大数据时代下的用户信息安全风险及防范研究

于 川

（青岛市大数据中心 山东 青岛 266000）

0 引言

互联网的高速发展对经济社会各领域、各行业产生深远的影响[1]。物联网、云计算等技术的快速兴起，促进了数据的井喷式增长，也提高了数据模式的复杂化程度。数据是网络运营与发展的“血液”，也是信息化时代的核心内容。目前，各个国家为大数据技术的运用与发展投入了大量精力，当成抢占信息战略高地的重要工具[2]。大数据时代下，发布在网络空间中的信息以广阔的渠道、多样的形式传播。信息技术业务在大数据的带动下，个人信息保护机制亟待完善，这是一项艰巨的任务。

1 大数据时代用户信息安全与网络隐私

网络隐私是指自然人在网络上享有私人信息、私人空间以及私人活动受法律保护，不被他人侵犯、知悉、收集、复制、利用和公开的一种人格权。大数据时代下，用户信息包含着用户的网络隐私。防止用户信息泄露是保护用户的网络隐私权。大数据中用户隐私包括但不限于个人注册信息、社交活动中的隐私、用户地理位置、用户社交关系等。大数据技术诞生之后，信息成为宝贵的战略资源，数据价值不断被挖掘。大量涉及用户日常行为习惯、消费习惯、偏好等的重要用户信息受到关注，并被挖掘出来。一些人以营利为目的，侵犯了隐私权，引发了用户信息安全风险，对于用户人身财产安全造成影响。

2 大数据时代下造成用户信息安全面临风险的主要原因

通过分析导致用户信息安全风险的原因可以明确防范重点。大数据时代下造成用户信息面临安全威胁的原因体现在几个方面：

第一，违规收集个人信息或信息收集不透明，引发用户信息安全风险。在收集用户信息时必须要在用户知情且授权的前提下才可执行。用户对自身信息具备法律上的权利，并依法受到法律的保护[3]。这种以透明的方式对个人信息进行采集，或是请求权限，个人信息掌握在用户手中，用户可以根据具体情况决定是否把这些信息提供给他人或是授权，相对而言，安全性能得到一定的保证。但是，一些平台或APP在未经过用户授权的前提下，违规收集用户信息或对收集用户信息的范围不透明等，造成用户在不知情的情况下信息被收集和记录；第二，用户信息管理不当造成的信息泄露风险。用户在办理相关业务时，会把身份证、手机、姓名等个人信息提供给信息管理者，信息管理者借助这些信息进行操作，但只能在自己的权限范围内使用这些信息，要承担起保护用户个人信息的责任，如果出现管理失误或操作不当等情况，用户个人信息就有可能遭到泄露[4]。不法人员把获取的用户信息出售给其他侵财团伙，包括网络盗窃、电信诈骗等，威胁到群众的财产安全。从用户信息安全层面考虑，信息管理者可能是用户信息泄露的最大风险来源之一。常见的用户信息泄露的主要类型如图1所示。

图1 大数据时代用户信息泄露的主要类型

信息管理者层面引发用户信息安全风险的原因通常有：第一，随意使用信息采集技术。部分信息管理者随意使用信息采集技术，对用户信息安全造成了不良影响。网络时代，不管是登录QQ还是微博，抑或是接受第三方服务，不仅需要输入账号、密码，还需要提供与服务关联不大的个人信息，包括头像、微博动态、地理位置信息等。信息管理者要求信息主体填写个人信息，却不给其提供拒绝提供此类信息的选择。生产企业与互联网信息服务者要求用户在下载安装应用软件的过程中必须提供全面的个人信息，甚至包括用户通讯录名单、个人定位等，并对这些信息进行存储与管理，在未得到授权或是没有征求用户意见的前提下随意使用这部分信息，而且在用户下载软件时也会捆绑其他软件，采取的这些举措都会对用户的个人信息安全构成威胁；第二，信息管理者操作失误引发的用户信息安全风险。例如，在打印与外发文件、屏幕拍摄等过程中没有形成强烈的数据保护意识，导致内部数据被泄露；又如，在存储数据时，由于数据库、数据中心、服务器遭到黑客攻击，黑客采取设置后门、植入木马、撞库等方式入侵目标网站与服务器，都可以窃取信息。此外，机密资料保护不力、数据传输过程中出现数据拦截、网络监听等问题，都可能引发用户信息安全风险；第三，大数据技术本身特征引发的用户信息安全风险。任何事物都具有其两面性。大数据技术凭借数据分析、数据挖掘等层面的优势，在诸多领域发挥着关键作用[5-7]。与此同时，在大数据技术应用的过程中，也积累了越来越多的个人信息数据，其中包含了许多与用户自身隐私密切相关的数据。通过使用大数据技术可以更加便捷地进行关联分析和数据聚合，获取用户信息更加便利，但是这也降低了不法分子获取用户信息数据的难度。

3 大数据时代下用户信息安全风险防范的具体对策

在分析造成用户信息安全面临风险的主要原因的基础上，下文侧重围绕大数据时代下用户信息安全风险防范的具体对策进行探索，具体如下：

3.1 严格遵守用户信息的安全原则

为了确保这些信息的安全性，必须严格遵守用户信息安全原则，具体而言：第一，必须明确用户信息是用户个人的资产，其所有权属于用户。正如360公司董事长兼CEO周鸿祎在极客公园奇点大会上首次提出“用户信息是用户的个人资产”。在维护用户信息安全的过程中，必须要依据国家有关大数据、个人信息的法律，明确用户对自身信息的所有权限；第二，确保用户对信息收集、使用的知情权和选择权。用户拥有其个人信息的所有权，任何企业在收集、使用用户信息时都必须要得到来自用户的授权，用户对平台是否可以获取个人信息拥有决定权和选择权[8-9]。

3.2 加强大数据隐私保护技术的应用

大数据环境下，一些先进技术被应用与网络攻击催生了新型、高级的网络攻击手段，对网络用户信息安全，特别是隐私保护带来巨大挑战。这种情况下，单纯依靠传统的防火墙、IPS、IDS等安全设备主要通过采用流量分析和边界防护的方式来实现网络安全防护。为更好地确保用户信息安全、保护用户隐私，应加强大数据技术，特别是隐私保护技术在用户信息安全风险防范领域的应用。大数据隐私保护技术是以数据发布匿名保护为核心，解决大数据应用场景下的用户身份信息、地理位置信息等信息匿名保护、数据脱敏以及数据防泄漏等关键性问题。

以数据脱敏技术为例，通过针对用户的敏感信息采用脱敏规则进行数据变形处理，从而达到对用户敏感隐私信息予以可靠保护的目的。数据脱敏技术不影响数据的自由使用，依然具备数据特征和可访问性。具体而言，应在明确大数据隐私保护系统数据参与角色基础上，引入数据脱敏技术，对用户敏感隐私信息予以保护。具体如下：

3.2.1 隐私保护系统数据参与者角色

一般而言，隐私保护系统由三部分构成，包括匿名化操作、数据状态、参与者角色等。其中参与者角色包括数据生成者（data generator）、数据管理者（data curator）、数据使用者（data user）以及数据攻击者（data attacker）。四个数据参与者角色及其相互关系如图2所示。

图2 隐私保护系统的四个数据参与者角色及相互关系

如图2所示，数据生产者是原始数据的提供者，他们通过各种终端设备访问互联网，以其中方式主动或被动地为他人提供数据。例如访问社交平台、网络在线购物、电子支付系统交易记录等等。数据管理者主要负责对数据生产者提供的各类信息进行相应的管理操作，包括对数据进行采集，数据存储、数据发布等。数据使用者主要是访问发布数据的各类用户。数据攻击者则是一种特殊类型的数据使用者，其主要是出于善意或恶意目的从数据集中获取信息的人。

3.2.2 利用有效的数据隐私保护方法，确保用户隐私信息安全

用户隐私和数据安全是重中之重。一方面，随着大数据技术的深度应用，大量数据汇集，增加数据泄露风险；另一方面，大数据技术的应用也对数据保密性、完整性等提出新的挑战。为了更好地保护用户信息安全，必须要合理地采用数据隐私保护技术，强化对用户隐私信息的保护。常见的大数据隐私保护技术如图3所示。下文侧重以访问控制技术为例，对大数据隐私保护的具体方案进行介绍：

图3 常见大数据隐私保护技术

大数据环境下，由于用户访问场景存在差异性，依靠单一方式的访问控制结构无法达到较好的效果。大数据环境本身存在用户来源广泛，数据繁杂的特征。针对这一问题，国内学者王祥等[10]提出了“一种多方协同授权的访问控制方法”，形成了适应用户访问的粒度可变性的，即大数据环境下变粒度安全访问控制方案。如图4所示。

图4 大数据环境下变粒度安全访问控制方案

在保护用户隐私信息安全的过程中，访问控制是一项重要的技术手段。例如常见的自主访问控制、强制访问控制、基于角色的访问控制等均属于访问控制手段。在具体实践中，需要结合不同系统对用户信息安全保护的需要，灵活建构访问控制模型，准确地把控访问权限，有效预防信息泄露，提升系统的安全保护能力，避免用户隐私信息泄露。

3.3 建立行业数据安全自律组织，保障用户信息数据的安全性

行业要集中多个服务商的力量，以协商的方式构建数据自律组织，以促进数据安全与应用协同发展为目的，引导企业在国家大数据安全规则制定方面提出合理建议，促进行业规范化发展，给用户数据安全带来保障。因此，有必要通过建立行业数据安全自律组织，保障用户信息数据的安全性。具体如下：

第一，推进用户信息安全相关标准体系建设。企业要对数据安全管理予以重视，要把安全管理与保护措施贯穿数据的整个生命周期，提高此项工作的标准化程度。同时，立足企业发展情况，对数据管理与保护创建系统，争取能满足多种场景数据安全防护需求，根据各个部门的具体情况制定合理的加密策略、控制策略。

第二，政府与行业自律组织要在全社会组织信息隐私安全教育，增强所有人的数据信息保护意识，掌握相关法律知识，从思想意识上对保护个人隐私予以重视，在实践中养成良好的网络使用习惯。同时，宣传与推广数据安全法律法规，在全社会营造良好的数据安全意识，建设良好的数据安全治理环境。此外，要增强公民数据隐私保护能力，为用户提供良好的网络社交环境，解决泄露个人信息隐私的问题。

4 结语

随着互联网的全面普及，大数据技术不断地改变人们的生活。通过大数据技术的应用，用户可以获得更具针对性、个性化的定制服务，能够及时获得符合自身需求的产品。但是，大数据技术的应用也在一定程度上引发了人们对自身信息安全的焦虑。因此，在大数据时代，应当在维护用户隐私权的基础上，发挥大数据技术优势，正确地运用用户信息，为用户提供更加安全、可信、便利的服务。