大数据时代的个人信息保护研究

文/刘湘平，广州赛宝认证中心服务有限公司

1 引言

目前我们身处“互联网+”的大数据时代，国家不断推进两化融合、智能制造、物联网、云计算、大数据、人工智能、区块链等技术的广泛应用。大数据应用给我们带来了各种便利，但由于个人信息包含有价值，从而导致个人信息保护面临了巨大的挑战与威胁。当今社会，普遍存在着个人信息过度收集、诱骗收集、个人隐私“霸王条款”等问题，它不仅威胁着人们的生命财产安全，还导致了诈骗、勒索等社会犯罪问题，例如美国2018年Facebook 的8700 万用户数据泄露、华住旗下多个连锁酒店的2.4 亿入住记录泄露、万豪喜达屋的5 亿客户的用户信息泄露、圆通10 亿条用户信息数据被出售、顺丰3 亿条用户信息数据被出售、前程无忧195 万条个人求职简历泄露等安全事件，给社会带来了恶劣的影响。

2 个人信息面临泄露的主要威胁

人民网此前曾对个人信息泄露进行过调查，调查结果显示，90%的网民遇到过个人信息泄露。究其原因，手机APP 软件、免费WIFI、搜索引擎、电子商务平台……这些流行的工具很可能成为个人信息中的重要漏洞。更为严重的是因个人信息泄露而引发诈骗、恶意骚扰、绑架、人财两空等。大数据时代海量的个人信息主要面临如下几种泄露威胁：

2.1 黑客攻击

黑客在利益的驱使下，通过攻击破坏实施敲诈勒索、打牌去账号密码、制作钓鱼网站、入侵企业网站盗取商业信息、盗取公民个人信息等。例如，2019年1月1日，澳大利亚维多利亚州政府3万名雇员个人信息外泄，这个给政府员工使用的名录包含工作电邮、职称以及工作电话号码。受此次数据泄露事件影响的员工通过邮件被告知，在通讯录上的员工的电话号码可能也已外泄。酒店连锁巨头喜达屋母公司万豪国际酒店5 亿客户数据泄漏，万豪国际酒店表示，经过取证和分析团队缜密调查后发现，因其大数据泄露事件影响到的客户数量从5 亿减少到了3.83 亿，其中有超过500 万个未加密的护照号码和大约860 万个加密信用卡号码被盗。万豪表示，喜达屋集团自2014年以来一直在受到黑客攻击。万豪已提出，如果受影响的客人能够证明自己是数据泄露事件的受害者，他们将支付办理新护照的费用，这可能会让万豪公司损失5.77 亿美元。2018年1月，某手机厂商发布声明称，4 万名消费者的信用卡信息在2017年11月至2018年1月11日期间遭不明黑客盗取。该手机厂商证实：网上支付系统遭入侵。攻击者针对其中一个系统发动攻击并将恶意脚本注入支付页面代码中窃取用户付款时输入的信用卡信息，该恶意脚本能直接从消费者浏览器窗口中捕获完整的信用卡信息，包括信用卡号、到期日期和安全代码。

2.2 网站泄露

据报道，2018年4月，芬兰通信管理局（FICORA）于2018年4月6日通过自己的网站向所有芬兰公民发出警告称，一个由赫尔辛基新企业中心负责维护的网站（liiketoimintasuunnitelma[.]com）在本周二遭遇了匿名黑客的攻击，大约有13 万用户的账户用户名和密码被窃取，同时被窃取的还包括其他一些机密信息。从受害者数量来看，这将是该国有史以来发生的第三大数据泄露事件。2018年4月，安全研究员SrinivasKodali 报告了一起数据泄露事件，受影响的是一个隶属印度安得拉邦的政府网站。根据Kodali 的描述，遭泄露的数据包括Aadhaar 号码、银行分行、IFSC 代码和帐号、姓名、地址、身份证号码、手机号码、配给卡号码、职业、宗教信仰和种姓信息。2018年10月，美国负责HealthCare.gov 网站（美国一政府网站）的机构称他们在一个与HealthCare.gov 交互的政府计算机系统中发现了一起黑客攻击行为，导致大约7.5 万人的敏感个人数据遭到泄露。其设计由美国联邦医疗保险暨补助服务中心（CMS）监督，并由多个联邦承包商建立。该网站投资高达8 亿美金。

2.3 “内鬼”泄露

一些掌握大量个人信息的“内鬼”，在利益的驱动下，利用自己特殊身份和工作便利进行泄露和贩卖个人信息。据报道，2018年1月，某警方侦破了一起新生婴儿信息倒卖链条。从新学婴儿数据泄露的源头来看：某社区卫生服务中心工作人员徐某，掌握了某市“妇幼信息某管理系统”市级权限账号密码，利用职务之便，多次将2016年至2017年的某市新生婴儿信息及预产信息导出。被抓获前，他累计非法下载新生婴儿数据50 余万条，贩卖新生婴儿信息数万余条。值得注意的是，在该案中，徐某仅是某市某社区卫生服务中心工作人员，却掌握了某市“妇幼信息某管理系统”市级权限账号密码。2018年3月，某法院审理了某地方公务员窃取信息案件。从公民个人数据泄露的源头来看：朱某任职于某机关单位。从2010年起，朱某利用职务便利，应朋友刘某、王某的要求，超越职权下载了一些公民个人信息，并将这些信息分别提供给他们使用，造成大量的公民个人数据泄露。经统计，2010年4月至2016年9月，朱某向刘某提供公民个人信息70 余万条，2011年11月至2016年7月，朱某向王某提供公民个人信息12 余万条。

2.4 单位或企业非法收集个人信息

据报道，2015年上海市查处了一例违法收集使用消费者个人信息案，自2013年4月起，上海炳恒金融信息服务有限公司在日常经营活动中，为拓展业务、发展客户，由理财部大区经理通过购买等途径收集大量消费者个人信息，并按照公司层级依次派发给团队经理、理财经理（业务员），以电话方式联系消费者，推销公司的P2P 理财产品。上述当事人收集、使用消费者个人信息，都未取得消费者同意。2019年4月，因非法收集儿童用户个人信息，美国YouTube遭多家机构联名投诉。YouTube 是全球用户最多的网站之，它遭多家机构联名投诉触犯了《儿童在线隐私保护法案》，因为它有大量面向13 岁以下儿童的节目，允许广告客户向儿童用户发布精准广告。

3 个人信息泄露的途径及信息保护方法

3.1 个人信息泄露的途径

（1）账号密码的信息泄露

随着计算机和智能手机的普及使用，黑客喜欢在人们使用计算机或手机时不知不觉通过用户点击不明链接或下载软件时捆绑一些非法恶意程序，同时植入木马程序，直接可以从后台盗取用户的账号和密码信息。由于一般用户信息安全保护意识薄弱，出于便利的考虑往往账号密码的设置过于简单，黑客可以通过密码字典进行暴力破解。一般使用用户在所有网站都使用同一个账号和密码，这样黑客只要盗取了一个网站的账号和密码，可以通过“撞库”的方法试验出该用户在其他网站的账号和密码。

（2）个人身份信息和个人财产信息的泄露

由于我们身处在一个网络发达的时代，且随着信息存储与抓取技术的进度，人们的购物、出行、消费等记录都被完整保存在网络上，通过一个手机号就能查出个人身份信息和财产信息。例如，我们在刚购买一套新房，各种装修公司的电话就来了；自己的宝宝刚出生，影楼、母婴用品的推销电话就纷至沓来……使我们的日常生活烦恼不断，苦不堪言。

（3）个人位置和状态的信息泄露

个人的行踪往往使我们最大的隐私，但是我们使用的智能手机都有GPS 定位功能，相应地很多APP 软件都一个个人隐私权限的设置，就是允许访问你的位置信息，这样的本意是好的，能将自己周围的商业资源快速分享给有需要的用户，但是如果这种便捷服务被别有用心的人加以利用，他可以收集你的个人隐私，甚至会把你的位置数据卖给其他人。

3.2 个人信息保护方法

针对上述三个信息泄露的途径，接下来将讲解一下保护个人信息的主要方法。

（1）账号密码的保护方法

首先一定不要出于好奇的思想，不要点陌生人发来的链接，即使是熟人发来的链接也要留意链接的网址的前缀网址是否是熟知的网站。其次不管是计算机还是手机建议安装一个防病毒软件，例如360 安全管家及360 杀毒，它可以帮助我们进行病毒和恶意软件的防护。然后计算机要及时安装系统漏洞补丁，账号密码设置一定要遵守优质密码原则，采用包含字母、数字、字符等不少于10 位的组合，这样的话密码就不易被暴力破解。

（2）不要随意留下个人的身份信息和手机号码

目前很多网站和手机APP 在注册账号的时候都需要填写个人信息，建议大家不要随意在网站上留下自己的真实姓名、住址、电话等信息，因为个别网站内部人员会将网站的注册信息手机汇总再贩卖给别有用心之人。此外，网站上有些调查问卷也是打着“问卷”之名，实则是收集用户的个人信息。最后，我们生活的一些小细节也要注意，例如：我们收到的快递袋子上面的个人信息要及时进行销毁，个人单据、发票账单、车票、飞机登机牌等不要随意扔到垃圾桶，处理前也要销毁个人信息……这些如果不加以处置可能会导致用户的个人信息泄露。

（3）个人位置的隐私保护

个人位置信息的泄露大多数是由于手机APP 的某个应用获得了用户的位置权限，且该应用一直在后台运行并未退出，因此AAP软件会实时收集用户的位置信息。这就要求我们在日常使用手机时要养成及时退出不使用的APP 软件。

（4）谨慎使用免费WIFI

我们大家一般都喜欢使用免费WIFI，但殊不知其中存在较大的风险，很不安全，黑客们会使用黑客工具在公共免费WIFI 上自建一个“钓鱼”WiFi，用户无需输入密码就可上网，如果有人连接上这个免费WIFI，就中了黑客精心设计的免费陷阱了。因此，大家出门在外，为了个人信息的安全一定要牢记不要随意连接陌生的WiFi 信号。

（5）养成良好的上网行为习惯

建议大家一定要尽快养成良好的上网行为习惯，在不使用WiFi的情况下立即关闭WiFi 连接；谨慎使用公共场合的WiFi 连接，不要使用无密码保护的WiFi；连接公共场合经认证的WiFi 时，不要使用网络购物和银行转账等应用；不要随意扫描二维码，目前就有不少不明二维码内含有病毒或木马程序，手机扫描后会把机主的个人信息发送出去，从而泄露个人隐私。

4 国内外关于个人信息保护的措施

4.1 我国个人信息保护措施

我国很早就开始关注对个人信息的保护问题，自2009年起，我国政府就加快了对个人信息保护的步伐，相继制定了个人信息保护相关法律法规，全国信息安全标准化技术委员会也于2017年12月29日正式发布国家标准《信息安全技术 个人信息安全规范》（GB/T 35273-2017），并于2018年5月1日实施，该标准就是针对个人信息面临的安全问题，规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为，旨在遏制个人信息非法收集、滥用等现象，最大程度地保障个人的合法权益。此外，2018年9月7日，十三届全国人大常委会立法规划公布，《个人信息保护法》与《数据安全法》被列入第一类项目，有望使我国个人信息保护早日步入法制化轨道。

4.2 国外个人信息保护措施

做为美国当代社会生活中较重要的法律之一，1974年制定、1975年9月实施、1988年合并补充的《隐私权法》可以说是现代民主意识与现代科学技术相结合的产物。美国颁布了《隐私权法》后又制定了行业隐私保护法律，如《电讯法》、《有线通讯隐私权法案》、《儿童在线隐私权保护法》、《健康保险隐私及责任法案》、《金融隐私法案》等，构成较为完善的个人隐私保护法体系，为用户个人隐私信息保护设定了基本原则。此外，美国还成立计算机安全协会、信息系统审查与控制协会、计算机应急协调中心、国际互联网协会等信息安全行业组织，制定涵盖信息安全保护技术、从业人员自律教育等内容的行业规范。

欧盟于2014年颁布的《通用数据保护条例》GDPR) 是迄今为止覆盖面最广的全球性数据隐私保护法规，被称为“史上最严格的数据保护法”，经过四年的讨论于2018年5月25日正式生效。纵观其演进历史，欧盟的个人信息保护起源于传统隐私保护，发展至今先后历经以1981年《个人数据保护公约》、1995年《个人数据保护指令》和GDPR 为主要表现形式的三个阶段。此外，欧盟还积极建立并推进大数据个人信息保护跨境协作机制。

日本《个人信息保护法》于2005年4月1日起施行。随着信息技术的急速发展与利用，该法于2015年进行了大幅修正，2017年5月30日起施行。在日本，《个人信息保护法》基本上以民间领域为对象。但是，《个人信息保护法》的基本理念在公共领域也必须遵守。此外，在公共领域还制定了以国家行政机关为对象的《行政机关个人信息保护法》，以独立行政法人为对象的《独立行政法人个人信息保护法》，以地方公共团体等为对象的《个人信息保护条例》。在个人信息保护相关法律的基础上，政府为确保经营者适当处理个人信息以及确保这些经营者构筑的措施能得到适当且有效的实施，制定了《关于个人信息保护的基本方针》。

针对个人信息保护，韩国政府相继颁布实施了《个人信息保护法》、《位置信息保护法》等法律。《个人信息保护法》于2011年3月29日发布，它对个人信息的公开和使用做了详细的规定，对窃取个人信息的行为也做了明确的处理规定；《位置信息保护法》则要求在使用个人位置信息时必须得到当事人允许。

5 结束语

综上所述，由于我们身处大数据互联网时代，每一个人都离不开互联网，因此，只有我们每一个人都提高个人信息安全保护意识，养成良好的上网行为习惯。此外，可以加强诸如数据加密技术、访问控制技术等技术手段进行信息安全保护，同时进一步规范企业对个人信息收集和使用，加强行业监管部门对个人信息保护工作的监督力度，完善个人信息安全法律法规建设，才能让我们老百姓在大数据时代更有安全感。