個體信息泄露源頭改變后的信息保護策略研究

李 暢，李曉悅

（1.湖北大學數(shù)學與統(tǒng)計學學院，武漢　430062；2.湖北大學歷史文化學院，武漢　430062）

1　大數(shù)據(jù)時代個體信息安全狀況與問題

隨著科技的進步，大數(shù)據(jù)的發(fā)展如火如荼，時代信息安全所面臨的問題由以往的計算機時代的個體信息安全保護問題演變?yōu)閭€體信息保護問題與集體特征信息保護問題。在此背景下，個體信息泄露的源頭由個人變?yōu)楣?，即許多互聯(lián)網(wǎng)公司在用戶進行注冊時，利用用戶大多數(shù)不會看用戶條款而直接選擇同意這一用戶慣性，在用戶條款中加入部分對用戶隱私信息不負責任的條款，甚至以不同意無法進一步操作為條件隱性強迫用戶同意條款。在獲取用戶信息之后卻對此保護并不周全，時常有泄漏導(dǎo)致用戶損失。

以此為背景，本文將討論公司作為大數(shù)據(jù)時代的信息泄漏源，可以通過什么方式來幫助用戶保護他們的隱私，以及用戶作為信息被泄漏方可以通過什么方式在當前網(wǎng)絡(luò)環(huán)境下保護自己的隱私信息安全并降低信息泄漏后帶來的損失。

2　公司對個體信息可采取的保護策略

首先應(yīng)當明確的是，公司以捆綁的方式獲取用戶的個人信息，應(yīng)當對個人信息的安全負起責任而不是如同部分用戶條款中陳述的“與本公司無關(guān)”。

公司在獲取個人信息的方式上一般可以認為有三種：一是通過明確向用戶提問并獲得用戶自愿反饋的方式，如用戶自愿的投票、填寫調(diào)查問卷和填寫使用反饋等。二是通過部分使用權(quán)益與用戶進行個人信息交換，如注冊時填寫個人信息、掃碼贏取獎品等。三是通過觀察用戶的行為獲取用戶個人信息，如在購物網(wǎng)站的購物行為、微博微信的自媒體平臺的瀏覽行為等。接下來將對這三種獲取方式有針對性地提出保護方案。

對于直接發(fā)問獲取用戶自愿反饋的方式，獲取信息的公司除了在技術(shù)手段上保證這類信息不該被第三方非法獲取之外，更應(yīng)在獲取時添加配對問題以降低用戶信息泄露的風險。配對問題類似心理學上問及個人隱私時遵循的原則，即在提出一個涉及隱私問題時同時提出一個不涉及隱私的問題，如問題“您是否有過違法行為或者吃過早飯”，答案應(yīng)該由是或否組成。從統(tǒng)計情況來說，第二類問題概率為0.5時，此問題獲得結(jié)果與僅問“您是否有過違法行為”所獲得結(jié)果相當。但避免了用戶的個人信息泄漏。

對于公司使用部分權(quán)益與用戶進行個人信息交換時，考慮到用戶信息的串聯(lián)性以及問答題的不便造假性，此類信息應(yīng)由公司進行加密儲存并妥善保護。同時由于公司大概率擁有海量用戶信息，大大增加非法竊取利益，因此應(yīng)該考慮采用統(tǒng)一模式下的單獨加密，即使用統(tǒng)一的密鑰選擇每個用戶單獨加密的密鑰。如：假設(shè)公司采用此種方式獲取每位用戶八項信息，則可以使用一個統(tǒng)一的密鑰來選取每位用戶的八項信息中不同的信息來加密，并將加密后的該項信息作為密鑰，加密該用戶其他七項信息。增加個人信息被破解的難度。

而公司觀察用戶行為獲取的信息，由于其具有更強的串聯(lián)性，泄露之后的風險更加巨大。因此應(yīng)該被更好的保護。但同時這類信息還可以被用來進行大數(shù)據(jù)分析以增強用戶使用體驗以及為商業(yè)公司創(chuàng)造更多價值，即很可能導(dǎo)致非攻擊者而是公司內(nèi)部人員通過內(nèi)部訪問便利來出售這些信息，使其泄漏。因此應(yīng)采取適當?shù)牟罘蛛[私保護機制，使得大數(shù)據(jù)的各項總體性質(zhì)依舊可以被用來進行數(shù)據(jù)分析以增強用戶體驗和創(chuàng)造商業(yè)價值，同時避免某一條信息鏈可以被不經(jīng)用戶允許單獨提取而造成用戶信息泄露。

3　個人對個體信息可采取的保護策略

用戶作為大數(shù)據(jù)時代便利的享受者，但是在享受這種便利的同時也應(yīng)該注意保護自己的個人信息。包括個人隱私以及密碼等。由于個人隱私泄露源的改變，用戶在保護方面能做的并不太多，因此對于個人隱私方面應(yīng)采取混淆的方式而非保護的方式。而密碼則是掌握在用戶手中的，所以用戶應(yīng)該采取一定的措施來保護密碼的安全并且降低某個密碼泄漏帶來的威脅。接下來本文將圍繞這兩個方面具體闡述如何在大數(shù)據(jù)時代保護用戶自己的信息安全。

首先是個人隱私方面，采取混淆的方式即用戶在申請各公司的權(quán)益時作為交換的信息可以使用基于自己真實信息但經(jīng)過對應(yīng)改變的假信息進行填寫。

而密碼安全則由于大數(shù)據(jù)時代的到來而顯得更加重要。因為大數(shù)據(jù)的發(fā)展，當用戶在不同的網(wǎng)站使用相同的密碼時，很有可能因為小網(wǎng)站的安全措施沒有大企業(yè)好而泄漏用戶的用戶名與密碼。同時又由于密碼相同，因此很有可能導(dǎo)致用戶的一連串密碼同時泄漏。

通過多個網(wǎng)站的個人信息比對使得用戶幾乎所有的個人信息完全泄漏。因此用戶在使用密碼時，除了避免在危險的網(wǎng)站注冊或使用的同時，更應(yīng)該在不同的網(wǎng)站使用不同的密碼。但軟件隨機生成密碼復(fù)雜且不方便記憶，對用戶十分不友好與不便利。因此我們建議可以使用核心密碼和修飾結(jié)合的方式來設(shè)定密碼。

[1]胡連宛.中國網(wǎng)絡(luò)安全面臨嚴峻挑戰(zhàn)[J].決策與信息，2012（05）：8.