个人信息安全的分级分类保护再探究

摘  要：本文以个人信息泄露后对个人造成危害的重要程度和根据已有信息能否快速确定某个人的特征为依据，将个人信息分成三类：网络行为信息、个人属性信息、个人重要信息。对应的安全保护级别为：一般保护、基本保护、重点保护。对其分别采取相应的安全保护技术手段：日常防护措施、安全管理中心体制下的匿名保护技术、水印隐藏与溯源相结合的技术。加大监管网络平台环境的力度，增强个人信息安全管理的保障。

关键词：个人信息;网络行为信息;匿名保护;水印隐藏与溯源

中图分类号：TP309     文献标识码：A 文章编号：2096-4706（2019）18-0121-03

Abstract：This paper divides personal information into three categories：network behavior information，personal attribute information and personal important information，based on the importance of personal information harmful to individuals and whether the existing information can quickly determine the characteristics of a person. The corresponding level of security protection：general protection，basic protection and key protection. Corresponding security protection technology means are adopted：daily protection measures，anonymous protection technology under the security management center system，and the combination of watermarking hiding and traceability technology. Strengthen the supervision of the network platform environment and enhance the protection of personal information security management.

Keywords：personal information;network behavior information;anonymous protection;watermarking hiding and traceability

0  引  言

隨着移动互联网的飞速发展以及移动应用程序的迅速推广，违法违规收集、过度使用或滥用个人信息的现象屡见不鲜，给公民个人和社会造成严重影响，危害公共安全。2018年我国就发生了多起关于个人隐私数据的热点事件，例如支付宝年度账单默认勾选、手机摄像头自动弹出、Wi-Fi万能钥匙“窃取隐私”、酒店用户信息泄露等等，这些事件的爆发，都将个人信息安全问题推向舆论焦点。2019年，3·15晚会曝光了智能骚扰电话及APP肆意收集用户隐私信息的现象，这些事件的再次曝光引起了中央政府的高度重视，工信部启用联合处理机制，要求相关部门针对APP违法违规收集、使用个人信息进行专项治理，进一步加强监督，全力组织个人信息保护立法工作，以便收集、使用个人信息时有章可循、有法可依，切实规范对用户个人信息的收集、使用行为。除政府加大对公民隐私数据保护外，公民对于自身隐私数据的保护意识也已经觉醒，对于个人信息的敏感程度达到前所未有的高度。如何落实国家相关网络安全法规的规定，防止用户隐私数据泄露或滥用，打消用户对自身安全的重重顾虑，实现个人信息的安全共享和交换，是当代社会亟需解决的问题，也是当代社会研究的热门课题。

1  个人信息的定义

狭义的个人信息[1]，是指个人的一些具体信息，如姓名、家庭住址、身份证号、手机号及工作单位等，通过这些信息可以直接定位到某个具体个人;而广义的个人信息比较抽象，概括地说，凡是与个人有关的一切数据、行为，以及隶属于个人的所有描述都属于个人信息。随着互联网技术的快速发展，个人信息以网络为载体，以数据流的形式传输，一般具有识别度高、个性化强的特点。

《中华人民共和国网络安全法》及其相关法律法规明确指出，以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等等，能够单独识别或结合识别特定自然人活动（如消费、上网、出行等）情况的各种信息也包含在个人信息范围内。如表1所示，个人信息具体包括：个人具体信息、社会身份信息、标识信息、健康状况信息、财产信息、教育背景、上网行为等[2，3]。

不管是上述的哪一种信息，都具有“可识别性”，该属性是判断信息是否属于特定个人的重要依据，“可识别性”的强弱可通过关联信息的多少进行分析。极易识别特定个人、无需关联其他信息，则可识别性就高;不易识别特定个人，需要大量关联信息，则可识别性就低。

社会身份信息、健康状况信息、财产信息等信息还属于个人隐私信息，具有敏感性的属性。敏感性的强弱可以通过个人信息泄露对个人利益造成的损害程度进行判定。信息泄露对个人利益造成严重损害，则敏感性就强;信息泄露对个人利益造成轻微损害，则敏感性就弱。

在文献[4]中，将个人信息根据其对个人自身的重要程度由低到高分为四个等级，分级的依据较为片面，且采取的管理方法过于单一，文中对个人信息的分级思想值得借鉴，但具体分级分层管理方法尚需进一步改进。

2  个人信息的分级、保护级别的分类及各级别的保护技术

本文以个人信息泄露后对个人造成危害的重要程度和根据已有信息能否快速确定某个人的特征为依据，将个人信息分成三类：网络行为信息、个人属性信息、个人重要信息。对应的安全保护级别为：一般保护、基本保护、重点保护。对其分别采取相应的安全保护技术手段：日常防护措施、匿名保护技术、水印隐藏与溯源相结合的技术。

第一等级的网络行为信息包含两部分：一部分是自愿公开的信息，如QQ空间、微信朋友圈等，这些信息采用一般的日常防护措施。信息主体应当具备一定的自我保护意识，自己控制哪些信息对外发布及对哪些人发布，调整QQ空间、微信朋友圈分享、转载功能，并设置访问权限，掌握保护个人信息安全的主动控制权。另一部分是隐形产生且不可避免的网络行为信息[5]，如浏览网页、网上购物、在线聊天等等活动留下的行为记录。这一部分信息关联性比较强，通过这些网络行为信息可以深层次挖掘更有价值的信息。比如根据网上购物记录信息可以了解信息所有者的爱好倾向、评估其消费水平、推断其交际范围，进而采取具体的广告推销或电话推销手段。为了确保个人信息安全，避免或尽可能少地无意在网上留下行踪痕迹信息，用户在打开网络之前应确保网络环境的安全，确定网络设备没有感染木马病毒或恶意程序。在浏览网页、网上购物、网上聊天之前先把安全系数设置好：打开“设置”工具栏→“选项”→“安全设置”→“隐私安全设置”→“清理上网痕迹设置”，以便在结束这些网络行为时，网络设备能及时、自动清除这些记录。

第二等级的基本信息保护采用在安全管理中心体制下的匿名保护技术。

因为这一等级的信息主要是个人的基本信息数据，并且这些信息数据的可识别性程度非常高。在信息大爆炸时代，个人信息无时不有，无处不在。任何人都能轻易获取这些个人信息，并且通过这些信息可以得到更多更重要的关联信息，给个人信息造成极大的安全隐患。因此，第二等级信息由可信的安全管理中心统一管理。信息使用者要运用个人信息时必须先向安全管理中心发出请求，安全管理中心审计其请求的同时也以某种形式通知信息主体，告知其信息在被运用。个人信息的采集是只能由可信的安全管理中心来进行的，它负责个人信息在数据层的安全存储，采用加密和访问控制双重机制管理个人信息，防止入侵者窃取或篡改重要信息，检测信息数据的完整性。根据信息使用者的用途，审计用户行为、判定其使用权限、匿名化处理相应的信息再传输给符合安全保护要求的用户使用。所谓匿名保护技术，就是个人信息数据在传输前进行匿名处理，在传输过程中加入特定的随机系数，使得接收者对收到的数据无法做关联推断，形成高级别的信息保护。匿名技术可以对个人信息标识和属性匿名，还可以对个人信息之间的关系数据进行匿名处理或对个人信息数据之间的关联进行隐藏，产生可用的匿名数据集。

第三等级的重点信息保护采用水印隐藏和溯源技术相结合的方法。

水印隐藏技术就是将个人的重要信息通过一定的载体（如文档、图像、声音、视频等）进行隐藏、嵌入到信息载体中的技术。在实际操作过程中，水印技术根据载体的特点，选择相应的算法将重要信息隐藏嵌入到载体中，生成水印。水印隐藏技术能有效保护信息的安全性。

个人信息的采集、挖掘与计算过程具有痕迹的可追溯性，溯源技术可以对信息的来源进行确定。信息溯源记录了信息流从产生到输出的完整过程，溯源信息中包含了信息的发布者、发布的时间、地点、方式及发布的原因等内容。溯源信息与原始数据信息之间具有某种程度的關联关系，根据溯源信息可以定位信息主体的特征，同时信息主体特征也带有溯源信息。

在个人信息安全保护过程中，根据这一等级信息数据利用的流程和涉及到的发布者、收集者、应用者和监督者等主体特征，采用数据溯源技术，可以实现信息数据的追踪、可靠性的评估和使用过程的重现。个人信息分级、分类保护级别及相应的保护技术如表2所示。

3  个人信息安全的保障

信息时代个人信息的保护，不仅要通过技术手段来提升其保密度，让信息传输、存储更私密化、安全化，还需改善网络平台环境[4]，增强平台环境的安全系数。网络平台信息管理系统的安全关系到注册用户个人信息的安全。几乎每个用户进入任意网络平台，都要先注册个人信息才能进行相关的访问，继而进行相关的活动。这样，网络平台就隐形收集了用户的大量个人信息，其中包括用户的个人身份信息、详细的住址信息、具体购物信息、支付账号及密码等。如果网络平台内部管理人员抵不住各种诱惑，利用职务上的便利非法窃取用户信息，进行倒卖或诈骗，这样会给用户造成巨大的经济损失和精神伤害。为防止及杜绝这类事情的发生，网络平台用户信息管理系统必须进行不定时的维护和更新，且要加大监管力度，还要努力研发新型用户信息管理系统，尽量把用户的个人信息隐藏在系统后台，实行分层管理。由专人负责管理、维护、更新，尽量避免平台内部不法分子泄露、窃取用户的个人信息。另外，还要主动使用防火墙技术和病毒查杀技术，提升网络平台用户信息管理系统的防御能力，抵御木马病毒或恶意程序的攻击，为用户个人信息数据增添一道安全防护。

4  结  论

个人信息包含的内容多、涉及面广，加上网络技术的快速发展与个人信息设备的普及，个人信息交换的频率与共享的规模达到了前所未有的高度。如何安全使用和管理个人信息是人们关注的焦点。如何权衡个人信息的合理使用与安全管理将是一项复杂的系统工程。这也是后续要进一步探究的问题。

参考文献：

[1] 高朝勤.信息系统等级保护中的多级安全技术研究 [D].北京：北京工业大学，2012.

[2] 高磊，李晨旸，赵章界.大数据应用中的个人信息分级保护研究 [J].信息安全研究，2019，5（5）：394-399.

[3] 赵文，水铭伟.大数据背景下个人信息安全保护措施研究 [J].电脑编程技巧与维护，2018（7）：86-87+93.

[4] 商晓阳.个人信息分级分层管理技术方法的探究 [J].信息与电脑（理论版），2018（14）：206-208.

[5] 马红丽.App违规收集个人信息有望得到治理 [J].中国信息界，2019（2）：30-33.

作者简介：商晓阳（1985.09-），女，汉族，湖北黄冈人，讲师，硕士研究生，研究方向：应用数学与信息安全。