大数据时代,数据信息的普遍应用使个人信息安全问题日益凸显,线上线下的边界消失,网络中的安全问题已然成为现实中的安全问题,信息安全从个人层面上升至国家层面。传统的信息保护架构不再为个人隐私保驾护航,给个人信息安全保护带来巨大挑战。如何有效保护个人信息安全、避免隐私泄露已成为社会各界关注的焦点,更是时下的当务之急。
大数据 个人信息 信息安全
大数据技术开发、利用的普及,标志着人类开启了新的生活方式,在颠覆传统的商业模式和行为模式的同时,如何在大数据时代保护个人信息安全已成为国内外专家学者、互联网用户备受关注的话题。
问题的提出
1980年,美国著名社会思想家托夫勒于著作《第三次浪潮》中首次提及大数据概念,并称其为“第三次浪潮的华彩乐章”。大数据是指数据资料规模巨大,在一定时间之中,无法运用常规软件获取、管理、处理的数据集合。大数据被广为人知,来源于麦肯锡的解读和分析。麦肯锡对于大数据概念进行了系统的描述,他坦言数据信息作为重要的要素,伴随着技术的广泛应用和挖掘已渗入到各个领域,并加速了新的社会生活模式的来临。全球最具权威的IT研究与顾问公司Gartner(高德纳)认为,大数据是需要新处理模式才能具有更强的决策力、洞察力和流程优化能力的海量、高增长率和多样化的信息资产①。随着信息化和科技化的推进,大数据已经与社会当中的众多科技领域和社会领域接头,并且迅速占领了重要的战略位置②。
当人们在接受服务或进行交易时,提供个人信息是必不可少的一个环节。对待个人信息,既要善于利用,也要注重保护。个人信息本身是中性的,这一点毋庸置疑,其作为大数据的一部分对推动社会发展和进步具有积极的正向作用。从网络时代对个人信息的精确收集转向基于大数据样本中数据挖掘产生相关个人信息的关联集成,这颠覆了过去隐私保护以个人为中心的思想:数据收集者必须告知个人,他们收集了哪些数据、作何用途,也必须在收集前征得个人同意,即“告知与许可”规则③。事实上,个人信息并非只属于个人,也并非只有个人才有资格控制和使用。尤其游走在大数据时代,个人信息被支配在所难免。就像我们在网上的每一个足迹都会被记录,这些信息不为个人保管和控制,因此,从某种意义来说,大数据时代,我们仍然不是自己信息的主人。我们在强调保护的同时,也要认识到个人信息的保护和利用互为矛盾的关系,保护旨在将个人信息作为管理的对象,而利用旨在将个人信息作为一种资源,资源只有被利用才会彰显其价值。保护个人信息的最终目的是为了进一步促进开发和利用。如果过度强调保护个人信息就无法使大数据得到有效利用,也就没有大数据今天的发展。因此,要综合看待保护和利用两者之间的关系。
面临的挑战
个人信息成为网络攻击的新目标
大数据时代的信息平台承载了海量的数据资源,个人信息成为吸引商家、黑客、敌对势力眼球的“大目标”。可以说大数据时代的个人信息保护面临着比互联网时代更为严峻的挑战。大数据不仅意味着数据量的巨大,也意味着数据的复杂化和敏感化。大数据因其大规模而具有更大风险。大数据包含的信息量越多,其含金量越高,对于商家、黑客而言,大数据背后隐藏着丰厚的利润,因而有更大的概率遭受攻击和盗取。对谋利者最有吸引力的是,大数据的获得会为其带来多重利益空间。相对于小数据分析、收集等工作的复杂和繁琐,大数据的优势越发凸显,一旦被获取,就可以带来海量个人信息,不知不觉中减少了盗取者的攻击成本,从而使获取数据变得相对容易。
大数据使个人信息的权利边界消失
传统的个人隐私信息保护是一种授权模式。金融机构、物流公司等在为个人用户提供服务时,如果能够签订合同,那么服务商则有责任保护个人信息。服务商与用户之间的权力边界就显得相对清晰。大数据时代的到来使得传统线下企业中的个人信息保护方式失效。一旦登录互联网,无论是通过手机还是电脑,用户就必须先将自己的个人信息交给服务商,并且要经过多个第三方平台的介入和多重交易等更为复杂的过程使个人信息权利边界消失。在现实生活中,电商平台通过后台的数据监控就可以轻而易举地获取精确而又全面的个人信息。
大数据威胁现有的安全防护措施
大数据时代下的数据较为集中,将复杂多样化的数据存储在一起的后果,可能会错将经营数据置于生产数据中,从而导致企业生产安全违规,极易引发新的安全问题。随着大数据技术的不断发展,不可控因素已存在于我国的网络基础设施平台之中。数据量的多少直接关系着安全防御系统能否正常运行。一旦安全防御系统升级、更新的速度没有与数据量的非线性增长保持同步,大数据安全防御系统的漏洞就会凸显,从而使网站漏洞层出不穷。调查显示,2015年收录的漏洞中有1400多个可导致信息泄露,2016年新增了300多个漏洞,可泄露个人信息达50多亿条。
困境的成因
信息主体缺乏安全保护意识
当前,不仅各种网站缺乏安全意识,作为信息主体的公民个人信息保护意识同样缺乏,在时下国内流行的社交软件中,一些用户喜欢将自己的吃穿住行等种种状态以文字、图片、视频的方式发送到微博或微信朋友圈,无形之中透露了大量个人隐私信息。飞机票、火车票、快递单,甚至超市的购物小票等都或多或少含有一些个人信息,如果稍有不慎,就会导致个人信息泄露。虽然媒体曾屡次报道关于个人信息泄露导致财物损失的新闻,然而,多数民众对于个人信息保护意识仍然淡薄,没有特意采取保护措施。
对个人信息的收集超出主体可控制范围
身处大数据时代,个人信息无处不在,甚至不需要说出来,在毫无察觉的情况下,我们就已经主动将个人信息交给了各个网站。当用户在使用微信、QQ聊天期间,实质上是将个人信息连同隐私的聊天记录给了腾讯;在浏览微博时,是将个人的兴趣爱好交给了新浪;在享受网购时,是将个人的电话、住址等信息交给了淘宝;在使用搜索引擎时,是将个人的搜索记录交给了百度。有时我们在不经意中就可能会透露自己的个人信息,个人信息被收集有时甚至是无法避免的。正像美国和欧洲部署的智能电表采集的实时读数能够暴露诸如一个人的日常习惯、医疗条件和非法行为等个人信息,因为可以根据每个电子设备通电时独特的负荷特征,对电表的实时读数使用大数据处理和分析挖掘出诸多个人信息④。
个人信息使用者道德失范
大数据技术对本无关系的信息通过数据挖掘、数据分析等实现信息关联,各种数据的集合能够大致预测、还原个人的喜好、职业、婚姻等状况。假如信息使用者没有良好的道德规范,个人数据将面临极大的风险。还有一些黑客看到大数据背后隐藏的价值,可以为其带来巨大的经济利益,便不择手段地获取个人信息。一些企业和个人只顾追求经济利益最大化,同样忽视了对个人信息的保护。面对巨大的商业利益诱惑,通过非法手段买卖个人信息的程序、软件仍然屡禁不止。
中国是世界上网民数量较多的国家之一,且网民喜欢关注舆情热点事件。毫不夸张地说,“人肉搜索”的强大力量完全超出我们的想象。一旦被搜索者的照片被传到网上,其详细信息就会被公开。2017年9月发生的程序员苏享茂自杀事件中,通过对其前妻翟某展开“人肉搜索”,翟某的住址、工作经历、联系方式、身份证号、婚姻状况、微信聊天记录等个人隐私信息被网民翻了个“底朝天”。如此隐私的信息被散播,其中既暴露了个人信息保护领域的漏洞,也反映了“人肉搜索”挖掘个人信息的能力令人咂舌。
破解的策略
树立“人”信息安全的主体地位
在大数据时代,设备是智能的,网络攻击手段是智能的,因此,网络安全运营人员以及作为信息主体的个人也要进行相应能力的升级,提高个人信息保护自律意识。今天的网络防护从传统的静态防护演化成了动态防护,为了使用户信息得到安全有效的保护,网络运营人员作为个人信息安全的核心,需要以更加敏锐的视角、及时的监控强化个人信息管控制度。个人信息保护是一项跨行业和跨部门的工程,涉及政府、企业、科研院所等组织部门,需要作为信息主体的人员共同参与。全体社会成员应该树立高度的责任感,强化自我保护意识,牢固树立个人信息安全新风尚,以数据武装人,维护个人信息安全。
改良个人信息保护技术
大数据时代背景下,随着信息技术的发展,网络攻击者的水平也在日益提升,不少昔日的安全技术手段已经被破解,传统的数据加密等安全保护模式显示了一定的局限性。先进、完备的技术手段成为保护个人信息安全的关键要素。一方面,可以通过强化防火墙等软件设备,过滤具有较大安全隐患的用户入侵,从而减少风险,树立网络安全屏障;另一方面,加强个人信息保护需要通过政府和企业的扶持,提高用于研发项目的资金投入比例,鼓励从技术创新层面保护个人信息安全,从而加快保障个人信息安全技术的研发,加大资金投入。根据信息技术发展的趋势,注重从源头上强化对个人信息的安全保护。针对大数据背景下个人信息被盗取的模式,开发针对云服务和智能终端的安全模型。依据海量数据的特征,建立用于个人身份的验证密码来检验用户身份,从而避免数据内容的交叉验证,既从技术层面提升了个人信息安全,也使互联网的使用更加便捷。
强化个人信息法律监管
大数据时代,保护个人信息安全的相关法律法规也得到了完善。2017年6月1日,《中华人民共和国网络安全法》正式颁布,这是我国有史以来第一部对网络空间秩序安全作出全面规范的基础性法律,这不仅意味着个人信息安全从此有了法律保障,也标志着中国信息安全进入了崭新的时代。2017年10月1日起实施的《民法总则》也为保护个人信息安全架起了一堵“防火墙”,其中明确规定了以法律来保护自然人的个人信息,预示个人信息可以不再受任何侵犯。一方面,随着新的法律法规出台,公民的个人信息安全有了法律保障,随着它们的正式生效以及大数据的不断发展,我们将会发现,随着时代的发展和社会的进步,这些法律法规可能仍然需要进一步完善,但是至少象征着我国在保护个人信息安全领域迈出了关键的一步;另一方面,要善于借鉴欧美立法模式,我国大数据发展仍处于起步阶段。个人信息保护涉及众多领域,无法在一部立法中对其全部境况作出详细规定。除了恪守个人信息保护的法律法规之外,还需遵照具体领域的具体要求。同时,要善于学习其他国家的积极经验,例如,在美国联邦立法中,包括一般立法、专项立法、其他法中的特别规定,这种多层次的立法框架值得我国学习和借鉴。此外,要对侵犯个人信息安全的企业和个人予以曝光,加大惩处力度。
结 语
在备受关注的“徐玉玉被电信诈骗致死案”中,徐玉玉因父母辛苦筹集的学费被骗光而伤心过度导致晕厥,经医院抢救无效死亡。该案件性质极其恶劣,我们在对骗子的行为感到深恶痛绝的同时有必要认识到,正是网络黑客通过植入木马病毒,非法获取高考考生个人信息,再将信息出售给他人的违法行为导致了这场悲剧的发生。《中国个人信息安全和隐私保护报告》指出,被侵害的公民个人信息达到了令人触目惊心的程度。根据当前的举证维权难度,多数公民对个人信息遭受侵害的行为,通常只能望洋兴叹。更为可怕的是,当我们的个人信息遭到泄露后,我们仍处于未知状态,甚至没有丝毫察觉。调查显示,只有21%的网民认为个人信息泄露达到了非常严重的程度。虽然《中华人民共和国网络安全法》对保护个人信息安全作出了明文规定,然而,遗憾的是,随意收集个人隐私信息的各种软件仍然此起彼伏。大数据时代,个人信息如果不能得到有效保护将是一件很危险的事,甚至将是一场灾难。因此,积极开发具有核心竞争力的个人信息安全保护系统和技术体系架构,打造自主可控的个人信息安全平台,为保护个人信息安全提供优质的生态环境,才能全面提升我国大数据的核心竞争力。
本文系国家社会科学基金重大课题“国家治理体系现代化进程中的协商民主制度化研究”(项目编号14AZZ003)的阶段性成果。
(作者苏丹系西北政法大学新闻传播学院讲师;张媛系辽宁师范大学马克思主义学院博士研究生;薛金丽系西北政法大学法制新闻与传媒法专业硕士研究生)
责任编辑:武艳珍
注释:
①江洪、钟永恒:《国际科学数据共享研究》,《现代情报》2008年第11期。
②张松:《大数据时代时代个人信息行政法保护研究》,辽宁大学2016年硕士学位论文。
③史卫民:《大数据时代个人信息保护的现实困境与路径选择》,《情报杂志》2013年第12期。
④(英)维克托·迈尔-舍恩伯格、(英)肯尼思·库克耶著,周涛译:《大数据时代:生活、工作与思维的大变革》,浙江人民出版社2013年版,第196页。