浅谈大数据时代的隐私保护策略

2016-09-06何乾声邓伏虎

中国科技信息 2016年7期

何乾声　黄翀　邓伏虎

浅谈大数据时代的隐私保护策略

何乾声黄翀邓伏虎

随着非结构化数据采集技术的发展，大数据的产生速度正在以超乎人们的想象。随着所蕴涵价值不断被发现，大数据成为IT信息产业中最具潜力的蓝色海洋，全球已经进入大数据时代。就如同数据挖掘和隐私保护这两个孪生兄弟一样，大数据给我们的生活带来了很多便利的同时却也同样带来了很多烦恼。在全球都大力发展数据中心、处理中心等大数据产业之时，对隐私信息的保护具有更加重要的意义。本文通过分析大数据在个人隐私、企业隐私、国家安全等三个方面带来的问题，从技术、法律法规、行业以及国家安全等方面提出大数据时代的隐私保护策略。

2015年上映的《速度与激情7》扣人心悬，其中的天网系统控制着整个城市的视频采集设备，并能够直接调用所采集的视频数据，然后进行图像分析，可以很快在一个城市中确定想要搜索的人的具体位置。类似这样的场景在现实生活中离我们并不遥远，作为“科技强警”的标志性工程，天网监控系统已经被各大城市采用。当然现在的天网系统还处于初级阶段，只会在警方有需求时调阅具体地点的视频，采用人工手段识别视频中的信息。但是，随着图像识别技术的进一步发展，隐私保护的急迫性已经完全体现。尤其是随着大数据挖掘技术的发展，个人信息不断地以各种方式被收集，使用。对个人隐私安全、企业信息安全甚至于国家安全都带来了极大的威胁。

大数据引发的个人隐私安全、企业信息安全乃至国家安全问题

（一）大数据引发个人隐私安全问题

在大数据时代，个人信息正以超乎想象的速度被采集，避免外部数据采集者对个人隐私信息进行分析处理是不可能的。目前，即使采用了匿名化的信息采集方式，通过对个人信息、位置信息、操作信息等多种数据组合分析，每个人的行为痕迹能够被完全显现出来。 “棱镜门”事件爆发后，尴尬的奥巴马辩解道：“你不能在拥有100%安全的情况下，同时拥有100%隐私和100%便利。”

（二）企业迈进大数据时代，信息安全面临多重挑战

近年来，电子邮件营销公司、财团，酒店、银行、网络公司等数据拥有量大的企业都因为信息泄露而遭受过重大损失。

大数据来袭，众多企业不仅要学习如何挖掘自身企业内部的数据价值，还应该根据自身业务发展布局数据采集、分析、使用，使数据的价值最大化。同时还要统筹安全部署，考虑如何应对网络攻击、数据泄露等安全风险，并且建立相关预案。当企业用数据挖掘技术获取独特的商业价值时，黑客也利用大数据分析技术获取自身所需的信息。正如Gartner论断的那样：“大数据安全是一场必要的斗争”。

（三）国家安全将受到信息战与网络恐怖主义的威胁加大

大数据也将为网络恐怖主义提供新的资源支持。大数据挖掘技术能够从很多看似不相关的数据源中挖掘出更多的国家机密信息，这也吸引了网络恐怖主义组织的注意力。

在机械化战争时代，世界各国所面对的是刀枪大炮的攻击。而在信息时代，安全环境发生了质的变化。不管是战争时期还是和平年代，信息已经作为一国最重要的战略资源而成为了首要的被打击目标，特别是在和平年代，全球性的经济活动使得各个国家在石油和天然气、水、电、交通、金融、商业和军事等方面都高度融合并依赖信息网络，也就更加容易遭受来自网络的攻击。同时保护他们免受攻击已超出了军事职权和能力的范围，需要从国家角度出发来面对这些问题。

大数据时代的隐私保护策略

针对大数据时代所带来的隐私保护安全问题隐患，单纯从提升技术水平的角度出发已经不能解决根本问题，还应该从法律法规、行业规范以及国家安全等方面入手。

（一）技术为先

目前主要的数据隐私保护技术有：访问控制、数据加密、数据匿名、数据映射等。在大数据时代，即使数据经过严密的匿名化去除了用户信息的标识符，但通过对多个数据库的挖掘，仍然可以精确定位到个人。因此大数据时代的隐私保护技术除了数据发布匿名保护技术以及社交网络匿名保护技术以外还有数据溯源技术、数据水印技术、身份认证技术。这些隐私保护技术贯穿大数据生存的采集、分析、使用三个阶段。技术是一把双刃剑，最重要的是看它被握在谁的手中。隐私保护与数据挖掘也是如此，随着数据挖掘技术的进步，对应的隐私保护技术也应得到学术界、企业界的高度重视。建立数据采集、数据分析、数据应用过程的统一的数据保护体系能够最大限度地保护隐私信息。

（二）法律先行

隐私保护需要多方入手，让数据拥有者不仅仅能够在数据产生、分析、使用过程中提高隐私保护意识，还能够在隐私泄露后的追偿能够有依据，因此立法保护个人隐私成为必然。一些国家政府纷纷立法保护公众隐私。美国是制定于此相关法律法规较早的国家，大多数欧盟国家队个人隐私保持谨慎的态度，制定了严格的法律，限制企业在进行商务活动时采集、买卖和利用个人信息。

大数据时代的隐私保护出现了新的特点，谁拥有大数据，谁掌控大数据，大数据的生命周期到底有多长，如何使用大数据是最需要回答的问题，这也是隐私保护立法需要解决的问题。我国目前对于个人隐私保护的法律制度还不够完善，在电子商务、电子银行、身份认证等方面还处于初级阶段。但仍然没有一部专门针对个人隐私的法律。

大数据时代的隐私保护立法不仅仅需要专业法律人员的参与，还需要听取大数据技术人员的建议，能够从技术角度解决的问题就从技术角度出发，同时还需要加强监管，尤其是对大数据拥有企业的监管，需要企业在数据使用过程中避免二次挖掘等不依赖数据拥有者的情况。

（三）标准主导

对企业来说，大数据时代的隐私保护不仅仅是指保护所采集数据本身，还包括企业自身生产经营过程中所产生的隐私信息。自觉维护行业规则以及软件开发规则，不采集分析不需要的各类信息，不随意发布用户授权的各类数据是所有企业都应遵循的行业标准。

在大数据时代，收集用户信息的目的是为了给用户提供个性化服务。但是由于缺乏统一的行业规范，当前的信息采集仅仅在安装应用时在技术层面上告诉用户所需要的权限，并没有告诉用户什么时候会访问个人信息、访问了个人信息、什么时候上传信息、上传时是否会对用户进行提醒等。

我国大数据行业标准规范现在已经开始进入发布阶段。2015年11月6日，贵阳市人民政府、中国标准化研究院、中国投资协会、中国新兴产业大数据信用服务中心、金电联行（北京）信息技术有限公司，清华大学数据科学研究院和德勤华永会计师事务所在北京共同签署《大数据标准化五方合作框架协议》。这是自2015年9月5日国务院印发《促进大数据发展行动纲要》以来，大数据行业的标准首次建立。

（四）国家安全，打防结合

个人、法人等对隐私保护的需求在很大程度上还只是对于信息的保护，而国家政府对数据安全的需求在很大程度上决定这个国家政府在未来的几十年内是否能够拥有全新的经济增长点以及最强的国家战略防御能力。未来我国的国家信息安全战略，不仅要对传统信息安全中的短板问题进行解决，还更应该与时俱进，将大数据列为重要着力点，加强顶层设计和政策引导。

我国开始了利用大数据进行反恐的行动。“天网监控系统”是利用设置在大街小巷的大量摄像头组成了监控网络，是公安机关打击街面犯罪的一项法宝。在恐怖事件发生之前，通过对历史上恐怖事件的发生规律，判断大概在什么时间、什么场合需要特别警戒。在恐怖事件发生之后，通过对可疑人员、可疑账号、可疑组织的监控追踪，快速抓捕恐怖分子。