存储域
数据库加密 诺亚防勒索访问域
数据库防水坝 数据库防火墙 数据库安全审计 动态脱敏流动域
静态脱敏 数据水印 API安全 医疗防统方运维服务
数据库运维服务 中间件运维服务 国产信创改造服务 驻场运维服务 供数服务安全咨询服务
数据出境安全治理服务 数据安全能力评估认证服务 数据安全风险评估服务 数据安全治理咨询服务 数据分类分级咨询服务 个人信息风险评估服务 数据安全检查服务
在数字化浪潮的席卷下,人工智能(AI)技术正以前所未有的速度改变着我们的生活和工作方式。从智能语音助手到聊天机器人,AI工具为我们带来了诸多便利。这个春节假期DeepSeek的火爆出圈,更让我们直观了解到AI工具的广泛用途。然而,Wiz Research团队近期发现一个属于DeepSeek的可公开访问的ClickHouse数据库,允许访客全面控制数据库操作,包括能够访问内部数据。这让我们不得不重新审视AI背后隐藏的数据隐私风险。
01
DeepSeek事件:
数据安全的警钟长鸣[1]
Wiz Research团队发现了一个与DeepSeek相连的可公开访问的数据库,该数据库包含敏感数据,如聊天历史记录、后台数据等敏感信息,并且未设置身份验证机制或防御机制,对外敞开。(注:截至本文发文之日,该问题已被修复)
02
法律视角:
AI数据隐私的保护现状
(一)国内法律框架
我国高度重视数据隐私保护,近年来出台了一系列法律法规,构建了较为完善的法律框架。
《中华人民共和国网络安全法》:明确规定网络运营者应当采取技术措施和其他必要措施,保障网络安全,防止网络数据泄露或者被窃取、篡改。
《中华人民共和国数据安全法》:规范数据处理活动,进一步强化数据安全保护义务,要求数据处理者采取相应的技术措施和其他必要措施,保障数据的安全。
《中华人民共和国个人信息保护法》:这是我国首部专门针对个人信息保护的法律,明确了个人信息处理者的义务,规定了个人信息主体的权利,包括知情权、同意权、删除权等。
(二)法律分析
即使DeepSeek已经修复该安全问题,但该问题也涉及法律风险:
1.可能违反"最小必要原则"
允许访客访问非必要数据,如同有人拿着万能钥匙能打开其他人家门。
2.缺失安全防护措施
未部署访问控制、加密审计等基础防护,相当于把保险柜钥匙挂在公司大门。
03
AI工具应如何守护我们的数据隐私
以彼之矛,攻彼之盾,我们向各大AI大模型提出了这个问题,收到的答复如下:
(一)DeepSeek
1.技术防护层
(1)零信任架构
实施持续身份验证(如FIDO2/生物识别),结合设备指纹与行为分析动态调整权限。例如,ChatGPT通过OAuth 2.0设备授权码流程限制异常登录。
(2)加密技术深化
端到端加密(E2EE):确保数据在传输、存储(如AWS S3服务器端加密)及处理(Intel SGX可信执行环境)全程加密。
同态加密:允许在加密数据上直接运算(如IBM同态加密库),特别适用于医疗等敏感领域模型训练。
(3)数据最小化策略
采用差分隐私(如Google的RAPPOR算法)向训练数据添加统计噪声,在保证模型精度的同时使个体数据不可追溯。苹果已在iOS中规模化应用该技术。
2.管理控制层
(1)访问控制矩阵
实施基于属性的访问控制(ABAC),结合时间、地理位置、设备状态等多维度策略。如AWS IAM的Condition元素可实现精细控制。
(2)审计与监控
部署SIEM系统(如Splunk)实时分析日志,结合UEBA检测异常行为。医疗AI公司Owkin采用区块链技术实现不可篡改的操作审计追踪。
(3)漏洞管理
建立SRC(安全应急响应中心),通过模糊测试(如AFL)和静态代码分析(Checkmarx)持续发现漏洞。参考微软AI红队对GPT-4的对抗测试机制。
3.合规与伦理层
(1)隐私设计
在系统设计阶段嵌入隐私影响评估(PIA),如欧盟EDPB发布的AI隐私指南要求的数据流映射。
(2)跨境数据传输
采用数据本地化部署或符合Schrems II判决的数据传输机制(如欧盟标准合同条款+补充措施)。Salesforce Einstein AI即采用区域化数据中心策略。
(3)用户权利保障
通过API实现《通用数据保护条例》(GDPR)规定的数据可移植性、被遗忘权。例如Twitter的隐私中心提供结构化数据导出功能。
(二)Kimi
1.技术层面
数据加密:AI工具应采用先进的加密技术,对传输和存储的数据进行加密处理,确保即使数据被泄露,攻击者也无法直接读取。
访问控制:严格限制数据访问权限,采用多因素认证、访问令牌等技术,确保只有经过授权的用户才能访问敏感数据。
数据脱敏:对敏感数据进行脱敏处理,使其在不影响正常使用的情况下,降低数据泄露的风险。
2.管理层面
隐私政策透明化:AI工具应制定清晰、透明的隐私政策,明确告知用户数据的收集、使用、存储和共享方式,并确保用户能够轻松理解和同意。
定期安全审计:建立定期的安全审计机制,检查数据访问和操作记录,及时发现并处理异常行为。
用户控制权:为用户提供丰富的隐私设置选项,允许用户控制自己的数据使用方式,并提供用户访问和删除自己数据的途径。
3.法律合规层面
严格遵守法律法规:AI工具的开发者和运营者应严格遵守我国的《网络安全法》《数据安全法》《个人信息保护法》等法律法规,确保数据处理活动的合法性。
国际合规:对于跨境数据处理活动,应严格遵守相关国家和地区的法律法规,如欧盟的GDPR。
(注:以上内容完全复制AI工具的回答,内容仅供参考)
04
作为用户
我们该如何保护自己的数据隐私
在AI吞噬数据的时代,我们的每次点击都在生成一个个数字脚印,因此我们的每一次点击都存在隐私泄露的风险。然而,通过谨慎使用AI工具、增强个人信息保护意识以及积极维护自身权益,我们可以在一定程度上保护自己的隐私。
(一)谨慎使用AI工具
在使用AI工具之前,务必仔细阅读其隐私政策,了解数据的收集、使用和共享方式。优先选择具有良好声誉、明确隐私政策和严格安全措施的AI工具。避免使用来路不明或未经验证的工具。
(二)增强个人信息保护意识
在使用AI工具时,尽量避免输入过于敏感的个人信息,如真实姓名、身份证号、银行卡号、家庭住址等。
(三)积极维护自身权益
及时反馈问题:如果发现AI工具存在数据隐私问题,如未经授权的数据收集或泄露,应及时向相关监管部门反馈。
依法维权:当自身数据隐私受到侵害时,应依法维护自身权益,要求侵权方承担法律责任。
05
结 语
在AI时代,数据隐私保护不仅是技术问题,更是法律问题。AI工具的开发者和运营者应该严格遵守法律法规,加强数据安全管理,切实保护用户的隐私权益。同时,也希望广大用户增强数据隐私保护意识,谨慎使用AI工具,积极维护自身权益。
相关信息出处:
[1]《DeepSeek 数据库。。。裸奔。。。百万敏感数据任人取。。。》,深度学习与NLP,https://mp.weixin.qq.com/s/7Dc9x8iVjrQhDItoLZvE9g
官方订阅号
官方服务号
第59号
浙公网安备 33010502006954号 
