大數(shù)據(jù)時代個人數(shù)據(jù)的隱私保護

大數(shù)據(jù)時代個人數(shù)據(jù)的隱私保護

作為互聯(lián)網(wǎng)與統(tǒng)計學發(fā)展的產(chǎn)物，大數(shù)據(jù)是目前學術(shù)界和科學界的研究熱點，它影響著人們的日常生活方式、工作習慣和思維方式。目前大數(shù)據(jù)的發(fā)展依然面臨許多問題，其中安全與隱私問題是公認的關(guān)鍵問題之一。普遍觀點認為，大數(shù)據(jù)(BigData)是指規(guī)模大且復雜，以至于很難用現(xiàn)有數(shù)據(jù)庫管理工作或數(shù)據(jù)處理器來處理的數(shù)據(jù)集。通過對海量數(shù)據(jù)尤其是海量個人信息的針對性分析，大數(shù)據(jù)為互聯(lián)網(wǎng)插上統(tǒng)計學翅膀，使互聯(lián)網(wǎng)的作用從簡單的數(shù)據(jù)交流和信息傳遞上升到基于海量數(shù)據(jù)的分析。在此大數(shù)據(jù)時代，網(wǎng)絡搜索技術(shù)、數(shù)據(jù)挖掘、商業(yè)智能等技術(shù)的發(fā)展令相關(guān)行業(yè)能夠充分利用相關(guān)信息和數(shù)據(jù)實現(xiàn)價值創(chuàng)造。但值得注意的是，近年來，大數(shù)據(jù)在收集、存儲和使用過程中頻繁出現(xiàn)隱私泄露問題，為用戶帶來嚴重困擾，而同時由其產(chǎn)生的虛假數(shù)據(jù)亦會導致錯誤甚至無效的大數(shù)據(jù)分析結(jié)果，進而誤導數(shù)據(jù)分析后的二次利用。一、大數(shù)據(jù)安全工作現(xiàn)狀隨著互聯(lián)網(wǎng)的深入發(fā)展，當今主流科技已由IT逐漸向DT(DataTechnology）過渡。DT充分挖掘數(shù)據(jù)資源，以“人”為中心，不僅強調(diào)舒適的客戶體驗，同時也需要公開透明的游戲規(guī)則與行業(yè)環(huán)境。而作為DT數(shù)據(jù)挖掘的基礎——通過網(wǎng)絡傳播的個人信息，則隨著時代發(fā)展逐漸成為社會各界競相收集的資源對象。但由于網(wǎng)絡安全存在的諸多問題，使得個人信息在網(wǎng)絡中的每一個傳播環(huán)節(jié)均面臨泄露風險。網(wǎng)絡傳播的個人信息被他人錯用、誤用甚至惡意使用的事件層出不窮，如早年的“3Q大戰(zhàn)“即為典型例證。在大數(shù)據(jù)時代，作為極其重要的新興社會資源，針對個人隱私的爭奪大戰(zhàn)頻繁上演。商家定期收集消費者的個人數(shù)據(jù)，但對這些數(shù)據(jù)的使用和安全保障卻缺乏有效監(jiān)管。從2010年支付寶客戶信息泄露事件，到同年社交網(wǎng)站Facebook泄密門；從2011年韓國最大社交網(wǎng)站“賽我網(wǎng)”因黑客攻擊造成3500萬用戶信息外泄，到2015年美國婚外戀網(wǎng)站AshleyMadison3700萬用戶信息被黑客曝光；從2013年蘋果手機i-Cloud云服務漏洞被黑客利用造成明星裸照泄露，到2015年7月發(fā)現(xiàn)影響95%安卓手機的高危漏洞“stagefright框架漏洞”（利用該漏洞只需一條彩信即可“黑”掉一部手機，并采用“蠕蟲攻擊”模式通過用戶通訊錄繼續(xù)蔓延），隱私泄露事件的愈演愈烈對人們在大數(shù)據(jù)背景下如何保護個人隱私提出了嚴峻挑戰(zhàn)。2015年2月，數(shù)字安全領(lǐng)域的領(lǐng)軍企業(yè)美國Gemalto公司在其發(fā)表的安全報告中指出，2014年共計發(fā)生超過1500起數(shù)據(jù)泄漏事件，導致將近10億數(shù)據(jù)被曝光。其中54%的數(shù)據(jù)泄漏事件涉及到用戶隱私與金融方面信息（2013年該項數(shù)值為23%），從總體上而言數(shù)據(jù)泄漏事件相較2013年增長了49%，泄漏的數(shù)據(jù)記錄比2013年同期增多78%。2015年7月，獵豹移動安全實驗室發(fā)布其《2015年上半年移動安全報告》，報告稱：過去半年，全球6.1億臺次手機曾中毒，是2014年的2.77倍；中國、印度、俄羅斯、印度尼西亞和墨西哥，是手機病毒危害最嚴重的前5個國家，其中中國受害手機1.49億臺次，名列第一。數(shù)據(jù)表明，移動安全形勢比以往任何時候都更加嚴峻。2014年美國白宮進行了為期90天的大數(shù)據(jù)與隱私釣魚，在美國國內(nèi)激起熱烈討論，一派任務目前垂直領(lǐng)域的隱私管理和行業(yè)自律機制已足夠處理當下隱私問題，無需出臺新的法律，另一派則呼吁要加強立法工作。2014年5月歐洲法院裁決，當個人信息明顯過時或不相關(guān)時，民眾有權(quán)行使“被遺忘權(quán)”要求網(wǎng)絡服務商刪除該個人信息，進一步提升了隱私保護力度。2013年7月工信部發(fā)布《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，在立方層面前進一步，但相較其他國家，我國對網(wǎng)絡個人隱私信息安全保護工作依然水平較低且處于起步階段，無法適應大數(shù)據(jù)日益發(fā)展和網(wǎng)民對隱私保護需求日益增長的實際需要?？v觀近年來國內(nèi)外各類隱私泄露事件及安全事故，大體可歸納出以下幾點問題：1企業(yè)信息安全意識淡薄從黑客攻擊的成本角度而言，在進行某項黑客行為時，若獲取的收益遠小于黑客行為所需投入的成本，則該黑客行為即為失敗。因此，黑客們更傾向于采取一些低成本手段（例如：監(jiān)聽與口令攻擊、www攻擊、木馬植入、緩沖區(qū)溢出攻擊、端口攻擊、漏洞掃描、“嗅探”式后面攻擊、狀態(tài)操作攻擊、SQL代碼嵌入攻擊、核心級別的rootkits攻擊等）嘗試獲取數(shù)據(jù)或攻擊一些安全防護水平較低的系統(tǒng)。目前，國內(nèi)許多企業(yè)信息安全意識淡薄，采用的信息安全防護手段較為老舊且對提升防護能力態(tài)度消極。例如，在收集存儲用戶個人信息時，許多網(wǎng)站均采用極不安全的直接明文存儲方式，對數(shù)據(jù)不進行加密處理。這些忽視用戶利益的行為，為黑客攻擊創(chuàng)造了便利條件，一旦數(shù)據(jù)泄露，黑客即可直觀掌握包括用戶密碼在內(nèi)的所有個人隱私數(shù)據(jù)。2對于個人特質(zhì)的認定，一般通過公關(guān)活動進行合作，以大數(shù)據(jù)應用企業(yè)為以大數(shù)據(jù)在商業(yè)領(lǐng)域的應用為例，無論是以“硬件+軟件+數(shù)據(jù)”模式提供整體解決方案的大數(shù)據(jù)行業(yè)企業(yè)（如IBM、微軟、惠普、Oracle、EMC、SAP等公司），還是以自身擁有的海量用戶信息提供精準化營銷的大數(shù)據(jù)應用企業(yè)（如Facebook、亞馬遜、Google、淘寶、百度等公司），當被曝光出現(xiàn)安全漏洞或發(fā)生信息泄露等重大事故后，在輿論壓力下，大多數(shù)相關(guān)企業(yè)會采取發(fā)表公關(guān)聲明的方式予以“緊急滅火”，但后續(xù)處理則不了了之；而那些未被曝光的信息安全事件，則多是采取多一事不如少一事的原則，選擇隱瞞用戶到底。針對泄密事件，大多數(shù)服務商一般采取提示用戶修改密碼的主要應對措施，但這種解決方案依然是治標不治本，消極處理意味較為明顯。3系統(tǒng)：個人隱私數(shù)據(jù)在收集利用個人隱私信息方面，括Facebook、Google在內(nèi)的知名大型互聯(lián)網(wǎng)公司幾乎全部會因業(yè)務需要而放松隱私政策的執(zhí)行力度。2010年Google為實現(xiàn)“街景”功能全面上線，采用大量采集車在數(shù)十個國家進行街景采集，并通過部分未設置接入密碼的wifi無線網(wǎng)絡收集到一些個人信息片段，這些片段包括電子郵件信息、在線聊天信息等個人隱私數(shù)據(jù)，而之后Google承認并未履行承諾對這些數(shù)據(jù)全部刪除。2012年iPhone手機中的一款名為“GirlsAroundMe”的應用被曝光存在隱私泄露問題，該app應用軟件利用部分女性用戶在社交網(wǎng)絡上公開的個人地理定位信息，幫助男性用戶定位自己附近的女性用戶情況，并通過Facebook查看這些女性用戶在網(wǎng)站上的照片和個人資料。二、在大數(shù)據(jù)背景下對隱私泄漏渠道的分析伴隨著網(wǎng)絡技術(shù)的飛速發(fā)展，大數(shù)據(jù)背景下的個人隱私泄露途徑越來越多，防不勝防。1社交媒體功能拓展2015年DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心發(fā)布的調(diào)查報告指出，在對安卓手機各類應用程序的綜合測評中發(fā)現(xiàn)針對功能不必需的信息數(shù)據(jù)，位居前四位的是——獲取手機位置信息、通話記錄、監(jiān)聽手機通話以及使用話筒錄音，其中11.2%的位置信息讀取和9.4%的短信記錄讀取，均為不必需的功能。而美國一項針對蘋果手機應用商店內(nèi)超過65000個應用的研究發(fā)現(xiàn)，18.6%的蘋果IOS應用會不經(jīng)用戶同意而訪問其通訊錄，42.5%的蘋果IOS應用會自動獲取手機用戶位置信息。同時，由于社交媒體之間的網(wǎng)絡化發(fā)展，部分應用軟件之間已實現(xiàn)數(shù)據(jù)共享與互聯(lián)互通，如A應用軟件要求綁定B應用軟件中的賬號，則A與B應用軟件內(nèi)的信息即可實現(xiàn)互通，進而使A、B雙方收集用戶信息的渠道進一步拓寬。此外，當用戶注冊各類社區(qū)網(wǎng)站并填寫個人詳細信息時，看似是自愿填寫并選擇“已閱讀相關(guān)權(quán)限說明”，貌似屬于合法收集用戶個人信息,但其實并未明確告知用戶其收集目的、是否用作盈利以及如何保護用戶個人信息。2惡意程序和帳篷應用個人隱私信息的泄露源頭主要為企業(yè)、銀行、政府機關(guān)、公共服務行業(yè)等。一方面，這些機構(gòu)中的不法分子有機會接觸、掌握大量個人隱私信息，由于法律意識淡薄與經(jīng)濟利益驅(qū)使，他們將掌握的個人隱私信息賣給個人信息收集者并從中獲取經(jīng)濟利益。另一方面，這些機構(gòu)因安全防范手段落后或疏于管理，為惡意程序的植入或黑客入侵創(chuàng)造了條件。此外，手機端的惡意程序和山寨應用也逐漸成為隱私泄露的重要陣地，這些程序大多來自于非正規(guī)應用商店、刷機、短信鏈接和二維碼識別等途徑。360安全中心《2014年中國手機安全狀況報告》宣稱，2014年安卓平臺新增惡意程序樣本326萬個，較2013年增長3.86倍，全年安卓用戶干擾惡意程序3.19人次，且下半年感染量是上半年的3倍左右。3．之間相互交換的用戶個人信息個人隱私信息數(shù)據(jù)的買賣交易每年可創(chuàng)收高達上百億元，企業(yè)或?qū)λ鶕碛械拇髷?shù)據(jù)或進行二次開發(fā)利用進而拓展自身業(yè)務發(fā)展，或透露給廣告商進行精準廣告投放與營銷，或賣給第三方。由此，這種黑色產(chǎn)業(yè)鏈大致可分兩種運行模式：一種是行業(yè)或企業(yè)之間相互交換各自掌握的用戶個人信息，另一種是將掌握的用戶個人信息出售給信息需求者。值得注意的是，上述第二種模式中個人信息的出售并不是一次性交易，賣方一般不會直接兜售給下游買方，而是通過多層中間商的倒買倒賣以便逃避法律風險；而中間商則會將買來的信息進行歸類篩選，根據(jù)不同需求售賣給不同機構(gòu)，并經(jīng)過層層盤剝，用盡信息的最后一滴價值；最后接盤的買方，有時還會專門定制用戶信息，甚至會雇傭黑客直接攻擊競爭對手的網(wǎng)址以便竊取所需信息。例如，在移動網(wǎng)絡環(huán)境下，用戶個人信息和用戶網(wǎng)絡行為可販賣給有需求的調(diào)研機構(gòu)或推廣營銷機構(gòu)；越界獲取的個人手機通訊錄和移動網(wǎng)絡社交信息均可販賣給詐騙集團；微博微信論壇等賬號信息可販賣給營銷團隊或水軍團隊等，形成一條觸角延伸極廣的黑色數(shù)據(jù)交易產(chǎn)業(yè)鏈。三、中國為回應數(shù)據(jù)保護安全提出了一些建議1等大數(shù)據(jù)利用期間納入法律規(guī)制范疇內(nèi)針對數(shù)據(jù)隱私，我國應在現(xiàn)有的基本保護之上，進一步擴大保護范疇，將數(shù)據(jù)采集、數(shù)據(jù)分析等大數(shù)據(jù)利用全過程納入法律規(guī)制范疇內(nèi)。在制度建設層面持續(xù)發(fā)力，繼續(xù)完善相關(guān)立法，將零散分布在行政規(guī)章制度及部分法律法規(guī)中的相關(guān)條款予以整合，確立數(shù)據(jù)權(quán)人容易理解的數(shù)據(jù)隱私采集制度，從立法層面推進數(shù)據(jù)挖掘行為規(guī)范化，“形成保護個人隱私的長效機制”。2完善網(wǎng)絡服務協(xié)議當前，用戶一方面對數(shù)據(jù)隱私被泄露的顧慮程度不斷上升，另一方面對服務的便捷程度卻不斷提升要求，因此數(shù)據(jù)控制者應深入完善網(wǎng)絡服務協(xié)議，增補有利于保護用戶數(shù)據(jù)隱私的網(wǎng)絡服務協(xié)議必備條款，改進棄權(quán)規(guī)則，建立選擇性推出機制，實現(xiàn)國家安全、經(jīng)濟發(fā)展、個人隱私、技術(shù)進步等各方利益之間的動態(tài)平衡。3使用數(shù)據(jù)共享，提升用戶體驗作為大數(shù)據(jù)的基石，海量數(shù)據(jù)庫同樣是隱私保護的關(guān)鍵所在。隨著公眾知情意識的提升，有效管控海量數(shù)據(jù)庫之間的數(shù)據(jù)流轉(zhuǎn)以及綜合運作愈加重要，因此應探索實施相關(guān)監(jiān)管手段，確保正確信息到達正確目標用戶，限定特定信息只能給予特殊獲取人群使用，推進“使用數(shù)據(jù)”而非“銷售數(shù)據(jù)”的數(shù)據(jù)處理目標。4盡量不要在網(wǎng)絡上搜索真實信息(1）在網(wǎng)絡上進行關(guān)鍵詞搜索時，盡量不使用個人賬號登陸搜素引擎；（2）因網(wǎng)站搜集用戶數(shù)據(jù)主要利用cookies（計算機自帶功能之一，主要用于辨別用戶身份），故可在瀏覽器隱私設置中選擇禁用cookies或安裝網(wǎng)絡安全工具，及時清理上網(wǎng)痕跡，清除個人信息；（3）當使用微博、微信等社交媒介上提到友人時，盡量不要@他的賬號，可直接輸入對方賬號或他的名字；（4）進行各類網(wǎng)站的用戶注冊時，應首先考核網(wǎng)站安全性并確定哪些內(nèi)容無需填寫真實信息，盡量使用不同的用戶名和注冊郵箱（因為若用戶名相同或者注冊郵箱相同，進行大數(shù)據(jù)搜索的計算機可輕易識別出）；（5）在網(wǎng)絡上與友人討論熱點新聞時，盡量不要直接摘錄其中文字，可引用鏈接、截圖或在每個