大數據時代的個人信息安全研究

◆陳國威

?

大數據時代的個人信息安全研究

◆陳國威

（惠州工程職業學院 廣東 516001）

大數據時代的到來，在帶給人們生活和工作便利的同時，潛在的隱私和安全問題也日漸凸顯，如何確保大數據時代個人信息安全成為一個迫切需要解決的課題。本文從大數據時代個人信息面臨泄露安全威脅出發，提出應從個人信息保護立法、加強信息安全防護和提高個人信息安全意識等方面保護個人信息安全。

大數據；個人信息；數據加密；安全保護

0 引言

隨著信息技術的迅猛發展，移動互聯網、云計算、物聯網、人工智能等技術的廣泛應用，以Web 2.0技術為基礎的博客、微博、微信為代表的新型社交網絡的不斷涌現和快速發展，全球數據量急劇呈指數式爆炸增加，大數據時代已經到來。大數據發展已從概念推廣到全面落地，世界各國發布各種戰略措施，積極推動大數據的發展。全球大數據市場規模保持了高速增長勢頭。個人信息大量在網絡上被采集、存儲、生成、傳輸、交換和使用。一方面，極大地方便了人們的生活和工作；另一方面，每個環節都會帶來潛在的個人信息安全威脅。個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人情況的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等[1]。因此，我們在大力促進大數據發展應用的同時，如何保證個人信息安全已經成為大數據時代人們迫切需要解決的問題。

1 大數據時代的概述

最早提出"大數據”時代到來的是全球知名咨詢公司麥肯錫。2011年5月，麥肯錫全球研究院發布《大數據：下一代具有創新力、競爭力與生產力的前沿領域》，提出"大數據”時代的到來[2]。根據計算機科學公司發表的最新一份研究報告顯示，2020年的數據產生量將會大致是2009年時的45倍。國際數據公司（IDC）在2012年的年度報告中指出，全球數據量在2011年已達到1.8ZB(1ZB 等于10000億GB)，而這個數據大約以每兩年翻一番的速度增長，預計至2020年全球數據量總量將達40ZB[3]。不久前發布的《數據時代2025》報告中，IDC預測到2025年，全球數據將暴漲至163ZB(1ZB =1萬億GB)，相當于2016年所產生 16.1ZB數據的十倍。同時，IDC認為，到2025年，在全球創造的所有數據中，近90%的數據需要某種程度的安全保護，但得到安全保護的數據將不到一半。

什么是大數據，大數據目前沒有公認明確的定義。百度百科對大數據的定義是：指無法在一定時間范圍內用常規軟件工具進行捕捉、管理和處理的數據集合[4]。大數據通常具有5V特征：Volume(大量)、Velocity(高速)、Variety(多樣)、Value(低價值密度)、Veracity(真實性)。

2 大數據時代個人信息面臨泄露的威脅

近日，社交媒體巨頭面臨5000萬用戶數據泄密事件，站在輿論的尖端，引起全球對大數據時代個人信息安全的關注，維護用戶數據安全已成為全球互聯網面臨的主要問題。人民網此前曾對個人信息泄露進行過調查，結果顯示，90％的網民遇到過個人信息泄露。手機軟件、免費WI-FI、搜索引擎、電子商務平臺......這些流行的互聯網工具很可能成為個人信息中最重要的漏洞。更為嚴重的是由于個人信息的泄露引發騷擾、詐騙、綁架，甚至造成人財兩空的案件頻發。大數據時代海量的個人信息主要面臨黑客攻擊、政府和企業非法收集、惡意軟件和病毒的入侵、內鬼等泄露威脅。

2.1 黑客攻擊

黑客在利益的驅使下，通過攻擊破壞實施敲詐勒索、盜取賬號密碼、制作釣魚網站、入侵網站盜取公民個人信息。例如，2007年全球折扣零售業巨頭TJX公司宣布其被罪犯盜取了數據，9000萬張銀行卡數據和個人信息遭到泄露。2014年7月，icloud 云數據庫遭受黑客攻擊，眾多明星的賬號、照片、視頻等隱私信息遭到泄露[5]。雅虎2016年9月宣布黑客在2014年盜取至少5億用戶的帳戶信息，被盜取的信息包括用戶名、電子郵件地址、電話號碼和以及部分用戶安全識別的問題和答案。2017年月9月，美國征信巨頭Equifax表示，公司網站遭受黑客攻擊，造成1.43億美國人信息數據泄露。中國也不例外，2013年8月遭到黑客攻擊，致使超過10億用戶信息遭泄露。2016年2月，王某輝入侵某部委的醫療服務信息系統，將部分公民的個人信息導出并出售。2016年4月，不法分子非法入侵免疫系統，導致濟南20萬名嬰幼兒信息遭泄露并販賣。甚至有的黑客通過入侵個人電腦，激活攝像頭、麥克風偷窺個人隱私。大數據由于數據規模大且存儲集中，在網絡上更容易被發現，對黑客更有引吸力，一旦有一個帳號泄露，與其相關聯的帳號也面臨泄露的風險。

2.2 網站泄露

最近影響最為廣泛的網站泄露事件是Facebook網站泄露事件。2018年3月17日，一家名為“劍橋分析”的數據公司非法竊取了5千萬Facebook用戶數據，并進行大數據分析以預測其政治，消費傾向等，以便進行準確的廣告宣傳。甚至為美國大選提供數據支持。除黑客攻擊造成公民個人信息泄露外，還有的政府網站，安全意識淡泊、管理不到位，主動公開泄露公民隱私信息。如2016年1月5日，長豐縣羅塘鄉在合肥市政府信息網站公布的《羅塘鄉2015年12月農村低保金資金發放花名冊（銀行代發）》，文件對低保成員的姓名、家庭住址、一卡通賬號、電話號碼等未做處理。2016年10月31日，江西省景德鎮市政府信息網站公告的《第二批大學生一次性創業補貼公示》，也對學生姓名、身份證號以及聯系電話等進行了公開。2017年8月，銅陵市政府信息網站上，多個鄉鎮社區服務中心發布的公開信息欄中，存在泄露公民個人信息的情況[6]。2017年10月31日，合肥市廬陽區人民政府杏林街道辦事處在公布的《廬陽區杏林街道城市醫療救助對象花名冊（1-10月）》，居民住址、電話號碼等個人信息同樣被泄露。與此同時，這些人的病情包括尿毒癥、肺癌等也都能查看。

2.3 政府或企業非法收集個人信息

美國"棱鏡門”事件是最典型的例子。美國中央情報局前雇員愛德華斯諾登透露，美國安全部門和聯邦調查局于2007年啟動了代號為“棱鏡”的秘密監控項目，直接進入美國互聯網公司的中央服務器，通過互聯網挖掘數據，搜集情報并監控全球輿情，涉及微軟、雅虎、google和蘋果等9家互聯網巨頭。

一些互聯網公司通過在線問卷調查、網絡注冊、會員注冊等方式收集用戶信息，或未經授權的情況下在互聯網上公開，傳播或轉讓個人信息。此外，隨著移動互聯網的發展，某些網絡運營者在商業利益驅使下，手機app過度或強制用戶權限。如在下載安裝App時，應用程序要求授權例如訪問地址簿、閱讀通話記錄、閱讀短信記錄、閱讀位置信息以及監控手機通話等一系行為，有的功能與所要求的授權毫無關聯。網絡服務提供商總是傾向于收集用戶盡可能多的信息，達到獲取更大利益的目的。如通過收集用戶的上網習慣和支付方式，企業可以了解用戶訪問了哪些網站，錢存入哪些銀行，喜歡什么支付方式，喜歡閱讀什么書籍，喜歡觀看什么視頻欣賞什么歌曲，對什么話題感興趣和個人人際關系等等，目的是利用大數據為企業推送精準廣告，促銷產品提供幫助。這樣做的后果是容易造成個人信息泄露和濫用。

2.4 "內鬼”泄露

一些掌握大量個人信息的"內鬼”，在利益的驅動下，利用特殊身份和工作便利泄露、販賣個人信息。據公開報道，2016年全國公安機關共查處網絡侵犯公民個人信息2100多起，查獲超過500億條公民個人信息。在5000多犯罪嫌疑人中，450多人為各行業內部人員。其中危害最大的是銀行、教育、工商、電信、快遞、證券、電商等行業的內部人員，他們泄露個人數據，成為侵害公民個人信息的主體[7]。2017年2月，上海市浦東新區人民法院公開宣判一起銷售商與國家工作人員勾結，出賣公民信息牟利的案件。判決顯示，從2014年初至2016年7月，韓某以上海市疾病預防控制中心工作人員的特殊身份，進入他人賬戶盜取單位每月更新的全市新生嬰兒信息資，非法獲取30萬余條新生嬰兒信息，并多次售賣新生嬰兒信息進行牟利。北京一家電子商務公司的安全人員因泄露個人信息而被捕，這個案件涉及50億條用戶信息。

山東準大學生徐玉玉，由于在申請教育助學金時，造成個人信息被泄露，騙子以發放助學金名義，才導致她容易受騙上當并釀成悲劇。

因此，網絡服務提供商應加大設備和技術的投入，加強內部人員的教育和管控，用技防、人防筑牢個人信息安全堡壘。

3 個人信息安全保護策略

3.1 提升用戶的信息安全意識

信息大爆炸的時代，任何人都無法逃避對互聯網、大數據的應用。只有提升用戶的信息安全意識，加強信息安全技術的學習，注意個人信息的保密，才能確保個人信息安全。如用戶在社交網絡中有選擇地公開自己的活動，看清授權條款，不要連接不安全的Wi-Fi，不泄露自己的帳號密碼，不隨意下載安裝手機App,不要隨意相信所謂的退單、退費，瀏覽合法正規的網站，安裝殺毒軟件并定期殺毒等。當發現自己的個人信息泄露后，應及時向公安機關舉報，以便公安機關及時查處，防止犯罪行為的進一步發生。

3.2 完善個人信息安全法律法規

作為國家層面，要不斷加大懲戒力度，完善相關法律法規，規范公民個人信息的采集、儲存、挖掘、應用，確保公民個人信息安全。2012年12月28日通過的《全國人大常委會關于加強網絡信息保護的決定》，明確規定任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。2017年5月9日，最高人民法院和最高人民檢察院就侵犯公民個人信息刑事案件適用法律若干問題作出了說明，并進一步明晰了司法實踐中的相關問題，在很大程度上，為依法打擊侵犯個人信息的網絡犯罪行為提供了法律保障。2017年6月1日正式實施的《中華人民共和國網絡安全法》，是中國第一部全面規范網絡安全管理方面問題的基礎性法律，強調必須加強對個人信息的保護，打擊網絡犯罪行為。這些法律法規的制定和實施，對我國的個人信息安全保護起到了十分重要的作用。但是，這些分散在相關法律規定中的信息保護條例不能滿足公民個人信息保護的需要，應該盡快制定保護個人信息的專門法律，為我國個人信息的利用和保護構建系統化、規范化的解決方案，增強法律的可操作性。

3.3 個人信息安全保護技術

個人信息經歷采集、傳輸、存儲、挖掘、使用和共享等多個生命周期。因此，為確保個人信息安全，需要采取"事前加密保護，事中權限控制，事后跟蹤審計”方式對個人信息的采集、整理、過濾、整合、存儲、挖掘、審計、應用等環節進行安全技術保護，目的是保護個人數據的機密性、完整性和可靠性，防止數據泄露、數據篡改、數據丟失、密鑰泄露和非法訪問等。下面介紹個人信息安全保護的常用技術：

（1）數據加密技術

數據加密的功能是防止入侵者竊取或篡改個人敏感信息。按照加密密鑰的算法，數據加密可分為對稱加密算法和非對稱加密算法。對稱加密算法的優點是加密速度快，適用于大量數據的加密，是目前主要的信息加密算法。其缺點是通信雙方需使用相同的密鑰，難于保證雙方密鑰的安全性。常用的對稱加密算法有DES、AES、IDEA等。非對稱加密算法使用不同的密鑰進行加密和解密。通常有“公鑰”和“私鑰”兩個密鑰。它們必須相互配對，否則，加密文件無法打開。非對稱加密算法的優點是能夠適應網絡的開放性要求，易于實現數字簽名和驗證。缺點是算法復雜，數據加密速度慢。常用的非對稱加密算法有RSA、ELGamal等。

（2）訪問控制技術

訪問控制技術是一種限制訪問實體對訪問對象的訪問權限并防止未經授權的用戶有意或無意獲取數據的技術。訪問控制決定誰可以訪問系統，哪些資源可以訪問系統，以及如何使用這些資源。訪問控制[8]Sandhur等[9]提出了基于角色的訪問控制（role-based access control）方法，不同角色賦予不同的訪問控制權限。針對云端大數據的時空關聯性，Ray 等[10]提出了 LARB（location-aware role-based）訪問控制協議，在 RBAC（role-based policies access control）的基礎上引入了位置信息，通過用戶的位置來判斷用戶是否具有數據訪問權限。Zhang 等[11]提出的基于尺度的時空 RBAC 訪問控制模型，使訪問控制策略的表達能力得到增強，同時也增強了模型的安全性。

（3）入侵檢測技術

入侵檢測技術是一種動態網絡檢測技術，實時收集和分析Internet和主機系統中的關鍵信息，以確定非法用戶入侵和合法用戶濫用資源行為，并作出適當反應的網絡安全技術?？梢杂行浹a防火墻無法阻止內部攻擊的不足。對于正在發生的網絡攻擊，采取適當的方法來阻斷攻擊（與防火墻聯動）。對于已經發生的網絡攻擊，可以通過分析日志文件找到攻擊原因和入侵者蹤跡，作為追究入侵者法律責任的根據[12]。從而實現對網絡和個人數據的全面保護。

（4）數據庫保護技術

數據庫存儲著大量的個人信息，如政府數據庫存儲房產、救濟、懲信等個人信息，銀行數據庫存儲個人財務信息、醫療數據庫存儲個人看病住院信息、電商數據庫存儲個人財物信息等。這些數據庫不但面臨黑客的攻擊入侵，也面臨內部人員篡改數據、非法訪問、出售販賣等風險。為保護數據庫安全，可采取數據加密、訪問控制、審計等保護技術。根據個人數據的保密程度和用戶的需求，數據和用戶設置不同的權限級別，嚴格控制訪問權限。

（5）完整性校驗

當個人信息存儲到云端之后，用戶將無法對數據進行控制和管理。用戶最關心的問題是，存儲的個人信息是否有被篡改、丟棄等風險。目前，云端大數據完整性的驗證主要依賴于第三方。數據完整性校驗通常使用哈希算法和密鑰對數據進行哈希得到數據的一個哈希值，然后將哈希值和數據發送給對方，對方收到數據之后，對數據使用相同的哈希算法和密鑰進行哈希得到哈希值，若得到的哈希值與對方發送過來的相同，則說明數據未被篡改。

（6）數據匿名化技術

數據匿名化技術是個人信息保護技術中的關鍵技術，就是在數據發布時隱去表明用戶身份的屬性，如姓名、身份證號、電話號碼等信息，包括k－anonymity、l-diversity以及t-closeness等方法。相關研究有[13]：文獻[14]提出了一種基于聚類的數據敏感屬性匿名保護算法，既能對數據中的敏感屬性值進行匿名保護，又能降低信息的損失程度；文獻[15]提出一個可擴展的和具有成本效益的云上的大數據隱私保護框架，可以在高靈活性、可擴展性、有效性和成本效益方式下使大規模的數據集匿名，并處理匿名數據集；文獻[16]介紹了隱私保護的變化和發展，分析了差分隱私保護模型相對于傳統安全模型的優勢。

4 結語

互聯網、大數據時代，每個人的工作、學習、生活都與互聯網息息相關、緊密相連。只有政府、行業、企業和個人各自擔任起保護個人信息的職責，通過采取提高公民個人信息安全意識，加強諸如數據加密技術、訪問控制技術、數據庫保護技術、數據匿名化技術等技術手段，建立個人信息安全法等保護公民個人信息安全，才能讓每個人在大數據時代生活得更有安全感，才能更好地促進大數據的應用和發展。

[1]中華人民共和國網絡安全法.[OL.]http://www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm.

[2]林子雨.大數據技術原理與應用（第2版）[M].北京：人民郵電出版社, 2017.

[3]張尼，張云勇，胡坤等.大數據安全技術與應用[M].北京:人民郵電出版社，2014.

[4]大數據[OL].https://baike.baidu.com/ item/%E5%A4%A7%E6%95%B0%E6%8D%AE/1356941.

[5]朱光，豐米寧，陳葉等.大數據環境下社交網絡隱私風險的模糊評估研究[J].情報科學，2016.

[6]萬靜.皖贛等地部分政府網站泄露公民隱私信息[N].法制日報，2017.

[7]潘文婕.侵犯公民個人信息犯罪新趨勢-以上海市浦東新區檢察院辦案分析為例[J].檢察風云，2017.

[8]魏凱敏，翁健，任奎.大數據安全保護技術綜述[J].網絡與信息安全學報，2016.

[9]SANDHU R S, COYNE E J, FEINSTEIN H L, et al. Role-based access control models[J]. AnsiIncits，2009.

[10]RAY I, KUMAR M, YU L . LRBAC: a location-aware role-based access control model[C]//The 2nd International Conference on In-formation Systems Security，2006.

[11]ZHANG Y J, FENG D G. A role-based access control model based on space, time and scale[J]. Journal of Computer Research and De-velopment，2010.

[12]李建光.淺析入侵檢測系統的應用部署[J].網絡安全技術與應用，2015.

[13]呂欣，韓曉露.大數據安全和隱私保護技術架構研究[J]. 信息安全研究，2016.

[14]李珊珊，朱玉全，陳耿.基于聚類的數據敏感屬性匿名保護算法[J].計算機應用研究，2012.

[15]Zhang X,LiuC,Nepal S,etal.Sac-FRAPP:A scalableandCOST-effective framework for privacy preservation overbig data on cloud[J].Concurrency and Computation:Practice and Experience，2013.

[16]朱天清，何木青，鄒德清.基于差分隱私的大數據隱私保護[J].信息安全研究，2015.