文/劉湘平，廣州賽寶認(rèn)證中心服務(wù)有限公司

1 引言

目前我們身處“互聯(lián)網(wǎng)+”的大數(shù)據(jù)時代，國家不斷推進兩化融合、智能制造、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等技術(shù)的廣泛應(yīng)用。大數(shù)據(jù)應(yīng)用給我們帶來了各種便利，但由于個人信息包含有價值，從而導(dǎo)致個人信息保護面臨了巨大的挑戰(zhàn)與威脅。當(dāng)今社會，普遍存在著個人信息過度收集、誘騙收集、個人隱私“霸王條款”等問題，它不僅威脅著人們的生命財產(chǎn)安全，還導(dǎo)致了詐騙、勒索等社會犯罪問題，例如美國2018年Facebook 的8700 萬用戶數(shù)據(jù)泄露、華住旗下多個連鎖酒店的2.4 億入住記錄泄露、萬豪喜達屋的5 億客戶的用戶信息泄露、圓通10 億條用戶信息數(shù)據(jù)被出售、順豐3 億條用戶信息數(shù)據(jù)被出售、前程無憂195 萬條個人求職簡歷泄露等安全事件，給社會帶來了惡劣的影響。

2 個人信息面臨泄露的主要威脅

人民網(wǎng)此前曾對個人信息泄露進行過調(diào)查，調(diào)查結(jié)果顯示，90%的網(wǎng)民遇到過個人信息泄露。究其原因，手機APP 軟件、免費WIFI、搜索引擎、電子商務(wù)平臺……這些流行的工具很可能成為個人信息中的重要漏洞。更為嚴(yán)重的是因個人信息泄露而引發(fā)詐騙、惡意騷擾、綁架、人財兩空等。大數(shù)據(jù)時代海量的個人信息主要面臨如下幾種泄露威脅：

2.1 黑客攻擊

黑客在利益的驅(qū)使下，通過攻擊破壞實施敲詐勒索、打牌去賬號密碼、制作釣魚網(wǎng)站、入侵企業(yè)網(wǎng)站盜取商業(yè)信息、盜取公民個人信息等。例如，2019年1月1日，澳大利亞維多利亞州政府3萬名雇員個人信息外泄，這個給政府員工使用的名錄包含工作電郵、職稱以及工作電話號碼。受此次數(shù)據(jù)泄露事件影響的員工通過郵件被告知，在通訊錄上的員工的電話號碼可能也已外泄。酒店連鎖巨頭喜達屋母公司萬豪國際酒店5 億客戶數(shù)據(jù)泄漏，萬豪國際酒店表示，經(jīng)過取證和分析團隊縝密調(diào)查后發(fā)現(xiàn)，因其大數(shù)據(jù)泄露事件影響到的客戶數(shù)量從5 億減少到了3.83 億，其中有超過500 萬個未加密的護照號碼和大約860 萬個加密信用卡號碼被盜。萬豪表示，喜達屋集團自2014年以來一直在受到黑客攻擊。萬豪已提出，如果受影響的客人能夠證明自己是數(shù)據(jù)泄露事件的受害者，他們將支付辦理新護照的費用，這可能會讓萬豪公司損失5.77 億美元。2018年1月，某手機廠商發(fā)布聲明稱，4 萬名消費者的信用卡信息在2017年11月至2018年1月11日期間遭不明黑客盜取。該手機廠商證實：網(wǎng)上支付系統(tǒng)遭入侵。攻擊者針對其中一個系統(tǒng)發(fā)動攻擊并將惡意腳本注入支付頁面代碼中竊取用戶付款時輸入的信用卡信息，該惡意腳本能直接從消費者瀏覽器窗口中捕獲完整的信用卡信息，包括信用卡號、到期日期和安全代碼。

2.2 網(wǎng)站泄露

據(jù)報道，2018年4月，芬蘭通信管理局（FICORA）于2018年4月6日通過自己的網(wǎng)站向所有芬蘭公民發(fā)出警告稱，一個由赫爾辛基新企業(yè)中心負(fù)責(zé)維護的網(wǎng)站（liiketoimintasuunnitelma[.]com）在本周二遭遇了匿名黑客的攻擊，大約有13 萬用戶的賬戶用戶名和密碼被竊取，同時被竊取的還包括其他一些機密信息。從受害者數(shù)量來看，這將是該國有史以來發(fā)生的第三大數(shù)據(jù)泄露事件。2018年4月，安全研究員SrinivasKodali 報告了一起數(shù)據(jù)泄露事件，受影響的是一個隸屬印度安得拉邦的政府網(wǎng)站。根據(jù)Kodali 的描述，遭泄露的數(shù)據(jù)包括Aadhaar 號碼、銀行分行、IFSC 代碼和帳號、姓名、地址、身份證號碼、手機號碼、配給卡號碼、職業(yè)、宗教信仰和種姓信息。2018年10月，美國負(fù)責(zé)HealthCare.gov 網(wǎng)站（美國一政府網(wǎng)站）的機構(gòu)稱他們在一個與HealthCare.gov 交互的政府計算機系統(tǒng)中發(fā)現(xiàn)了一起黑客攻擊行為，導(dǎo)致大約7.5 萬人的敏感個人數(shù)據(jù)遭到泄露。其設(shè)計由美國聯(lián)邦醫(yī)療保險暨補助服務(wù)中心（CMS）監(jiān)督，并由多個聯(lián)邦承包商建立。該網(wǎng)站投資高達8 億美金。

2.3 “內(nèi)鬼”泄露

一些掌握大量個人信息的“內(nèi)鬼”，在利益的驅(qū)動下，利用自己特殊身份和工作便利進行泄露和販賣個人信息。據(jù)報道，2018年1月，某警方偵破了一起新生嬰兒信息倒賣鏈條。從新學(xué)嬰兒數(shù)據(jù)泄露的源頭來看：某社區(qū)衛(wèi)生服務(wù)中心工作人員徐某，掌握了某市“婦幼信息某管理系統(tǒng)”市級權(quán)限賬號密碼，利用職務(wù)之便，多次將2016年至2017年的某市新生嬰兒信息及預(yù)產(chǎn)信息導(dǎo)出。被抓獲前，他累計非法下載新生嬰兒數(shù)據(jù)50 余萬條，販賣新生嬰兒信息數(shù)萬余條。值得注意的是，在該案中，徐某僅是某市某社區(qū)衛(wèi)生服務(wù)中心工作人員，卻掌握了某市“婦幼信息某管理系統(tǒng)”市級權(quán)限賬號密碼。2018年3月，某法院審理了某地方公務(wù)員竊取信息案件。從公民個人數(shù)據(jù)泄露的源頭來看：朱某任職于某機關(guān)單位。從2010年起，朱某利用職務(wù)便利，應(yīng)朋友劉某、王某的要求，超越職權(quán)下載了一些公民個人信息，并將這些信息分別提供給他們使用，造成大量的公民個人數(shù)據(jù)泄露。經(jīng)統(tǒng)計，2010年4月至2016年9月，朱某向劉某提供公民個人信息70 余萬條，2011年11月至2016年7月，朱某向王某提供公民個人信息12 余萬條。

2.4 單位或企業(yè)非法收集個人信息

據(jù)報道，2015年上海市查處了一例違法收集使用消費者個人信息案，自2013年4月起，上海炳恒金融信息服務(wù)有限公司在日常經(jīng)營活動中，為拓展業(yè)務(wù)、發(fā)展客戶，由理財部大區(qū)經(jīng)理通過購買等途徑收集大量消費者個人信息，并按照公司層級依次派發(fā)給團隊經(jīng)理、理財經(jīng)理（業(yè)務(wù)員），以電話方式聯(lián)系消費者，推銷公司的P2P 理財產(chǎn)品。上述當(dāng)事人收集、使用消費者個人信息，都未取得消費者同意。2019年4月，因非法收集兒童用戶個人信息，美國YouTube遭多家機構(gòu)聯(lián)名投訴。YouTube 是全球用戶最多的網(wǎng)站之，它遭多家機構(gòu)聯(lián)名投訴觸犯了《兒童在線隱私保護法案》，因為它有大量面向13 歲以下兒童的節(jié)目，允許廣告客戶向兒童用戶發(fā)布精準(zhǔn)廣告。

3 個人信息泄露的途徑及信息保護方法

3.1 個人信息泄露的途徑

（1）賬號密碼的信息泄露

隨著計算機和智能手機的普及使用，黑客喜歡在人們使用計算機或手機時不知不覺通過用戶點擊不明鏈接或下載軟件時捆綁一些非法惡意程序，同時植入木馬程序，直接可以從后臺盜取用戶的賬號和密碼信息。由于一般用戶信息安全保護意識薄弱，出于便利的考慮往往賬號密碼的設(shè)置過于簡單，黑客可以通過密碼字典進行暴力破解。一般使用用戶在所有網(wǎng)站都使用同一個賬號和密碼，這樣黑客只要盜取了一個網(wǎng)站的賬號和密碼，可以通過“撞庫”的方法試驗出該用戶在其他網(wǎng)站的賬號和密碼。

（2）個人身份信息和個人財產(chǎn)信息的泄露

由于我們身處在一個網(wǎng)絡(luò)發(fā)達的時代，且隨著信息存儲與抓取技術(shù)的進度，人們的購物、出行、消費等記錄都被完整保存在網(wǎng)絡(luò)上，通過一個手機號就能查出個人身份信息和財產(chǎn)信息。例如，我們在剛購買一套新房，各種裝修公司的電話就來了；自己的寶寶剛出生，影樓、母嬰用品的推銷電話就紛至沓來……使我們的日常生活煩惱不斷，苦不堪言。

（3）個人位置和狀態(tài)的信息泄露

個人的行蹤往往使我們最大的隱私，但是我們使用的智能手機都有GPS 定位功能，相應(yīng)地很多APP 軟件都一個個人隱私權(quán)限的設(shè)置，就是允許訪問你的位置信息，這樣的本意是好的，能將自己周圍的商業(yè)資源快速分享給有需要的用戶，但是如果這種便捷服務(wù)被別有用心的人加以利用，他可以收集你的個人隱私，甚至?xí)涯愕奈恢脭?shù)據(jù)賣給其他人。

3.2 個人信息保護方法

針對上述三個信息泄露的途徑，接下來將講解一下保護個人信息的主要方法。

（1）賬號密碼的保護方法

首先一定不要出于好奇的思想，不要點陌生人發(fā)來的鏈接，即使是熟人發(fā)來的鏈接也要留意鏈接的網(wǎng)址的前綴網(wǎng)址是否是熟知的網(wǎng)站。其次不管是計算機還是手機建議安裝一個防病毒軟件，例如360 安全管家及360 殺毒，它可以幫助我們進行病毒和惡意軟件的防護。然后計算機要及時安裝系統(tǒng)漏洞補丁，賬號密碼設(shè)置一定要遵守優(yōu)質(zhì)密碼原則，采用包含字母、數(shù)字、字符等不少于10 位的組合，這樣的話密碼就不易被暴力破解。

（2）不要隨意留下個人的身份信息和手機號碼

目前很多網(wǎng)站和手機APP 在注冊賬號的時候都需要填寫個人信息，建議大家不要隨意在網(wǎng)站上留下自己的真實姓名、住址、電話等信息，因為個別網(wǎng)站內(nèi)部人員會將網(wǎng)站的注冊信息手機匯總再販賣給別有用心之人。此外，網(wǎng)站上有些調(diào)查問卷也是打著“問卷”之名，實則是收集用戶的個人信息。最后，我們生活的一些小細(xì)節(jié)也要注意，例如：我們收到的快遞袋子上面的個人信息要及時進行銷毀，個人單據(jù)、發(fā)票賬單、車票、飛機登機牌等不要隨意扔到垃圾桶，處理前也要銷毀個人信息……這些如果不加以處置可能會導(dǎo)致用戶的個人信息泄露。

（3）個人位置的隱私保護

個人位置信息的泄露大多數(shù)是由于手機APP 的某個應(yīng)用獲得了用戶的位置權(quán)限，且該應(yīng)用一直在后臺運行并未退出，因此AAP軟件會實時收集用戶的位置信息。這就要求我們在日常使用手機時要養(yǎng)成及時退出不使用的APP 軟件。

（4）謹(jǐn)慎使用免費WIFI

我們大家一般都喜歡使用免費WIFI，但殊不知其中存在較大的風(fēng)險，很不安全，黑客們會使用黑客工具在公共免費WIFI 上自建一個“釣魚”WiFi，用戶無需輸入密碼就可上網(wǎng)，如果有人連接上這個免費WIFI，就中了黑客精心設(shè)計的免費陷阱了。因此，大家出門在外，為了個人信息的安全一定要牢記不要隨意連接陌生的WiFi 信號。

（5）養(yǎng)成良好的上網(wǎng)行為習(xí)慣

建議大家一定要盡快養(yǎng)成良好的上網(wǎng)行為習(xí)慣，在不使用WiFi的情況下立即關(guān)閉WiFi 連接；謹(jǐn)慎使用公共場合的WiFi 連接，不要使用無密碼保護的WiFi；連接公共場合經(jīng)認(rèn)證的WiFi 時，不要使用網(wǎng)絡(luò)購物和銀行轉(zhuǎn)賬等應(yīng)用；不要隨意掃描二維碼，目前就有不少不明二維碼內(nèi)含有病毒或木馬程序，手機掃描后會把機主的個人信息發(fā)送出去，從而泄露個人隱私。

4 國內(nèi)外關(guān)于個人信息保護的措施

4.1 我國個人信息保護措施

我國很早就開始關(guān)注對個人信息的保護問題，自2009年起，我國政府就加快了對個人信息保護的步伐，相繼制定了個人信息保護相關(guān)法律法規(guī)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會也于2017年12月29日正式發(fā)布國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273-2017），并于2018年5月1日實施，該標(biāo)準(zhǔn)就是針對個人信息面臨的安全問題，規(guī)范個人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為，旨在遏制個人信息非法收集、濫用等現(xiàn)象，最大程度地保障個人的合法權(quán)益。此外，2018年9月7日，十三屆全國人大常委會立法規(guī)劃公布，《個人信息保護法》與《數(shù)據(jù)安全法》被列入第一類項目，有望使我國個人信息保護早日步入法制化軌道。

4.2 國外個人信息保護措施

做為美國當(dāng)代社會生活中較重要的法律之一，1974年制定、1975年9月實施、1988年合并補充的《隱私權(quán)法》可以說是現(xiàn)代民主意識與現(xiàn)代科學(xué)技術(shù)相結(jié)合的產(chǎn)物。美國頒布了《隱私權(quán)法》后又制定了行業(yè)隱私保護法律，如《電訊法》、《有線通訊隱私權(quán)法案》、《兒童在線隱私權(quán)保護法》、《健康保險隱私及責(zé)任法案》、《金融隱私法案》等，構(gòu)成較為完善的個人隱私保護法體系，為用戶個人隱私信息保護設(shè)定了基本原則。此外，美國還成立計算機安全協(xié)會、信息系統(tǒng)審查與控制協(xié)會、計算機應(yīng)急協(xié)調(diào)中心、國際互聯(lián)網(wǎng)協(xié)會等信息安全行業(yè)組織，制定涵蓋信息安全保護技術(shù)、從業(yè)人員自律教育等內(nèi)容的行業(yè)規(guī)范。

歐盟于2014年頒布的《通用數(shù)據(jù)保護條例》GDPR) 是迄今為止覆蓋面最廣的全球性數(shù)據(jù)隱私保護法規(guī)，被稱為“史上最嚴(yán)格的數(shù)據(jù)保護法”，經(jīng)過四年的討論于2018年5月25日正式生效。縱觀其演進歷史，歐盟的個人信息保護起源于傳統(tǒng)隱私保護，發(fā)展至今先后歷經(jīng)以1981年《個人數(shù)據(jù)保護公約》、1995年《個人數(shù)據(jù)保護指令》和GDPR 為主要表現(xiàn)形式的三個階段。此外，歐盟還積極建立并推進大數(shù)據(jù)個人信息保護跨境協(xié)作機制。

日本《個人信息保護法》于2005年4月1日起施行。隨著信息技術(shù)的急速發(fā)展與利用，該法于2015年進行了大幅修正，2017年5月30日起施行。在日本，《個人信息保護法》基本上以民間領(lǐng)域為對象。但是，《個人信息保護法》的基本理念在公共領(lǐng)域也必須遵守。此外，在公共領(lǐng)域還制定了以國家行政機關(guān)為對象的《行政機關(guān)個人信息保護法》，以獨立行政法人為對象的《獨立行政法人個人信息保護法》，以地方公共團體等為對象的《個人信息保護條例》。在個人信息保護相關(guān)法律的基礎(chǔ)上，政府為確保經(jīng)營者適當(dāng)處理個人信息以及確保這些經(jīng)營者構(gòu)筑的措施能得到適當(dāng)且有效的實施，制定了《關(guān)于個人信息保護的基本方針》。

針對個人信息保護，韓國政府相繼頒布實施了《個人信息保護法》、《位置信息保護法》等法律。《個人信息保護法》于2011年3月29日發(fā)布，它對個人信息的公開和使用做了詳細(xì)的規(guī)定，對竊取個人信息的行為也做了明確的處理規(guī)定；《位置信息保護法》則要求在使用個人位置信息時必須得到當(dāng)事人允許。

5 結(jié)束語

綜上所述，由于我們身處大數(shù)據(jù)互聯(lián)網(wǎng)時代，每一個人都離不開互聯(lián)網(wǎng)，因此，只有我們每一個人都提高個人信息安全保護意識，養(yǎng)成良好的上網(wǎng)行為習(xí)慣。此外，可以加強諸如數(shù)據(jù)加密技術(shù)、訪問控制技術(shù)等技術(shù)手段進行信息安全保護，同時進一步規(guī)范企業(yè)對個人信息收集和使用，加強行業(yè)監(jiān)管部門對個人信息保護工作的監(jiān)督力度，完善個人信息安全法律法規(guī)建設(shè)，才能讓我們老百姓在大數(shù)據(jù)時代更有安全感。