删除自己数据的途径。


      3.法律合规层面


      严格遵守法律法规:AI工具的开发者和运营者应严格遵守我国的《网络安全法》《数据安全法》《个人信息保护法》等法律法规,确保数据处理活动的合法性。


      国际合规:对于跨境数据处理活动,应严格遵守相关国家和地区的法律法规,如欧盟的GDPR。


      (注:以上内容完全复制AI工具的回答,内容仅供参考)

      04

      作为用户

      我们该如何保护自己的数据隐私


      在AI吞噬数据的时代,我们的每次点击都在生成一个个数字脚印,因此我们的每一次点击都存在隐私泄露的风险。然而,通过谨慎使用AI工具、增强个人信息保护意识以及积极维护自身权益,我们可以在一定程度上保护自己的隐私。


      (一)谨慎使用AI工具


      在使用AI工具之前,务必仔细阅读其隐私政策,了解数据的收集、使用和共享方式。优先选择具有良好声誉、明确隐私政策和严格安全措施的AI工具。避免使用来路不明或未经验证的工具。


      (二)增强个人信息保护意识


      在使用AI工具时,尽量避免输入过于敏感的个人信息,如真实姓名、身份证号、银行卡号、家庭住址等。


      (三)积极维护自身权益


      及时反馈问题:如果发现AI工具存在数据隐私问题,如未经授权的数据收集或泄露,应及时向相关监管部门反馈。


      依法维权:当自身数据隐私受到侵害时,应依法维护自身权益,要求侵权方承担法律责任。

      05

      结 语


      在AI时代,数据隐私保护不仅是技术问题,更是法律问题。AI工具的开发者和运营者应该严格遵守法律法规,加强数据安全管理,切实保护用户的隐私权益。同时,也希望广大用户增强数据隐私保护意识,谨慎使用AI工具,积极维护自身权益。


      相关信息出处:


      [1]《DeepSeek 数据库。。。裸奔。。。百万敏感数据任人取。。。》,深度学习与NLP,https://mp.weixin.qq.com/s/7Dc9x8iVjrQhDItoLZvE9g

      上一条:专家解读:完善数据流通安全治理机制 破解数据流通安全堵点
      下一条:提升数据流通安全治理能力 保障数据价值释放
      返回
      关注或联系美创
      官方订阅号 官方订阅号
      官方服务号 官方服务号
      第59号 第59号
      服务热线:400-811-3777
      商务合作:[email protected]
      友情链接 中央网信办 公安部 工信部 CNCERT 中国信通院 中国软件测评中心 国家工业信息安全发展研究中心 赛迪研究院
      Copyright © 2024 香港全年最全免费资料大全 All rights reserved.
      浙公网安备 33010502006954号 浙ICP备12021012号-1 网站地图 网站声明及隐私保护政策
      免费试用
      服务热线

      马上咨询

      400-811-3777

      回到顶部