杨宁滨 许舒美 周权

摘要：大数据时代，个人数据因具有价值性易遭他人非法窃取使用。个人数据泄露严重影响公民的日常生活，甚至威胁到公民的财产和生命安全。该文讨论了个人数据类型、泄露的行业分布、原因以及带来的危害等，并从技术、管理方面和个人数据拥有者、使用者以及管理者多维度探讨了如何对个人数据实施保护。

关键词：个人数据泄露;个人数据保护;法律法规;安全技术框架

中图分类号：TP309.2        文献标识码：A

文章编号：1009-3044（2019）24-0001-03

开放科学（资源服务）标识码（OSID）：

Discussion on Personal Data Protection in the Era of Big Data

YANG Ning-bin，XU Shu-mei，ZHOU Quan

（School of Mathematics and Information Science， Guangzhou University， Guangzhou 510006， China）

Abstract： In the era of big data， personal data is vulnerable to illegal theft and use because of its value.Personal data leakage seriously affects citizens' daily life， and even threatens citizens' property and life safety.This paper discusses the types of personal data， the industry distribution of personal data leakage， the causes of personal data leakage and the harm caused by personal data leakage， and discusses how to protect personal data from the aspects of technology， management and the owners， users and managers of personal data.

Key words：personal data leakage; personal data protection; laws and regulations; safety technical framework

1 引言

随着信息化建设的推进下，大数据、人工智能、移动互联网等新一代信息技术的广泛使用，数据资源成为重要的信息资产。目前，互联网公司、政府、个人从技术和管理方面采取多种安全措施，构建个人数据安全保障环境，如利用密码技术对个人数据实施加密存储和加密传输、利用隔离和访问控制技术对个人数据实施严格的访问控制、通过立法对非法收集、获取、使用个人数据进行严厉的惩处等，但是由于技术和管理上的漏洞，个人数据泄露和非法利用等安全事件层出不穷，且个人数据被非法使用造成的危害也越来越严重。2016年山东女大学生因个人数据泄露被骗学费9000元，心理承受不住压力导致死亡;2018年Facebook大量用户数据泄露，被用于政治选举;2019年第一季度发生了万豪酒店5亿客户数据泄漏等严重数据泄露事件。

这些个人数据泄露安全事件对个人数据拥有者造成严重的不良影响，其主要表现为：行为记录被曝光、收到垃圾邮件和电话的骚扰、个人财产的损失、甚至威胁到个人生命安全等。

首先分析了个人数据的类型、个人数据泄露的行业分布、原因以及带来的危害，接着讨论了个人数据的法律法规现状和个人数据保护的技术框架，最后提出个人数据保护的有效措施。

2 个人数据的类型、泄露原因及危害

目前，不同国家对个人数据定义和内涵有所不同。美国对于个人数据的定义为“个人数据是关于可识别个人的任何记录的信息，如个人的宗教、年龄、金融交易记录、病史、地址或血型，既包括识别性个人信息也包括非识别性个人信息”[1];欧盟在颁布的《通用数据保护法案》对敏感个人数据的定义为“能够揭示个人的种族、政治倾向、宗教和哲学信仰、商业团体资格和关于个人健康或者性生活的数据，以及基因数据和生物数据”[2]。我国对个人数据主要定义为“主要是指可识别出信息主体的一切相關数据，通过人工或机器，以个人信息为内容，进行存储、处理、传播的个人信息物化形式”[3]。从这些定义可以发现欧美个人数据侧重于个人的静态数据，我国个人数据既包含个人静态数据也包含个人行为活动产生的数据。

2.1 个人数据的类型

从我国个人数据的定义表明涉及的实体有：个人数据拥有者、使用者、管理者。

根据个人数据的定义和内涵，个人数据可分以下8种类型：

? 身份数据：姓名，身份编号、血型、基因、个人的血缘、地缘以及业缘关系。

? 职业数据：个人职业背景、个人薪资以及消费水平等数据。

? 健康医疗数据：身体健康数据、病史记录数据、生物识别数据等。

? 财产数据：不动财产数据、证券、股票、存款及其交易流水等。

? 信誉数据：个人的征信记录数据（各类贷款、购买保险的数据）等。

? 教育数据：教育背景、教育经历、学历等。

? 行为数据：网络活动数据、缴费数据、位置数据、出入境记录、活动轨迹等。

? 社会数据：社会组织、社会关系等。

这些个人数据可被广泛应用于各个行业领域中，也在不同行业中存在被泄露的风险，图1是由中安威士统计在2018年个人数据在不同行业泄露的情况。

2.2 个人数据泄露的原因

各个行业中存在个人数据泄露比重大小有所不同，但个人数据泄露绝大部分是由于这些数据具有价值性，才导致有意者对个人数据抱有不法企图。Radware公司在2018年对3024名美国网民做的数据调查显示，半数以上的网民认为个人数据比钱包、汽车、手机或钥匙更具有价值[5]。这让不法分子对这些数据虎视眈眈，个人的数据被非法挖掘和利用，个人数据泄露问题日趋严重。下面从个人数据拥有者、使用者以及管理者三个维度阐述个人数据泄露的原因。

（1） 拥有者的原因

数据拥有者导致个人数据泄露主要是由于个人对数据安全防范意识不强所致。个人数据拥有者泄露数据的原因主要有以下几个方面：

? 没有妥善保护好自己存储在手机、电脑上的个人隐私数据而遭有意者窃取;

? 在招聘、婚介、办理会员、送礼品、微信关注、移动APP等需要填写个人数据的渠道上被动泄露数据;

? 公民在未识别认证网址真假情况下，轻易登入由假冒网站、伪基站设备发送的虚假链接，从而被窃取个人数据。

（2） 使用者的原因

个人数据泄露绝大部分是由于个人数据使用者对个人数据管理和保护技术缺陷所导致。个人数据使用者泄露个人数据的原因主要有以下方面：

? 数据使用的组织机构对个人数据管理不善，组织机构内部员工在利益驱动下，利用职务工作便利窃取、出售公民个人数据时常发生。

? 个人数据使用的组织机构对数据保护的技术不完善，导致攻击者利用组织机构的技术漏洞，窃取个人数据也是个人数据泄露的主要原因之一，如组织机构在数据治理过程中使用的软件漏洞、恶意病毒、策略不当、越权访问、权限滥用、暴力破解等[4]。

个人数据使用的组织机构由于不同技术缺陷导致安全事件发生的比重有所不通，图2是数据使用组织机构技术缺陷导致数据泄露的对比图。从图2可以发现个人数据泄露由于软件漏洞、恶意病毒和保护策略不当导致个人数据泄露的主要技术缺陷占达65%。

（3） 数据管理者的原因

个人数据泄露不仅与个人数据拥有者和使用者有关，而且与个人数据管理者和政府有密切关系。从管理者和政府对个人数据管理的法律法规和规章制度方面分析，个人数据泄露的主要原因如下：

? 个人数据的法律法规不健全、不完善，公民法律意识不强，导致对个人数据泄露、窃取的违法成本太低，法律威慑力不强。

? 个人数据管理者的数据治理的规章制度不健全，导致数据越权访问、数据非法拷贝的违规处罚机制不到位。

2.3 个人数据泄露带来的危害

个人数据泄露类型多样，所带来的危害方式也是多样的。并且个人数据泄露导致的后果已经严重地妨碍着人们的日常生活。个人数据泄露对个人数据拥有者带来的危害主要在以下方面：

? 骚扰电话、垃圾违法短信、邮件、电脑广告弹窗、APP推送信息等方式推销产品[6]、销售保险甚至宣传贷款造成公民经济损失。艾媒咨询统计在2018年中国骚扰电话拨打数量超过500亿次，近七成网民遭受过骚扰电话，占比69.7%。

? 个人数据泄露的治理成本和难度越来越大[7]，滋生电信网络诈骗、敲诈勒索、利用个人数据冒名办理信用卡并透支消费等犯罪，导致人们经济损失严重，社会危害影响巨大。

? 公民的生活行为踪迹被监测，导致公民生命易遭威胁。

个人数据泄露不仅造成个人财产损失，甚至威胁到个人的生命安全，同时也是潜在的社会不安定隐患。如何保护个人数据的安全给数据拥有者、使用者以及管理者和政府提出了新的挑战。

3 个人数据保护法律和技术

个人数据的在数据采集、数据传输、数据存储、数据访问及数据使用等过程中易发生泄露安全事件，为保障个人数据的安全需要从技术上、管理上严格管控，既要有完善的法律法规和可行的数据管理制度，加强对个人数据的采集、使用的管控，又要在数据保护安全技术上构建可行的安全保障体系，为个人数据的治理提供技术保障手段。

3.1 法律法规

欧美在个人数据保护方面的立法相对我国要早。例如，美国在1974年就通过了隐私法，确立了数据隐私的基本原则。但是相对于立法保护，美国政府更信任网络行业自律，具体来说，就是要求企业注重数据采集与使用的透明性[8];俄罗斯2000年颁布了《个人信息法》以保障个人数据安全;2012年，新加坡国会通过了《个人信息保护法案》 [3]，形成了完整的个人数据保护法律法规;欧盟在2016年通过了 《通用数据保护法案》替代《欧盟数据保护指令》，并于2018年執行，该法案强化了数据处理基本原则，更加注重数据拥有者的权利保护，同时完善了相关的管理举措。

我国政府2017年6月1日颁布实施了《网络安全法》，明确了信息保护规则和数据泄露责任。2019年4月19日，公安部等三部门联合发布《互联网个人信息保护指南》，制定了个人信息安全保护的管理机制、安全技术措施和业务流程。

从国外国内关于个人数据保护的立法制度上看，我国个人数据保护的法律法规的立法状况相对于欧美起步较晚。虽然已经制定了相关个人数据保护的法律法规，但是针对个人数据完整的法律法规框架仍未建立[8]。各大企业网站对于相关数据保护也仅仅提供一些声明，绝大多数对数据保护的声明内容是相对空泛的。

因此，从法律法规上加强对个人数据保护，严格约束组织机构和个人滥用个人数据，对个人数据的违法犯罪进行严厉的打击，这需加快建立我国完整的个人数据保护法律法规体系，确保大数据时代个人数据从采集、传输、存储、使用、管理等全过程的安全。

3.2 技术框架

个人数据的保护除了在管理上要建立完善的管理体系，在技术上也要构建安全可行的技术体系。大数据环境下构建可行个人数据的技术体系是保障个人数据安全保护的重要手段之一。图3是结合大数据安全和隐私保护技术体系架构[9]构建的个人数据保护的技术架构。

个人数据保护的技术框架主要分为5个层次：安全数据采集层、安全数据传输层、安全数据存储层、安全数据访问层、安全数据应用层。

安全数据采集层主要可在线上线下两种方式对数据进行采集。线下数据采集主要通过人工记录、登记等方式对个人数据进行采集，对收集上来的个人敏感数据进行分级分类处理并录入至设备上。而线上数据主要是通过APP和WEB端实施个人数据采集。在线上线性数据采集过程中需要对数据采集对象实行告知义务，确保数据拥有者明确其对被采集的个人数据权益和数据采集者保障数据安全的义务以及安全可靠的数据采集技术。

安全数据传输层应加密数据传输技术，确保采集到的个人数据传输过程的安全，如采用HTTPS传输协议、VPN、验签与校验等安全方式对个人数据进行传输。数据传输利用加密技术对数据进行加密以及利用公共密钥签名和数据证书对客户端与服务端进行双向身份认证[10]。

安全数据存储层主要是要求个人数据使用者、管理者对个人数据进行密文存储，保证数据机密性、完整性和防止非法篡改，并对个人敏感数据实施分级分类储存与管理。

安全数据访问层主要是防止个人数据使用者对个人数据的非法访问和攻击者未授权访问个人数据，常实施的安全策略有强制访问控制、多级安全策略、数据溯源以及安全审计等。

安全应用数据层主要是对个人数据事前授权、事中控制以及事后审计等方式加强个人数据的使用管理，如事前授权通过用户权限、单点登录、多因素统一身份认证等，事中控制通过应用检测、行为检测控制、应用性能监测、WEB数据反爬取进行控制等，事后通过应用行为审计等以及签订个人数据保密协议等，形成完整的应用安全防护机制。

4 个人数据保护建议

个人数据是个人重要的信息资产，已成为人们生活中不可或缺的重要一部分。个人数据保护需要从数据拥有者、使用者以及管理者的维度通过技术和管理手段方面构建全方位的安全体系，才能降低个人数据泄露的风险。个人数据保护安全体系的构建有以下建议：

? 加强个人的数据安全保护意识，建立个人数据分级分类管理，明确哪些数据是可以公开的个人数据，哪些数据是需要保护的个人数据，哪些数据是敏感个人数据等。

? 增强个人数据使用者的社会责任意识，认识到保护个人数据是维护市场信心、保障社会稳定和获得用户信任的基石。

? 提高应对数据漏洞、网络攻击的技术能力，恶意入侵代码防范，建立完善漏洞共享平台个人数据安全访问控制。

? 政府制定指导组织、行业、机构明确个人数据保护目标、范围、原则和安全框架的个人数据管理体系。

? 组织机构制定工作人员对个人数据日常管理的操作规程。强化个人数据的安全管理，构建安全采集管理、安全使用管理、授权管理、披露管理、转义管理等个人数据使用操作管理机制。

? 组织机构从个人数据保护安全采集技术、安全传输技术、安全存储技术、安全访问技术以及安全应用技术等方面构建可靠可信可控的安全策略。

? 组织机构制定个人数据安全事件应急管理预案。

5 结语

大数据时代，海量数据被广泛应用于各领域行业，个人数据越来越具有价值性。个人数据的安全保护也面临严重地挑战，涉及个人数据的犯罪活动越来越隐蔽、智能程度越来越高，造成人民群众的损失越来越严重，社会影响越来越恶劣。我国十分注重个人数据保护，发布了个人信息保护的法规和个人信息安全保护规程，但未制定系统的、完整的个人数据保护法律，这对打击侵害个人数据的违法犯罪在适用法律方面存在一定的局限，为做到有法可依，有法必依，需加快制定个人数据安全保护法、加强企业对个人数据的安全管理以及增强个人数据安全风险防范意识，保护公民生命财产安全。同时，加强公民和组织机构对个人数据安全保护意识，明确权益和义务。只有从国家、社会、企业、个人全范围增强对个人数据保护，才能构建健康安全的个人数据保护环境，降低个人数据泄露的安全风险，维护社会的安全稳定。

参考文献：

[1] 关伟明. 欧美个人数据保护制度及对我国的启示[D]. 广西大学，2014.

[2] 桂畅旎. 欧盟《通用数据保护法案》的影响与对策[J]. 中国信息安全， 2017（7）.

[3] 王碩. 个人信息的法律保护研究[D]. 吉林大学，2012.

[4] 中安威士.2018年数据泄露事件概要汇总[EB/OL]. http：//www.sohu.com/a/300519296_120056080.

[5] 199IT. Radware：消费者越来越重视个人数据的价值[EB/OL]. http：//www.199it.com/archives/760367.html.

[6] 陶茂丽. 移动智能终端用户个人信息泄露原因及防护对策研究[D].安徽财经大学，2017.

[7] 段艳艳. 公民个人信息泄露的危害及治理[J]. 云南警官学院学报， 2017（3）：94-98.

[8] 孙浩东. 大数据时代个人隐私保护问题研究[J]. 电脑知识与技术， 2017（1）： 19-20.

[9] 吕欣. 大数据安全和隐私保护技术架构研究[J]. 信息安全研究， 2016， 2（3）：244-250.

[10] 姜玮. 网络环境中数据安全及保密解决方案[J]. 信息网络安全， 2009（12）：64-65.

【通联编辑：代影】