王瑞娜
(三门峡职业技术学院 信息传媒学院,河南 三门峡 472000)
大数据作为一项新兴技术,给社会带来了全面的资源共享条件和便捷的传播交流方式,对人们的生活影响十分深远。网络上的个人信息具有丰富的商业价值,而借助于大数据技术能够从海量的数据中挖掘出有价值的个人信息,这使得个人信息泄露、滥用等问题日益严重,因此,大数据环境下如何保障个人信息的安全成为亟待解决的问题。
大数据时代,人们的生活生产方式逐步数据化,因此,政府部门在行使职能和提供社会服务时就需要采集和处理公民的个人信息,如果出现网络数据库有安全漏洞或信息安全监管不到位等情况,就会给公民的个人信息带来严重的安全隐患。
(1)提升政府部门的个人信息安全保护意识。随着政府采集个人信息所涉及的领域更广泛、采集手段更多样化,所面临的安全问题也日益严重,因此,在网络环境下政府部门要加强个人信息安全保护意识,避免个人信息在采集、传输、存储和分析过程中出现泄露问题。
(2)重视职责监管。加强对政府公职人员的信息安全教育和管理,避免数据采集过程中管理人员利用职务之便泄露公民信息;对于利用政府网络数据库的其他社会组织,政府要重视职责监管,防止个人信息泄露、滥用或篡改等问题的发生,承担个人信息安全保护的责任。
(3)严格执行安全等级保护规定。为进一步确保个人信息的安全,尤其是对私密性和敏感度较高的信息的保护,政府相关部门应该对所采集的个人信息进行详细的筛选和分类,并严格按照等级保护制度对不同安全级别的信息进行相应的职责管理,严格控制信息获取和使用的范围。此外,在信息化工作中避免内网外联、介质混用,尽量减少在硬件和软件操作环节的安全隐患,防止信息泄露。
VIEID俗称网络身份证,它是一段含有持有者身份信息标识并通过认证中心审核签发的电子数据,是网民在网络上的身份标识且具有唯一性。[1]目前,我国很多网民对网络身份证的安全性持观望态度,其实我国的网络身份验证技术已经相对成熟,成为继美国之后实现网络身份验证的国家。网络用户可以根据自己的需要在匿名与实名之间自由切换,减少个人信息泄露的风险,为个人信息安全提供了保障。
随着信息技术的发展,传统的防火墙、密码验证等技术已经无法满足当前网络信息安全的需要,所以,应该提高大数据安全保护技术水平,争取通过新的安全保护技术从源头上消除个人信息安全隐患。
(1)完善匿名技术。大数据环境促使很多企业在利益的驱动下采用各种手段获取个人信息以实现精准定位。为了更好地保护个人信息,应该进一步完善匿名技术。
(2)数据的模糊处理。将数据在数据库中进行加密模糊处理,就会使特定个人信息与特定数据间相互联系的挖掘变得难以实现或费时费力,从而降低个人信息中精准数据被收集的概率,由此可以更好地保护个人信息安全。例如,微信和QQ中查找“附近的人”的功能就采用了模糊位置服务,这个功能只能看到别人的大概距离,而不是具体位置。
(3)运用大数据技术防范高级攻击。运用大数据思维对网络安全进行判断和检测的最重要应用就是防范高级可持续的攻击。先确定恶意与非恶意的行动的界定,结合实际情况采取更安全的防御措施,然后通过对模式、时间和空间上的特征进行分析,整合大数据资源的处理、协调和分析机制,加快完成利用大数据技术防范高级攻击的建模进程,从而对可能受到的威胁起到提前的防御作用。[2]
首先,要在法律层面明确个人信息的定义和保护范围,从个人信息收集、存储、传输和利用的整个过程对所涉及的个人信息保护做出明确规定,加大行政处罚和民事处罚的覆盖范围和力度,增强个人信息保护法规的可操作性。其次,建立规范透明的数据交易市场,政府发挥主导作用,对数据交易进行立法,明确数据交易的合法范围,使个人信息的商业应用有法可依。
(1)政府部门应实时监控涉密工作人员的网络终端,要求只能使用内部网络,硬件设备采用国内企业供货,不建议保留U盘接入口,从软硬件方面增强数据安全性保护。
(2)国家应鼓励企业进行安全技术研发,为其提供良好的氛围和条件,鼓励企业与知名的研究机构合作,加强信息安全研究,积极创造具有自主知识产权的商品化产品。
(3)政府可以通过电视、网络及手机等平台播放相关的公益广告,或通过讲座等形式为广大群众普及信息安全保护常识,增强民众的信息安全保护意识。
政府部门可以成立独立的网络安全监管部门,实现层层管理,责任具体到个人,建立一个完善的信息安全监管体系,以提高网络安全的监管力度及应对突发事件的能力。针对恶意泄露、篡改、破坏个人信息以及非法倒卖个人信息数据的行为,国家需要建立一支能够严格执法的队伍,以保障网络安全体系的权威性。根据行业的发展特点,灵活设置安全规章制度,对涉及国家机密、人身安全的数据采取最高级别的安全措施。
企业管理制度不完善是导致个人信息泄露的重要因素。建议通过“制定规章制度、盘点个人信息、了解风险程度、设计管理机制、遵循规章制度、进行机制核查、持续矫正预防”的策略改善企业内部个人信息管理不规范的问题。[3]
依据网络安全、个人隐私安全、信息安全等方面的法律法规,结合企业的性质和工作需要,建立健全企业内部的相关制度,规范员工的个人行为;在个人信息盘点环节,要对信息的种类、数量和安全级别进行充分了解并做好分类分级,且定期进行盘点;在风险程度了解环节,要根据个人信息的个体差异,结合信息的安全等级,了解信息背后可能存在的风险级别,有针对性地保护安全级别较高的信息;在设计管理机制环节,根据规章制度,针对个人信息种类和数量及其风险等级,完善相应的管理机制;在遵循规章制度环节,严格执行并遵守规章制度;在机制核查环节,通过实践检验个人信息安全保护的情况和安全机制运行的合理性,查找需要改进的地方;在持续矫正预防环节,结合机制检查环节出现的问题,进一步对管理机制进行完善和改进,并持续预防。
加强行业自律可以从以下几方面着手:
(1)个人信息收集方式透明化。在收集个人信息时,要采用合法、正当的方式,并告知用户所收集信息的用途及可能存在的风险,同时公开数据使用规则,需经过用户同意方可采集信息。
(2)培育自律机制。借鉴国外行业自律的发展模式,根据我国的实际情况,并结合企业的业务性质,积极鼓励和引导企业建立行业个人信息安全自律模式,以规范企业在信息保护方面的行为,弥补当前个人信息安全意识薄弱的问题。
(3)成立第三方认证评级机构。个人信息安全保护技术、保护机制对信息安全至关重要,可以借助第三方认证评级机构定期对企业相关的信息安全因素进行评定,并公示评定结果,督促整改,促使行业自律的高效实施。
(4)加强行业内部的管理。为保证企业自律公约的有效实施,应加强行业内部员工的安全教育,规范其操作流程,并对涉及个人信息安全的工作做好有效监督,一旦发现有违反自律公约的情况,就实施相应的处罚。
(5)培养员工良好的职业道德。增强员工的责任意识,提高员工的职业素质,有利于行业自律的实施。为了营造良好的维护信息安全的氛围,可将职业道德评价与工资挂钩,激发员工遵守职业道德的积极性。
随着网络应用的快速发展,应用软件的种类和数量日益增多,黑客借助软件漏洞对后台数据库进行攻击,导致注册用户个人信息的泄漏。因此,需要使用更先进的技术手段,从技术层面保障信息的安全性。
大数据环境下,用户分享照片、文档、视频文件时,其数据会被记录,个人只能掌控提供或不提供数据,却无法掌控数据在网络上的其他动向,数据何时何地以何种方式被谁泄露,造成了哪些影响,用户很难及时察觉,因此需要企业加大技术投入力度,积极开发具有高可靠性的信息安全保护技术,这也是大数据的发展趋势。
以前对应用程序的评判侧重于其下载数量及功能,而忽略了对其信息安全保护措施的评判。在大数据环境下,在软件评判指标中应增加数据安全性、保密性等标准[4],建立专业的应用软件评测系统,促使软件开发商重视软件的安全性。
在大数据时代,个人的每条数据信息都是有价值的。例如,如果拥有某个人的手机定位信息,结合这些数据进一步分析挖掘,就可以得到这个人的工作性质、生活习惯、家庭成员等信息。因此,每个人都应该加强个人信息安全保护意识,在日常生活中养成好的信息安全保护习惯。此外,要及时了解有关个人信息安全方面的发展动态和新技术,主动学习相关法律法规,当个人信息安全受到侵犯时,能及时用法律武器维护自己的正当权益。
人们在网络上的活动随时都有暴露个人信息的可能,因此安全的上网习惯尤为重要。例如使用手机上网时,设置“下载安装软件先询问”,防止下载来路不明的软件;对聊天记录、网站登录记录等网络行为痕迹进行定期清理,在发表状态或评论时不要定位自己的位置信息;不要暴露自己的车票和网购等个人信息;尽量不要使用公共场合的WIFI,如有需要,可以选择流量上网;为防止病毒入侵带来的信息泄露,在上网时要养成预防病毒侵犯的习惯;个人隐私谨慎上传云存储;废弃的手机、U盘、车票、快递单等物品要妥善处理等。[5]此外,日常生活中我们还要养成不扫描来历不明的二维码、不随便添加网络测试、谨慎参加抽奖活动等习惯。
日常网络操作中,掌握基本的信息保护技能对保护个人信息安全非常重要。例如,定期更新系统和杀毒软件,并仔细辨别网络的真伪,避免钓鱼网站诱骗个人信息;在网站上注册个人信息时使用相对复杂的账号和密码,网络交流时不要泄露密码等信息;在个人终端使用微信、QQ等软件时,尽量手动输入密码,不要设置自动登录等。
在当前复杂的网络环境下,为了增强个人信息安全保护意识,我们要主动接受安全教育,使自己拥有一定的网络安全基础知识和技能,在上网过程中要有较强的信息安全保护意识,尽量减少信息泄露的可能性。