個體信息泄露源頭改變后的信息保護策略研究

李 暢，李曉悅

（1.湖北大學數學與統計學學院，武漢　430062；2.湖北大學歷史文化學院，武漢　430062）

1　大數據時代個體信息安全狀況與問題

隨著科技的進步，大數據的發展如火如荼，時代信息安全所面臨的問題由以往的計算機時代的個體信息安全保護問題演變為個體信息保護問題與集體特征信息保護問題。在此背景下，個體信息泄露的源頭由個人變為公司，即許多互聯網公司在用戶進行注冊時，利用用戶大多數不會看用戶條款而直接選擇同意這一用戶慣性，在用戶條款中加入部分對用戶隱私信息不負責任的條款，甚至以不同意無法進一步操作為條件隱性強迫用戶同意條款。在獲取用戶信息之后卻對此保護并不周全，時常有泄漏導致用戶損失。

以此為背景，本文將討論公司作為大數據時代的信息泄漏源，可以通過什么方式來幫助用戶保護他們的隱私，以及用戶作為信息被泄漏方可以通過什么方式在當前網絡環境下保護自己的隱私信息安全并降低信息泄漏后帶來的損失。

2　公司對個體信息可采取的保護策略

首先應當明確的是，公司以捆綁的方式獲取用戶的個人信息，應當對個人信息的安全負起責任而不是如同部分用戶條款中陳述的“與本公司無關”。

公司在獲取個人信息的方式上一般可以認為有三種：一是通過明確向用戶提問并獲得用戶自愿反饋的方式，如用戶自愿的投票、填寫調查問卷和填寫使用反饋等。二是通過部分使用權益與用戶進行個人信息交換，如注冊時填寫個人信息、掃碼贏取獎品等。三是通過觀察用戶的行為獲取用戶個人信息，如在購物網站的購物行為、微博微信的自媒體平臺的瀏覽行為等。接下來將對這三種獲取方式有針對性地提出保護方案。

對于直接發問獲取用戶自愿反饋的方式，獲取信息的公司除了在技術手段上保證這類信息不該被第三方非法獲取之外，更應在獲取時添加配對問題以降低用戶信息泄露的風險。配對問題類似心理學上問及個人隱私時遵循的原則，即在提出一個涉及隱私問題時同時提出一個不涉及隱私的問題，如問題“您是否有過違法行為或者吃過早飯”，答案應該由是或否組成。從統計情況來說，第二類問題概率為0.5時，此問題獲得結果與僅問“您是否有過違法行為”所獲得結果相當。但避免了用戶的個人信息泄漏。

對于公司使用部分權益與用戶進行個人信息交換時，考慮到用戶信息的串聯性以及問答題的不便造假性，此類信息應由公司進行加密儲存并妥善保護。同時由于公司大概率擁有海量用戶信息，大大增加非法竊取利益，因此應該考慮采用統一模式下的單獨加密，即使用統一的密鑰選擇每個用戶單獨加密的密鑰。如：假設公司采用此種方式獲取每位用戶八項信息，則可以使用一個統一的密鑰來選取每位用戶的八項信息中不同的信息來加密，并將加密后的該項信息作為密鑰，加密該用戶其他七項信息。增加個人信息被破解的難度。

而公司觀察用戶行為獲取的信息，由于其具有更強的串聯性，泄露之后的風險更加巨大。因此應該被更好的保護。但同時這類信息還可以被用來進行大數據分析以增強用戶使用體驗以及為商業公司創造更多價值，即很可能導致非攻擊者而是公司內部人員通過內部訪問便利來出售這些信息，使其泄漏。因此應采取適當的差分隱私保護機制，使得大數據的各項總體性質依舊可以被用來進行數據分析以增強用戶體驗和創造商業價值，同時避免某一條信息鏈可以被不經用戶允許單獨提取而造成用戶信息泄露。

3　個人對個體信息可采取的保護策略

用戶作為大數據時代便利的享受者，但是在享受這種便利的同時也應該注意保護自己的個人信息。包括個人隱私以及密碼等。由于個人隱私泄露源的改變，用戶在保護方面能做的并不太多，因此對于個人隱私方面應采取混淆的方式而非保護的方式。而密碼則是掌握在用戶手中的，所以用戶應該采取一定的措施來保護密碼的安全并且降低某個密碼泄漏帶來的威脅。接下來本文將圍繞這兩個方面具體闡述如何在大數據時代保護用戶自己的信息安全。

首先是個人隱私方面，采取混淆的方式即用戶在申請各公司的權益時作為交換的信息可以使用基于自己真實信息但經過對應改變的假信息進行填寫。

而密碼安全則由于大數據時代的到來而顯得更加重要。因為大數據的發展，當用戶在不同的網站使用相同的密碼時，很有可能因為小網站的安全措施沒有大企業好而泄漏用戶的用戶名與密碼。同時又由于密碼相同，因此很有可能導致用戶的一連串密碼同時泄漏。

通過多個網站的個人信息比對使得用戶幾乎所有的個人信息完全泄漏。因此用戶在使用密碼時，除了避免在危險的網站注冊或使用的同時，更應該在不同的網站使用不同的密碼。但軟件隨機生成密碼復雜且不方便記憶，對用戶十分不友好與不便利。因此我們建議可以使用核心密碼和修飾結合的方式來設定密碼。

[1]胡連宛.中國網絡安全面臨嚴峻挑戰[J].決策與信息，2012（05）：8.