摘要：大數(shù)據(jù)時(shí)代的到來使數(shù)據(jù)信息迅速膨脹，成為一種有價(jià)值的資源，影響著人們的生活方式、工作習(xí)慣和思考模式，并提高了經(jīng)濟(jì)和社會效益。但目前大數(shù)據(jù)在收集、存儲和使用過程中也為個(gè)人和團(tuán)體的信息保護(hù)帶來了極大風(fēng)險(xiǎn)和挑戰(zhàn)。從立法、市場管理、安全技術(shù)3個(gè)方面對大數(shù)據(jù)環(huán)境下個(gè)人信息的管理和保護(hù)進(jìn)行探討，并提出相應(yīng)的研究方向。

關(guān)鍵詞：大數(shù)據(jù)；個(gè)人信息保護(hù)；信息安全

DOIDOI：10.11907/rjdk.151490

中圖分類號：TP3-0

文獻(xiàn)標(biāo)識碼：A 文章編號文章編號：16727800（2015）008000902

基金項(xiàng)目基金項(xiàng)目：

作者簡介作者簡介：胡姍（1993-），女，安徽安慶人，中南財(cái)經(jīng)政法大學(xué)信息與安全工程學(xué)院學(xué)生，研究方向?yàn)榇髷?shù)據(jù)信息安全。

0 引言

近年來，隨著互聯(lián)網(wǎng)和信息行業(yè)的飛速發(fā)展，“大數(shù)據(jù)”作為一種重要的戰(zhàn)略資產(chǎn)，已經(jīng)滲透到每一個(gè)行業(yè)和業(yè)務(wù)職能領(lǐng)域，成為重要的生產(chǎn)要素。大數(shù)據(jù)的一大功能就是將存留于互聯(lián)網(wǎng)中的數(shù)據(jù)轉(zhuǎn)換成有價(jià)值的資源，通過分析消費(fèi)者的網(wǎng)絡(luò)足跡、點(diǎn)擊、瀏覽、留言，從而了解消費(fèi)者的性格、偏好、意愿等，為消費(fèi)者提供更貼心、便利的服務(wù)。然而數(shù)據(jù)時(shí)代帶來的網(wǎng)絡(luò)開放性也給人們造成了困擾。在信息化社會，對個(gè)人信息的收集利用已變成了一種有利可圖的商品，消費(fèi)者的姓名、性別、年齡、學(xué)歷、職業(yè)、收入等都成為能為商家?guī)斫?jīng)濟(jì)效益的商業(yè)信息，眾多商家不惜通過種種手段來竊取或購買消費(fèi)者的個(gè)人信息[1]。同時(shí)，云環(huán)境中的數(shù)據(jù)存儲、傳輸也面臨很多安全威脅，網(wǎng)絡(luò)攻擊、信息竊取等安全事件頻繁爆發(fā)。智聯(lián)招聘86萬用戶簡歷信息泄露事件、130萬考研用戶信息泄露事件、3.15晚會曝光的“釣魚”WiFi事件等已經(jīng)給人們敲響了警鐘。個(gè)人信息泄露對公民生活造成極其嚴(yán)重的后果，日常生活秩序被打亂、經(jīng)濟(jì)利益被侵犯、名譽(yù)和聲譽(yù)受到影響，甚至人身安全受到威脅。如何在大數(shù)據(jù)時(shí)代對個(gè)人信息進(jìn)行安全保護(hù)，已成為目前社會各界共同關(guān)心的話題[2]。本文將從立法（Law）、市場管理（Market）、安全技術(shù)（Technology）3個(gè)方面對大數(shù)據(jù)環(huán)境下個(gè)人信息的管理和保護(hù)進(jìn)行相關(guān)探討。

1 個(gè)人信息法律保護(hù)

1.1 國外個(gè)人信息保護(hù)相關(guān)立法

美國是世界上最早提出個(gè)人信息保護(hù)的國家，1974年出臺的《隱私法案》是美國個(gè)人信息保護(hù)的綜合性法律，在此之后又通過了一系列關(guān)于隱私保護(hù)的相關(guān)法案；2012年2月，白宮頒布《消費(fèi)者隱私權(quán)利法案》，這是與大數(shù)據(jù)最息息相關(guān)的法案，法案中明確且全面地規(guī)定了數(shù)據(jù)的所有權(quán)屬于用戶，企業(yè)必須負(fù)責(zé)任地使用用戶信息等；2014年5月，奧巴馬政府發(fā)布2014年“大數(shù)據(jù)”白皮書，其中利用專章解讀“美國隱私法案與國際隱私法框架”以及“大數(shù)據(jù)對隱私法的啟示”，意在更新完善已有的隱私法案[3]。

歐盟1995年頒布的《數(shù)據(jù)保護(hù)指令》規(guī)定了所有成員國必須遵守、實(shí)施的對個(gè)人數(shù)據(jù)進(jìn)行保護(hù)的一系列規(guī)則。隨著網(wǎng)絡(luò)信息技術(shù)的日新月異，2012年，歐盟委員會提交了一個(gè)全面的數(shù)據(jù)立法改革提案，該提案中要求在歐洲市場經(jīng)營但非歐洲本土的公司，也必須遵循歐洲數(shù)據(jù)保護(hù)法；同時(shí)，在沒有法定原因保留的情況下，個(gè)人有權(quán)要求刪除涉及個(gè)人隱私的數(shù)據(jù)，包括互聯(lián)網(wǎng)搜索提供商提供的有關(guān)個(gè)人數(shù)據(jù)的鏈接。

1.2 對我國個(gè)人信息法律保護(hù)的啟示

目前，我國仍存在個(gè)人信息保護(hù)方面社會意識淡薄和立法執(zhí)法基礎(chǔ)薄弱的問題?，F(xiàn)只有由《刑法修正案（七）》、《侵權(quán)責(zé)任法》、《居民身份證法（修訂）》等法律構(gòu)成民事責(zé)任、行政責(zé)任和刑事責(zé)任三位一體的個(gè)人信息保護(hù)法律框架，而缺乏一套系統(tǒng)性的法律規(guī)章制度保護(hù)公民個(gè)人信息[4]。2013年2月，我國個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》出臺，雖然標(biāo)準(zhǔn)規(guī)定了個(gè)人敏感信息在收集和利用之前，必須首先獲得個(gè)人信息主體的明確授權(quán)，但畢竟只是一個(gè)標(biāo)準(zhǔn)，缺乏法律約束力。為應(yīng)對越來越嚴(yán)重的個(gè)人網(wǎng)絡(luò)信息泄露問題，加快完善互聯(lián)網(wǎng)個(gè)人信息保護(hù)的相關(guān)立法刻不容緩。國家應(yīng)立法明確“個(gè)人網(wǎng)絡(luò)數(shù)據(jù)屬于個(gè)人所有”，互聯(lián)網(wǎng)企業(yè)采集用戶數(shù)據(jù)時(shí)必須告知用戶，用戶可自由選擇刪除被記錄的信息。

2 個(gè)人信息市場管理機(jī)制

在大數(shù)據(jù)時(shí)代，個(gè)人信息、個(gè)人數(shù)據(jù)具有價(jià)值和使用價(jià)值，已經(jīng)具備構(gòu)成商品所必需的前提條件，當(dāng)其在隱性市場或顯性市場上交換時(shí)，信息就成了商品。作為一種信息商品，則可運(yùn)用市場機(jī)制對個(gè)人信息進(jìn)行管理（見圖1）。個(gè)人信息市場機(jī)制中各種要素之間相互影響、相互制約。如果建立個(gè)人信息市場的許可證機(jī)制（見圖2），對于公益性用途的個(gè)人信息，可免費(fèi)或低價(jià)獲得使用許可證；對于商業(yè)用途的個(gè)人信息，通過合理收費(fèi)，發(fā)放使用許可證；對于其它用途的個(gè)人信息，應(yīng)與個(gè)人信息所有者協(xié)商，并獲得政府許可。這樣將個(gè)人信息分級分類，并通過許可證機(jī)制，對各類信息進(jìn)行分類定價(jià)（見圖3）。通過提高商業(yè)性用途的個(gè)人信息成本，可在一定程度上抑制市場中個(gè)人信息被濫用的情況[5]。

3 個(gè)人信息保護(hù)技術(shù)

現(xiàn)有的個(gè)人信息保護(hù)技術(shù)主要有數(shù)據(jù)匿名化技術(shù)、數(shù)據(jù)加密技術(shù)、數(shù)據(jù)訪問控制等幾類[6]。本節(jié)將對相關(guān)技術(shù)予以介紹。

3.1 數(shù)據(jù)匿名化技術(shù)

通常情況下，個(gè)人信息受到侵害是攻擊者通過發(fā)布的數(shù)據(jù)記錄推斷出某條記錄的相關(guān)個(gè)人信息，而數(shù)據(jù)匿名化的基本思想是通過改變（概化或隱藏）原始數(shù)據(jù)中的部分?jǐn)?shù)據(jù)，使改變后的數(shù)據(jù)無法和其它信息結(jié)合，從而避免攻擊者使用鏈接（包括屬性鏈接、記錄鏈接以及表鏈接）推斷出個(gè)人信息。匿名技術(shù)算法通用性較高，且匿名化過程不可逆，從而能保持?jǐn)?shù)據(jù)的真實(shí)性和安全性。目前匿名化操作主要包括：泛化、壓縮、分解、置換以及干擾。匿名技術(shù)模型包括kanonymity，ldiversity等。kanonymity模型用k值定義數(shù)據(jù)的隱私程度，即給定k值，要求對數(shù)據(jù)記錄集合任一屬性值的記錄條數(shù)均大于或等于k。

3.2 數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)是對系統(tǒng)中的所有存儲數(shù)據(jù)進(jìn)行加密，使之成為密文，讓攻擊者即使截獲數(shù)據(jù)也無法讀取數(shù)據(jù)內(nèi)容[7]。數(shù)據(jù)加密技術(shù)主要包括4個(gè)內(nèi)容：數(shù)據(jù)加密、數(shù)據(jù)解密、數(shù)據(jù)簽名、簽名識別。傳統(tǒng)的數(shù)據(jù)加密算法主要分為：對稱加密算法（以DES、AES、IDEA、RC5等為代表）和非對稱加密算法（以RSA、DSA等為代表）。但隨著計(jì)算機(jī)運(yùn)算速度的提高，傳統(tǒng)的加密算法受到了嚴(yán)峻挑戰(zhàn)，一些學(xué)者開始探索、研究新的密碼體制，如：量子密碼、DNA密碼、混沌密碼等。對于大數(shù)據(jù)，目前常用的加密算法主要包括基于身份的加密算法（IBE，IdentityBased Encryption）、基于屬性的加密算法（ABE，AttributeBased Encryption）等，這些加密技術(shù)可以配合安全策略使用，以實(shí)現(xiàn)分布式數(shù)據(jù)的安全和高效使用。

3.3 數(shù)據(jù)訪問控制

訪問控制技術(shù)是一項(xiàng)防止非法用戶進(jìn)入系統(tǒng)和合法用戶對系統(tǒng)資源非法使用的技術(shù)。傳統(tǒng)的數(shù)據(jù)訪問控制包括訪問控制（MAC）、自主訪問控制（DAC）和基于角色的訪問控制（RBAC）。強(qiáng)制訪問控制策略是基于用戶安全等級限制敏感數(shù)據(jù)的流動；自主訪問控制策略基于系統(tǒng)管理員對訪問請求進(jìn)行自主授權(quán)；基于角色的訪問控制是由角色對訪問請求進(jìn)行自主授權(quán)。目前以層次化基于角色的訪問控制技術(shù)為主流，其具備用戶、角色、權(quán)限三要素以及構(gòu)成權(quán)限的對象和操作，通過建立層次化的角色樹，以及創(chuàng)建、分配、回收權(quán)限等操作，能實(shí)現(xiàn)有效的文件訪問控制管理。

4 結(jié)語

大數(shù)據(jù)發(fā)展十分迅速，具有廣闊的前景，但其對個(gè)人信息保護(hù)的挑戰(zhàn)也是空前的。本文首先指出了大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)所面臨的嚴(yán)峻現(xiàn)實(shí)，然后從立法、市場機(jī)制、數(shù)據(jù)安全技術(shù)等不同角度提出了大數(shù)據(jù)時(shí)代個(gè)人信息所面臨挑戰(zhàn)的解決辦法，希望能給后續(xù)的研究者提供參考。

參考文獻(xiàn)：

[1] 馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護(hù)[J].計(jì)算機(jī)學(xué)報(bào)，2014，37（1）：246257.

[2] 朱慧，劉洪偉，劉智慧.大數(shù)據(jù)時(shí)代變革和隱憂[J].中國科技信息，2015，26（1）；4547.

[3] 孟小峰，張嘯劍.大數(shù)據(jù)隱私管理[J].計(jì)算機(jī)研究與發(fā)展，2015，52（2）：265281.

[4] 趙岑，李蒙然，金日峰.大數(shù)據(jù)時(shí)代關(guān)于隱私的思考[J].科學(xué)通報(bào)，2015，60（5）：450452.

[5] 楊淵.大數(shù)據(jù)背景下個(gè)人隱私保護(hù)和信息應(yīng)用研究[J].征信，2014，32（8）：2426

[6] 劉雅輝，張鐵贏，靳小龍，等.大數(shù)據(jù)時(shí)代的個(gè)人隱私保護(hù)[J].計(jì)算機(jī)研究與發(fā)展，2015，52（1）：229247.

[7] 朱麗娟.數(shù)據(jù)加密技術(shù)的研究與發(fā)展[J].中國制造業(yè)信息化，2011，40（17）：5962.

（責(zé)任編輯：黃 健）