張永兵

摘要：近年來，以云計算為基礎平臺的大數(shù)據(jù)時代正式到來，大數(shù)據(jù)因蘊藏有巨大的商業(yè)價值而使不法分子想方設法盜取個人隱私數(shù)據(jù)，從而影響用戶的正常生活。本文通過分析大數(shù)據(jù)時代個人隱私安全面臨的嚴峻挑戰(zhàn)，對個人隱私保護所采用的技術措施進行總結，并提出了個人或企業(yè)應遵守的法律和行業(yè)規(guī)范，最后探索了個人隱私保護的進一步研究方向。

Abstract： In recent years， the era of big data based on cloud computing platform officially arrived， and big data contains a huge commercial value and makes the criminals try to steal personal privacy data， thus affecting the normal life of the user. By analyzing the challenges faced by the privacy security in the era of big data， summarize the technical measures adopted in the protection of personal privacy， put forward the laws and industry standards the individual or enterprise should abide by， and finally explore the direction of further research on the protection of personal privacy.

關鍵詞：大數(shù)據(jù)；個人隱私保護；匿名化技術；數(shù)據(jù)加密；數(shù)據(jù)訪問控制

Key words： big data；personal privacy protection；anonymity technology；data encryption；data access control

中圖分類號：N37 文獻標識碼：A 文章編號：1006-4311（2016）35-0187-02

0 引言

隨著物聯(lián)網、云計算等技術的興起，全球范圍內出現(xiàn)了網絡數(shù)據(jù)的爆炸式增長。國際數(shù)據(jù)公司（IDC）發(fā)布的研究報告稱，預計到2020年全球數(shù)據(jù)總量將超過40ZB，這相當于從2011年開始的10年內數(shù)據(jù)量增長22倍。大數(shù)據(jù)中的主要數(shù)據(jù)是個人信息，一些企業(yè)在強大價值利潤的驅使下，大量收集、處理、使用和發(fā)布用戶信息，這種操作行為在給企業(yè)帶來商機的同時，造成的用戶個人隱私泄露，威脅到個人的生活安全和社會的治安穩(wěn)定。據(jù)統(tǒng)計，2012年北京中關村派出所全年接報的電信詐騙占立案的38%，詐騙分子都是準確獲取了用戶的個人隱私信息后實施詐騙的。

因此，在大數(shù)據(jù)環(huán)境下，無論個人還是企業(yè)都需要提高警惕，加強個人隱私的保護。隱私是指用戶不愿意公開、不想讓別人知道的自身敏感信息。個人隱私可以分為4類：①信息隱私，主要指個人數(shù)據(jù)，如電話號碼、身份證號、銀行賬號、收入等。②通信隱私，主要指個人通信方式，如電話、微信、QQ、E-mail等。③身體隱私，指個人的身體狀況信息，如體檢信息、病情報告、藥物測試等。④位置隱私，指個人的活動場所，如工作單位、住址、交通工具、當前位置等。可見，個人隱私所包含的內容是多方面的，任何個人隱私信息的泄露都會給我們的生活帶來一定影響。

近年來，大數(shù)據(jù)的安全和隱私保護成了人們研究的熱點問題，本文在前人研究的基礎上，對大數(shù)據(jù)時代個人隱私保護措施進行了總結和研究。文章首先介紹了大數(shù)據(jù)時代個人隱私保護的相關概念，通過分析個人隱私保護面臨的主要問題，從數(shù)據(jù)加密、數(shù)據(jù)匿名化和數(shù)據(jù)訪問控制三個方面敘述了個人隱私保護所使用的技術措施，并提出了個人隱私保護的相關法律和行業(yè)規(guī)范，最后提出了大數(shù)據(jù)個人隱私保護的進一步研究方向。

1 大數(shù)據(jù)時代個人隱私安全現(xiàn)狀

當前，隱私安全遭到破壞是大數(shù)據(jù)時代個人信息安全的主要威脅。例如，蘋果公司的“隱私門”事件，泄露了大量用戶的行蹤；騰訊QQ的朋友圈，曝光了用戶真實姓名和一些社交關系；AOL公司曾公布了匿名處理后的3個月內部分搜索歷史，供人們分析使用等等[1]。網站經營者在沒有征得當事人同意的前提下不正當?shù)厮鸭痛鎯€人數(shù)據(jù)，或者有意無意地將計算機系統(tǒng)保存的信息沒有即時刪除導致用戶的個人信息泄露等，這都是侵犯用戶的隱私權。泄露后的個人信息往往會被違法犯罪分子獲得，并從事一些違法犯罪活動，主要表現(xiàn)在以下方面：

①電話、QQ或郵箱等通信方式泄露造成電信、網絡詐騙。如2016年5月，甘肅秦安縣某教師被詐騙分子以“犯了案”為由，騙去了其23萬元血汗錢。同年，臨沂市接連發(fā)生至少3起電信詐騙學生案件，3名學生銀行卡內資金被騙，其中兩名學生猝死，引發(fā)社會關注。

②直接實施搶劫、敲等重暴力犯罪活動。如2012年初在廣州，犯罪分子冒充快遞，根據(jù)個人信息資料直接上門搶劫，造成了戶主一死兩傷的惡性案件。

③非法實施商業(yè)競爭。不法分子以各類咨詢、免費服務為借口，非法獲取個人的信息資料，進行收買客戶、惡意打壓競爭對手。

④信息非法傳播。不法分子獲得公民個人信息后，通過維信、微博等工具在網絡中大肆傳播，惡意攻擊，或通過網絡人肉搜索、信息曝光等行為影響民眾生活。

⑤影響民事訴訟。不法分子通過各種途徑得到公民個人信息，并通過得到這些信息進入一些民事訴訟中，對群眾日常生活和個人財產利益造成困擾。

由于個人信息具有一定的商業(yè)價值，販賣公民個人信息已經成為一條灰色產業(yè)鏈。據(jù)國內調查報告顯示，2011年地下信息產業(yè)鏈的盈利規(guī)模估計超50億元，監(jiān)測到超過9萬人參與地下黑市運作，8%的網友曾在網上遭遇欺詐或被盜。隱私被侵犯的影響是全球性的，斯諾登引爆了美國的“棱鏡計劃”（PRISM）的內幕消息，更是將大數(shù)據(jù)隱私保護的必要性和緊迫性引向一個新的高度。大數(shù)據(jù)下個人隱私安全所面臨的形勢日益嚴峻，當前，對于大數(shù)據(jù)隱私信息的保護，既要加強隱私保護的技術措施，還要不斷完善相關法律法規(guī)。

2 大數(shù)據(jù)環(huán)境下個人隱私保護的技術措施

目前，個人隱私保護技術主要有：數(shù)據(jù)加密技術、數(shù)據(jù)匿名化技術和數(shù)據(jù)訪問控制技術。

2.1 數(shù)據(jù)加密的個人隱私保護

數(shù)據(jù)加密技術是一種傳統(tǒng)的對敏感信息保護的方法，其作用是防止重要數(shù)據(jù)被入侵者竊取或者篡改。數(shù)據(jù)加密可分為對稱加密算法和非對稱加密算法。對稱加密算法主要用于保證數(shù)據(jù)的機密性，加密和解密時使用相同的密鑰。該算法加密速度快、效率高、是目前主要采用的信息加密算法。但這種算法中通信雙方使用相同的密鑰，安全性很難確保，并且密鑰數(shù)據(jù)量的不斷增長使密鑰管理成本太高。非對稱加密算法，也稱公開密鑰算法，其加密和解密使用不同的密鑰，它主要用于身份認證和數(shù)字簽名等信息交換領域。非對稱加密算法可以適應網絡的開放性的要求，且密鑰管理較為簡單。但非對稱加密中的算法復雜、效率低。在此基礎上，研究人員提出了針對HDFS（Hadoop分布式文件系統(tǒng)）的混合加密技術[2]，該技術很好的融合了對稱加密和非對稱加密技術，實現(xiàn)對大數(shù)據(jù)隱私信息的存儲保護。

2.2 匿名化方法的個人隱私保護

為了從大數(shù)據(jù)中獲益，數(shù)據(jù)所有者需要公開發(fā)布可能包含一定用戶信息的己方數(shù)據(jù)，服務方則需要對數(shù)據(jù)進行處理之后再進行發(fā)布，從而避免用戶隱私的泄露。匿名技術就是通過隱藏用戶的身份和敏感數(shù)據(jù)達到隱私保護的目的，匿名化操作在數(shù)據(jù)發(fā)布前主要有泛化、壓縮、分解、置換和干擾。其中，泛化和壓縮主要是隱藏準標識符，通過識別用戶屬性集的一些細節(jié)，用一個通用的值將一個具體的值替換；分解和置換是主要對敏感屬性分組和混排，使用解耦的方法將準標識符和敏感屬性之間的關聯(lián)分離；干擾主要是通過添加隨機噪聲干擾敏感數(shù)據(jù)。最初，服務方通過刪除數(shù)據(jù)表中用戶身份的屬性而實現(xiàn)匿名化隱私保護，但攻擊者可以通過獲得含了用戶標識符的數(shù)據(jù)集，并重新建立起用戶標識符與數(shù)據(jù)記錄的對應關系，從而造成鏈接攻擊（linking attack）[3]。為了解決這個問題，可以通過匿名化方法避免攻擊者使用屬性鏈接、記錄鏈接和表鏈接。避免記錄鏈接的方法主要有k-anonymity，以及（X，Y）-anonymity和MultiR k-anonymity等；避免屬性鏈接的方法有l(wèi)-diversity，-anonymity，t-closeness等；避免表鏈接的方法δ-Pesence。

2.3 數(shù)據(jù)訪問控制的個人隱私保護

當前，企業(yè)提供了一些個人敏感信息的控制機制，包括自身信息是否對外發(fā)布、對哪些人發(fā)布、以及編輯許可訪問約束限制條件等。如在最常用的QQ通信中，包括“僅自己可見”、“僅好友可見”、“所有人可見”等權限設置，每項個人信息都根據(jù)你公布的意愿選擇訪問權限。又如Facebook中，有 “僅朋友”、“私人”、“指定人”、“朋友的朋友”、“每個人”等5種權限設置。2011年Google推出的Google+在設置上對隱私功能進行了細粒度劃分[4]，用戶可以在不同的朋友圈里分享信息。并且，由用戶自己決定他們比較關心的自身信息，信息可以被哪些人看到，這是今后大數(shù)據(jù)個人隱私保護的發(fā)展趨勢。因此，企業(yè)應該更新和完善現(xiàn)有的軟件，根據(jù)用戶的設置確定信息的保護范圍和保護級別，為用戶提供更加科學合理、更加人性化的服務。

3 健全個人隱私保護的相關法律法規(guī)

3.1 隱私權的立法與宣傳

目前，我國還沒有具體的隱私權法律法規(guī)，但是對于個人隱私的法律保護近年來在不斷加強。我們要通過立法和宣傳教育，使不法分子充分認識到侵犯他人隱私所帶來的嚴重后果，并要承擔法律責任和付出相應的代價。

3.2 網絡身份證（VIEID）的推廣和普及

根據(jù)目前網絡虛擬社會的管理和個人隱私保護等方面的急切的需求，我國成功研發(fā)了“虛擬身份電子標識”，即“網絡身份證”技術，并且組建我國“公安部公民網絡身份識別系統(tǒng)”。網絡身份證（VIEID）是互聯(lián)網中用來標識用戶身份的一種有力工具。網絡身份證使用以后，互聯(lián)網會變得更加安全、高效。

3.3 提高個人信息保護意識

個人信息保護需要社會各界共同來維護，公眾也需要加強個人信息保護意識，例如：不能給第三方輕易提供涉及隱私信息的資料；加強電腦和手機等電子設備系統(tǒng)的安全保護；定期清理可能暴漏隱私的數(shù)字信息；提高對郵件的警惕性等。

3.4 加強企事業(yè)單位信息數(shù)據(jù)的監(jiān)管

目前，很多的信息的流出都與企事業(yè)單位有關，這就要求企事業(yè)單位需要加強數(shù)據(jù)庫的監(jiān)管，避免不法人員對個人數(shù)據(jù)查看、復制，嚴防個人信息的泄露；加強數(shù)據(jù)管理人員職業(yè)道德和技術的培訓，做到數(shù)據(jù)庫專人專管，提升管理人員的技術水平。

4 結語

大數(shù)據(jù)環(huán)境下的個人隱私保護是當前研究的熱點問題，本文介紹了數(shù)據(jù)隱私的基本概念，通過對當前大數(shù)據(jù)時代個人隱私安全面臨的嚴峻形勢的分析，對個人隱私安全保護通常所采用的技術措施進行了總結，并提出了個人或企業(yè)在個人隱私保護方面應遵守的法律和行業(yè)規(guī)范，最后探索了個人隱私保護的進一步研究方向。

參考文獻：

[1]馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護[J].計算機學報，2014，37（1）：246-258.

[2]劉雅輝，等.大數(shù)據(jù)時代的個人隱私保護[J].計算機研究與發(fā)展，2015，52（1）：229-247.

[3]Song， Yi， et al. "Sensitive label privacy protection on social network data."International Conference on Scientific and Statistical Database Management. Springer Berlin Heidelberg， 2012.

[4]Chen M Y， Yang C C， Hwang M S. Privacy protection data access control[J]. IJ Network Security， 2013， 15（6）： 411-419.