張永兵

摘要：近年來，以云計算為基礎(chǔ)平臺的大數(shù)據(jù)時代正式到來，大數(shù)據(jù)因蘊(yùn)藏有巨大的商業(yè)價值而使不法分子想方設(shè)法盜取個人隱私數(shù)據(jù)，從而影響用戶的正常生活。本文通過分析大數(shù)據(jù)時代個人隱私安全面臨的嚴(yán)峻挑戰(zhàn)，對個人隱私保護(hù)所采用的技術(shù)措施進(jìn)行總結(jié)，并提出了個人或企業(yè)應(yīng)遵守的法律和行業(yè)規(guī)范，最后探索了個人隱私保護(hù)的進(jìn)一步研究方向。

Abstract： In recent years， the era of big data based on cloud computing platform officially arrived， and big data contains a huge commercial value and makes the criminals try to steal personal privacy data， thus affecting the normal life of the user. By analyzing the challenges faced by the privacy security in the era of big data， summarize the technical measures adopted in the protection of personal privacy， put forward the laws and industry standards the individual or enterprise should abide by， and finally explore the direction of further research on the protection of personal privacy.

關(guān)鍵詞：大數(shù)據(jù)；個人隱私保護(hù)；匿名化技術(shù)；數(shù)據(jù)加密；數(shù)據(jù)訪問控制

Key words： big data；personal privacy protection；anonymity technology；data encryption；data access control

中圖分類號：N37 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-4311（2016）35-0187-02

0 引言

隨著物聯(lián)網(wǎng)、云計算等技術(shù)的興起，全球范圍內(nèi)出現(xiàn)了網(wǎng)絡(luò)數(shù)據(jù)的爆炸式增長。國際數(shù)據(jù)公司（IDC）發(fā)布的研究報告稱，預(yù)計到2020年全球數(shù)據(jù)總量將超過40ZB，這相當(dāng)于從2011年開始的10年內(nèi)數(shù)據(jù)量增長22倍。大數(shù)據(jù)中的主要數(shù)據(jù)是個人信息，一些企業(yè)在強(qiáng)大價值利潤的驅(qū)使下，大量收集、處理、使用和發(fā)布用戶信息，這種操作行為在給企業(yè)帶來商機(jī)的同時，造成的用戶個人隱私泄露，威脅到個人的生活安全和社會的治安穩(wěn)定。據(jù)統(tǒng)計，2012年北京中關(guān)村派出所全年接報的電信詐騙占立案的38%，詐騙分子都是準(zhǔn)確獲取了用戶的個人隱私信息后實施詐騙的。

因此，在大數(shù)據(jù)環(huán)境下，無論個人還是企業(yè)都需要提高警惕，加強(qiáng)個人隱私的保護(hù)。隱私是指用戶不愿意公開、不想讓別人知道的自身敏感信息。個人隱私可以分為4類：①信息隱私，主要指個人數(shù)據(jù)，如電話號碼、身份證號、銀行賬號、收入等。②通信隱私，主要指個人通信方式，如電話、微信、QQ、E-mail等。③身體隱私，指個人的身體狀況信息，如體檢信息、病情報告、藥物測試等。④位置隱私，指個人的活動場所，如工作單位、住址、交通工具、當(dāng)前位置等。可見，個人隱私所包含的內(nèi)容是多方面的，任何個人隱私信息的泄露都會給我們的生活帶來一定影響。

近年來，大數(shù)據(jù)的安全和隱私保護(hù)成了人們研究的熱點問題，本文在前人研究的基礎(chǔ)上，對大數(shù)據(jù)時代個人隱私保護(hù)措施進(jìn)行了總結(jié)和研究。文章首先介紹了大數(shù)據(jù)時代個人隱私保護(hù)的相關(guān)概念，通過分析個人隱私保護(hù)面臨的主要問題，從數(shù)據(jù)加密、數(shù)據(jù)匿名化和數(shù)據(jù)訪問控制三個方面敘述了個人隱私保護(hù)所使用的技術(shù)措施，并提出了個人隱私保護(hù)的相關(guān)法律和行業(yè)規(guī)范，最后提出了大數(shù)據(jù)個人隱私保護(hù)的進(jìn)一步研究方向。

1 大數(shù)據(jù)時代個人隱私安全現(xiàn)狀

當(dāng)前，隱私安全遭到破壞是大數(shù)據(jù)時代個人信息安全的主要威脅。例如，蘋果公司的“隱私門”事件，泄露了大量用戶的行蹤；騰訊QQ的朋友圈，曝光了用戶真實姓名和一些社交關(guān)系；AOL公司曾公布了匿名處理后的3個月內(nèi)部分搜索歷史，供人們分析使用等等[1]。網(wǎng)站經(jīng)營者在沒有征得當(dāng)事人同意的前提下不正當(dāng)?shù)厮鸭痛鎯€人數(shù)據(jù)，或者有意無意地將計算機(jī)系統(tǒng)保存的信息沒有即時刪除導(dǎo)致用戶的個人信息泄露等，這都是侵犯用戶的隱私權(quán)。泄露后的個人信息往往會被違法犯罪分子獲得，并從事一些違法犯罪活動，主要表現(xiàn)在以下方面：

①電話、QQ或郵箱等通信方式泄露造成電信、網(wǎng)絡(luò)詐騙。如2016年5月，甘肅秦安縣某教師被詐騙分子以“犯了案”為由，騙去了其23萬元血汗錢。同年，臨沂市接連發(fā)生至少3起電信詐騙學(xué)生案件，3名學(xué)生銀行卡內(nèi)資金被騙，其中兩名學(xué)生猝死，引發(fā)社會關(guān)注。

②直接實施搶劫、敲等重暴力犯罪活動。如2012年初在廣州，犯罪分子冒充快遞，根據(jù)個人信息資料直接上門搶劫，造成了戶主一死兩傷的惡性案件。

③非法實施商業(yè)競爭。不法分子以各類咨詢、免費服務(wù)為借口，非法獲取個人的信息資料，進(jìn)行收買客戶、惡意打壓競爭對手。

④信息非法傳播。不法分子獲得公民個人信息后，通過維信、微博等工具在網(wǎng)絡(luò)中大肆傳播，惡意攻擊，或通過網(wǎng)絡(luò)人肉搜索、信息曝光等行為影響民眾生活。

⑤影響民事訴訟。不法分子通過各種途徑得到公民個人信息，并通過得到這些信息進(jìn)入一些民事訴訟中，對群眾日常生活和個人財產(chǎn)利益造成困擾。

由于個人信息具有一定的商業(yè)價值，販賣公民個人信息已經(jīng)成為一條灰色產(chǎn)業(yè)鏈。據(jù)國內(nèi)調(diào)查報告顯示，2011年地下信息產(chǎn)業(yè)鏈的盈利規(guī)模估計超50億元，監(jiān)測到超過9萬人參與地下黑市運作，8%的網(wǎng)友曾在網(wǎng)上遭遇欺詐或被盜。隱私被侵犯的影響是全球性的，斯諾登引爆了美國的“棱鏡計劃”（PRISM）的內(nèi)幕消息，更是將大數(shù)據(jù)隱私保護(hù)的必要性和緊迫性引向一個新的高度。大數(shù)據(jù)下個人隱私安全所面臨的形勢日益嚴(yán)峻，當(dāng)前，對于大數(shù)據(jù)隱私信息的保護(hù)，既要加強(qiáng)隱私保護(hù)的技術(shù)措施，還要不斷完善相關(guān)法律法規(guī)。

2 大數(shù)據(jù)環(huán)境下個人隱私保護(hù)的技術(shù)措施

目前，個人隱私保護(hù)技術(shù)主要有：數(shù)據(jù)加密技術(shù)、數(shù)據(jù)匿名化技術(shù)和數(shù)據(jù)訪問控制技術(shù)。

2.1 數(shù)據(jù)加密的個人隱私保護(hù)

數(shù)據(jù)加密技術(shù)是一種傳統(tǒng)的對敏感信息保護(hù)的方法，其作用是防止重要數(shù)據(jù)被入侵者竊取或者篡改。數(shù)據(jù)加密可分為對稱加密算法和非對稱加密算法。對稱加密算法主要用于保證數(shù)據(jù)的機(jī)密性，加密和解密時使用相同的密鑰。該算法加密速度快、效率高、是目前主要采用的信息加密算法。但這種算法中通信雙方使用相同的密鑰，安全性很難確保，并且密鑰數(shù)據(jù)量的不斷增長使密鑰管理成本太高。非對稱加密算法，也稱公開密鑰算法，其加密和解密使用不同的密鑰，它主要用于身份認(rèn)證和數(shù)字簽名等信息交換領(lǐng)域。非對稱加密算法可以適應(yīng)網(wǎng)絡(luò)的開放性的要求，且密鑰管理較為簡單。但非對稱加密中的算法復(fù)雜、效率低。在此基礎(chǔ)上，研究人員提出了針對HDFS（Hadoop分布式文件系統(tǒng)）的混合加密技術(shù)[2]，該技術(shù)很好的融合了對稱加密和非對稱加密技術(shù)，實現(xiàn)對大數(shù)據(jù)隱私信息的存儲保護(hù)。

2.2 匿名化方法的個人隱私保護(hù)

為了從大數(shù)據(jù)中獲益，數(shù)據(jù)所有者需要公開發(fā)布可能包含一定用戶信息的己方數(shù)據(jù)，服務(wù)方則需要對數(shù)據(jù)進(jìn)行處理之后再進(jìn)行發(fā)布，從而避免用戶隱私的泄露。匿名技術(shù)就是通過隱藏用戶的身份和敏感數(shù)據(jù)達(dá)到隱私保護(hù)的目的，匿名化操作在數(shù)據(jù)發(fā)布前主要有泛化、壓縮、分解、置換和干擾。其中，泛化和壓縮主要是隱藏準(zhǔn)標(biāo)識符，通過識別用戶屬性集的一些細(xì)節(jié)，用一個通用的值將一個具體的值替換；分解和置換是主要對敏感屬性分組和混排，使用解耦的方法將準(zhǔn)標(biāo)識符和敏感屬性之間的關(guān)聯(lián)分離；干擾主要是通過添加隨機(jī)噪聲干擾敏感數(shù)據(jù)。最初，服務(wù)方通過刪除數(shù)據(jù)表中用戶身份的屬性而實現(xiàn)匿名化隱私保護(hù)，但攻擊者可以通過獲得含了用戶標(biāo)識符的數(shù)據(jù)集，并重新建立起用戶標(biāo)識符與數(shù)據(jù)記錄的對應(yīng)關(guān)系，從而造成鏈接攻擊（linking attack）[3]。為了解決這個問題，可以通過匿名化方法避免攻擊者使用屬性鏈接、記錄鏈接和表鏈接。避免記錄鏈接的方法主要有k-anonymity，以及（X，Y）-anonymity和MultiR k-anonymity等；避免屬性鏈接的方法有l(wèi)-diversity，-anonymity，t-closeness等；避免表鏈接的方法δ-Pesence。

2.3 數(shù)據(jù)訪問控制的個人隱私保護(hù)

當(dāng)前，企業(yè)提供了一些個人敏感信息的控制機(jī)制，包括自身信息是否對外發(fā)布、對哪些人發(fā)布、以及編輯許可訪問約束限制條件等。如在最常用的QQ通信中，包括“僅自己可見”、“僅好友可見”、“所有人可見”等權(quán)限設(shè)置，每項個人信息都根據(jù)你公布的意愿選擇訪問權(quán)限。又如Facebook中，有 “僅朋友”、“私人”、“指定人”、“朋友的朋友”、“每個人”等5種權(quán)限設(shè)置。2011年Google推出的Google+在設(shè)置上對隱私功能進(jìn)行了細(xì)粒度劃分[4]，用戶可以在不同的朋友圈里分享信息。并且，由用戶自己決定他們比較關(guān)心的自身信息，信息可以被哪些人看到，這是今后大數(shù)據(jù)個人隱私保護(hù)的發(fā)展趨勢。因此，企業(yè)應(yīng)該更新和完善現(xiàn)有的軟件，根據(jù)用戶的設(shè)置確定信息的保護(hù)范圍和保護(hù)級別，為用戶提供更加科學(xué)合理、更加人性化的服務(wù)。

3 健全個人隱私保護(hù)的相關(guān)法律法規(guī)

3.1 隱私權(quán)的立法與宣傳

目前，我國還沒有具體的隱私權(quán)法律法規(guī)，但是對于個人隱私的法律保護(hù)近年來在不斷加強(qiáng)。我們要通過立法和宣傳教育，使不法分子充分認(rèn)識到侵犯他人隱私所帶來的嚴(yán)重后果，并要承擔(dān)法律責(zé)任和付出相應(yīng)的代價。

3.2 網(wǎng)絡(luò)身份證（VIEID）的推廣和普及

根據(jù)目前網(wǎng)絡(luò)虛擬社會的管理和個人隱私保護(hù)等方面的急切的需求，我國成功研發(fā)了“虛擬身份電子標(biāo)識”，即“網(wǎng)絡(luò)身份證”技術(shù)，并且組建我國“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”。網(wǎng)絡(luò)身份證（VIEID）是互聯(lián)網(wǎng)中用來標(biāo)識用戶身份的一種有力工具。網(wǎng)絡(luò)身份證使用以后，互聯(lián)網(wǎng)會變得更加安全、高效。

3.3 提高個人信息保護(hù)意識

個人信息保護(hù)需要社會各界共同來維護(hù)，公眾也需要加強(qiáng)個人信息保護(hù)意識，例如：不能給第三方輕易提供涉及隱私信息的資料；加強(qiáng)電腦和手機(jī)等電子設(shè)備系統(tǒng)的安全保護(hù)；定期清理可能暴漏隱私的數(shù)字信息；提高對郵件的警惕性等。

3.4 加強(qiáng)企事業(yè)單位信息數(shù)據(jù)的監(jiān)管

目前，很多的信息的流出都與企事業(yè)單位有關(guān)，這就要求企事業(yè)單位需要加強(qiáng)數(shù)據(jù)庫的監(jiān)管，避免不法人員對個人數(shù)據(jù)查看、復(fù)制，嚴(yán)防個人信息的泄露；加強(qiáng)數(shù)據(jù)管理人員職業(yè)道德和技術(shù)的培訓(xùn)，做到數(shù)據(jù)庫專人專管，提升管理人員的技術(shù)水平。

4 結(jié)語

大數(shù)據(jù)環(huán)境下的個人隱私保護(hù)是當(dāng)前研究的熱點問題，本文介紹了數(shù)據(jù)隱私的基本概念，通過對當(dāng)前大數(shù)據(jù)時代個人隱私安全面臨的嚴(yán)峻形勢的分析，對個人隱私安全保護(hù)通常所采用的技術(shù)措施進(jìn)行了總結(jié)，并提出了個人或企業(yè)在個人隱私保護(hù)方面應(yīng)遵守的法律和行業(yè)規(guī)范，最后探索了個人隱私保護(hù)的進(jìn)一步研究方向。

參考文獻(xiàn)：

[1]馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護(hù)[J].計算機(jī)學(xué)報，2014，37（1）：246-258.

[2]劉雅輝，等.大數(shù)據(jù)時代的個人隱私保護(hù)[J].計算機(jī)研究與發(fā)展，2015，52（1）：229-247.

[3]Song， Yi， et al. "Sensitive label privacy protection on social network data."International Conference on Scientific and Statistical Database Management. Springer Berlin Heidelberg， 2012.

[4]Chen M Y， Yang C C， Hwang M S. Privacy protection data access control[J]. IJ Network Security， 2013， 15（6）： 411-419.