1、1矛与盾的交锋摘 要 大数据时代是信息化社会发展的必然趋势。大数据在带给民众无限便利与享受的同时,也将众人置身于隐私权受到侵害的风险之中,由个人数据的收集、处理和使用产生的隐私问题日益凸显。本文对大数据背景下的个人隐私安全问题进行探讨,并为隐私保护提供相关建议。 关键词 大数据 隐私 隐私泄露 作者简介:刘莹,天津市和平区人民检察院。 中图分类号:C913 文献标识码:A 文章编号:1009-0592(2015)12-192-03 作为互联网与统计学发展融合的产物,大数据是当前学术界与产业界的研究热点,影响着人们的日常生活方式、工作习惯以及思考模式。目前大数据的发展依然面临许多问题,其中安全与
2、隐私问题是公认的关键问题之一。 普遍观点认为,大数据(Big Data)是指规模大且复杂,以至于很难用现有数据库管理工作或数据处理器来处理的数据集。通过对海量数据尤其是海量个人信息的针对性分析,大数据为互联网插上统计学翅膀,使互联网的作用从简单的数据交流和信息传递上升到基于海量数据的分析。在此大数据时代,网络搜索技术、数据挖掘、商业智能等技术的发展令相关行业能够充分利用相关信息和数据实现价值创造。但值得注意的是,近年来,大数据在收集、存储和使用过程中频繁出现隐私泄露问2题,为用户带来严重困扰,而同时由其产生的虚假数据亦会导致错误甚至无效的大数据分析结果,进而误导数据分析后的二次利用。 一、大数
3、据背景下的国内外隐私安全现状 随着互联网的深入发展,当今主流科技已由 IT 逐渐向DT(DataTechnology)过渡。DT 充分挖掘数据资源,以“人”为中心,不仅强调舒适的客户体验,同时也需要公开透明的游戏规则与行业环境。而作为 DT 数据挖掘的基础通过网络传播的个人信息,则随着时代发展逐渐成为社会各界竞相收集的资源对象。但由于网络安全存在的诸多问题,使得个人信息在网络中的每一个传播环节均面临泄露风险。网络传播的个人信息被他人错用、误用甚至恶意使用的事件层出不穷,如早年的“3Q 大战“即为典型例证。 在大数据时代,作为极其重要的新兴社会资源,针对个人隐私的争夺大战频繁上演。商家定期收集消
4、费者的个人数据,但对这些数据的使用和安全保障却缺乏有效监管。从 2010 年支付宝客户信息泄露事件,到同年社交网站 Facebook 泄密门;从 2011 年韩国最大社交网站“赛我网”因黑客攻击造成 3500 万用户信息外泄,到 2015 年美国婚外恋网站AshleyMadison3700 万用户信息被黑客曝光;从 2013 年苹果手机 i-Cloud 云服务漏洞被黑客利用造成明星裸照泄露,到 2015 年 7 月发现影响 95%安卓手机的高危漏洞“stagefright 框架漏洞” (利用该漏洞只需一条彩信即可“黑”掉一部手机,并采用“蠕虫攻击”模式通过用户通讯录继续蔓延) ,隐私泄露事件的
5、愈演愈烈对人们在大数据背景下如何保护个人隐私提出了严峻挑战。 32015 年 2 月,数字安全领域的领军企业美国 Gemalto 公司在其发表的安全报告中指出, 2014 年共计发生超过 1500 起数据泄漏事件,导致将近 10 亿数据被曝光。其中 54%的数据泄漏事件涉及到用户隐私与金融方面信息(2013 年该项数值为 23%) ,从总体上而言数据泄漏事件相较2013 年增长了 49%,泄漏的数据记录比 2013 年同期增多 78%。 2015 年 7 月,猎豹移动安全实验室发布其2015 年上半年移动安全报告 ,报告称:过去半年,全球 6.1 亿台次手机曾中毒,是 2014 年的2.77
6、倍;中国、印度、俄罗斯、印度尼西亚和墨西哥,是手机病毒危害最严重的前 5 个国家,其中中国受害手机 1.49 亿台次,名列第一。数据表明,移动安全形势比以往任何时候都更加严峻。 2014 年美国白宫进行了为期 90 天的大数据与隐私钓鱼,在美国国内激起热烈讨论,一派任务目前垂直领域的隐私管理和行业自律机制已足够处理当下隐私问题,无需出台新的法律,另一派则呼吁要加强立法工作。2014 年 5 月欧洲法院裁决,当个人信息明显过时或不相关时,民众有权行使“被遗忘权”要求网络服务商删除该个人信息,进一步提升了隐私保护力度。2013 年 7 月工信部发布电信和互联网用户个人信息保护规定 ,在立方层面前进
7、一步,但相较其他国家,我国对网络个人隐私信息安全保护工作依然水平较低且处于起步阶段,无法适应大数据日益发展和网民对隐私保护需求日益增长的实际需要。 纵观近年来国内外各类隐私泄露事件及安全事故,大体可归纳出以下几点问题: 1.漠视用户利益,安全投入程度低。从黑客攻击的成本角度而言,4在进行某项黑客行为时,若获取的收益远小于黑客行为所需投入的成本,则该黑客行为即为失败。因此,黑客们更倾向于采取一些低成本手段(例如:监听与口令攻击、www 攻击、木马植入、缓冲区溢出攻击、端口攻击、漏洞扫描、 “嗅探”式后面攻击、状态操作攻击、SQL 代码嵌入攻击、核心级别的 rootkits 攻击等)尝试获取数据或
8、攻击一些安全防护水平较低的系统。目前,国内许多企业信息安全意识淡薄,采用的信息安全防护手段较为老旧且对提升防护能力态度消极。例如,在收集存储用户个人信息时,许多网站均采用极不安全的直接明文存储方式,对数据不进行加密处理。这些忽视用户利益的行为,为黑客攻击创造了便利条件,一旦数据泄露,黑客即可直观掌握包括用户密码在内的所有个人隐私数据。 2.危机事件发生后,应对较为消极。以大数据在商业领域的应用为例,无论是以“硬件+软件+数据”模式提供整体解决方案的大数据行业企业(如 IBM、微软、惠普、Oracle、EMC、SAP 等公司) ,还是以自身拥有的海量用户信息提供精准化营销的大数据应用企业(如 F
9、acebook、亚马逊、Google、淘宝、百度等公司) ,当被曝光出现安全漏洞或发生信息泄露等重大事故后,在舆论压力下,大多数相关企业会采取发表公关声明的方式予以“紧急灭火” ,但后续处理则不了了之;而那些未被曝光的信息安全事件,则多是采取多一事不如少一事的原则,选择隐瞒用户到底。针对泄密事件,大多数服务商一般采取提示用户修改密码的主要应对措施,但这种解决方案依然是治标不治本,消极处理意味较为明显。 3.过度收集个人隐私数据,降低隐私安全底线。在收集利用个人隐私信5息方面,括 Facebook、Google 在内的知名大型互联网公司几乎全部会因业务需要而放松隐私政策的执行力度。2010 年
10、Google 为实现“街景”功能全面上线,采用大量采集车在数十个国家进行街景采集,并通过部分未设置接入密码的 wifi 无线网络收集到一些个人信息片段,这些片段包括电子邮件信息、在线聊天信息等个人隐私数据,而之后 Google 承认并未履行承诺对这些数据全部删除。2012 年 iPhone 手机中的一款名为“Girls Around Me”的应用被曝光存在隐私泄露问题,该 app 应用软件利用部分女性用户在社交网络上公开的个人地理定位信息,帮助男性用户定位自己附近的女性用户情况,并通过 Facebook 查看这些女性用户在网站上的照片和个人资料。 二、大数据背景下的隐私泄露渠道分析 伴随着网络
11、技术的飞速发展,大数据背景下的个人隐私泄露途径越来越多,防不胜防。 1.过度收集个人隐私数据:2015 年 DCCI 互联网数据中心发布的调查报告指出,在对安卓手机各类应用程序的综合测评中发现针对功能不必需的信息数据,位居前四位的是获取手机位置信息、通话记录、监听手机通话以及使用话筒录音,其中 11.2%的位置信息读取和 9.4%的短信记录读取,均为不必需的功能。而美国一项针对苹果手机应用商店内超过 65000 个应用的研究发现,18.6%的苹果 IOS 应用会不经用户同意而访问其通讯录,42.5%的苹果 IOS 应用会自动获取手机用户位置信息。同时,由于社交媒体之间的网络化发展,部分应用软件
12、之间已实现数据共享与互联互通,如 A 应用软件要求绑定 B 应用软件中的账号,则 A 与 B6应用软件内的信息即可实现互通,进而使 A、B 双方收集用户信息的渠道进一步拓宽。此外,当用户注册各类社区网站并填写个人详细信息时,看似是自愿填写并选择“已阅读相关权限说明” ,貌似属于合法收集用户个人信息, 但其实并未明确告知用户其收集目的、是否用作盈利以及如何保护用户个人信息。 2.恶意程序和山寨应用:个人隐私信息的泄露源头主要为企业、银行、政府机关、公共服务行业等。一方面,这些机构中的不法分子有机会接触、掌握大量个人隐私信息,由于法律意识淡薄与经济利益驱使,他们将掌握的个人隐私信息卖给个人信息收集
13、者并从中获取经济利益。另一方面,这些机构因安全防范手段落后或疏于管理,为恶意程序的植入或黑客入侵创造了条件。此外,手机端的恶意程序和山寨应用也逐渐成为隐私泄露的重要阵地,这些程序大多来自于非正规应用商店、刷机、短信链接和二维码识别等途径。360 安全中心2014 年中国手机安全状况报告宣称,2014 年安卓平台新增恶意程序样本 326 万个,较 2013 年增长 3.86 倍,全年安卓用户干扰恶意程序 3.19 人次,且下半年感染量是上半年的 3 倍左右。 3.黑色数据交易产业链:个人隐私信息数据的买卖交易每年可创收高达上百亿元,企业或对所拥有的大数据或进行二次开发利用进而拓展自身业务发展,或
14、透露给广告商进行精准广告投放与营销,或卖给第三方。由此,这种黑色产业链大致可分两种运行模式:一种是行业或企业之间相互交换各自掌握的用户个人信息,另一种是将掌握的用户个人信息出售给信息需求者。值得注意的是,上述第二种模式中个人信息的出7售并不是一次性交易,卖方一般不会直接兜售给下游买方,而是通过多层中间商的倒买倒卖以便逃避法律风险;而中间商则会将买来的信息进行归类筛选,根据不同需求售卖给不同机构,并经过层层盘剥,用尽信息的最后一滴价值;最后接盘的买方,有时还会专门定制用户信息,甚至会雇佣黑客直接攻击竞争对手的网址以便窃取所需信息。例如,在移动网络环境下,用户个人信息和用户网络行为可贩卖给有需求的
15、调研机构或推广营销机构;越界获取的个人手机通讯录和移动网络社交信息均可贩卖给诈骗集团;微博微信论坛等账号信息可贩卖给营销团队或水军团队等,形成一条触角延伸极广的黑色数据交易产业链。 三、我国应对隐私安全问题的几点建议 1.进一步完善保障数据隐私的法律规范:针对数据隐私,我国应在现有的基本保护之上,进一步扩大保护范畴,将数据采集、数据分析等大数据利用全过程纳入法律规制范畴内。在制度建设层面持续发力,继续完善相关立法,将零散分布在行政规章制度及部分法律法规中的相关条款予以整合,确立数据权人容易理解的数据隐私采集制度,从立法层面推进数据挖掘行为规范化, “形成保护个人隐私的长效机制” 。 2.强化数
16、据控制者管理个人数据的责任义务:当前,用户一方面对数据隐私被泄露的顾虑程度不断上升,另一方面对服务的便捷程度却不断提升要求,因此数据控制者应深入完善网络服务协议,增补有利于保护用户数据隐私的网络服务协议必备条款,改进弃权规则,建立选择性推出机制,实现国家安全、经济发展、个人隐私、技术进步等各方利益之间的动态平衡。 83.完善海量数据库综合运作的监管机制:作为大数据的基石,海量数据库同样是隐私保护的关键所在。随着公众知情意识的提升,有效管控海量数据库之间的数据流转以及综合运作愈加重要,因此应探索实施相关监管手段,确保正确信息到达正确目标用户,限定特定信息只能给予特殊获取人群使用,推进“使用数据”
17、而非“销售数据”的数据处理目标。 4.培养公民隐私安全防护的意识手段:(1)在网络上进行关键词搜索时,尽量不使用个人账号登陆搜素引擎;(2)因网站搜集用户数据主要利用 cookies(计算机自带功能之一,主要用于辨别用户身份) ,故可在浏览器隐私设置中选择禁用 cookies 或安装网络安全工具,及时清理上网痕迹,清除个人信息;(3)当使用微博、微信等社交媒介上提到友人时,尽量不要他的账号,可直接输入对方账号或他的名字;(4)进行各类网站的用户注册时,应首先考核网站安全性并确定哪些内容无需填写真实信息,尽量使用不同的用户名和注册邮箱(因为若用户名相同或者注册邮箱相同,进行大数据搜索的计算机可轻
18、易识别出) ;(5)在网络上与友人讨论热点新闻时,尽量不要直接摘录其中文字,可引用链接、截图或在每个字中间加空格,以便躲过大数据的地毯式搜索。 纵观历史,我们必须清醒地认识到人类正在走进以信息技术为核心的知识经济时代,信息技术与传统产业的加速广泛结合,使得信息产业逐渐发展为世界范围内的朝阳产业。而作为 21 世纪最有价值的个人信息资源,也愈加凸显出其在信息产业发展中不可或缺的重要地位。从本质上讲,在信息交流与信息保护之间并不存在根本性矛盾,但谁能掌握更9多数据信息,谁就可以在日益激烈的竞争中获得更大利益与主动权,因此这场围绕数据的争夺战必将贯穿大数据时代始终,而数据隐私泄露与隐私保护的斗争亦将
19、持续下去。 参考文献: 1维基百科.http:/en.wikipedia.org/wiki/Big_data. 2中国信息产业网.2010 年网络个人隐私泄露盘点:谷歌街景上榜.http:/ii. -12/29/content_825481.htm. 3中国网.DCCI 联合 360 发布2014 年下半年手机隐私安全报告.http:/science.china. content_8002434.htm. 4人民网.6 成安卓应用疑泄露隐私谁在用我的信息获益?.http:/. cn/stock/n/2012/0913/c222942-18997293.html. 5罗力.社交网络中用户个人信息安全保护研究.图书馆学研究.2012. 6人民网.2014 年中国手机安全状况报告.http:/it.peo 26453255.html. 7彭默馨、袁艺.大规模个人信息泄露事件的特点、成因及对策.信息安全.2012(1). 8周宏仁.中国信息化形势分析与预测(2013).社会科学文献出版社.2013.