大数据时代下的个人信息安全
【背景链接】 2015年8月,《网络安全法(草案)》向全社会公开征求意见,公民的信息安全问题再次受到人们的广泛关注。公民的信息安全主要涉及身份信息及财产信息,对这些信息的有效保护是法治社会的应有之义。
2015年7月22日,在北京召开的中国网民权益保护论坛上,中国互联网协会12321网络不良与垃圾信息举报受理中心发布了《中国网民权益保护调查报告(2015)》。《报告》显示,在权益认知方面,网民普遍认为,在网络上,隐私权是最重要的权益,其次是选择权和知情权。近一年来,网民因个人信息泄露、垃圾信息、诈骗信息等现象导致的总体损失约805亿元。
《报告》还指出,网民被泄露的个人信息涵盖的范围也非常广。78.2%的网民个人身份信息被泄露过,包括网民的姓名、学历、家庭住址、身份证号及工作单位等;63.4%的网民个人网上活动信息被泄露过,包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等。
2014年12月,中国铁路客服中心12306网站发生信息泄露,大量用户数据在互联网上疯传,包括用户账号、明文密码、身份证号码、电子邮箱等。而早在几年前,更有媒体曝出不少酒店开房记录被流出。著名的“3Q”大战更是引起国人对个人信息安全的关注。
2014年3月,众多媒体曝出携程网“信用卡泄密门”。漏洞报告平台乌云网发布消息称,携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。但同时,因为保存支付日志的服务器未作较严格的基线安全配置,存在漏洞,导致所有支付过程中的调试信息可被骇客任意读取。
【标准表述】
伴随着科技进步,互联网及移动互联网的快速发展,云计算大数据时代的到来,人们的生活正在被数字化,被记录,被跟踪,被传播,大量数据产生的背后隐藏着巨大的经济和政治利益。大数据犹如一把双刃剑,它给予我们社会及个人的利益是不可估量的,但同时其带来个人信息安全及隐私保护方面的问题也正成为社会关注的热点。
[大数据时代下个人信息受到侵犯的表现]
一、数据采集过程中对隐私的侵犯
大数据这一概念是伴随着互联网技术发展而产生的,其数据采集手段主要是通过计算机网络。用户在上网过程中的每一次点击,录入行为都会在云端服务器上留下相应的记录,特别是在现今移动互联网智能手机大发展的背景下,我们每时每刻都与网络连通,同时我们也每时每刻都在被网络所记录,这些记录被储存就形成了庞大的数据库。从整个过程中我们不难发现,大数据的采集并没有经过用户许可而是私自的行为。很多用户并不希望自己行为所产生的数据被互联网运营服务商采集,但又无法阻止。因此,这种不经用户同意私自采集用户数据的行为本身就是对个人隐私的侵犯。
二、数据存储过程中对隐私的侵犯
互联网运营服务商往往把他们所采集的数据放到云端服务器上,并运用大量的信息技术对这些数据进行保护。但同时由于基础设施的脆弱和加密措施的失效会产生新的风险。大规模的数据存储需要严格的访问控制和身份认证的管理,但云端服务器与互联网相连使得这种管理的难度加大,账户劫持、攻击、身份伪造、认证失效、密匙丢失等都可能威胁用户数据安全。近些年来,受到大数据经济利益的驱使,众多网络黑客对准了互联网运营服务商,使得用户数据泄露事件时有发生,大量的数据被黑客通过技术手段窃取,给用户带来巨大损失,并且极大地威胁到了个人信息安全。
三、数据使用过程中对隐私的侵犯
互联网运营服务商采集用户行为数据的目的是为了其自身利益,因此基于对这些数据分析使用在一定程度上也会侵犯用户的权益。近些年来,由于网购在我国的迅速崛起,用户通过网络购物成为新时尚也成为了众多人的选择。但同时由于网络购物涉及到的很多用户隐私信息,比如真实姓名、身份证号、收货地址、联系电话,甚至用户购物的清单本身都被存储在电商云服务器中,因此电商成为大数据的最大储存者同时也是最大的受益者。电商通过对用户过往的消费记录以及有相似消费记录用户的交叉分析能够相对准确预测你的兴趣爱好,或者你下次准备购买的物品,从而把这些物品的广告推送到用户面前促成用户的购买,难怪有网友戏称“现在最了解你的不是你自己,而是电商”。当然我们不能否认大数据的使用为生活所带来的益处,但同时也不得不承认在电商面前普通用户已经没有隐私。当用户希望保护自己的隐私,行使自己的隐私权时会发现这已经相当困难。
四、数据销毁过程中对隐私的侵犯 由于数字化信息低成本易复制的特点,导致大数据一旦产生很难通过单纯的删除操作彻底销毁,它对用户隐私的侵犯将是一个长期的过程。大数据之父Viktor Mayer-Schonberger认为“数字技术已经让社会丧失了遗忘的能力,取而代之的则是完美的记忆”。当用户的行为被数字化并被存储,即便互联网运营服务商承诺在某个特定的时段之后会对这些数据进行销毁,但实际是这种销毁是不彻底的,而且为满足协助执法等要求,各国法律通常会规定大数据保存的期限,并强制要求互联网运营服务商提供其所需要的数据,公权力与隐私权的冲突也威胁到个人信息的安全。
[大数据特点决定了其面临更加严峻的个人信息安全保护形势] 大数据具备数据体量大、数据类型繁多、价值密度低和处理速度快四大特点,在大数据演进路径中除了面临传统互联网时代所有的信息安全问题外,还因自身特点使得其面临更加严峻的个人信息安全保护问题.一是数据收集缺乏针对性,容易导致广泛、不合理、过度收集个人信息数据,常常通过覆盖面很广的个人信息收集和分析后才能找出其中有价值的信息,在此过程中很难避免不触碰到一些个人隐私数据。
二是个人信息数据多种多样,如智能终端、智能手环、物联网、位置导航等个人端产生的海量信息,这些开放、分散的数据实时接入网络,管理员很难像传统互联网管理一样逐一对其编辑和管理,进行实时跟踪保护。
三是开源的开发环境、频繁的迭代升级、轻量化的快速部署和规模复制、分布式和非关系型数据存储,容易使企业在源头上忽视个人信息安全问题。
四是在数据进行分析利用后,往往将大量的看似无价值、碎片化的个人信息数据随意丢弃,容易导致被其他企业甚至不法分子进行广泛收集和合成分析后变成其所用的高价值数据。
五是大数据集群保障了快速的处理特点,但其自我组织性和自由开放性使用户与多个数据节点同时通信互联,容易导致数据节点被渗透、被攻击,甚至产生信息数据“脱裤”等整体泄露事件。
[大数据安全技术体系难以防范的个人信息安全问题] 一是我国大数据体系建设所使用的操作系统、计算芯片、虚拟软硬件等核心技术基本被国外垄断,容易被掌握核心技术的国家、组织植入后门,甚至不法分子有组织的利用。
二是现有的安全防护体系建设仍停留在传统互联网时代思维,当前对大数据个人信息防护技术仍采用安全漏洞整改、防劫持、防篡改、防攻击等传统手段,基本属于被动的威胁防御思想,此类防护技术应用到大数据个人信息保护方面只能针对数据保护中的某一个环节,不能实现广度和深度防护,而大数据环境下个人信息安全保护要求必须对全业务流程、全应用场景、全生命周期进行体系化的技术防护,现有的安全技术防范体系无法满足要求。
[对策措施] 加强个人信息保护,要完善现有法律法规。对个人信息保护最好的办法还是立法,通过法律明确组织和个人在处理信息过程中的责任,建立个人信息的监管体制,明确滥用他人个人信息的行政处罚制度和责任。这次公安机关统一调动各地区、各警种的力量,依法采用各种特殊侦查手段,对此类违法犯罪活动的集中打击行动就卓有成效。
加强个人信息保护,要加大对信息源头的监管。工商、医疗、民政、银行、民航、电信、网站等一些部门和服务机构,在履行职责或提供服务过程中,具有收集、查阅、管理、控制公民个人信息的便利。要对这些部门和机构行为均予以严格规范,明确个人信息保护的原则和要求,落实工作责任,加强监管保护。
加强个人信息保护,要提高公众的自我保护意识。加强对公民道德素质的教育,引导公众自觉学习信息安全方面的知识,首先自己要注意保护好自己的个人资料,不要乱扔或乱说。再者要敢于争取属于自己的个人权益,不要谁要信息都给,要问清楚对方要这些信息干什么,把信息看作是宝贵的财富,提高警惕,不轻易泄露信息。
【文章重要位置设计】 [标题] 1.个人信息安全需法律“保驾护航”
2.为网络信息安全筑起严密“防火墙”
3.织好保护个人信息的“法网” [开头] 示例一
随着我国信息化提速,互联网、移动互联网正在加快融入人们的生活。人们已习惯于通过网络交流沟通、浏览新闻、搜索信息、网上购物、预订机票„„很难想象,离开网络生活将会是怎样。 然而在网络时代,个人信息泄露的风险也无处不在,收集、窃取和倒卖个人信息的情况比较常见,媒体曝光的许多案例让人触目惊心。
示例二
这些年,网络技术迅猛发展、广泛应用,在促进经济社会发展同时,也带来很多严重问题,利用网络侵犯公民、法人和其他组织合法权益的问题愈加突出,损害群众利益,影响社会稳定,严重的甚至危害国家安全。虽然我国针对个人信息的法律法规不少,但有关网络信息保护的法律规范还比较薄弱,必要的管理措施如果缺乏法律依据,因此制定关于加强网络信息保护的决定,是广大人民群众的期盼和愿望,是适应形势发展需要的重要举措,非常必要和及时。
示例三 买了新房,装修公司电话就“接踵而至”;孩子还未出生,手机已被奶粉推销电话打爆„„这样的公民个人信息是怎样泄露出去的,对此类问题寻根究底的同时,网络个人信息安全的问题也暴露在公众面前,如何保护好此类信息,是全社会共同面临的问题。
[结尾] 示例一
互联网非法外之地。营造和谐的网络环境,不仅需要互联网行业的自律和网民的自我保护意识,法律的清晰界定更是维护网民权益的最后关卡。我们期待全国人大常委会关于加强网络信息保护的决定出台后,有关方面依法加强监管,切实为个人信息筑起一道严密的“防火墙”、“安全网”,营造健康有序的网络环境。
示例二
织好这张“法网”,需健全个人信息保护机制。目前,我国涉及保护个人信息的法律虽多,但相关规定条款过于分散、操作性不强,由此也导致公民维权面临成本高、取证难等问题。同时,在涉及个人信息保护的法规中,金融、电信等领域的相关规定较为具体,而对职业中介等一些机构的个人信息保护规定则比较缺失。解决这些问题,建立一部专门、权威的法律必不可少,提高执法力度,为公众建立一道信息泄露“防火墙”也很重要。
