大數據時代下的用戶信息安全風險及防范研究

于 川

（青島市大數據中心 山東 青島 266000）

0 引言

互聯網的高速發展對經濟社會各領域、各行業產生深遠的影響[1]。物聯網、云計算等技術的快速興起，促進了數據的井噴式增長，也提高了數據模式的復雜化程度。數據是網絡運營與發展的“血液”，也是信息化時代的核心內容。目前，各個國家為大數據技術的運用與發展投入了大量精力，當成搶占信息戰略高地的重要工具[2]。大數據時代下，發布在網絡空間中的信息以廣闊的渠道、多樣的形式傳播。信息技術業務在大數據的帶動下，個人信息保護機制亟待完善，這是一項艱巨的任務。

1 大數據時代用戶信息安全與網絡隱私

網絡隱私是指自然人在網絡上享有私人信息、私人空間以及私人活動受法律保護，不被他人侵犯、知悉、收集、復制、利用和公開的一種人格權。大數據時代下，用戶信息包含著用戶的網絡隱私。防止用戶信息泄露是保護用戶的網絡隱私權。大數據中用戶隱私包括但不限于個人注冊信息、社交活動中的隱私、用戶地理位置、用戶社交關系等。大數據技術誕生之后，信息成為寶貴的戰略資源，數據價值不斷被挖掘。大量涉及用戶日常行為習慣、消費習慣、偏好等的重要用戶信息受到關注，并被挖掘出來。一些人以營利為目的，侵犯了隱私權，引發了用戶信息安全風險，對于用戶人身財產安全造成影響。

2 大數據時代下造成用戶信息安全面臨風險的主要原因

通過分析導致用戶信息安全風險的原因可以明確防范重點。大數據時代下造成用戶信息面臨安全威脅的原因體現在幾個方面：

第一，違規收集個人信息或信息收集不透明，引發用戶信息安全風險。在收集用戶信息時必須要在用戶知情且授權的前提下才可執行。用戶對自身信息具備法律上的權利，并依法受到法律的保護[3]。這種以透明的方式對個人信息進行采集，或是請求權限，個人信息掌握在用戶手中，用戶可以根據具體情況決定是否把這些信息提供給他人或是授權，相對而言，安全性能得到一定的保證。但是，一些平臺或APP在未經過用戶授權的前提下，違規收集用戶信息或對收集用戶信息的范圍不透明等，造成用戶在不知情的情況下信息被收集和記錄；第二，用戶信息管理不當造成的信息泄露風險。用戶在辦理相關業務時，會把身份證、手機、姓名等個人信息提供給信息管理者，信息管理者借助這些信息進行操作，但只能在自己的權限范圍內使用這些信息，要承擔起保護用戶個人信息的責任，如果出現管理失誤或操作不當等情況，用戶個人信息就有可能遭到泄露[4]。不法人員把獲取的用戶信息出售給其他侵財團伙，包括網絡盜竊、電信詐騙等，威脅到群眾的財產安全。從用戶信息安全層面考慮，信息管理者可能是用戶信息泄露的最大風險來源之一。常見的用戶信息泄露的主要類型如圖1所示。

圖1 大數據時代用戶信息泄露的主要類型

信息管理者層面引發用戶信息安全風險的原因通常有：第一，隨意使用信息采集技術。部分信息管理者隨意使用信息采集技術，對用戶信息安全造成了不良影響。網絡時代，不管是登錄QQ還是微博，抑或是接受第三方服務，不僅需要輸入賬號、密碼，還需要提供與服務關聯不大的個人信息，包括頭像、微博動態、地理位置信息等。信息管理者要求信息主體填寫個人信息，卻不給其提供拒絕提供此類信息的選擇。生產企業與互聯網信息服務者要求用戶在下載安裝應用軟件的過程中必須提供全面的個人信息，甚至包括用戶通訊錄名單、個人定位等，并對這些信息進行存儲與管理，在未得到授權或是沒有征求用戶意見的前提下隨意使用這部分信息，而且在用戶下載軟件時也會捆綁其他軟件，采取的這些舉措都會對用戶的個人信息安全構成威脅；第二，信息管理者操作失誤引發的用戶信息安全風險。例如，在打印與外發文件、屏幕拍攝等過程中沒有形成強烈的數據保護意識，導致內部數據被泄露；又如，在存儲數據時，由于數據庫、數據中心、服務器遭到黑客攻擊，黑客采取設置后門、植入木馬、撞庫等方式入侵目標網站與服務器，都可以竊取信息。此外，機密資料保護不力、數據傳輸過程中出現數據攔截、網絡監聽等問題，都可能引發用戶信息安全風險；第三，大數據技術本身特征引發的用戶信息安全風險。任何事物都具有其兩面性。大數據技術憑借數據分析、數據挖掘等層面的優勢，在諸多領域發揮著關鍵作用[5-7]。與此同時，在大數據技術應用的過程中，也積累了越來越多的個人信息數據，其中包含了許多與用戶自身隱私密切相關的數據。通過使用大數據技術可以更加便捷地進行關聯分析和數據聚合，獲取用戶信息更加便利，但是這也降低了不法分子獲取用戶信息數據的難度。

3 大數據時代下用戶信息安全風險防范的具體對策

在分析造成用戶信息安全面臨風險的主要原因的基礎上，下文側重圍繞大數據時代下用戶信息安全風險防范的具體對策進行探索，具體如下：

3.1 嚴格遵守用戶信息的安全原則

為了確保這些信息的安全性，必須嚴格遵守用戶信息安全原則，具體而言：第一，必須明確用戶信息是用戶個人的資產，其所有權屬于用戶。正如360公司董事長兼CEO周鴻祎在極客公園奇點大會上首次提出“用戶信息是用戶的個人資產”。在維護用戶信息安全的過程中，必須要依據國家有關大數據、個人信息的法律，明確用戶對自身信息的所有權限；第二，確保用戶對信息收集、使用的知情權和選擇權。用戶擁有其個人信息的所有權，任何企業在收集、使用用戶信息時都必須要得到來自用戶的授權，用戶對平臺是否可以獲取個人信息擁有決定權和選擇權[8-9]。

3.2 加強大數據隱私保護技術的應用

大數據環境下，一些先進技術被應用與網絡攻擊催生了新型、高級的網絡攻擊手段，對網絡用戶信息安全，特別是隱私保護帶來巨大挑戰。這種情況下，單純依靠傳統的防火墻、IPS、IDS等安全設備主要通過采用流量分析和邊界防護的方式來實現網絡安全防護。為更好地確保用戶信息安全、保護用戶隱私，應加強大數據技術，特別是隱私保護技術在用戶信息安全風險防范領域的應用。大數據隱私保護技術是以數據發布匿名保護為核心，解決大數據應用場景下的用戶身份信息、地理位置信息等信息匿名保護、數據脫敏以及數據防泄漏等關鍵性問題。

以數據脫敏技術為例，通過針對用戶的敏感信息采用脫敏規則進行數據變形處理，從而達到對用戶敏感隱私信息予以可靠保護的目的。數據脫敏技術不影響數據的自由使用，依然具備數據特征和可訪問性。具體而言，應在明確大數據隱私保護系統數據參與角色基礎上，引入數據脫敏技術，對用戶敏感隱私信息予以保護。具體如下：

3.2.1 隱私保護系統數據參與者角色

一般而言，隱私保護系統由三部分構成，包括匿名化操作、數據狀態、參與者角色等。其中參與者角色包括數據生成者（data generator）、數據管理者（data curator）、數據使用者（data user）以及數據攻擊者（data attacker）。四個數據參與者角色及其相互關系如圖2所示。

圖2 隱私保護系統的四個數據參與者角色及相互關系

如圖2所示，數據生產者是原始數據的提供者，他們通過各種終端設備訪問互聯網，以其中方式主動或被動地為他人提供數據。例如訪問社交平臺、網絡在線購物、電子支付系統交易記錄等等。數據管理者主要負責對數據生產者提供的各類信息進行相應的管理操作，包括對數據進行采集，數據存儲、數據發布等。數據使用者主要是訪問發布數據的各類用戶。數據攻擊者則是一種特殊類型的數據使用者，其主要是出于善意或惡意目的從數據集中獲取信息的人。

3.2.2 利用有效的數據隱私保護方法，確保用戶隱私信息安全

用戶隱私和數據安全是重中之重。一方面，隨著大數據技術的深度應用，大量數據匯集，增加數據泄露風險；另一方面，大數據技術的應用也對數據保密性、完整性等提出新的挑戰。為了更好地保護用戶信息安全，必須要合理地采用數據隱私保護技術，強化對用戶隱私信息的保護。常見的大數據隱私保護技術如圖3所示。下文側重以訪問控制技術為例，對大數據隱私保護的具體方案進行介紹：

圖3 常見大數據隱私保護技術

大數據環境下，由于用戶訪問場景存在差異性，依靠單一方式的訪問控制結構無法達到較好的效果。大數據環境本身存在用戶來源廣泛，數據繁雜的特征。針對這一問題，國內學者王祥等[10]提出了“一種多方協同授權的訪問控制方法”，形成了適應用戶訪問的粒度可變性的，即大數據環境下變粒度安全訪問控制方案。如圖4所示。

圖4 大數據環境下變粒度安全訪問控制方案

在保護用戶隱私信息安全的過程中，訪問控制是一項重要的技術手段。例如常見的自主訪問控制、強制訪問控制、基于角色的訪問控制等均屬于訪問控制手段。在具體實踐中，需要結合不同系統對用戶信息安全保護的需要，靈活建構訪問控制模型，準確地把控訪問權限，有效預防信息泄露，提升系統的安全保護能力，避免用戶隱私信息泄露。

3.3 建立行業數據安全自律組織，保障用戶信息數據的安全性

行業要集中多個服務商的力量，以協商的方式構建數據自律組織，以促進數據安全與應用協同發展為目的，引導企業在國家大數據安全規則制定方面提出合理建議，促進行業規范化發展，給用戶數據安全帶來保障。因此，有必要通過建立行業數據安全自律組織，保障用戶信息數據的安全性。具體如下：

第一，推進用戶信息安全相關標準體系建設。企業要對數據安全管理予以重視，要把安全管理與保護措施貫穿數據的整個生命周期，提高此項工作的標準化程度。同時，立足企業發展情況，對數據管理與保護創建系統，爭取能滿足多種場景數據安全防護需求，根據各個部門的具體情況制定合理的加密策略、控制策略。

第二，政府與行業自律組織要在全社會組織信息隱私安全教育，增強所有人的數據信息保護意識，掌握相關法律知識，從思想意識上對保護個人隱私予以重視，在實踐中養成良好的網絡使用習慣。同時，宣傳與推廣數據安全法律法規，在全社會營造良好的數據安全意識，建設良好的數據安全治理環境。此外，要增強公民數據隱私保護能力，為用戶提供良好的網絡社交環境，解決泄露個人信息隱私的問題。

4 結語

隨著互聯網的全面普及，大數據技術不斷地改變人們的生活。通過大數據技術的應用，用戶可以獲得更具針對性、個性化的定制服務，能夠及時獲得符合自身需求的產品。但是，大數據技術的應用也在一定程度上引發了人們對自身信息安全的焦慮。因此，在大數據時代，應當在維護用戶隱私權的基礎上，發揮大數據技術優勢，正確地運用用戶信息，為用戶提供更加安全、可信、便利的服務。