馮 斌,馮 玲,張國(guó)鋒,段西強(qiáng),張 雷
( 泰山學(xué)院 信息科學(xué)技術(shù)學(xué)院,山東 泰安271021)
移動(dòng)社交、信息搜索、電子商務(wù)、手機(jī)APP 等在網(wǎng)絡(luò)上產(chǎn)生的用戶數(shù)據(jù)每年以50%的增長(zhǎng)率持續(xù)增長(zhǎng),2021 年全球創(chuàng)建數(shù)據(jù)信息量達(dá)64.5ZB。雖然海量大數(shù)據(jù)的分析和處理可以幫助人們快速認(rèn)識(shí)世界,為人們的生產(chǎn)生活提供便利,但是這些數(shù)據(jù)掌握在金融或互聯(lián)網(wǎng)公司手中,因技術(shù)缺陷、管理不善、黑客入侵等原因,可能會(huì)導(dǎo)致個(gè)人數(shù)據(jù)的泄露。個(gè)人隱私數(shù)據(jù)的泄露致使各類信息安全事件層出不窮,嚴(yán)重威脅著個(gè)人財(cái)產(chǎn)安全及社會(huì)安全。
由第44 次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示,44.4%的網(wǎng)民曾遭遇個(gè)人信息泄露、網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)病毒、賬號(hào)或密碼被盜等網(wǎng)絡(luò)安全問(wèn)題。據(jù)統(tǒng)計(jì),近三年全國(guó)破獲電信網(wǎng)絡(luò)詐騙案件數(shù)量逐年上升,由2018 年的13.1 萬(wàn)起、2019 年的20 萬(wàn)起上升至2020 年的32.2 萬(wàn)起。其中,2018 年抓獲犯罪嫌疑人7.3 萬(wàn)人,2019 年抓獲犯罪嫌疑人16.3 萬(wàn)人,2020 年抓獲犯罪嫌疑人36.1 萬(wàn)人。這些電信網(wǎng)絡(luò)詐騙的源頭都是因?yàn)閭€(gè)人信息的泄露,而個(gè)人信息泄露是網(wǎng)絡(luò)詐騙成功實(shí)施的關(guān)鍵因素。
個(gè)人信息的泄露很大程度上是用戶網(wǎng)絡(luò)操作不規(guī)范引起的,如使用違規(guī)收集信息的APP、使用弱密碼作為系統(tǒng)登錄密碼、點(diǎn)擊釣魚(yú)網(wǎng)站等不安全鏈接、隨便在網(wǎng)站上注冊(cè)或填寫信息、連接免費(fèi)WiFi 或掃不明二維碼、隨意丟棄快遞單或火車票等票據(jù)、在社交平臺(tái)輕易發(fā)布和透露個(gè)人信息等。
在日常生活中,一些網(wǎng)絡(luò)平臺(tái)利用大數(shù)據(jù)技術(shù)收集各類用戶個(gè)人信息。如購(gòu)物平臺(tái)監(jiān)視和記錄人們的購(gòu)物習(xí)慣,社交平臺(tái)描繪著人們的社交關(guān)系網(wǎng),搜索及資訊平臺(tái)監(jiān)視人們的搜索記錄和瀏覽記錄等。很多互聯(lián)網(wǎng)公司未經(jīng)用戶允許就進(jìn)行越權(quán)收集用戶信息或與第三方分享用戶信息,此時(shí)大部分用戶并不知曉此種情況的發(fā)生,更無(wú)法明確這些信息被哪些機(jī)構(gòu)收集、用于哪種用途。各大公司通過(guò)具有強(qiáng)大數(shù)據(jù)處理能力的數(shù)據(jù)分析工具對(duì)用戶日常數(shù)據(jù)進(jìn)行分析、挖掘及多重分析可以精確定位到個(gè)人,有效預(yù)測(cè)每位用戶的行為和生活習(xí)慣,造成個(gè)人隱私數(shù)據(jù)的泄露。在此過(guò)程中,用戶對(duì)自身數(shù)據(jù)的知情權(quán)、選擇權(quán)和控制權(quán)都受到侵害(1)陳純柱,王唐艷.大數(shù)據(jù)時(shí)代精準(zhǔn)廣告投放的隱私權(quán)保護(hù)研究[J].學(xué)術(shù)探索,2020(4) :105 -122.。
根據(jù)Verizon 公司2018、2019、2020 年的數(shù)據(jù)泄露調(diào)查報(bào)告( DBIR:Data leakage investigation report)顯示,數(shù)據(jù)泄露事件在網(wǎng)絡(luò)安全事件中的占比呈上升趨勢(shì),由2018 年占比4.18%上升至2020 年的9.48%。在數(shù)據(jù)泄露調(diào)查報(bào)告中,2018 年調(diào)研的5.3 萬(wàn)起安全事件中有2216 起數(shù)據(jù)泄露事件;2019 年調(diào)研的4.16 萬(wàn)起安全事件中有2013 起數(shù)據(jù)泄露事件;2020 年調(diào)研的符合報(bào)告要求的3.2 萬(wàn)起安全事件中有3950 起數(shù)據(jù)泄露事件。
數(shù)據(jù)泄露的主要受害者包括公共事業(yè)部門和教育、信息及金融保險(xiǎn)等各個(gè)行業(yè),以2020 年數(shù)據(jù)為例,各行業(yè)遭受的數(shù)據(jù)泄露事件和攻擊事件數(shù)量如圖1 所示。個(gè)人信息泄露在各行業(yè)數(shù)據(jù)泄露中占比如圖2 所示??梢钥闯?,個(gè)人信息泄露在各行業(yè)中占比均在40%以上,最高達(dá)到83%。
圖1 2020 年各行業(yè)遭受安全事件統(tǒng)計(jì)
圖2 個(gè)人信息泄露在各行業(yè)數(shù)據(jù)泄露中占比
公開(kāi)報(bào)道的數(shù)據(jù)泄露事件中泄露的數(shù)據(jù)記錄數(shù)量也在逐年增加。在2018 年公開(kāi)報(bào)道的6500 起數(shù)據(jù)泄露事件中,有50 億條數(shù)據(jù)記錄被泄露;在2019 年公開(kāi)報(bào)道的7098 起數(shù)據(jù)泄露事件中,有151 億條數(shù)據(jù)記錄被泄露;在2020 年全球公開(kāi)范圍報(bào)道的3932 起安全泄露事件中泄露的記錄數(shù)量達(dá)到370 億條。
這些個(gè)人隱私數(shù)據(jù)泄露事件包括很多大型公司和事業(yè)單位。中國(guó)電信超過(guò)2 億條用戶信息、微博5.38 億個(gè)用戶的賬號(hào)及地理位置等詳細(xì)信息在暗網(wǎng)銷售;Facebook5.33 億用戶的賬號(hào)、姓名、出生日期等個(gè)人數(shù)據(jù)在黑客論壇上被泄露;2.43 億巴西人的個(gè)人信息在巴西衛(wèi)生部官網(wǎng)被泄露。另外醫(yī)院、銀行、快速公司、高校、航空公司等均有個(gè)人隱私數(shù)據(jù)不同程度的泄露。
通過(guò)以上數(shù)據(jù)統(tǒng)計(jì)和分析可以看出,企業(yè)層面的個(gè)人隱私數(shù)據(jù)的泄露往往存在涉及用戶數(shù)多、數(shù)據(jù)量大等特點(diǎn)。這些包含個(gè)人信息的數(shù)據(jù)在收集、傳輸、存儲(chǔ)、共享及發(fā)布過(guò)程中,容易產(chǎn)生個(gè)人信息的擴(kuò)散和失控,造成個(gè)人隱私的泄露(2)馮登國(guó).?dāng)?shù)據(jù)安全:保障數(shù)據(jù)高效合理開(kāi)發(fā)利用的基石[J].科技導(dǎo)報(bào),2021(8) :1.,場(chǎng)景如圖3 所示。
圖3 企業(yè)層面?zhèn)€人隱私數(shù)據(jù)泄露場(chǎng)景圖
在隱私保護(hù)問(wèn)題上,發(fā)達(dá)國(guó)家法律法規(guī)的設(shè)立比我國(guó)要早。20 世紀(jì)70 年代,美國(guó)制定了《聯(lián)邦隱私權(quán)法》,后續(xù)又通過(guò)《電子通信隱私法》《個(gè)人隱私權(quán)與國(guó)家信息基礎(chǔ)設(shè)施》《公民網(wǎng)絡(luò)隱私權(quán)保護(hù)暫行條例》等法律作為業(yè)界自律的輔助手段(3)李剛.大數(shù)據(jù)時(shí)代面臨的安全問(wèn)題與思考解密大數(shù)據(jù)的安全“軟肋”[J].信息安全與通信保密,2016(6) :21 -26.。在歐盟國(guó)家,同樣通過(guò)很多立法來(lái)保證個(gè)人隱私數(shù)據(jù),如《保護(hù)隱私及跨國(guó)交流個(gè)人資料準(zhǔn)則》《個(gè)人數(shù)據(jù)保護(hù)指令》《網(wǎng)上個(gè)人隱私權(quán)保護(hù)的一般原則》《關(guān)于網(wǎng)上軟件、硬件進(jìn)行的不可見(jiàn)的和自動(dòng)化的個(gè)人數(shù)據(jù)處理的建議》《信息公路上個(gè)人數(shù)據(jù)收集、處理過(guò)程中個(gè)人權(quán)利保護(hù)指南》《關(guān)于在歐盟內(nèi)部處理和自由流動(dòng)個(gè)人數(shù)據(jù)的個(gè)人保護(hù)規(guī)章》(4)范進(jìn)學(xué),張玉潔.論信息網(wǎng)絡(luò)風(fēng)險(xiǎn)下的隱私權(quán)法律保護(hù)[J].山東社會(huì)科學(xué),2011(1) :20 -25.及數(shù)據(jù)保護(hù)法令《一般數(shù)據(jù)保護(hù)法案( GDPR) 》(5)李儉芬,龔煒琪.大數(shù)據(jù)背景下個(gè)人數(shù)據(jù)權(quán)的法律保護(hù)[J].法制博覽,2019(10) :173.。由以上立法的制定和實(shí)施可以發(fā)現(xiàn),發(fā)達(dá)國(guó)家采取了相當(dāng)多的措施來(lái)保護(hù)個(gè)人隱私。
在我國(guó)法律體系中,早期對(duì)于隱私保護(hù)的條款多散見(jiàn)于民法、侵權(quán)責(zé)任法等相關(guān)法律法規(guī)中?!缎谭ㄐ拚浮范x了侵犯?jìng)€(gè)人信息罪,但沒(méi)有全面定義侵犯?jìng)€(gè)人隱私的行為,導(dǎo)致實(shí)際操作性較差?!肚謾?quán)責(zé)任法》明確將隱私權(quán)作為一項(xiàng)獨(dú)立的民事權(quán)利加以保護(hù),并規(guī)定利用網(wǎng)絡(luò)侵犯他人權(quán)利要承擔(dān)侵權(quán)責(zé)任。
隨著我國(guó)法制體系的不斷完善,用戶個(gè)人信息保護(hù)方面的法律法規(guī)逐漸加強(qiáng)和細(xì)化,監(jiān)管部門也在不斷加強(qiáng)執(zhí)法力度。但整體來(lái)說(shuō)依然存在以下問(wèn)題:
1.很多數(shù)據(jù)隱私保護(hù)條例都是較為原則性的規(guī)定,司法實(shí)踐操作性不強(qiáng),在立法上還存在一些缺陷,對(duì)個(gè)人隱私保護(hù)的效力與力度有待加強(qiáng)。另外,當(dāng)前法律法規(guī)對(duì)個(gè)人隱私數(shù)據(jù)被多次利用及造成個(gè)人隱私泄露的問(wèn)題,未做出明確規(guī)定,且由于大數(shù)據(jù)分析的強(qiáng)大功能,當(dāng)個(gè)人感覺(jué)到自己隱私泄露時(shí),難以進(jìn)行法律舉證。
2.互聯(lián)網(wǎng)行業(yè)自律缺失,專門的網(wǎng)絡(luò)監(jiān)管機(jī)構(gòu)監(jiān)管不足,第三方監(jiān)管機(jī)制和法律依據(jù)不夠完善;相關(guān)網(wǎng)絡(luò)監(jiān)管機(jī)構(gòu)分散在不同行政系統(tǒng)中,利用網(wǎng)絡(luò)資源和協(xié)調(diào)配合處理網(wǎng)絡(luò)不法行為時(shí)存在系統(tǒng)不兼容或數(shù)據(jù)不對(duì)接的情況;網(wǎng)絡(luò)安全技術(shù)人才缺乏。
綜上所述,個(gè)人隱私數(shù)據(jù)的泄露是社會(huì)中持續(xù)存在的一個(gè)普遍問(wèn)題。這些數(shù)據(jù)的泄露和銷售,會(huì)使公眾陷入被騷擾及網(wǎng)絡(luò)詐騙中,會(huì)使企業(yè)因泄露重要商業(yè)機(jī)密數(shù)據(jù)遭受重大經(jīng)濟(jì)及品牌信譽(yù)損失,會(huì)使社會(huì)穩(wěn)定和國(guó)家安全受到威脅。因此,防止數(shù)據(jù)泄露,保護(hù)個(gè)人隱私數(shù)據(jù)安全刻不容緩。如何保護(hù)個(gè)人隱私數(shù)據(jù),防止被不法分子竊取,如何建立全方位的個(gè)人隱私數(shù)據(jù)保護(hù)機(jī)制,防止個(gè)人安全、社會(huì)安全及國(guó)家安全受到威脅,是當(dāng)前在網(wǎng)絡(luò)安全強(qiáng)國(guó)視域下亟待解決的問(wèn)題。
在個(gè)人隱私數(shù)據(jù)保護(hù)方面,很多學(xué)者從技術(shù)角度進(jìn)行了探討,如劉雅輝、張鐵贏等人從數(shù)據(jù)層、應(yīng)用層及數(shù)據(jù)發(fā)布三個(gè)方面探討了個(gè)人隱私保護(hù)技術(shù)(6)劉雅輝,張鐵贏,靳小龍,等.大數(shù)據(jù)時(shí)代的個(gè)人隱私保護(hù)[J].計(jì)算機(jī)研究與發(fā)展,2015(1) :229 -247.;肖潔、袁嵩、譚天從數(shù)據(jù)存儲(chǔ)防護(hù)、數(shù)據(jù)處理防護(hù)和數(shù)據(jù)共享保護(hù)三個(gè)方面探討了數(shù)據(jù)隱私保護(hù)(7)肖潔,袁嵩,譚天.大數(shù)據(jù)時(shí)代數(shù)據(jù)隱私安全研究[J].計(jì)算機(jī)技術(shù)與發(fā)展,2016(5) :91 -94.;任雪斌、楊新宇等人探討了大數(shù)據(jù)處理和分析中的隱私保護(hù)(8)任雪斌,楊新宇,楊樹(shù)森,等.大數(shù)據(jù)處理和分析中的隱私保護(hù)研究綜述[J]. 西北大學(xué)學(xué)報(bào)( 自然科學(xué)版) ,2019(1) :1 -11.。本文從社會(huì)學(xué)角度,在當(dāng)前網(wǎng)絡(luò)安全強(qiáng)國(guó)視域下,提出了從個(gè)人、企業(yè)和國(guó)家三個(gè)層面建立“三位一體”的個(gè)人隱私數(shù)據(jù)保護(hù)機(jī)制,其框架如圖4 所示。圖4 “三位一體”的個(gè)人隱私數(shù)據(jù)保護(hù)機(jī)制框架圖
圖4 “三位一體”的個(gè)人隱私數(shù)據(jù)保護(hù)機(jī)制框架圖
個(gè)人層面隱私數(shù)據(jù)保護(hù),主要從個(gè)人網(wǎng)絡(luò)安全意識(shí)提升和網(wǎng)絡(luò)操作行為的規(guī)范出發(fā)。
1.加強(qiáng)網(wǎng)絡(luò)安全教育,提升網(wǎng)絡(luò)安全意識(shí)
基層政府或組織要定期向公眾進(jìn)行網(wǎng)絡(luò)安全教育,組織觀看網(wǎng)絡(luò)安全教育宣傳片,發(fā)放網(wǎng)絡(luò)安全教育宣傳冊(cè)或調(diào)查問(wèn)卷,及時(shí)解決公眾遇到的網(wǎng)絡(luò)安全疑惑和問(wèn)題,組織開(kāi)展網(wǎng)絡(luò)安全教育宣講會(huì),組織防詐騙防信息泄露的情景演練等。通過(guò)多措并舉加強(qiáng)公眾的網(wǎng)絡(luò)安全教育,提高其網(wǎng)絡(luò)安全保護(hù)意識(shí),增強(qiáng)其網(wǎng)絡(luò)安全防護(hù)能力,實(shí)現(xiàn)個(gè)人隱私數(shù)據(jù)的安全保護(hù)。
2.規(guī)范網(wǎng)絡(luò)操作行為,提高自我保護(hù)能力
個(gè)人用戶在使用網(wǎng)絡(luò)過(guò)程時(shí),應(yīng)該避免打開(kāi)陌生鏈接或電子郵件、點(diǎn)擊查看低價(jià)或免費(fèi)廣告、參加未經(jīng)核實(shí)的投票或砍價(jià)活動(dòng)、隨意連接公共場(chǎng)所免費(fèi)的WiFi 或掃描陌生的二維碼、隨意瀏覽具有風(fēng)險(xiǎn)因素的網(wǎng)站、通過(guò)非正規(guī)途徑下載APP 等行為,因?yàn)檫@些可能是不法分子為獲取個(gè)人信息而設(shè)置的陷阱。另外,個(gè)人用戶在發(fā)布自己信息時(shí)也要考慮安全問(wèn)題,不隨便向他人透露個(gè)人信息,不隨便注冊(cè)網(wǎng)站或應(yīng)用程序,在社交軟件中不隨便泄露自己和家人的照片、位置、姓名及證件號(hào)碼等敏感信息;在生活中,要學(xué)會(huì)識(shí)別各種詐騙手段,接到陌生電話、短信或添加好友信息,做到不主動(dòng)回復(fù),避免上當(dāng)受騙;如果個(gè)人信息被非法泄露,即使沒(méi)有造成財(cái)產(chǎn)損失或其他安全問(wèn)題,也要主動(dòng)報(bào)案維權(quán)。
3.科普網(wǎng)絡(luò)安全知識(shí),營(yíng)造網(wǎng)絡(luò)安全氛圍
國(guó)家網(wǎng)絡(luò)安全宣傳周已經(jīng)連續(xù)舉辦8 年,其主要目的是提升全民網(wǎng)絡(luò)安全意識(shí)和技能。各學(xué)校、企事業(yè)單位及社區(qū)應(yīng)該以宣傳周為契機(jī),積極向師生、職工及居民科學(xué)普及網(wǎng)絡(luò)安全知識(shí),建設(shè)網(wǎng)絡(luò)安全科普教育基地或體驗(yàn)館,通過(guò)模擬、互動(dòng)、游戲、展廳等沉浸式體驗(yàn)讓公眾感受網(wǎng)絡(luò)安全知識(shí)和技術(shù),營(yíng)造全社會(huì)共筑網(wǎng)絡(luò)安全防線的濃厚氛圍。
企業(yè)層面隱私數(shù)據(jù)的保護(hù)需要通過(guò)在數(shù)據(jù)收集、傳輸、存儲(chǔ)、處理、訪問(wèn)和共享等環(huán)節(jié)實(shí)施安全保護(hù)技術(shù),同時(shí)還需要通過(guò)與用戶簽訂保密協(xié)議及政府實(shí)施監(jiān)管來(lái)共同實(shí)現(xiàn)。
1.采用數(shù)據(jù)加密傳輸+數(shù)據(jù)清洗模式傳輸
個(gè)人用戶信息經(jīng)過(guò)加密計(jì)算轉(zhuǎn)換為不可直接識(shí)別的密文。非法用戶即使竊取了加密后的密文數(shù)據(jù),也無(wú)法識(shí)別出原始個(gè)人用戶信息,從而提高數(shù)據(jù)的安全性與保密性。密文通過(guò)解密計(jì)算轉(zhuǎn)換為原始個(gè)人用戶信息。密鑰是加密與解密中非常重要的參數(shù),只有擁有正確密鑰的用戶,才能對(duì)加密后的密文進(jìn)行解密,獲取原始的個(gè)人用戶信息。
因此,從用戶客戶端采集的數(shù)據(jù)在傳輸時(shí)利用加密協(xié)議對(duì)數(shù)據(jù)包進(jìn)行加密,并通過(guò)網(wǎng)絡(luò)安全傳輸協(xié)議進(jìn)行傳輸,同時(shí)驗(yàn)證網(wǎng)絡(luò)服務(wù)器的身份,保護(hù)傳輸數(shù)據(jù)的機(jī)密性與完整性,從而可以防止數(shù)據(jù)被竊取。在采集數(shù)據(jù)后,對(duì)數(shù)據(jù)進(jìn)行解密并清洗,過(guò)濾掉不完整數(shù)據(jù)及偽造數(shù)據(jù),如過(guò)濾掉流量明顯大于平均值的網(wǎng)絡(luò)地址或設(shè)備的用戶行為、行為特征明顯異于常人的用戶和由模擬器生成的數(shù)據(jù)等(9)神策數(shù)據(jù).一篇講清:數(shù)據(jù)采集中的安全與隱私[EB/OL].[2018 -07 -10].https: //blog.csdn.net/sensorsdata/article/details/80993137.。
2.建立云存儲(chǔ)安全保護(hù)機(jī)制
數(shù)據(jù)完成清洗后,需要存儲(chǔ)至企業(yè)服務(wù)器,其中云存儲(chǔ)是常采用的存儲(chǔ)方式之一。云存儲(chǔ)(10)Wu Pingwang,et al. Cloud storage as the infrastructure of cloud computing[A]//2010 IEEE International Conference on Intelligent Computing and Cognitive Informatics ( ICICCI) [C].U.S.A:IEEE Conference Publishing Services,2010.是指通過(guò)網(wǎng)格計(jì)算、集群文件系統(tǒng)、分級(jí)存儲(chǔ)等現(xiàn)有技術(shù),將網(wǎng)絡(luò)中大量的存儲(chǔ)設(shè)備通過(guò)硬件或軟件的方式集合在一起,并對(duì)外提供標(biāo)準(zhǔn)的存儲(chǔ)接口,以供個(gè)人或企業(yè)調(diào)用并存儲(chǔ)數(shù)據(jù)的存儲(chǔ)方式。
通過(guò)密碼技術(shù)和加固技術(shù)可實(shí)現(xiàn)整個(gè)云存儲(chǔ)平臺(tái)系統(tǒng)的安全。利用密碼技術(shù)實(shí)現(xiàn)存儲(chǔ)節(jié)點(diǎn)加密和強(qiáng)用戶身份鑒別。通過(guò)加固技術(shù)中的操作系統(tǒng)內(nèi)核加固、主機(jī)虛擬化技術(shù)及主動(dòng)防御技術(shù),實(shí)現(xiàn)對(duì)服務(wù)器、虛擬主機(jī)、主機(jī)、計(jì)算節(jié)點(diǎn)和存儲(chǔ)節(jié)點(diǎn)的保護(hù)。企業(yè)應(yīng)建立適合自身建設(shè)的各種安全的云存儲(chǔ)平臺(tái),為用戶提供云存儲(chǔ)安全保護(hù)機(jī)制(11)劉建毅,王樅,薛向東.云存儲(chǔ)安全分析[J].中興通訊技術(shù),2012(6) :36 -39.。
3.訪問(wèn)控制安全策略
當(dāng)數(shù)據(jù)安全存儲(chǔ)后,可采用訪問(wèn)權(quán)限控制策略確保只有授權(quán)用戶才能訪問(wèn)存儲(chǔ)數(shù)據(jù)?;诮巧脑L問(wèn)控制通過(guò)將操作權(quán)限與角色關(guān)聯(lián)、角色與用戶關(guān)聯(lián),可以為不同用戶設(shè)置不同的角色來(lái)實(shí)現(xiàn)訪問(wèn)權(quán)限控制。在大數(shù)據(jù)場(chǎng)景下,可以根據(jù)現(xiàn)有“用戶-對(duì)象”授權(quán)情況設(shè)計(jì)算法來(lái)自動(dòng)實(shí)現(xiàn)角色的提取和優(yōu)化(12)馮登國(guó),張敏,李昊.大數(shù)據(jù)安全與隱私保護(hù)[J].計(jì)算機(jī)學(xué)報(bào),2014(1) :246 -258.,然后根據(jù)用戶的行為記錄自動(dòng)生成角色,通過(guò)用戶與角色關(guān)聯(lián)高效地為海量用戶提供個(gè)性化數(shù)據(jù)服務(wù),同時(shí)也可以及時(shí)發(fā)現(xiàn)用戶偏離日常行為所隱藏的潛在危險(xiǎn)。
另外,可以將訪問(wèn)權(quán)限控制與密碼技術(shù)相結(jié)合,對(duì)存儲(chǔ)數(shù)據(jù)加密,合法用戶擁有相應(yīng)解密密鑰后才能對(duì)存儲(chǔ)的數(shù)據(jù)進(jìn)行下載并解密,如基于密文規(guī)則的屬性基加密技術(shù)(13)劉孟占,印凱澤.基于密文規(guī)則的屬性基加密技術(shù)的云存儲(chǔ)數(shù)據(jù)共享機(jī)制[J].計(jì)算機(jī)應(yīng)用,2013(2) :P133 -135.,通過(guò)制定合適的訪問(wèn)結(jié)構(gòu)來(lái)實(shí)現(xiàn)訪問(wèn)權(quán)限控制。數(shù)據(jù)擁有者首先對(duì)存儲(chǔ)數(shù)據(jù)用公鑰進(jìn)行加密并設(shè)置密文訪問(wèn)結(jié)構(gòu),在共享數(shù)據(jù)時(shí)對(duì)授權(quán)用戶發(fā)放私鑰。當(dāng)授權(quán)用戶想獲取加密數(shù)據(jù)并解密時(shí),必須將自己獲取的私鑰與密文訪問(wèn)結(jié)構(gòu)進(jìn)行比對(duì),只有當(dāng)其私鑰滿足密文訪問(wèn)結(jié)構(gòu)時(shí),用戶才可以獲得解密密鑰,進(jìn)而對(duì)加密數(shù)據(jù)進(jìn)行解密。通過(guò)訪問(wèn)控制與密碼技術(shù)的結(jié)合,確保了數(shù)據(jù)在不可信域中的機(jī)密性,達(dá)到了保護(hù)用戶數(shù)據(jù)隱私安全的目的(14)肖潔,袁嵩,譚天.大數(shù)據(jù)時(shí)代數(shù)據(jù)隱私安全研究[J].計(jì)算機(jī)技術(shù)與發(fā)展,2016(5) :91 -94.。
4.?dāng)?shù)據(jù)共享發(fā)布中的隱私保護(hù)
為保護(hù)個(gè)人隱私數(shù)據(jù),數(shù)據(jù)在共享發(fā)布之前需進(jìn)行如數(shù)據(jù)脫敏、數(shù)據(jù)匿名化及添加數(shù)據(jù)噪聲等數(shù)據(jù)隱私保護(hù)處理。
數(shù)據(jù)脫敏主要是通過(guò)替換、過(guò)濾、加密、遮蔽或刪除等技術(shù)對(duì)數(shù)據(jù)中的敏感信息進(jìn)行處理;數(shù)據(jù)匿名化主要是通過(guò)用公用值替換具體值來(lái)隱藏敏感屬性、分組并重排分離用戶身份與敏感信息的關(guān)系或通過(guò)交換合成改變敏感數(shù)據(jù)來(lái)隱藏用戶身份(15)劉雅輝,張鐵贏,靳小龍,等.大數(shù)據(jù)時(shí)代的個(gè)人隱私保護(hù)[J].計(jì)算機(jī)研究與發(fā)展,2015(1) :229 -247.。通過(guò)對(duì)個(gè)人數(shù)據(jù)的匿名化處理,數(shù)據(jù)在共享或發(fā)布后,數(shù)據(jù)接受者無(wú)法通過(guò)數(shù)據(jù)分析技術(shù)推斷個(gè)人數(shù)據(jù)的關(guān)聯(lián)信息,既可以保證數(shù)據(jù)的可用性,又可以保證敏感數(shù)據(jù)不會(huì)定位到個(gè)人,從而實(shí)現(xiàn)個(gè)人隱私數(shù)據(jù)的保護(hù)。
對(duì)數(shù)據(jù)添加噪聲的目的是使數(shù)據(jù)失真,可以實(shí)現(xiàn)即使攻擊者知道除一條信息之外所有的敏感信息,仍然不能推斷出這條信息中的任何敏感元素(16)任雪斌,楊新宇,楊樹(shù)森,等.大數(shù)據(jù)處理和分析中的隱私保護(hù)研究綜述[J]. 西北大學(xué)學(xué)報(bào)( 自然科學(xué)版) ,2019(1) :1 -11.,如差分隱私保護(hù)機(jī)制。在此種保護(hù)機(jī)制中,對(duì)數(shù)據(jù)集中添加或刪除一條信息均不會(huì)對(duì)輸出結(jié)果產(chǎn)生影響,添加的噪聲量只與數(shù)據(jù)敏感性相關(guān)而與數(shù)據(jù)集大小無(wú)關(guān),特別是對(duì)于大型數(shù)據(jù)集,添加少量的噪聲就可實(shí)現(xiàn)很好的數(shù)據(jù)隱私保護(hù)。
5.企業(yè)與用戶簽訂個(gè)人隱私保密協(xié)議
圖5 企業(yè)層面技術(shù)角度個(gè)人隱私數(shù)據(jù)保護(hù)示意圖
企業(yè)與用戶簽訂個(gè)人隱私保護(hù)協(xié)議,嚴(yán)格遵循各項(xiàng)法律法規(guī)中對(duì)個(gè)人信息的保護(hù)條款。用戶必須在法律法規(guī)范圍內(nèi)使用網(wǎng)絡(luò)服務(wù),自覺(jué)維護(hù)企業(yè)的聲譽(yù),自覺(jué)遵守使用網(wǎng)絡(luò)服務(wù)的所有網(wǎng)絡(luò)協(xié)議和規(guī)定。企業(yè)必須尊重用戶個(gè)人隱私,只有在用戶同意的情況下,才可向第三方公開(kāi)、編輯或透露用戶個(gè)人資料的內(nèi)容。企業(yè)必須遵守行業(yè)通用的標(biāo)準(zhǔn)來(lái)保護(hù)用戶的私人信息。企業(yè)有權(quán)修改服務(wù)條例,但必須公示修改內(nèi)容。只有在用戶同意新修改內(nèi)容的情況下,才可繼續(xù)使用協(xié)議約定的服務(wù)。當(dāng)協(xié)議一方發(fā)生違反協(xié)議的行為,另一方可以依法提出訴訟,請(qǐng)求司法機(jī)關(guān)介入。
6.建立政府主導(dǎo)的企業(yè)第三方監(jiān)管機(jī)構(gòu)
政府建立數(shù)據(jù)保護(hù)的互聯(lián)網(wǎng)企業(yè)行政監(jiān)管機(jī)構(gòu),履行維護(hù)問(wèn)責(zé)機(jī)制,完善取證制度、證據(jù)鑒定制度和民事賠償制度,嚴(yán)格執(zhí)行責(zé)任追究制度,對(duì)隱私侵權(quán)行為進(jìn)行行政執(zhí)法。對(duì)發(fā)生數(shù)據(jù)泄露的企業(yè),嚴(yán)格追究法律責(zé)任。監(jiān)管部門需要監(jiān)督審查各網(wǎng)站制定的服務(wù)規(guī)章制度,杜絕網(wǎng)絡(luò)用戶使用其提供的服務(wù)就必須被動(dòng)同意各項(xiàng)合約的情況,確保公民對(duì)個(gè)人信息的控制權(quán)。政府相關(guān)部門對(duì)個(gè)人信息的監(jiān)管要進(jìn)一步加大和完善,督促信息收集部門建設(shè)科學(xué)的數(shù)據(jù)管理制度,定期檢查存儲(chǔ)個(gè)人信息軟硬件的安全管理工作,確保個(gè)人信息的安全防護(hù)(17)張宇敬,齊曉娜.大數(shù)據(jù)時(shí)代個(gè)人隱私權(quán)保護(hù)機(jī)制構(gòu)建與完善[J],人民論壇:中旬刊,2016(2) :3.。
近幾年,隨著對(duì)網(wǎng)絡(luò)安全重視的不斷加強(qiáng),國(guó)家制定了很多網(wǎng)絡(luò)安全相關(guān)的法律法規(guī)。《網(wǎng)絡(luò)安全法》規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)商必須要經(jīng)過(guò)當(dāng)事人并按照雙方約定的方式收集和利用個(gè)人信息,而且在收集和利用個(gè)人信息時(shí)要遵循合法、必要、正當(dāng)?shù)脑瓌t。《民法典》規(guī)定,除經(jīng)過(guò)處理后不能識(shí)別特定個(gè)人且不能復(fù)原的個(gè)人信息以外,信息處理者不能向他人非法提供其收集和存儲(chǔ)的個(gè)人信息,也不能泄露或篡改這些個(gè)人信息?!稊?shù)據(jù)安全法》規(guī)定任何組織或個(gè)人不得竊取或者以其他非法方式獲取數(shù)據(jù)?!秱€(gè)人信息保護(hù)法》從各個(gè)方面系統(tǒng)化的規(guī)定了保護(hù)個(gè)人信息的各種規(guī)范制度。除此之外,還應(yīng)該在以下幾方面進(jìn)行加強(qiáng):
1.細(xì)化立法規(guī)定,增強(qiáng)法規(guī)的可操作性
《個(gè)人信息保護(hù)法》中對(duì)個(gè)人信息、個(gè)人信息的處理、個(gè)人信息處理規(guī)則的一般規(guī)定、敏感個(gè)人信息的處理規(guī)則、國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定以及個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利、個(gè)人信息處理者的義務(wù)、履行個(gè)人信息保護(hù)職責(zé)的部門等都進(jìn)行了明確規(guī)定及細(xì)化(18)中部城市生活指南.【普法】個(gè)人信息保護(hù)法:為個(gè)人信息加上法律“保護(hù)鎖”[EB/OL].[2021 -10 -30].https: //www.sohu.com/a/488189935_121106991.。在細(xì)節(jié)性和可操作性上應(yīng)該繼續(xù)完善行業(yè)或企業(yè)范圍的個(gè)人隱私保護(hù)條例,并與相關(guān)法規(guī)結(jié)合,在信息的可用性基礎(chǔ)上實(shí)現(xiàn)個(gè)人隱私數(shù)據(jù)的全面保護(hù)。制定相應(yīng)的政策法規(guī)細(xì)則及監(jiān)管措施,要明確數(shù)據(jù)收集提供方的法律責(zé)任,數(shù)據(jù)泄露造成嚴(yán)重影響的機(jī)構(gòu)要作為刑事責(zé)任主體承擔(dān)刑事責(zé)任,并且建立數(shù)據(jù)泄露和濫用的舉報(bào)監(jiān)督方式,使受侵害的個(gè)人有自救途徑。
2.強(qiáng)化行業(yè)協(xié)會(huì)監(jiān)管,促進(jìn)行業(yè)自律
在互聯(lián)網(wǎng)行業(yè)協(xié)會(huì)的監(jiān)管、互聯(lián)網(wǎng)從業(yè)者的自我約束及其行為規(guī)范的共同努力下,整個(gè)互聯(lián)網(wǎng)行業(yè)才能健康發(fā)展。中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)為互聯(lián)網(wǎng)行業(yè)的持續(xù)健康發(fā)展及保障行業(yè)成員的共同利益起到了非常大的促進(jìn)作用,先后發(fā)布了《中國(guó)互聯(lián)網(wǎng)行業(yè)自律公約》《反網(wǎng)絡(luò)病毒自律公約》《互聯(lián)網(wǎng)搜索引擎服務(wù)自律公約》等互聯(lián)網(wǎng)從業(yè)者自律公約。然而這些公約只是一些原則性的倡議或規(guī)定,沒(méi)有詳細(xì)標(biāo)準(zhǔn),缺乏約束力。在現(xiàn)實(shí)中,互聯(lián)網(wǎng)行業(yè)協(xié)會(huì)的監(jiān)督和管理職能也并沒(méi)有真正實(shí)施。
因此,應(yīng)該賦予行業(yè)協(xié)會(huì)實(shí)際的管理權(quán),采取獎(jiǎng)罰并進(jìn)原則。當(dāng)從業(yè)者遵守行業(yè)自律并為互聯(lián)網(wǎng)行業(yè)文明健康發(fā)展做出努力和貢獻(xiàn)時(shí),要積極表彰;當(dāng)網(wǎng)絡(luò)從業(yè)者違反行業(yè)協(xié)會(huì)規(guī)定時(shí),行業(yè)協(xié)會(huì)擁有處罰權(quán),嚴(yán)重者可以取消其從業(yè)資格。通過(guò)建設(shè)從業(yè)者信用體系數(shù)據(jù)庫(kù),實(shí)現(xiàn)對(duì)從業(yè)者的統(tǒng)一信息管理,建立行業(yè)自律“白名單”和“黑名單”制度,對(duì)于遵守行業(yè)自律的“白名單”企業(yè)進(jìn)行政策優(yōu)惠和傾斜的獎(jiǎng)勵(lì),對(duì)于不遵守行業(yè)自律的“黑名單”企業(yè)進(jìn)行失信懲罰和警告,實(shí)現(xiàn)黑白名單信息的共享機(jī)制,對(duì)行業(yè)失信“黑名單”實(shí)行披露、禁入和退出制度。
行業(yè)協(xié)會(huì)通過(guò)對(duì)互聯(lián)網(wǎng)從業(yè)者的管理,可以積極引導(dǎo)互聯(lián)網(wǎng)企業(yè)在收集、處理及發(fā)布個(gè)人信息過(guò)程中對(duì)個(gè)人隱私數(shù)據(jù)的保護(hù),并組織互聯(lián)網(wǎng)企業(yè)制定統(tǒng)一以及符合個(gè)體企業(yè)的隱私保護(hù)政策及協(xié)議,個(gè)人隱私保護(hù)政策的制定要以保護(hù)個(gè)人隱私為目的,要考慮個(gè)人對(duì)信息收集、處理目的、處理方式等的知情權(quán)、選擇權(quán)及控制權(quán),并要完善投訴舉證渠道和機(jī)制。
3.完善行政執(zhí)法體系
實(shí)現(xiàn)個(gè)人隱私數(shù)據(jù)的保護(hù),需要充分發(fā)揮法律權(quán)威,加大執(zhí)法力度,完善行政執(zhí)法體系,健全行政監(jiān)管、監(jiān)督問(wèn)責(zé)、司法執(zhí)行機(jī)制,規(guī)范行政決策、行政審批、行政處罰、行政強(qiáng)制、行政復(fù)議、行政調(diào)解等行政行為,建立“立法-執(zhí)法-司法”法律體系,將個(gè)人數(shù)據(jù)隱私保護(hù)落到實(shí)處。
當(dāng)前,數(shù)據(jù)分析為人們的生活帶來(lái)便利的同時(shí),也帶來(lái)了個(gè)人隱私數(shù)據(jù)泄露的風(fēng)險(xiǎn)。本文通過(guò)探討個(gè)人隱私數(shù)據(jù)在個(gè)人、企業(yè)及國(guó)家層面臨的數(shù)據(jù)泄露威脅,提出了網(wǎng)絡(luò)安全強(qiáng)國(guó)視域下基于個(gè)人、企業(yè)、國(guó)家共建的“三位一體”的個(gè)人隱私數(shù)據(jù)保護(hù)機(jī)制。同時(shí)指出,個(gè)人隱私數(shù)據(jù)保護(hù)的實(shí)施必須在國(guó)家、企業(yè)和個(gè)人的共同努力下,各方同擔(dān)其責(zé),才能取到良好的效果。