大數據時代的個人信息保護研究

文/劉湘平，廣州賽寶認證中心服務有限公司

1 引言

目前我們身處“互聯網+”的大數據時代，國家不斷推進兩化融合、智能制造、物聯網、云計算、大數據、人工智能、區塊鏈等技術的廣泛應用。大數據應用給我們帶來了各種便利，但由于個人信息包含有價值，從而導致個人信息保護面臨了巨大的挑戰與威脅。當今社會，普遍存在著個人信息過度收集、誘騙收集、個人隱私“霸王條款”等問題，它不僅威脅著人們的生命財產安全，還導致了詐騙、勒索等社會犯罪問題，例如美國2018年Facebook 的8700 萬用戶數據泄露、華住旗下多個連鎖酒店的2.4 億入住記錄泄露、萬豪喜達屋的5 億客戶的用戶信息泄露、圓通10 億條用戶信息數據被出售、順豐3 億條用戶信息數據被出售、前程無憂195 萬條個人求職簡歷泄露等安全事件，給社會帶來了惡劣的影響。

2 個人信息面臨泄露的主要威脅

人民網此前曾對個人信息泄露進行過調查，調查結果顯示，90%的網民遇到過個人信息泄露。究其原因，手機APP 軟件、免費WIFI、搜索引擎、電子商務平臺……這些流行的工具很可能成為個人信息中的重要漏洞。更為嚴重的是因個人信息泄露而引發詐騙、惡意騷擾、綁架、人財兩空等。大數據時代海量的個人信息主要面臨如下幾種泄露威脅：

2.1 黑客攻擊

黑客在利益的驅使下，通過攻擊破壞實施敲詐勒索、打牌去賬號密碼、制作釣魚網站、入侵企業網站盜取商業信息、盜取公民個人信息等。例如，2019年1月1日，澳大利亞維多利亞州政府3萬名雇員個人信息外泄，這個給政府員工使用的名錄包含工作電郵、職稱以及工作電話號碼。受此次數據泄露事件影響的員工通過郵件被告知，在通訊錄上的員工的電話號碼可能也已外泄。酒店連鎖巨頭喜達屋母公司萬豪國際酒店5 億客戶數據泄漏，萬豪國際酒店表示，經過取證和分析團隊縝密調查后發現，因其大數據泄露事件影響到的客戶數量從5 億減少到了3.83 億，其中有超過500 萬個未加密的護照號碼和大約860 萬個加密信用卡號碼被盜。萬豪表示，喜達屋集團自2014年以來一直在受到黑客攻擊。萬豪已提出，如果受影響的客人能夠證明自己是數據泄露事件的受害者，他們將支付辦理新護照的費用，這可能會讓萬豪公司損失5.77 億美元。2018年1月，某手機廠商發布聲明稱，4 萬名消費者的信用卡信息在2017年11月至2018年1月11日期間遭不明黑客盜取。該手機廠商證實：網上支付系統遭入侵。攻擊者針對其中一個系統發動攻擊并將惡意腳本注入支付頁面代碼中竊取用戶付款時輸入的信用卡信息，該惡意腳本能直接從消費者瀏覽器窗口中捕獲完整的信用卡信息，包括信用卡號、到期日期和安全代碼。

2.2 網站泄露

據報道，2018年4月，芬蘭通信管理局（FICORA）于2018年4月6日通過自己的網站向所有芬蘭公民發出警告稱，一個由赫爾辛基新企業中心負責維護的網站（liiketoimintasuunnitelma[.]com）在本周二遭遇了匿名黑客的攻擊，大約有13 萬用戶的賬戶用戶名和密碼被竊取，同時被竊取的還包括其他一些機密信息。從受害者數量來看，這將是該國有史以來發生的第三大數據泄露事件。2018年4月，安全研究員SrinivasKodali 報告了一起數據泄露事件，受影響的是一個隸屬印度安得拉邦的政府網站。根據Kodali 的描述，遭泄露的數據包括Aadhaar 號碼、銀行分行、IFSC 代碼和帳號、姓名、地址、身份證號碼、手機號碼、配給卡號碼、職業、宗教信仰和種姓信息。2018年10月，美國負責HealthCare.gov 網站（美國一政府網站）的機構稱他們在一個與HealthCare.gov 交互的政府計算機系統中發現了一起黑客攻擊行為，導致大約7.5 萬人的敏感個人數據遭到泄露。其設計由美國聯邦醫療保險暨補助服務中心（CMS）監督，并由多個聯邦承包商建立。該網站投資高達8 億美金。

2.3 “內鬼”泄露

一些掌握大量個人信息的“內鬼”，在利益的驅動下，利用自己特殊身份和工作便利進行泄露和販賣個人信息。據報道，2018年1月，某警方偵破了一起新生嬰兒信息倒賣鏈條。從新學嬰兒數據泄露的源頭來看：某社區衛生服務中心工作人員徐某，掌握了某市“婦幼信息某管理系統”市級權限賬號密碼，利用職務之便，多次將2016年至2017年的某市新生嬰兒信息及預產信息導出。被抓獲前，他累計非法下載新生嬰兒數據50 余萬條，販賣新生嬰兒信息數萬余條。值得注意的是，在該案中，徐某僅是某市某社區衛生服務中心工作人員，卻掌握了某市“婦幼信息某管理系統”市級權限賬號密碼。2018年3月，某法院審理了某地方公務員竊取信息案件。從公民個人數據泄露的源頭來看：朱某任職于某機關單位。從2010年起，朱某利用職務便利，應朋友劉某、王某的要求，超越職權下載了一些公民個人信息，并將這些信息分別提供給他們使用，造成大量的公民個人數據泄露。經統計，2010年4月至2016年9月，朱某向劉某提供公民個人信息70 余萬條，2011年11月至2016年7月，朱某向王某提供公民個人信息12 余萬條。

2.4 單位或企業非法收集個人信息

據報道，2015年上海市查處了一例違法收集使用消費者個人信息案，自2013年4月起，上海炳恒金融信息服務有限公司在日常經營活動中，為拓展業務、發展客戶，由理財部大區經理通過購買等途徑收集大量消費者個人信息，并按照公司層級依次派發給團隊經理、理財經理（業務員），以電話方式聯系消費者，推銷公司的P2P 理財產品。上述當事人收集、使用消費者個人信息，都未取得消費者同意。2019年4月，因非法收集兒童用戶個人信息，美國YouTube遭多家機構聯名投訴。YouTube 是全球用戶最多的網站之，它遭多家機構聯名投訴觸犯了《兒童在線隱私保護法案》，因為它有大量面向13 歲以下兒童的節目，允許廣告客戶向兒童用戶發布精準廣告。

3 個人信息泄露的途徑及信息保護方法

3.1 個人信息泄露的途徑

（1）賬號密碼的信息泄露

隨著計算機和智能手機的普及使用，黑客喜歡在人們使用計算機或手機時不知不覺通過用戶點擊不明鏈接或下載軟件時捆綁一些非法惡意程序，同時植入木馬程序，直接可以從后臺盜取用戶的賬號和密碼信息。由于一般用戶信息安全保護意識薄弱，出于便利的考慮往往賬號密碼的設置過于簡單，黑客可以通過密碼字典進行暴力破解。一般使用用戶在所有網站都使用同一個賬號和密碼，這樣黑客只要盜取了一個網站的賬號和密碼，可以通過“撞庫”的方法試驗出該用戶在其他網站的賬號和密碼。

（2）個人身份信息和個人財產信息的泄露

由于我們身處在一個網絡發達的時代，且隨著信息存儲與抓取技術的進度，人們的購物、出行、消費等記錄都被完整保存在網絡上，通過一個手機號就能查出個人身份信息和財產信息。例如，我們在剛購買一套新房，各種裝修公司的電話就來了；自己的寶寶剛出生，影樓、母嬰用品的推銷電話就紛至沓來……使我們的日常生活煩惱不斷，苦不堪言。

（3）個人位置和狀態的信息泄露

個人的行蹤往往使我們最大的隱私，但是我們使用的智能手機都有GPS 定位功能，相應地很多APP 軟件都一個個人隱私權限的設置，就是允許訪問你的位置信息，這樣的本意是好的，能將自己周圍的商業資源快速分享給有需要的用戶，但是如果這種便捷服務被別有用心的人加以利用，他可以收集你的個人隱私，甚至會把你的位置數據賣給其他人。

3.2 個人信息保護方法

針對上述三個信息泄露的途徑，接下來將講解一下保護個人信息的主要方法。

（1）賬號密碼的保護方法

首先一定不要出于好奇的思想，不要點陌生人發來的鏈接，即使是熟人發來的鏈接也要留意鏈接的網址的前綴網址是否是熟知的網站。其次不管是計算機還是手機建議安裝一個防病毒軟件，例如360 安全管家及360 殺毒，它可以幫助我們進行病毒和惡意軟件的防護。然后計算機要及時安裝系統漏洞補丁，賬號密碼設置一定要遵守優質密碼原則，采用包含字母、數字、字符等不少于10 位的組合，這樣的話密碼就不易被暴力破解。

（2）不要隨意留下個人的身份信息和手機號碼

目前很多網站和手機APP 在注冊賬號的時候都需要填寫個人信息，建議大家不要隨意在網站上留下自己的真實姓名、住址、電話等信息，因為個別網站內部人員會將網站的注冊信息手機匯總再販賣給別有用心之人。此外，網站上有些調查問卷也是打著“問卷”之名，實則是收集用戶的個人信息。最后，我們生活的一些小細節也要注意，例如：我們收到的快遞袋子上面的個人信息要及時進行銷毀，個人單據、發票賬單、車票、飛機登機牌等不要隨意扔到垃圾桶，處理前也要銷毀個人信息……這些如果不加以處置可能會導致用戶的個人信息泄露。

（3）個人位置的隱私保護

個人位置信息的泄露大多數是由于手機APP 的某個應用獲得了用戶的位置權限，且該應用一直在后臺運行并未退出，因此AAP軟件會實時收集用戶的位置信息。這就要求我們在日常使用手機時要養成及時退出不使用的APP 軟件。

（4）謹慎使用免費WIFI

我們大家一般都喜歡使用免費WIFI，但殊不知其中存在較大的風險，很不安全，黑客們會使用黑客工具在公共免費WIFI 上自建一個“釣魚”WiFi，用戶無需輸入密碼就可上網，如果有人連接上這個免費WIFI，就中了黑客精心設計的免費陷阱了。因此，大家出門在外，為了個人信息的安全一定要牢記不要隨意連接陌生的WiFi 信號。

（5）養成良好的上網行為習慣

建議大家一定要盡快養成良好的上網行為習慣，在不使用WiFi的情況下立即關閉WiFi 連接；謹慎使用公共場合的WiFi 連接，不要使用無密碼保護的WiFi；連接公共場合經認證的WiFi 時，不要使用網絡購物和銀行轉賬等應用；不要隨意掃描二維碼，目前就有不少不明二維碼內含有病毒或木馬程序，手機掃描后會把機主的個人信息發送出去，從而泄露個人隱私。

4 國內外關于個人信息保護的措施

4.1 我國個人信息保護措施

我國很早就開始關注對個人信息的保護問題，自2009年起，我國政府就加快了對個人信息保護的步伐，相繼制定了個人信息保護相關法律法規，全國信息安全標準化技術委員會也于2017年12月29日正式發布國家標準《信息安全技術 個人信息安全規范》（GB/T 35273-2017），并于2018年5月1日實施，該標準就是針對個人信息面臨的安全問題，規范個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節中的相關行為，旨在遏制個人信息非法收集、濫用等現象，最大程度地保障個人的合法權益。此外，2018年9月7日，十三屆全國人大常委會立法規劃公布，《個人信息保護法》與《數據安全法》被列入第一類項目，有望使我國個人信息保護早日步入法制化軌道。

4.2 國外個人信息保護措施

做為美國當代社會生活中較重要的法律之一，1974年制定、1975年9月實施、1988年合并補充的《隱私權法》可以說是現代民主意識與現代科學技術相結合的產物。美國頒布了《隱私權法》后又制定了行業隱私保護法律，如《電訊法》、《有線通訊隱私權法案》、《兒童在線隱私權保護法》、《健康保險隱私及責任法案》、《金融隱私法案》等，構成較為完善的個人隱私保護法體系，為用戶個人隱私信息保護設定了基本原則。此外，美國還成立計算機安全協會、信息系統審查與控制協會、計算機應急協調中心、國際互聯網協會等信息安全行業組織，制定涵蓋信息安全保護技術、從業人員自律教育等內容的行業規范。

歐盟于2014年頒布的《通用數據保護條例》GDPR) 是迄今為止覆蓋面最廣的全球性數據隱私保護法規，被稱為“史上最嚴格的數據保護法”，經過四年的討論于2018年5月25日正式生效?？v觀其演進歷史，歐盟的個人信息保護起源于傳統隱私保護，發展至今先后歷經以1981年《個人數據保護公約》、1995年《個人數據保護指令》和GDPR 為主要表現形式的三個階段。此外，歐盟還積極建立并推進大數據個人信息保護跨境協作機制。

日本《個人信息保護法》于2005年4月1日起施行。隨著信息技術的急速發展與利用，該法于2015年進行了大幅修正，2017年5月30日起施行。在日本，《個人信息保護法》基本上以民間領域為對象。但是，《個人信息保護法》的基本理念在公共領域也必須遵守。此外，在公共領域還制定了以國家行政機關為對象的《行政機關個人信息保護法》，以獨立行政法人為對象的《獨立行政法人個人信息保護法》，以地方公共團體等為對象的《個人信息保護條例》。在個人信息保護相關法律的基礎上，政府為確保經營者適當處理個人信息以及確保這些經營者構筑的措施能得到適當且有效的實施，制定了《關于個人信息保護的基本方針》。

針對個人信息保護，韓國政府相繼頒布實施了《個人信息保護法》、《位置信息保護法》等法律?！秱€人信息保護法》于2011年3月29日發布，它對個人信息的公開和使用做了詳細的規定，對竊取個人信息的行為也做了明確的處理規定；《位置信息保護法》則要求在使用個人位置信息時必須得到當事人允許。

5 結束語

綜上所述，由于我們身處大數據互聯網時代，每一個人都離不開互聯網，因此，只有我們每一個人都提高個人信息安全保護意識，養成良好的上網行為習慣。此外，可以加強諸如數據加密技術、訪問控制技術等技術手段進行信息安全保護，同時進一步規范企業對個人信息收集和使用，加強行業監管部門對個人信息保護工作的監督力度，完善個人信息安全法律法規建設，才能讓我們老百姓在大數據時代更有安全感。