大数据时代的隐私保护问题及思考

2016-03-15官凌青

网络安全技术与应用 2016年9期

关键词：数据安全信息安全时代

◆官凌青

（经济日报社北京 100054）

大数据时代的隐私保护问题及思考

◆官凌青

（经济日报社北京 100054）

信息技术与经济社会的交汇融合引发了数据迅猛增长，世界处于各种数据指数式增长的环境中，大数据日益成为推动各个领域变革的强劲力量。如何在保证大数据发挥经济效益、社会稳定等价值的同时，最大限度地维护个人隐私安全，已成为重中之重。本文分析了大数据时代隐私保护的困难性，并从战略规划、法律法规、技术保障等方面对大数据时代保护隐私安全提出了建议。

大数据；隐私保护；信息安全

0 引言

在我国，大数据对于经济发展发挥着重要作用。2012年，中国计算机协会（CCF）发起组织了CCF大数据专家委员会，并撰写发布了《2013年中国大数据技术与产业发展白皮书》。十八大以来，大数据三次出现在李克强总理的《政府工作报告》中，2015年8月，国务院印发《促进大数据发展行动纲要》，系统部署大数据发展工作。我国国家自然科学基金、973计划、核高基、863等重大研究计划都已把大数据研究列为重大的研究课题，十三五规划中也深刻体现了政府对大数据产业和应用发展的重视。2016年4月19日，习近平总书记在网络安全和信息化工作座谈会上发表重要讲话，就新常态下加强大数据管理作出重大部署。

1 大数据时代面临的隐私保护问题

大数据正逐渐成为现代社会基础设施的一部分，一方面使得相关行业能够利用信息和数据实现更大的价值。另一方面，正是由于大数据具有巨大的价值潜力，这也极大地刺激了互联网公司进一步采集、存储、循环利用个人数据的企图，使得个人隐私的保护迎来前所未有的挑战。在大数据环境下，个人隐私安全主要面临以下问题：

1.1 隐私遭到泄露和二次利用

大数据时代，隐私主要以“个人数据”的形式出现，而这些隐私信息和敏感信息复制的频率和速度非常快。并且，具有“4V”特征的大数据规模日益庞大，足以证明主体的真实性并可以对个人进行全方位识别。例如，QQ人际关系和“人肉搜索”，都是通过识别个人数据，暴露了隐私。很多数据在收集的时候并无意用作其他用途，但最终却产生了很多创新性的用途。个人隐私已作为可以买卖的商品，成为实现商品价值的一种工具被二次利用。

1.2 个人行为被预测

由于人们的生活正在被数字化、被记录、被跟踪、被传播，用户的位置信息、行为信息、消费信息、社交信息等等，都变成了可被存储、分析的数据，如果将这些数据汇总起来，可以准确还原和预测个人在日常生活中的真实活动轨迹，如果被滥用势必加剧个人信息风险。在大数据时代，网络监视变得更容易，不仅成本更低廉而且更有效。我们仿佛是透明体，甚至不知道自己是否间接或直接地暴露了个人隐私。

1.3 隐私数据成为网络攻击目标

在网络空间里，大数据是更容易被“关注”的目标。一方面，大数据意味着海量的、复杂的、敏感的数据，这些数据会吸引更多的潜在攻击者，成为更具吸引力的攻击目标。另一方面，数据的大量汇集，使得黑客一次成功的攻击能够获得更多的隐私数据，让黑客的攻击更精准，无形中降低了黑客的进攻成本。近两年发生的一些互联网公司用户泄密事件中，泄露的数据量都是非常庞大的。

1.4 过度依赖造成数据独裁

大数据除了威胁隐私保护外，最为棘手的是对行为倾向的预测问题。大数据预测的准确性越来越高，并能够预测行为的发生，在人们犯错之前，提前惩处。由于预测的结果几乎不可反驳，人们也无法为自己开脱。但是这种预测违背了人类的自由意志，扭曲了人性中最本质的理性思维。另外，大数据也加剧了过于依赖数据的威胁，让我们盲目信任数据的力量而忽略了其局限性，造成数据滥用，使人们沦为数据的奴隶。

2 大数据时代隐私保护的紧迫性和困难性

大数据时代，隐私信息以“合法、非法、自愿、非自愿“等形式无时无刻不在泄露着，个人隐私保护的任务越发紧迫。但同时，由于数据量大、多样性、价值密度低等特点，也使得隐私保护的难度更大，具体表现为以下几个方面：

2.1 隐私泄露渠道多样化

目前，个人隐私正在以不同的渠道遭到泄露。例如，应用程序安装时，会出现位置信息、个人信息、日志数据、通讯录等内容的强制许可条款，用户只有在无条件接受的情况，方可使用该应用程序。除了以上强制性的信息泄露外，一些用户在微信、微博等社交网络上沟通交流的同时，无形中也暴露了个人喜好、购物需求、地理位置等隐私信息。另外，隐私信息泄露的渠道还有手机丢失、系统漏洞泄漏、点击网络链接泄漏、WiFi泄漏、云端网络泄漏和扫描二维码泄漏等等。以上有些渠道是可以避免的，但有些渠道则令人防不胜防，隐私遭泄露的渠道之多之复杂，远远超出人们想象。

2.2 难以确定隐私的界定范围

由于个人数据范围不断扩大，且分类趋于模糊，快速发展的数据挖掘与利用使个人在网络空间逐渐变得透明。现有的个人数据保护法律，已无法有效应对大数据环境下个人数据保护的新问题。大数据及隐私信息的定义、涵盖范围等问题尚未统一，隐私保护包含哪些敏感数据、如何认定侵犯个人隐私的行为、个人隐私信息如何管理等问题尚无专门的法律法规及操作性强的实施细则，个人数据法律保护面临诸多困境。

2.3 传输、存储和使用方式带来风险

在传输方式方面，大数据时代，网络注重无线传输，具有更强的开放性，数据在无线传输的过程中更容易受到拦截。在存储方式方面，不同于传统的数据库技术处理的数据对象多为结构化数据，随着数据生成方式的多样化，非结构化数据已成为大数据的主流形式。因此，目前已经成熟的关系型数据库无法支持非结构化的大数据信息存储，关系型数据库中的隐私保护和用户访问控制等技术也无法在大数据中应用。并且，由于大量数据通过网络汇集，更多的数据必然需要更多的设备来存储，这些设备的管理、防电磁干扰、规划布局等都需要新的设计。在使用方式方面，面对海量的数据，必须通过整体的分析才能找到有价值的信息，在此过程中，必然给数据管理者窃取用户信息的机会，加剧了个人隐私的泄露。

2.4 大数据技术被应用到攻击手段中

数据挖掘和数据分析等大数据技术在带来商业价值的同时，也被用来发起攻击。黑客可最大限度地收集更多有用信息，为发起攻击做准备，大数据分析让攻击更为精准。黑客利用大数据发起僵尸网络攻击，可能会同时控制上百万台傀儡机并发起攻击。此外，黑客利用大数据技术将攻击很好地隐藏起来，使传统的防护策略难以检测。大数据的价值低密度性，让安全分析工具很难聚焦在价值点上，黑客可以将高级可持续性攻击（APT）代码隐藏在大数据中，给安全服务提供商的分析制造很大困难。

3 大数据时代隐私保护相关建议

大数据时代保护个人隐私安全是一项复杂的系统性工程，需要强化顶层设计，在国家层面建立对大数据的控制权，还需在隐私保护技术、机构、法律法规、舆论导控、宣传教育、培训等方面及时出台相关措施。只有通过多方协同、统筹谋划，建立信息安全的生态环境，才能在使用大数据达到一定经济效益、维护社会安全稳定等价值的基础上，最大限度保护用户的隐私安全。

3.1 加强信息安全顶层设计

信息安全工作涉及范围广、领域宽、影响大，做好信息安全工作，需要统筹社会各方力量。在国家层面建立大数据战略，制定大数据时代信息安全发展规划，明确发展的指导思想、发展目标、重大攻关、实施路线图等。设立专门的隐私保护机构，及时了解和掌握我国网络隐私权的保护状况，接受网络隐私权的相关投诉并加以处理。

3.2 加大信息安全防护的法律法规建设

规范机构和个人在公共信息采集、提供、存储、使用、共享和保密等方面需要遵守的行为规范、权利和义务，将隐私数据按不同对象、隐私级别、风险等级等进行划分。目前很多机构和企业拥有大量客户信息，需要界定数据挖掘、利用的权限和范围，明确大数据的重点保障对象，加强对敏感和要害数据的信息安全保护，形成个人信息保护的中国立法路径，做到依法治理。

3.3 加强对重点行业和领域的信息安全监管

在数据中心、重点行业和领域落实等级保护制度，开展信息安全风险评估，部署基于主动防御理念的技术防护手段和措施，提高提供信息服务和保证数据安全的能力和水平。加大对重点领域敏感数据的监管检查执法力度，发挥行业自律作用，规范大数据使用的方法和流程。

3.4 加大数据安全技术自主研发力度

重点突破关键核心技术，推动大数据安全技术研发，加大数据管理系统技术、挖掘与预测分析技术、数据融合与集成技术等。着力构建自主可控的大数据安全系统，力求在扩展云计算能力、数据安全和隐私保护等方面取得突破，提高大数据安全技术的应用能力。