摘要:大數(shù)據(jù)時代的到來使數(shù)據(jù)信息迅速膨脹,成為一種有價值的資源,影響著人們的生活方式、工作習慣和思考模式,并提高了經(jīng)濟和社會效益。但目前大數(shù)據(jù)在收集、存儲和使用過程中也為個人和團體的信息保護帶來了極大風險和挑戰(zhàn)。從立法、市場管理、安全技術3個方面對大數(shù)據(jù)環(huán)境下個人信息的管理和保護進行探討,并提出相應的研究方向。
關鍵詞:大數(shù)據(jù);個人信息保護;信息安全
DOIDOI:10.11907/rjdk.151490
中圖分類號:TP3-0
文獻標識碼:A 文章編號文章編號:16727800(2015)008000902
基金項目基金項目:
作者簡介作者簡介:胡姍(1993-),女,安徽安慶人,中南財經(jīng)政法大學信息與安全工程學院學生,研究方向為大數(shù)據(jù)信息安全。
0 引言
近年來,隨著互聯(lián)網(wǎng)和信息行業(yè)的飛速發(fā)展,“大數(shù)據(jù)”作為一種重要的戰(zhàn)略資產(chǎn),已經(jīng)滲透到每一個行業(yè)和業(yè)務職能領域,成為重要的生產(chǎn)要素。大數(shù)據(jù)的一大功能就是將存留于互聯(lián)網(wǎng)中的數(shù)據(jù)轉(zhuǎn)換成有價值的資源,通過分析消費者的網(wǎng)絡足跡、點擊、瀏覽、留言,從而了解消費者的性格、偏好、意愿等,為消費者提供更貼心、便利的服務。然而數(shù)據(jù)時代帶來的網(wǎng)絡開放性也給人們造成了困擾。在信息化社會,對個人信息的收集利用已變成了一種有利可圖的商品,消費者的姓名、性別、年齡、學歷、職業(yè)、收入等都成為能為商家?guī)斫?jīng)濟效益的商業(yè)信息,眾多商家不惜通過種種手段來竊取或購買消費者的個人信息[1]。同時,云環(huán)境中的數(shù)據(jù)存儲、傳輸也面臨很多安全威脅,網(wǎng)絡攻擊、信息竊取等安全事件頻繁爆發(fā)。智聯(lián)招聘86萬用戶簡歷信息泄露事件、130萬考研用戶信息泄露事件、3.15晚會曝光的“釣魚”WiFi事件等已經(jīng)給人們敲響了警鐘。個人信息泄露對公民生活造成極其嚴重的后果,日常生活秩序被打亂、經(jīng)濟利益被侵犯、名譽和聲譽受到影響,甚至人身安全受到威脅。如何在大數(shù)據(jù)時代對個人信息進行安全保護,已成為目前社會各界共同關心的話題[2]。本文將從立法(Law)、市場管理(Market)、安全技術(Technology)3個方面對大數(shù)據(jù)環(huán)境下個人信息的管理和保護進行相關探討。
1 個人信息法律保護
1.1 國外個人信息保護相關立法
美國是世界上最早提出個人信息保護的國家,1974年出臺的《隱私法案》是美國個人信息保護的綜合性法律,在此之后又通過了一系列關于隱私保護的相關法案;2012年2月,白宮頒布《消費者隱私權利法案》,這是與大數(shù)據(jù)最息息相關的法案,法案中明確且全面地規(guī)定了數(shù)據(jù)的所有權屬于用戶,企業(yè)必須負責任地使用用戶信息等;2014年5月,奧巴馬政府發(fā)布2014年“大數(shù)據(jù)”白皮書,其中利用專章解讀“美國隱私法案與國際隱私法框架”以及“大數(shù)據(jù)對隱私法的啟示”,意在更新完善已有的隱私法案[3]。
歐盟1995年頒布的《數(shù)據(jù)保護指令》規(guī)定了所有成員國必須遵守、實施的對個人數(shù)據(jù)進行保護的一系列規(guī)則。隨著網(wǎng)絡信息技術的日新月異,2012年,歐盟委員會提交了一個全面的數(shù)據(jù)立法改革提案,該提案中要求在歐洲市場經(jīng)營但非歐洲本土的公司,也必須遵循歐洲數(shù)據(jù)保護法;同時,在沒有法定原因保留的情況下,個人有權要求刪除涉及個人隱私的數(shù)據(jù),包括互聯(lián)網(wǎng)搜索提供商提供的有關個人數(shù)據(jù)的鏈接。
1.2 對我國個人信息法律保護的啟示
目前,我國仍存在個人信息保護方面社會意識淡薄和立法執(zhí)法基礎薄弱的問題?,F(xiàn)只有由《刑法修正案(七)》、《侵權責任法》、《居民身份證法(修訂)》等法律構成民事責任、行政責任和刑事責任三位一體的個人信息保護法律框架,而缺乏一套系統(tǒng)性的法律規(guī)章制度保護公民個人信息[4]。2013年2月,我國個人信息保護國家標準《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》出臺,雖然標準規(guī)定了個人敏感信息在收集和利用之前,必須首先獲得個人信息主體的明確授權,但畢竟只是一個標準,缺乏法律約束力。為應對越來越嚴重的個人網(wǎng)絡信息泄露問題,加快完善互聯(lián)網(wǎng)個人信息保護的相關立法刻不容緩。國家應立法明確“個人網(wǎng)絡數(shù)據(jù)屬于個人所有”,互聯(lián)網(wǎng)企業(yè)采集用戶數(shù)據(jù)時必須告知用戶,用戶可自由選擇刪除被記錄的信息。
2 個人信息市場管理機制
在大數(shù)據(jù)時代,個人信息、個人數(shù)據(jù)具有價值和使用價值,已經(jīng)具備構成商品所必需的前提條件,當其在隱性市場或顯性市場上交換時,信息就成了商品。作為一種信息商品,則可運用市場機制對個人信息進行管理(見圖1)。個人信息市場機制中各種要素之間相互影響、相互制約。如果建立個人信息市場的許可證機制(見圖2),對于公益性用途的個人信息,可免費或低價獲得使用許可證;對于商業(yè)用途的個人信息,通過合理收費,發(fā)放使用許可證;對于其它用途的個人信息,應與個人信息所有者協(xié)商,并獲得政府許可。這樣將個人信息分級分類,并通過許可證機制,對各類信息進行分類定價(見圖3)。通過提高商業(yè)性用途的個人信息成本,可在一定程度上抑制市場中個人信息被濫用的情況[5]。
3 個人信息保護技術
現(xiàn)有的個人信息保護技術主要有數(shù)據(jù)匿名化技術、數(shù)據(jù)加密技術、數(shù)據(jù)訪問控制等幾類[6]。本節(jié)將對相關技術予以介紹。
3.1 數(shù)據(jù)匿名化技術
通常情況下,個人信息受到侵害是攻擊者通過發(fā)布的數(shù)據(jù)記錄推斷出某條記錄的相關個人信息,而數(shù)據(jù)匿名化的基本思想是通過改變(概化或隱藏)原始數(shù)據(jù)中的部分數(shù)據(jù),使改變后的數(shù)據(jù)無法和其它信息結合,從而避免攻擊者使用鏈接(包括屬性鏈接、記錄鏈接以及表鏈接)推斷出個人信息。匿名技術算法通用性較高,且匿名化過程不可逆,從而能保持數(shù)據(jù)的真實性和安全性。目前匿名化操作主要包括:泛化、壓縮、分解、置換以及干擾。匿名技術模型包括kanonymity,ldiversity等。kanonymity模型用k值定義數(shù)據(jù)的隱私程度,即給定k值,要求對數(shù)據(jù)記錄集合任一屬性值的記錄條數(shù)均大于或等于k。
3.2 數(shù)據(jù)加密技術
數(shù)據(jù)加密技術是對系統(tǒng)中的所有存儲數(shù)據(jù)進行加密,使之成為密文,讓攻擊者即使截獲數(shù)據(jù)也無法讀取數(shù)據(jù)內(nèi)容[7]。數(shù)據(jù)加密技術主要包括4個內(nèi)容:數(shù)據(jù)加密、數(shù)據(jù)解密、數(shù)據(jù)簽名、簽名識別。傳統(tǒng)的數(shù)據(jù)加密算法主要分為:對稱加密算法(以DES、AES、IDEA、RC5等為代表)和非對稱加密算法(以RSA、DSA等為代表)。但隨著計算機運算速度的提高,傳統(tǒng)的加密算法受到了嚴峻挑戰(zhàn),一些學者開始探索、研究新的密碼體制,如:量子密碼、DNA密碼、混沌密碼等。對于大數(shù)據(jù),目前常用的加密算法主要包括基于身份的加密算法(IBE,IdentityBased Encryption)、基于屬性的加密算法(ABE,AttributeBased Encryption)等,這些加密技術可以配合安全策略使用,以實現(xiàn)分布式數(shù)據(jù)的安全和高效使用。
3.3 數(shù)據(jù)訪問控制
訪問控制技術是一項防止非法用戶進入系統(tǒng)和合法用戶對系統(tǒng)資源非法使用的技術。傳統(tǒng)的數(shù)據(jù)訪問控制包括訪問控制(MAC)、自主訪問控制(DAC)和基于角色的訪問控制(RBAC)。強制訪問控制策略是基于用戶安全等級限制敏感數(shù)據(jù)的流動;自主訪問控制策略基于系統(tǒng)管理員對訪問請求進行自主授權;基于角色的訪問控制是由角色對訪問請求進行自主授權。目前以層次化基于角色的訪問控制技術為主流,其具備用戶、角色、權限三要素以及構成權限的對象和操作,通過建立層次化的角色樹,以及創(chuàng)建、分配、回收權限等操作,能實現(xiàn)有效的文件訪問控制管理。
4 結語
大數(shù)據(jù)發(fā)展十分迅速,具有廣闊的前景,但其對個人信息保護的挑戰(zhàn)也是空前的。本文首先指出了大數(shù)據(jù)時代個人信息保護所面臨的嚴峻現(xiàn)實,然后從立法、市場機制、數(shù)據(jù)安全技術等不同角度提出了大數(shù)據(jù)時代個人信息所面臨挑戰(zhàn)的解決辦法,希望能給后續(xù)的研究者提供參考。
參考文獻:
[1] 馮登國,張敏,李昊.大數(shù)據(jù)安全與隱私保護[J].計算機學報,2014,37(1):246257.
[2] 朱慧,劉洪偉,劉智慧.大數(shù)據(jù)時代變革和隱憂[J].中國科技信息,2015,26(1);4547.
[3] 孟小峰,張嘯劍.大數(shù)據(jù)隱私管理[J].計算機研究與發(fā)展,2015,52(2):265281.
[4] 趙岑,李蒙然,金日峰.大數(shù)據(jù)時代關于隱私的思考[J].科學通報,2015,60(5):450452.
[5] 楊淵.大數(shù)據(jù)背景下個人隱私保護和信息應用研究[J].征信,2014,32(8):2426
[6] 劉雅輝,張鐵贏,靳小龍,等.大數(shù)據(jù)時代的個人隱私保護[J].計算機研究與發(fā)展,2015,52(1):229247.
[7] 朱麗娟.數(shù)據(jù)加密技術的研究與發(fā)展[J].中國制造業(yè)信息化,2011,40(17):5962.
(責任編輯:黃 ?。?