網絡借貸中個人信息安全保護的數據脫敏技術綜述

◆張嘉迅 張傳國

?

網絡借貸中個人信息安全保護的數據脫敏技術綜述

◆張嘉迅1張傳國2

(1.武漢輕工大學數學與計算機學院 湖北 430023；2.湖北省荊門市東寶中學 湖北 448000)

隨著P2P網絡借貸行業入行機構的快速增長，網絡借貸作為一種新型的民間借貸模式逐漸被越來越多的人們熟知和接受。然而，網絡的虛擬性，讓網絡借貸的危險性增加不少，而平臺自身監管不嚴和相關法律不夠完善，導致網絡環境下的金融監管的難度較高，借貸人的個人信息安全無法得到保證，個人信息被泄露的風險不斷增加。本文對網絡借貸中的個人信息安全進行了研究，并且結合網絡借貸自身的特殊性，從技術手段，法律手段和社會手段三個方面提出了解決方案，以保障數據的安全。如此，對網絡借貸中公民個人信息的安全保護具有重要意義。

P2P網絡借貸；互聯網金融；數據脫敏；隱私保護

0 引言

網絡借貸這樣的超前消費模式在國外出現的時間較早，并且已經有了一套完整的借貸體系。隨著我國經濟社會的發展和改革開放的不斷深入，超前消費這一全新的消費模式和理念已經進入國內，并逐漸被人們廣泛接受，而日益增長的用戶人數又催生了一批網絡借貸平臺的誕生和發展。例如，僅僅在2015年，由于線上金融模式的迅猛發展，導致P2P網絡借貸平臺的數量就達到4900家，其中，涉及到貸款的金額就超過了5800億，而平臺上的借貸雙方的成交額突破了萬億。

現在常見的借貸平臺有傳統的銀行業，也有新興的民間借貸。但是有一部分人由于自身身份的特殊性，無法獲取或者得到與自己想要額度的信用卡，導致這部分人放棄了安全的借貸平臺，進入一些民間借貸平臺進行借款，以滿足自己的臨時急用或者各種各樣的消費需求。

然而，網絡借貸行業具有準入門檻低、開發成本小、虛擬性強的特點；同時，所有的經濟往來都在線上平臺進行，實施網絡不見面式操作，所以網絡借貸又具有保密性差，借貸人信息容易被泄露，特別是私人網絡借貸監管難度大、一旦出現問題維權難等特性。為此，本文從技術、自我意識和經濟法規等多角度闡述網上貸款平臺的公民個人信息的保護問題。

1 網絡借貸及其發展

1.1 網絡借貸的由來

網絡借貸又稱P2P網絡借貸，是一種起源于P2P的小額借貸，主要模式是將小額的資金聚集起來然后借貸給那些需求資金的人。

1.2 國內外網絡借貸的發展現狀

網上借貸平臺的模式來自于歐美的Zopa和Prosper。Zopa和Prosper為C2C的金融服務提供網站[1]，使用戶能夠在不需要銀行干預的情況下借入或借出資金。其中，英國的Zopa的借貸機制是將用戶的信用進行等級劃分，資金借出人可以查看借款人的信用等級，借款金額等相關信息，平臺自身推出了風險控制模式，以減少壞賬、倒閉的可能性。美國的Prosper在成立的時候就已經有了一套完整的法律體系對整個平臺以及借出人和借債人進行約束，統一由證券委員會進行調查整改，并且全部注冊為證券，同時要求遵守相關法律。運作模式同Zopa類似，都是通過信用評級進行等級劃分，并且提供相關信息查詢，由借款人評估風險，利率靠競價產生。

我國網絡借貸行業的發展比國外較晚，國內第一個網絡借貸平臺是2007年的“拍拍貸”，雖然開始的時間晚，但是發展的勢頭較猛，而且在平臺上，用戶能夠在不需要銀行干預的情況下借入或借出資金，故而很多人開始傾向于這種借貸方式，從而使得我國的網絡借貸平臺在近幾年發展的勁頭十足。而隨著現在人們的經濟水平不斷提高，更多的人愿意拿著金錢去做一些投資，但是通過近幾年的現狀比較可以發現，銀行的利率不斷下調，導致現在的利率較低，對于做銀行投資理財已經不太合算了，與銀行相對的股市比起來，風險又較高 。因此，這些資金業主不愿意將資金存入銀行，也不愿意投資股市，如果有也可能只會拿出小部分投入這兩個行業以規避風險。相對的，那些資金短缺又由于自身的風險較大的借貸者，無法從傳統銀行進行借款操作。就可能通過互聯網及貸款平臺給予解決。

由于中國金融信貸市場環境不成熟，信貸行業的監管法律法規不太健全，民間信用體系相對不完善以及相關信息網絡監管不嚴等因素，P2P網絡借貸行業的發展屢屢遭遇制約，有許多網絡詐騙事件以及黑客攻擊導致的各種信息泄露問題層出不窮，諸如借貸人的照片、身份信息、手機號碼、身份證號等，也導致了很多剛剛成立不久的網絡借貸平臺破產比如“哈哈貸”。因此，提高公民法律意識，借鑒發達國家成熟的網貸模式，探尋制約我國P2P借貸平臺的合理因素，技術改進國內網貸平臺，找到一條適合我國的網絡借貸體系，促使P2P借貸平臺在我國健康成長，對國內網貸平臺的發展具有十分重要的意義。

2 網絡借貸存在的問題

網絡借貸中個人信息遭到泄露的問題在網絡和新聞上屢見不鮮，僅僅在搜索欄中寫入網絡借貸和個人信息泄露的搜索關鍵詞，就可以得很多搜索結果。而這些擔憂都是基于對平臺的安全性的擔憂，不難想象，這些監管不嚴的平臺上流出的個人信息的數量。從而造成很多人莫名其妙的“被貸款”，到期時莫名其妙的收到催款電話或者短信要求還款，甚至會對日常的生活造成影響。

還有一些問題是人為的因素導致的信息泄露，之前網上曾經公開披露過的案件中有這樣兩個片段：

片段一：某一個在倒賣個人信息案件中被抓獲的銀行員工，在銀行里面負責貸款業務，而且是部門里面唯一可以查詢征信系統的人，于是利用職權幫助一個做小額貸款的朋友查詢一些人的征信信息和貸款情況，到最后透露出去的信息越來越多，以致被抓捕。

片段二：某一個在倒賣個人信息案中被抓的快遞員工，是由于手里掌握著大量客戶信息，其朋友通過他提供的電話號碼查詢到快遞地址，每條信息朋友給他30元作為報酬。即使當初作為倉庫管理員，他也并不清楚這么做是否違法。

網絡借貸行業與錢打交道，更是內部核心用戶泄露的重災區，形勢的確很嚴峻。

3 研究現狀

3.1 國外研究現狀

Gartner認為，企業和軟件開發相關的公司在軟件開發時，數據分析和培訓方面應強制實施數據敏感化。現如今，在美國以及其他一些發達國家，在那些存有大量客戶數據的行業的數據庫中，數據脫敏基本上是必要的數據保護方法之一[2]。

（1）印度安得拉邦提出了基于元組重復的隱私保護數據發布方案，以隱藏個體發布數據時的敏感信息。解決發布數據持有者或發布者從數據所有者那里收集的數據的問題，從而保護個人的發布數據的敏感信息，非常有用。諸如泛化、壓制、交換、分解和隨機化之類的匿名技術會遭受個人身份的喪失或信息的重大損失，而這些損失會降低數據的實用性[3]。

（2）A.Vinaya Babu博士提出了一種框架，允許使用隨機數據擾動技術，系統地轉換原始數據，并通過決策樹方法，將修改后的數據作為查詢結果提交給各方。此方法為分析目的提供了有效結果，但實際或真實數據未透露且隱私受到保護[4]。

3.2 國內研究現狀

（1）江堂碧研究了脫敏對流數據的關鍵技術，并且可以在流數據環境穩定且有效地運行一個數據脫敏方案，包括數據匿名身份，數據一致性的處理及數據脫敏。為了解決現有數據流匿名算法中信息丟失較大的問題，通過不斷優化發布的匿名集群來降低信息丟失，提高數據可用性。同時，針對數據脫敏領域常用的數據，提出了基于正則表達式的數據脫敏算法。該算法利用正則表達式的多功能性，基于有限自動機的原理來轉換數據，以確保生成的數據，符合由用戶給出的正則表達式定義的格式[5]。

（2）陳天瑩通過對現有數據脫敏技術的原理、機制和流程進行深入研究，總結了目前主流脫敏方法的缺點和不足，創新性地提出了大數據環境下的智能數據脫敏系統。該系統可以幫助政府，企業和其他用戶解決共享和集中，低耦合的敏感和隱私數據的交換，以及高容量的處理方式的問題[6]。

（3）吳行飛采用了數據脫敏技術，通過脫敏規則制作對銀行卡數據、客戶信息、業務管理數據等敏感信息進行數據轉換，實現對敏感私人數據的可靠保護。設計和開發了適用于中小城市商業銀行的數據脫敏管理信息系統，并已得到實際應用。東營銀行數據脫敏的建設實踐總結了一些階段性成果和經驗，為中小型商業銀行數據脫敏化提供了建議和參考。建立了一套完整的中小城市商業銀行數據保護數據脫敏標準體系；設計開發了適合中小城市商業銀行的數據脫敏管理信息系統[7]。

（4）崔敏龍設計和開發了針對敏感數據的銀行數據脫敏系統，該脫敏系統實現了銀行業中敏感數據的申請、規則設置、處理以及輸出控制和脫敏效果分析等。后期測試顯示，通過該系統的處理，輸出的目標基本達到了脫敏目標，對降低銀行業敏感數據的非法披露，未經授權變更及使用等風險具有一定的現實意義，也為實現敏感信息在銀行業中的共享和使用提供了技術上的支持[8]。

4 解決方案分析

基于現有的網絡借貸平臺出現的關于用戶信息泄露的問題，可以提出如下解決方案：

4.1 技術手段解決

數據脫敏技術是指通過一系列的脫敏規則對原始數據或敏感信息進行變形，以此實現對敏感數據的有效保護。對于關系到客戶信息和隱私安全的一些數據，在不違反系統還有命名規則的情況下，對數據進行改寫操作，將改寫后的數據用于測試，例如：公民自身的身份證號，由于身份證號的排序規則，這些排序中包含了該借貸人所在的行政區域、借貸人的年齡等出生年月日的信息、借貸人的性別還有身份證末尾的數字校驗位，這一串數據的排列都具有自身獨特的排序和編碼的規則。又例如：借貸人的電話號碼的信息，以及借貸人提供的銀行卡號，借貸人姓名和家庭住址等，都要對這些敏感數據進行變形處理，實現對敏感信息的有效保護，所以在進行脫敏處理時，要對輸出的值進行規范化的限定，并且要構造符合編碼規則和字段規則的、序列的敏感數據脫敏規則，不能違背原有的序列規則。

例如如下示例圖1所示的方法，對原有數據進行脫敏處理，將姓名、電話號碼、身份證號和通訊地址按照其特定的規則進行改寫，使該借貸人的個人信息得到保護（文中身份證號和通訊地址來源于某一個用于測試的身份證號自動生成的網站，網址為：http://sfz.uzuzuz.com/sfz）。

脫敏處理

圖1 對示例數據進行脫敏操作

4.2 法律手段解決

從立法的角度看，非法售賣個人信息的現象屢禁不止，個人信息所體現出來的商業價值正在被越來越多的人所重視，對于非法買賣或者非法竊取個人信息的行為，在網絡借貸這一領域開始陸續出現。然而由于暫時缺乏完善的（有關保護網上借貸雙方的）法律法規，在現在這個鼓勵互聯網經濟的背景下，網絡借貸平臺的出現，一定程度上造成了互聯網金融不規范的進一步加深，因此，需要對在這些網絡借貸平臺上注冊并使用的金融消費者提供法律保障，以防止金融或者個人信息的不安全而造成的各種不必要的損失，以及這些金融消費者的權益受到更大的威脅，應當著手立法為這些人提供法律的保護，而具體的立法內容，可以先看看國外成熟的金融業的立法情況，以此作為參考，并結合現如今我國互聯網金融的實際情況，確立立法[9]。

4.3 社會手段，即加強公眾的相關意識

加強公民的自我信息安全防范意識首先要學會甄別真假的借貸網站，并且要去認真辨別哪些個人信息需要審核的，而哪些信息并不需要填寫，以免泄露不必要的信息，同時瀏覽器中定期清理臨時文件夾等的相關內容。同時在平時的生活中多注意信息安全、網絡安全相關的信息，學會更好地保護個人信息。

5 結束語

隨著網絡借貸平臺的不斷推廣，人們對網絡借貸平臺的完善化的需求也在逐漸加深，本文通過對網絡借貸平臺的現狀分析和國內外相關技術的進展情況進行分析，提出了自己對于解決這個問題的見解以及對應的方案。建立完善的網絡借貸平臺對于互聯網金融的發展具有十分重要的意義。

[1]鄧倩，周方影.國內外P2P網絡借貸平臺的比較分析——以Prosper, 宜信為例[J].中外企業家，2014.

[2]姬鳴揚，李林森，李建華.P2P網貸用戶數據脫敏技術研究[J].通信技術，2017.

[3]B.R. Purushothama,B.B. Amberker. Duplication with Trapdoor Sensitive Attribute Values: A New Approach for Privacy Preserving Data Publishing[J].Procedia Technology，2012.

[4]P.Kamakshi,Dr. A.Vinaya Babu. Preserving the Privacy and Sharing the Data using Classification on Perturbed Data[J]. International Journal on Computer Science and Engineering，2010.

[5]江堂碧.支持挖掘的流式數據脫敏關鍵技術研究[D].電子科技大學，2017.

[6]陳天瑩，陳劍鋒.大數據環境下的智能數據脫敏系統[J].通信技術，2016.

[7]吳行飛.中小城市商業銀行數據脫敏研究[D].山東大學，2016.

[8]崔敏龍.商業秘密保護中數據脫敏技術研究[D].西安電子科技大學，2015.

[9]徐會志.互聯網金融消費者保護研究[D].對外經濟貿易大學，2016.