基于云的隐私隐藏流动及分发控制平台的设计与实现

石晴 刘为

[摘 要] 近年来，随着信息科技的发展，个人隐私信息泄露日渐严重。为了有效遏制个人隐私信息泄露事件的发生，本文设计并实现了隐私隐藏流动及分发控制平台，该平台基于云服务，通过信息表现形式、信息流通方式、信息使用权限以及信息销毁等多方面控制，实现了客体在不知道主体隐私信息明文的情况下，完成对主体的服务。

[关键词] 隐私信息 信息隐藏 信息流动 信息分发

中图分类号：TN302 文献标志码：A

近年来，人类社会信息技术高速发展，阔步迈入大数据时代。大数据蕴含着巨大的价值，在给我们的工作生活带来便利的同时，也给我们的正常生活、个人隐私信息的保护带来了严重威胁。

2016年11月21日，由中国青年政治学院互联网法治研究中心发布的《中国个人信息安全和隐私保护报告》揭示，在遭遇个人信息侵害时，多达81%的受调研者接到过知道自己姓名或单位等个人信息的陌生来电；经历邮箱、即时通讯、微博等网络账号密码被盗的参与调研者占40%；遭遇针对银行卡、信用卡和网络交易诈骗等的参与调研者比例在20%以上；被冒充公检法、税务机关的不法分子诈骗、恐吓的参与调研者比例达19%。根据2018年CNNIC发布的第41次《中国互联网络发展状况统计报告》显示，截至2017年12月，我国网民规模达7.72亿。也就是说我国已经有超过半数的人在使用互联网，而在这半数人中绝大多数人因个人隐私信息泄露，而受到不同方面的骚扰、诈骗，这些问题已经严重影响到人们的正常生活。

基于此，本文研究团队设计并实现了基于云服务的隐私隐藏流动及分发控制平台。该平台实现了通过控制主体用户个人隐私信息的表现形式、传递形式、访问权限以及使用策略等，在保证主体用户所需服务的服务效率和质量的前提下，使主体用户真正做自己信息的主人，控制自己隐私信息的使用人员、使用途径等以保证个人隐私信息的安全。

通过该平台能够从源头上对用户信息进行隐藏，并面向社会所有需要用户隐私信息的行业，允许个人、企业、政府部门、公共组织入驻该平台，并能够实现使所有入驻用户能够对自己的隐私信息的访问及使用权限进行控制。

一、平台设计

基于云服务的隐私隐藏流动及分发控制平台，包含服务器程序、手机端App和Web端应用。

（一）数据所有者端

数据所有者也称主体用户，即提交隐私信息的用户，其移动客户端需要一个专有APP来支持其操作。该专有APP的功能包括：

1.注册/登录。注册的信息敏感分级处理，级数越高敏感度越高，隐私程度也越高。注册填写的各项信息内容均有或对应或随机的非明文表现形式。

2.个人隐私信息的查看与修改

3.收到数据使用者即客体用户的请求，并进行预授权。此操作有两个前提：

（1）二者都必须是已经在平台中注册，并完成实名认证的用户。

（2）客体用户必须先向主体用户发起通信请求且已经获得主体用户同意

该功能运行过程如下：

（1）建立连接。客体用户发来通信连接请求，主体用户通过请求后连接即建立

（2）接收并处理客体用户发送的信息请求清单。客体用户发来清单是通过平台模板格式化的，主体用户只需根据自己个人意愿勾选出愿意给出的信息项以及信息使用权限，除此之外，客体用户对于清单中认为不合理的地方可自主更改，更改确认即生效。主体客户在任何情况下对自己个人隐私信息使用权限的控制权总是高于客体用户。见图2。

（3）提交处理完毕的信息请求清单。清单处理完毕后点击提交，此时清单内的信息内容会上传至云服务器，通过服务器对清单信息的显示和使用权限进行符合主体用户意愿的处理后再发送给客体用户终端。至此为止，整个信息的提交过程完成见图1。

主体用户能够在APP中查看到所有获取了自己隐私信息的客体用户使用自己信息的情况消息通知，在通知中可以查看到客体用户使用信息的方式、时间、环境等。通知列表见图3。信息使用详情见图4.

5.个人及客体用户信息

在APP端，用户还能够查看和管理自己的信息，以及查看客体用户的信息，给客体用户进行评分或者对该机构进行屏蔽。

（二）數据使用者

数据使用者即客体用户（本文中也称“机构”）的客户端针对的主要是社会企事业单位及政府服务部门等用户。机构客户端主要由Web端和Mobile端组成，其中Web端主要侧重于机构管理和信息使用，而Mobile侧重于信息采集。其包含以下功能：

1.创建机构。填写企业相关信息，并上传相关证书完成认证在审核通过后才改机构才会生效。

2.创建和管理员工账户。机构认证完成后，机构用户可创建并管理员工账户，对不同员工账户分别进行相关授权等。这些权限包含：添加、编辑员工权限，添加、编辑信息收集预设条目权限，信息访问权限，信息删除权限，等

（1）信息查看权限。是指对采集回来的明文信息，通过平台设置的方法依据主体用户授予的查看权限约束进行查看。用户交互时流动的隐私信息通常是非明文的，但是在某些特殊情况下主体用户不得不授予客体用户查看或者获取自己明文信息的权限，而客体用户获取主体用户明文隐私信息的方法只能通过云平台的内置方法实现。

（2）信息删除权限是指在信息查看权限之上的、能够对收集回来的信息进行删除，但是这里的删除仅仅是在本机构的信息列表中不显示，而并非真的从云服务器中删除信息，因为真正能够删除信息的只有数据的所有者。通过该功能，系统能够关联本机构内的员工的账号，并赋予不同的管理权限。

3.信息收集：信息收集功能是机构用户Mobile端最重要的功能，机构员工能够通过手机完成户外的线下信息收集工作，并将信息实时同步到机构的信息列表中。能够使用信息收集功能的账号，必须满足两个条件：

（1）是某机构的员工账号

（2）其次，该员工还需要被添加到某一个“任务”下面，即被分配到某个信息收集的预设条目下，其才能够进行该信息条目的收集（员工分配只能在机构的Web端完成）。一个员工可以进行多个信息收集任务，之间并不会产生冲突。

进行信息收集时，先与主体用户建立连接，然后发送信息收集请求并等待用户的反馈，如果用户输入了信息，并提交，则员工能在信息列表中看到经过云服务器处理后的主体用户的信息。

4.信息收集预设条目功能。客体用户通过平台提供的格式化模板编辑所需主体用户个人信息的请求清单，并给清单命名，在需要进行服务交互时将该请求清单发送给主体用户。平台提供的格式化模板中要求客体用户必须填上或选择信息用途、使用次数、使用时间（过期自动失效销毁）、使用环境是否明文以及是否分发（若分发则还要进一步填写上述内容外加分发对象类型或具体用户名称等分发对象仍受平台监管）等。见图5。

当信息预设条目设定完成后，可以为当前信息预设条目添加执行员工，并设置相应的权限，来控制员工的工作。

5.信息使用。数据使用包含在Web端使用和在Mobile端：

（1）电话拨打和消息发送： 这是在日常生活中使用最多的任务。由于电话号码一般情况下是非明文的，所以在本平台中，当客体用户通过主体用户请求获得权限需要拨打其电话或发送短信时，可以通过云平台的Mobile端对获取的非明文进行扫描识别来进行电话拨打，也可以选择通过平台生成临时号码直接拨打生成的临时号码等，无论是扫描还是直接拨打临时号码，通过平台限制客体用户是无法看到主体用户真实的电话信息的。（2）输出成文档、打印：例如输出到Word或PDF，生成电子文档；输出至打印机，打印纸质文档等。无论是输出成电子文档还是打印，本系统都能够支持，只是在输出时一般会对信息进行隐藏处理。例如，姓名部分仅会显示名，电话、住址、照片等信息，都会通过二维码方式进行打印，这样，机构内员工可以通过自己的客户端软件来使用数据；而如果文档丢失，其它用户因为没有查阅权限（即不是该文档出处机构的员工，没有相应的数据使用权限），想通过扫描二维码方式访问数据，也是不可能做到的。

6.信息分发。

信息分发广义上是指将主体用户的隐私数据分发给除了主体用户和直接从主体用户获取隐私信息的客体用户以外的第三方，或是更多其它实体。在本平台中，分发是必须完全在系统范围内的，并完全收到系统的监控。数据分发的前提是主体用户在提交数据时，同意其数据被分发，且分发对象必须是直接客体用户在请求数据时就已经告知了主体用户的对象，否则因为权限限制即使分发了也无法使用。

被分发的数据如果还需要进行再分发，必须再次向数据所有者发送请求信息，并附上信息的用途和分发对象，待用户确认并同意后，才可以进行数据再分发，否则即使分发了也无效。每个客体用户获取或使用的主体用户信息都会有唯一的标记，以便控制信息使用和分发。

三、结语

互联网技术的发展，在服务大众的同时也加剧了个人隐私信息的泄露，基于云服务的隐私隐藏流动及分发控制平台实现了从源头、流通过程、使用方式和使用权限等四方面来控制主体的个人隐私信息使用情况，有效的遏制了隐私信息泄露事件的发生，有力的保护了用户个人隐私信息的安全。隐私信息的保护任重道远，下一步工作将进一步升级平台的适用范围，优化四种控制方法提升平台信息使用的安全性，从而促进隐私信息保护的进一步发展。

（作者单位：武汉商学院，信息工程学院）

★基金项目：2017年湖北省大学生創新训练项目《基于云服务的隐私隐藏流动及分发控制平台》

参考文献：

[1]孟晓明，张军，谢少群.个人隐私信息安全现状调查与分析[J].图书情报工作，2012，56（21）：72-76.

[2]李世明.应对网络威胁：个人隐私泄露防护[J].计算机安全，2009（12）： 94.

[3]文竹.大数据时代的个人隐私保护[J].电子世界，2017（8）：50.