大数据时代个人信息管理与保护

来源:用户上传      作者:

　　摘要：大数据时代的到来使数据信息迅速膨胀，成为一种有价值的资源，影响着人们的生活方式、工作习惯和思考模式，并提高了经济和社会效益。但目前大数据在收集、存储和使用过程中也为个人和团体的信息保护带来了极大风险和挑战。从立法、市场管理、安全技术3个方面对大数据环境下个人信息的管理和保护进行探讨，并提出相应的研究方向。
　　关键词：大数据；个人信息保护；信息安全
　　DOIDOI：10.11907/rjdk.151490
　　中图分类号：TP3-0
　　文献标识码：A 文章编号文章编号：16727800（2015）008000902
　　基金项目基金项目：
　　作者简介作者简介：胡姗（1993-），女，安徽安庆人，中南财经政法大学信息与安全工程学院学生，研究方向为大数据信息安全。
　　0 引言
　　近年来，随着互联网和信息行业的飞速发展，“大数据”作为一种重要的战略资产，已经渗透到每一个行业和业务职能领域，成为重要的生产要素。大数据的一大功能就是将存留于互联网中的数据转换成有价值的资源，通过分析消费者的网络足迹、点击、浏览、留言，从而了解消费者的性格、偏好、意愿等，为消费者提供更贴心、便利的服务。然而数据时代带来的网络开放性也给人们造成了困扰。在信息化社会，对个人信息的收集利用已变成了一种有利可图的商品，消费者的姓名、性别、年龄、学历、职业、收入等都成为能为商家带来经济效益的商业信息，众多商家不惜通过种种手段来窃取或购买消费者的个人信息[1]。同时，云环境中的数据存储、传输也面临很多安全威胁，网络攻击、信息窃取等安全事件频繁爆发。智联招聘86万用户简历信息泄露事件、130万考研用户信息泄露事件、3.15晚会曝光的“钓鱼”WiFi事件等已经给人们敲响了警钟。个人信息泄露对公民生活造成极其严重的后果，日常生活秩序被打乱、经济利益被侵犯、名誉和声誉受到影响，甚至人身安全受到威胁。如何在大数据时代对个人信息进行安全保护，已成为目前社会各界共同关心的话题[2]。本文将从立法（Law）、市场管理（Market）、安全技术（Technology）3个方面对大数据环境下个人信息的管理和保护进行相关探讨。
　　1 个人信息法律保护
　　1.1 国外个人信息保护相关立法
　　美国是世界上最早提出个人信息保护的国家，1974年出台的《隐私法案》是美国个人信息保护的综合性法律，在此之后又通过了一系列关于隐私保护的相关法案；2012年2月，白宫颁布《消费者隐私权利法案》，这是与大数据最息息相关的法案，法案中明确且全面地规定了数据的所有权属于用户，企业必须负责任地使用用户信息等；2014年5月，奥巴马政府发布2014年“大数据”白皮书，其中利用专章解读“美国隐私法案与国际隐私法框架”以及“大数据对隐私法的启示”，意在更新完善已有的隐私法案[3]。
　　欧盟1995年颁布的《数据保护指令》规定了所有成员国必须遵守、实施的对个人数据进行保护的一系列规则。随着网络信息技术的日新月异，2012年，欧盟委员会提交了一个全面的数据立法改革提案，该提案中要求在欧洲市场经营但非欧洲本土的公司，也必须遵循欧洲数据保护法；同时，在没有法定原因保留的情况下，个人有权要求删除涉及个人隐私的数据，包括互联网搜索提供商提供的有关个人数据的链接。
　　1.2 对我国个人信息法律保护的启示
　　目前，我国仍存在个人信息保护方面社会意识淡薄和立法执法基础薄弱的问题。现只有由《刑法修正案（七）》、《侵权责任法》、《居民身份证法（修订）》等法律构成民事责任、行政责任和刑事责任三位一体的个人信息保护法律框架，而缺乏一套系统性的法律规章制度保护公民个人信息[4]。2013年2月，我国个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》出台，虽然标准规定了个人敏感信息在收集和利用之前，必须首先获得个人信息主体的明确授权，但毕竟只是一个标准，缺乏法律约束力。为应对越来越严重的个人网络信息泄露问题，加快完善互联网个人信息保护的相关立法刻不容缓。国家应立法明确“个人网络数据属于个人所有”，互联网企业采集用户数据时必须告知用户，用户可自由选择删除被记录的信息。
　　2 个人信息市场管理机制
　　在大数据时代，个人信息、个人数据具有价值和使用价值，已经具备构成商品所必需的前提条件，当其在隐性市场或显性市场上交换时，信息就成了商品。作为一种信息商品，则可运用市场机制对个人信息进行管理（见图1）。个人信息市场机制中各种要素之间相互影响、相互制约。如果建立个人信息市场的许可证机制（见图2），对于公益性用途的个人信息，可免费或低价获得使用许可证；对于商业用途的个人信息，通过合理收费，发放使用许可证；对于其它用途的个人信息，应与个人信息所有者协商，并获得政府许可。这样将个人信息分级分类，并通过许可证机制，对各类信息进行分类定价（见图3）。通过提高商业性用途的个人信息成本，可在一定程度上抑制市场中个人信息被滥用的情况[5]。
　　3 个人信息保护技术
　　现有的个人信息保护技术主要有数据匿名化技术、数据加密技术、数据访问控制等几类[6]。本节将对相关技术予以介绍。
　　3.1 数据匿名化技术
　　通常情况下，个人信息受到侵害是攻击者通过发布的数据记录推断出某条记录的相关个人信息，而数据匿名化的基本思想是通过改变（概化或隐藏）原始数据中的部分数据，使改变后的数据无法和其它信息结合，从而避免攻击者使用链接（包括属性链接、记录链接以及表链接）推断出个人信息。匿名技术算法通用性较高，且匿名化过程不可逆，从而能保持数据的真实性和安全性。目前匿名化操作主要包括：泛化、压缩、分解、置换以及干扰。匿名技术模型包括kanonymity，ldiversity等。kanonymity模型用k值定义数据的隐私程度，即给定k值，要求对数据记录集合任一属性值的记录条数均大于或等于k。
转载注明来源:https://www.xzbu.com/8/view-11632944.htm