大数据环境下个人信息安全面临的威胁及对策
2016-03-15吴颂民
吴颂民
(中山市公安局指挥中心调研科,广东 中山528403)
大数据环境下个人信息安全面临的威胁及对策
吴颂民
(中山市公安局指挥中心调研科,广东 中山528403)
数据时代对人们的带来巨大变化,个人信息电子化、网络互联共享、网络挖掘技术、个人活动网络化以及物联网技术对个人信息安全带来严重威胁,个人隐私信息逐渐透明化。笔者认为,要从树立个人隐私保护意识、严打“涉个人信息”违法犯罪、培育信息安全审计评估体系、制定数据共享特殊保护规则等方面着手,全面加强个人信息安全保护。
大数据个人信息安全隐私保护
当前,社会信息化进入大数据时代。笔者认为,“大数据”可以通俗地解释为“以网络共享为基础,以智能运算为核心手段,对分布式或集中式海量数据进行快速挖掘分析的方法和结果的总称”。它在改善人们生活,提高社会效率的同时,却使人变得越来越没有隐私,对社会伦理、社会管理带来系列挑战和威胁。本文通过分析大数据环境下个人信息面临的威胁,拟对个人信息安全保护问题提出建议,期望引起各方的重视。
1 大数据环境下个人信息的概念及种类
本文中,“个人信息”指的是“能够完全或近似,直接或简接识别自然人的各类信息资料”。当前主要有以下几种类型:
(1)个人社会(身份)信息。主要指个人的姓名、身份证号码、职业、职务、职称、学历、学位和户籍等社会信息,一般存放于纸质资料或数据库中,也会出现在网上信息和新闻报道中。其中,由于个人身份证号码所具有的唯一性和法律授权性,成为最核心的个人信息。
(2)个人资产信息。主要是指个人的动产和不动产资产的信息,包括品牌、型号、数量、颜色和位置等描述信息,以及股权、债券、存款等金融资产信息。随着信息化的发展,近年来个人资产类别又有了新的增加,例如游戏积分、消费积分、比特币和微信红包、卡包等。
(3)个人生物信息。指人体的DNA、指纹、声纹、虹膜和人脸等可以反复检测、具有稳定性的生物特征信息。值得注意的是,随着科技发展,可检测的个人生物信息种类正在增加。
(4)个人活动信息。人们在工作和生活中,透过多功能手机、车载导航等电子设备,不断产生个人视频、图片、声音、位置和文字描述等电子信息。这些电子信息透过新闻媒体和微信、微博等网络媒介的广为传播,也间接成为识别一个人的“痕迹”。
(5)个人虚拟角色信息。指自然人在互联网上的论坛、购物网站、社交软件和游戏网站等网络社会中注册的名字、年龄、身份等或真或假的个人资料。进入“互联网+”时代,人们已经须臾不能离开网络,网络虚拟角色犹如人的身体器官一样形影不离。找到一个人的虚拟角色,某种程度上等于找到了他本人。
值得注意的是:在大数据环境下,以上五类“个人信息”并不是独立存在的,它们往往是交叉存在的。例如,部分的个人身份资料例如个人身份证号码经常存在于个人资产和个人虚拟角色等类别信息中。事实上,很多综合类数据库会同时保存个人多种信息,只不过详细程度会有所不同。
2 大数据环境下个人信息安全面临的五大威胁
在信息化时代之前,个人信息是纸质化、碎片化存在的。此时的个人信息基本上是安全的。进入互联网大数据时代,这一切正在发生变化。
2.1个人信息全面电子化带来的安全威胁——潘多拉盒子已打开
个人信息全面电子化指的是个人信息的存储方式由纸质文档转换为电子数据。特别是由于电子存储容量的飞速增加,越来越多个人信息被转换成电子数据,详细程度越来越高;不仅个人的身份、住址等静态信息全部电子数据化,近年来个人的工作和生活状况也被信息化,形成视频、录音和相片等电子文件。随着科技发展,几乎所有个人信息都已经可以电子化,而且成本越来越低、越来越便捷化,使个人信息安全受到重大威胁。这是由于巨量的电子数据存储在越来越小的介质上,给短时间全部复制数据带来可能,就算加上硬件或软件安全措施,但始终存在各类漏洞。这给窃取个人信息带来的极大便利无异于打开了潘多拉盒子,从此以后祸患无穷。在信息化时代,斯诺登得以极为便利地携带大量资料辗转各地,“维基揭秘”得以快速接收各国泄密者远程传送文件并在瞬间曝光在全世界面前。
2.2网络互联共享带来的安全威胁——屏障已破
信息化初期,尽管个人信息被逐步电子化,但此时的电脑是不联网的,电脑之间存在物理屏障。除了对信息进行人工拷贝之外,电脑信息并不会泄露。进入互联网时代,随着网络设施的不断改进,越来越多电脑接入互联网,电脑之间逐步建立了不同程度的通信联系。同时,出于提高效率和提升服务的巨大需求,各行各业的网络融合及数据共享不断推进,电子商务、电子政务、网上金融和网络游戏等网上服务方兴未艾。当前,社会信息化已进入“互联网+”时代,互联网更是被赋予助推经济转型、创新发展路径的重任。而从个人信息安全的角度看,保护安全的“硬屏障”已经打破,数据共享过程中的“软屏障”却远没建立。社会各界在“共享”上考虑得多,在“安全”上研究得少,很多信息系统或网站都不同程度存在安全漏洞。据今年3月4日的《经济参考报》报道:“目前信息安全‘黑洞门’已经到触目惊心的地步,超过37%的国内网站存在漏洞,利用网站漏洞的攻击以近5倍速增长,网站信息泄漏的风险越来越大”。种种迹象表明,我国的网络安全问题已经迫在眉睫。个人信息的曝露,不仅使个人隐私和生命财产安全受到威胁,更严重的是特定人物的个人信息泄漏,将给敌对间谍行动提供机会,严重危害国家安全。
2.3强大的网络挖掘机制带来的安全威胁——无所遁形
有关网络挖掘带来的安全威胁,可以从两个维度进行分析:一是互联网“智力众筹”的特性。互联网将全球共同爱好者“集合”在一起,以互联网站或联网软件为平台,大家同步或异步讨论同一问题,完成同一任务。例如,网络论坛的“人肉搜索”等。网络“智力众筹”有正面作用,如果引导不当,也会祸患无穷。以“人肉搜索”为例,虽有利于反腐,但也可能对国家重要岗位人员的身份行踪造成泄露。二是“大数据”为代表的网络智能挖掘技术。随着云计算、云存储的快速发展,使以数据智能挖掘为核心的大数据技术蓬勃发展。大数据能在短时间内,通过在本地数据库或共享数据库内执行智能算法,把特定对象的基本情况、行为习惯和关系人等“规律”挖掘出来,甚至可以对未来行为作出预判,人变得“无所遁形”。智能挖掘技术既可以造福人类,也可以为祸人间。广东某市曾破获一起特大信用卡诈骗案,嫌疑人叶某利用“黑客”技术从招聘网站窃取身份证号和手机号等批量信息,又从“黑市”购买大批个人银行账户资料,利用大数据的方法进行比对碰撞,把“碎片化”的个人资料“整理”成准确的“四大件”信息(身份证号、手机号、银行卡号、密码)一大批,并利用这些资料在网上盗刷套现。该案说明了大数据存在的负面效应,对此要有清醒认识和必要准备。
2.4个人活动全面网络化带来的安全隐患——雪上加霜
过去,人们的网络活动主要是单向的、静态的或基于同一平台(例如论坛)的。微博、微信等社交软件兴起之后,人们的网络生活变成了多点互动、多向交流和全天候交流的方式。人们在网络上随时随地发表自己的视频、图片和文字信息,同步传播到朋友圈中,并就某个话题随时与一个或多个朋友形成互动交流。新兴社交媒体在改变人们交流方式的同时,也埋下了泄露个人信息的安全隐患。微博、微信发表的文字图片等信息,一般不会泄露准确的个人信息。但是别有用心的人从很多碎片化的信息中,还是可以大概勾勒个人身份,进而近似或完全地识别出一个人。特别是微博等社交软件具有开放性的特征(对陌生网友加入一般不设防),其安全隐患就更大了。华西都市报报道,成都市某地曾有一名小学生,因家长在微博上晒孩子获奖照片和班级信息而引来歹徒绑架。随着一些受害者案例报道,很多网友在“晒照片”时安全意识提高了很多。但是,我们很难防止自己不出现在别人“晒”的照片或文字中。更严重的是,随着人脸识别技术的成熟化和便利化,不排除将来犯罪分子利用特殊软件搜寻特定目标的图片,从中分析出目标人物的信息和轨迹。因此,个人活动全面网络化,同样容易危害个人隐私和生命财产安全,甚至危害国家安全。
2.5物联网技术发展带来的安全隐患——无处不在
更大的风险正在到来——这就是物联网带来的安全威胁。物联网——顾名思义,就是物物相连的互联网络。它通过智能芯片和通信感知技术,使物体与物体之间、物体与网络之间形成通信联系。软件银行集团创始人孙正义甚至预言:未来,所有的事情会通过物联网被连接起来。哲学原理告诉我们,凡事有利必有弊。物联网在革新生产方式的同时,也会带来新的安全隐患。在物联网之前,社会关系主要是人与人的关系。在物联网发展起来后,社会关系变成了“人与人”、“人与物”和“物与物”之间的关系。“人”与“物”交流过程中,会在“物”或网络中留下电子痕迹。例如,人们在驾车时会在车载GPS中留下行驶轨迹,手机传感器或人体植入芯片将个人的身体状况上传到网络,微信、陌陌等社交软件会“曝露”人的实时位置,智能家居系统显示主人在家等等。这些物联网痕迹,在一定的方式方法下,均有可能被发现或提取,成为个人信息安全新隐患。犯罪分子利用一定的工具或方法,将有机会掌握特定目标的实时位置或历史轨迹,为实施犯罪行为提供条件。
3 大数据环境下个人信息安全保护的对策建议
从上述分析来看,加强个人信息安全保护已刻不容缓。笔者在此提几点宏观思路建议,供参考。
3.1树立个人隐私保护意识——源头防范
个人信息面临的安全威胁,很大程度来源于人们工作生活习惯和使用个人信息习惯时的不良习惯。作为自然人,一定要树立在“大数据”环境下的个人信息、个人隐私保护意识,时时处处注意不暴露或少暴露个人信息,从源头上减少个人信息泄露的隐患。一是个人重要身份证件不要随意交给别人。办理各种事务时,一般应亲自办理或委托亲朋办理。尽量不把个人重要证件交给中介人员,复印证件资料要作好用途标记。二是减少在商业网站或商业机构登记留存个人信息。尽量不到小型商业网站注册个人信息,更加不要贪图小利,办理过多的商业会员卡。因为商业机构对资料管理较为混乱,成为个人信息泄露的一大隐患。如果必须填写个人资料,则应坚持最简化的原则。例如,填地址时只写至居住的小区或街道。三是慎用社交软件。个人在使用社交软件时,最好不用国外软件。在注册个人资料时,不要填写过于详细的资料。使用微信、微博和陌陌等通信软件时,应该养成良好的隐私保护习惯,一般不谈论具体的工作情况或家庭生活情况。
3.2严厉打击“涉个人信息”违法犯罪——强化威慑
犯罪学家贝卡里亚曾经指出,遏制犯罪的有效力量,不是刑罚的抽象严厉程度,而是刑罚的确定性以及犯罪行为实施后刑罚处罚的及时性。当前,盗窃个人信息、买卖个人信息和“黑客”入侵信息系统等“涉个人信息”案件多发高发。笔者认为,其中重要原因在于该类犯罪的惩处率不高,打击时效不强。虽然曾经开展过几次全国性集中行动,但由于打击工作没有在基层形成常态,涉“个人信息”违法犯罪仍继续蔓延。建议各职能部门特别是公检法司等要深刻认识到,涉“个人信息”案件的危害性并不亚于侵财类犯罪。其不仅危害生命财产安全,而且给经济秩序和国家安全带来潜在威胁,必须予以重点打击。首先要用足用好现有法律法规,在刑事政策和打击策略上要把“涉个人信息”案件列入与“八类严暴案件”、“毒品”等案件同等的位置,加大投入,依法严厉打击;其次是广泛发动群众,形成全民参与的良好氛围。当前涉“个人信息”案件报警率低,弱化了法律威慑力。广东某地公安民警近年所做的1000人问卷调查显示,当遇到个人信息资料泄露时,只有8%的人选择报警处理。因此,各级公安机关要广泛开展宣传,同时实施举报重奖,使广大群众充分认识涉“个人信息”违法犯罪的危害性并积极举报和维权。最后是政府通信管理部门和运营企业要加强管理,及时处罚涉网违法违规行为,加大处罚力度。通过严管重罚,促使各单位严格履行信息系统安全管理主体责任,从源头上最大限度减少网络信息泄露和买卖个人信息行为。
3.3制定数据共享特殊保护规则——抓住关键
个人信息安全所面临的威胁,很大程度源自网络互联、数据共享形成的规则性漏洞。而数据共享是“互联网+”繁荣发展的基石,不可能因为个人信息保护的需求而停止。因此,需要在继续推动网络数据共享的前提下,确立各方共同遵守的特殊保护规则或者国家标准。首先是共享项目最简化原则。在各类网络共享中,特别是在个人信息的共享中,应该尽量减少共享数据项,姓名、住址和关系人等数据项应该严格限制。其次是隐私保护原则。主要是指在各类商业类网络应用中,实施最严格的隐私保护原则。例如,在查询时只供核对是否存在此人,或只提供简单的查询结果。在显示查询结果时,不得显示具体住址、工作单位和关系人。最后是以变应变的原则。在网络共享飞速发展,而“个人信息”保护力度不够情况下,“个人信息”不同程度的泄露难以避免。因此,应该釜底抽薪、以变应变。即对“个人信息”的个别项目实施定期更改,使犯罪分子得到的信息局部“失效”。例如,个人手机号码隔几年变一次,密码每年更换一次等等。
3.4培育信息安全审计评估体系——市场导向
在当前全面深化改革,推进以市场为主导资源配置方式的大环境下。笔者认为,应该创新思维,探索新路。建议在做好打击、防范和管理等传统工作的情况下,努力探索以市场的方式解决个人信息安全保护问题。框架思路是:政府制定法规政策,努力培育信息安全审计评估市场,以市场力量推动信息安全保护工作,作为政府管理的重要补充。参照会计审计制度,建立信息系统安全评价标准体系,实施信息系统安全评估审计师职业资格制度,允许成立信息安全评估师、审计师事务所。建议国家对重要网站或信息系统实施强制性安全审计或评估,最好通过立法实施备案性质的行政许可。对一般的商业信息系统,不强制审计评估,但可建立自愿评估制度,由企业自愿参与。在信息安全审计评估制度中,要把个人信息保护作为重点内容,以起到保护隐私、保护生命财产作用,更深远意义在于为国家安全扎牢制度篱笆。
[1]广州市公安局经侦支队.透过“1101—黑客”专案试析当前信息网络时代侦办涉银行卡犯罪的困局与思路[J].广州公安研究,2014(5).
[2]高健江,胡循南,朱宝生.预防与打击侵犯公民个人信息违法犯罪若干问题研究[J].广州公安研究,2013(5).
[3]张远煌.犯罪学[M].北京:中国人民大学出版社,2007.
[4]洪鼎芝.信息时代——正在变革的世界[M].北京:世界知识出版社,2015.
