隐形水印“不隐形”惹争议 企业如何正确使用它来保护自身权益？

近日，某知名社区网站被曝出在页面中使用难以察觉的隐形水印一事引发用户争议。据悉，该事件起因是其官方上线了一个名为“小组内容防搬运”的新功能，当小组组长打开“小组内容防搬运设置按钮”后，小组成员在对该小组内容进行截图时，将自动生成包含用户ID、被截图帖子ID、截图时间在内的隐形水印。

 

用户称，由于这一水印信息使用的颜色与网页背景色相同难以看到，但如果使用鼠标全选区域则可以透过高亮背景发现水印，通过调色软件对截图颜色进行调整也可以发现水印。有用户表示，该功能中的隐形水印中以明文形式显示，这在某种程度上侵犯了用户的隐私。

 

虽涉事企业官方迅速就发酵中的隐形事件进行了解释说明，并第一时间这一自动生成的隐藏水印信息进行了加密处理，但隐形水印事件还是引发大众的高度关注。从该事件中我们不难看出，虽然他们的这一做法确实能够在数字版权保护、防止内容搬运方面起到震慑作用，但对隐藏水印的处理十分草率，并未考虑到用户信息的泄露风险。

 

那么，企业应该如何正确的使用隐形水印技术来保护自身的数字版权和数据安全？为此，安全419也联系到了业内两家在隐形水印技术方面有所研究的安全厂商高维数据和数安行的技术负责人针对该事件进行了专业解读。

 

 

首先，我们邀请二位专家分别就隐形水印在该事件中是否侵犯隐私的问题回答了用户的关切。针对是否侵犯用户隐私问题，高维数据CTO郭玉刚认为，用户 UID、TID、时间戳及截图时展示的用户名实际上都包含在该社区网站发放给用户的身份令牌中，属于相对公开的信息，直观上来看并未涉及到用户的手机号、真实姓名等跟自然人身份直接相关的隐私信息。

 

但从用户的角度出发，截图中所包含的UID实际上是用户在该社区平台中的唯一标识，如果被第三方恶意获取，并与互联网中的其他信息数据进行关联分析，那么很有可能导致用户的其他敏感数据被进一步挖掘出来，因此这一行为确实在某些程度上给用户带来了身份泄露的风险。

 

 

数安行CTO苑海彬也对此表达了相同的观点，在他看来，如果直接认为该社区网站此举侵犯用户隐私的话或许不太合适。对于一些与之类似的知识社区网站而言，通过添加数字水印来保护版权是业内通用的做法。从个人隐私保护的维度来看，参考我国《个人信息保护法》的相关规定，用户UID/TID属于标识化信息，而非自然人隐私信息，但也并不是说公开标识化信息完全没有风险。

 

他谈到，“如果该网站发生用户数据泄露，而恰巧泄露的用户姓名、联系电话等信息能够与主键相关联，那么攻击者就能够对具体用户分析出完整的用户画像，在这样的情况下就会对用户个人造成隐私泄露风险。但如果只是UID、TID、时间戳的话，缺乏其他数据参考的情况下，对攻击者而言也是不具备价值的。”

 

苑海彬认为，无论从法律角度上是否存在侵犯用户隐私，该网站官方的做法都是有失考虑的，假如能够提前告知用户即将上线新功能，以及会在截图中展示如上信息的话，或许就能够提前打消用户相关的疑虑。通过目前地报道内容可以看出，本事件所涉及采用的水印技术较为简单，只是在页面中添加了一段隐蔽的文字说明版权信息，甚至都很难称其为隐形水印。事实上，当前业内也已经有更为复杂的隐形水印技术能够对文本、图片等进行更高强度的保护。

 

郭玉刚也进一步指出，“该社区网站技术团队在上线这一新功能时，是想悄悄上线后将其隐藏起来的，但却因采取的技术手段比较传统，才被用户发现并曝了出来。从技术的维度实际上可以通过混淆加密的方式对数据进一步处理，让这些数据变成直观上看起来没有意义的数据，这样即使第三方拿到了也无法使用，同时还可以实现企业保护数字版权的目的。”

 

网友评论隐形水印事件

 

 

郭玉刚介绍，“隐形水印技术从专业术语上讲叫做“信息隐藏”，在计算机出现之前，就已经在生活中有了大量的应用，比如利用物理、化学原理实现的“微缩胶卷”、“隐形墨水”等都是其中的典型应用。”

 

而随着计算机的发展，人们开始越来越多的使用计算机、手机等智能设备来处理和传递信息，电子数据具备传输速度快、数据量大、信息量大等特点，更便于信息的隐藏，因此信息隐藏也发展成为了一个计算机方面的独立学科，被称为“隐写术”，很多高校和研究机构都在从事相关的技术研究。

 

他表示，现代隐写术经历多年的发展，早已迈过了简单的让图片水印不可见的初级阶段，并且已经能够以无感知的方式自适应的对音视频、文档、影像图片等进行隐写处理。“一般来说，在音视频、图片和文档中嵌入隐形水印信息，单靠人的视觉和听觉是很难觉察到的。比如在一段音频中轻微的调整声音的波形，或是在纹理复杂的图片中添加隐形水印，以人类的感官是无法发现的。”

 

此外，在一些类似涉及商业机密信息传输的高对抗场景中，隐写术还要对抗计算机的专业检测，专业检测环境中会利用计算机算法和数据处理、特征统计等手段来判断图片中是否包含重要数据信息，如何实现在高对抗场景下利用隐写术实现对机密数据的保护也是当前数据安全领域的一个重要研究课题。

 

苑海彬指出，当前数据安全行业内主要将隐形水印技术应用在复杂的音视频、图片以及文件本体的保护中，主要用来防止数据泄露，以及在数据泄露事件发生后进行追踪溯源，追溯泄露文件的整个流转轨迹，通过文件中提前插入的隐形水印和指纹信息检索，并根据相似度匹配的方式，能够帮助企业追溯到泄露数据的责任主体以防止发生更多数据安全风险。

 

将水印添加在纹理复杂的图片中

 

 

郭玉刚介绍，隐形水印技术天然就与数据安全相伴相生的。除了数字版权保护外，当前在数据安全领域隐写术还被应用在溯源取证、行为安全以及对抗人工智能深度伪造等多个方面。

 

比如在溯源取证领域，以线上购买保险举例来说，投保行为会牵涉到大量的个人敏感信息，一次保险交易行为可能涉及到很多个数据流转的节点，包括消费者、代理公司、信息系统服务商、保险公司等等，在这个长线的数据流转过程中，每个环节都有可能导致数据的泄露。

 

本来这些隐私数据只应该存储在保险公司和消费者个人手里，但是代理公司、信息系统服务商以及其他供应链厂商都有可能看到这些数据并保留下来，数据的流转实际上为消费者带来了很大的隐私泄露风险。隐私数据经由A发送给B再发送C的流转过程中，数据在中途是否会被恶意篡改？中间的某一环节是否私自转发给了其他不想关的人？如果发生数据泄露事件如何保证可溯源？这些都是隐形水印技术致力于解决的范畴。

 

在行为安全领域，隐形水印技术还能够极大的保护国家安全和企业安全。郭玉刚解释到，在很多时候会有一些内容在互联网上既不能用明文传输，也不能用加密后的密文传输，一方面，明文传输的内容会被人看到，也会被大数据采集，所以是极其不安全的；另一方面，涉及到国家安全的重要信息、涉及企业的重要机密信息如果用加密的形式传输的话，也会无意中引起第三方的恶意关注，所谓不怕贼偷就怕贼惦记，长此以往还是会存在数据被破解和泄密的风险。

 

比如在某些具有长臂管辖权的国家，一些部门会在企业的经营过程中采集、分析企业数据，给那些走出国门的企业带来了很大的数据安全风险和运营压力。这种国家级别的技术手段是非对称的，企业经营者很难具体了解到这些部门在何时利用何种手段采集自身的数据。因此，隐形水印技术就能够在这种场景下保护企业的商业机密和重要信息的传输，利用隐形水印技术将机密信息隐藏在普通数据中，可以保证只有知情人士才能够从中提取出信息数据，通过这样的方式既能够保护信息数据的安全性，也能够从通信行为的角度上保证机密信息的存在性。

 

 

安全419注意到，有网友提问称，在这一新上线的“小组内容防搬运”的功能中，当用户截图时会自动生成隐形水印以说明数字版权，但这一举措似乎更强调提醒和阻止用户的内容搬运行为，如果用户使用拍照的形式搬运内容，那么隐形水印是否就失效了呢？安全419也就这一问题请教了二位专家。

 

郭玉刚指出，这是一个涉及到隐形水印鲁棒性的技术问题。“所谓隐形水印的鲁棒性可以理解为这个水印是否耐‘折腾’。比如说，在将隐形水印藏到文档或图片中后，再经过截屏、拍照、压缩以及网络传输等处理后，是否还能保持隐形水印的原状，原状维持的越好就代表着鲁棒性更强。”

 

他介绍，在不同场景下对隐形水印的鲁棒性要求有着较大的差异。比如当需要判断数据是否在传输和流转的过程中被第三方篡改时，就需要让水印的鲁棒性弱一些，这样一旦数据遭到篡改就会让隐形水印发生变化，通过这样的方式能够更好的做出数据原始性判断。

 

但在数字版权保护和溯源取证的场景下，就需要让隐形水印的鲁棒性更强一些，比如当带有版权的文字、图片以及影音内容被第三方获取并再次深度加工后，如何证明版权的归属？这时就需要更鲁棒性的隐形水印来实现版权所有者的这一诉求。 

 

郭玉刚谈到，在这个涉及隐形水印的这个案例中，用户截图时会保存相对完整的屏幕信息，水印信息也会保留的较为完整。但拍照是一个较为复杂的信息记录过程，屏幕图片中的信息本身是以发光的形式显示出来的，在经由相机的CCD器件采集、记录光信号后再形成新的图片。这个过程会受到环境光的影响，比如发光过程在可能存在失真、CCD器件采集光信号时会产生噪声、拍照时会发生抖动等等。他表示，拍照泄密的攻击手段在学术界被称为跨媒介攻击，涉事企业当前所采用的隐形水印技术是较为传统的，无法对抗类似拍照泄密场景。

 

郭玉刚表示：“人在接收计算机信息的时候，90%的情况是通过看屏幕、看纸质文件以及靠听取声音来获取信息，所以业内主要针对跨媒介攻击的技术研究也是主要围绕这几方面展开。当前业内已经针对跨媒介攻击展开了研究，作为一家新型数据安全公司，高维数据也已在跨媒介攻击领域做了大量研究并孵化相关产品，能够在电-光-电、电-纸-电、电-空-电三种跨媒介的高度复杂环境下解决相关企业用户的数据安全需求。”

 

那么对于企业而言，应该如何使用隐形水印技术来保护自身权益呢？苑海彬提到，除了以更明显的方式告知用户侵权风险外，内容版权所有者还可以采用在页面上添加隐蔽的符号标识、对文字的字体做出一些变形等多种方式，再辅以人工判断的方式，能够有效的提升隐形水印的抗攻击性和可追溯性。

 

但他同时也指出：“回到这个案例中，假设用户想要对抗内容防搬运机制的话，那么无论是用手机从侧面拍照后换手机再次拍照，还是对截图的图片内容进行再次编辑截取等方式，都是可以实现绕过的。所以他们的做法更多的还是起到一个震慑和警示作用，告知用户可能存在被追溯的风险。”在他看来，通过技术手段虽然确实能够解决网络版权的确权问题，但考虑到时间成本和确权成本，知识社区平台方还是应该从版权补偿机制、付费机制等方面探索新思路和根本方法。