个人信息安全保护措施论文(推荐14篇)由网友“雅筱”投稿提供,以下是小编为大家准备的个人信息安全保护措施论文,希望对大家有帮助。
篇1:个人信息安全保护措施论文
摘要:随着互联网飞速发展,产生了超大规模数据。为人类的生产生活提供预测和指导,但是也面临着严重的信息安全威胁。由此,从技术角度去研究大数据背景下个人信息安全保护措施,提出了数据匿名保护、数据水印保护、数据溯源保护和个人信息日常防护措施,旨在强化开发人员和用户个人信息保护的意识。
关键词:大数据;个人信息安全;数据匿名保护技术;数据水印保护技术;数据溯源技术
大数据为社会的发展、商业的预测、科学的进步提供了有效的数据支持,是数据服务的基础,大数据中关于个人信息的数据越来越多,不仅包含了个人的基础信息还包含了各种关联性的信息,从大数据环境中分析搜索资料,已经成为个人信息窃取的主要渠道。3月全球第一大社交网络FaceBook泄密事件轰动了全球,导致股价暴跌、信任危机。透过此次事件可以明确未来网络的可持续发展加强个人信息安全保护刻不容缓。
1大数据与个人信息安全定义
1.1大数据定义
大数据是由海量的线性关联数据和非线性数据所构成,大数据具有类型多、数据规模大、数据处理快、数据价值大、价值密度低等特点。从大数据的数据来源来看,主要包括通过计算机信息系统处理的数据、互联网活动产生的数据、移动互联网活动产生的数据和其他数据采集设备采集到的数据。大数据具有无结构化的特点,它既包括了文本类数据还包括图片、音频、视频等复杂的数据,所体现出的特征包括体量大、多样性、传输快和具有高价值。目前,大数据的应用已经在科研领域、商业领域等被广泛的应用,根据权威机构(Cart-ner)预测,到75%以上的企业都会通过大数据进行市场决策,大数据应用必将成为社会进步的重要推动力。
1.2个人信息安全定义
个人信息的范围非常广泛,不仅包含了个人形象的基础信息如:性别、年龄、身高、体重等,还包括住址、工作单位、联系方式、财产信息、活动区域、兴趣爱好、社会关系等。个人信息具有一定的关联性,同时也有相对的独立性。通常一个人的信息可以关联其家庭、同事、亲朋等多方面的信息,信息安全不再局限于个人信息安全的保护,而是面向更加复杂的信息环境进行保护。在大数据环境下,个人信息已经成为一种被用来窃取买卖的“商品”,为此在人类社会活动中,个人信息安全的保护不仅需要先进的技术进行保护,还需要法律、法规进行维护,以确保个人信息得到安全保护,维护社会的稳定发展。
2大数据环境下的个人信息安全问题
在大数据环境下,通过个人用户进行网络活动所产生的线性和非线性的数据可以清晰地分析出用户的年龄、职业、行为规律、兴趣爱好等,尤其是随着电子商务和移动网络应用的普及,个人用户的住址、联系方式、银行账号等信息也可以通过大数据挖掘、网络爬虫等方式获取。这无疑加大了个人信息安全管理的压力,用户个人信息被泄露的时有发生,莫名的广告推销电话、诈骗电话以及银行存款被窃取等违法行为屡禁不止层出不穷。甚至近期出现的“滴滴打车空姐遇害一事”也有很大程度是因为滴滴公司过度社交化,泄露顾客长相性格偏好等信息,造成司机方进行用户画像,选择犯罪对象。目前,大数据已经成为了个人安全信息攻击的“高级载体”,并且在大数据环境下无法开展APT实时检测,同时大数据的价值密度非常低,无法对其进行集中检测,这就给病毒、木马创造了生存的环境,给个人信息安全造成了极大的威胁。与传统数据存储结构不同,大数据采用分布式网络存储,利用资源池进行数据应用。客户端对数据的应用通过不同节点进行访问,所以要保证数据访问的安全性就要对各个节点的通信信息进行认证,工作量非常的庞大,所以在实际操作中难以进行全面的控制。大数据没有内部和外部数据库的划分,所以用户的隐私数据可以放在资源池中被任何用户访问,这为hacker提供了便利的信息获取渠道,并且能够通过数据之间的关联性挖掘出更加隐私的数据,拓宽了个人信息窃取的渠道,给个人信息安全造成极大的隐患。
篇2:个人信息安全保护措施论文
3.1匿名技术保护个人信息安全
随着网络社交服务应用的普及,来自社交网络产生的数据是个人信息大数据来源的主要渠道,社交网络中包含了大量的个人信息数据,并且这些数据都具有一定的关联性。匿名技术可以对个人信息标识和属性匿名,还可以对个人信息之间的关系数据进行匿名。匿名技术能够将个人信息数据之间的关联进行隐藏,产生数据可用的匿名数据集。在个人信息大数据收集阶段,数据的采集者是被数据的产生者在信任的基础上进行获取和维护,数据的使用者通过数据采集者提供的使用环境进行应用,但是使用者不确定是否具有攻击性,所以需要数据的采集者能够对数据集进行匿名化处理再发布给符合隐私保护要求的用户使用。匿名化原则包括:消除敏感属性映射关系(k-匿名)、避免同质性攻击(l-多样性)和敏感属性值分布不超过阈值t(t-相近性)。匿名化的主要方法有泛化法、聚类法、数据扰乱法和隐匿法。
3.2水印技术保护个人信息安全
水印技术是一种能够将个人信息进行隐藏嵌入到数据载体中的技术。在文档、图像、声音、视频等数据载体中,在不影响原始数据使用的前提下,通过数字水印技术进行数据安全保护,具有一定的隐蔽性、鲁棒性、防篡改性和安全性。基础的数字水印方案是由水印生成、嵌入和提取所构成。数字水印技术通过对载体进行分析,并选择适合的位置和算法嵌入到载体中,生成数据水印。在数字水印提取时,检测数据中是否存在水印信息,提取时采用密钥进行识别,密钥是水印信息的一部分,只有知道密钥密码的人才能够获取水印,读取信息。在个人信息安全保护方面,数字水印技术具有保证相关个人信息内容的唯一性、确定个人信息的所有权、保证个人信息内容的完整性与真实性、识别个人信息来源等功能。在实际应用操作中数字水印可分为鲁棒水印和脆弱水印两种,鲁棒水印可以作为个人信息数据的起源认证,它具有很好的强健性,不受各种编辑器处理的影响。脆弱水印对个人信息的完整性和真实性进行保护,它非常的敏感能够准确地判断出数据是否被篡改,多用于个人信息可信任性的证明。
3.3数据溯源保护个人信息安全
大数据的采集、挖掘与计算的过程具有痕迹的可追溯性,由此通过数据溯源技术可以大数据中的数据来源进行确定。数据溯源记录了工作流从产生到输出的完整过程,数据溯源信息中包含了信息的`who、when、where、how、which、what和why7个部分。溯源与元数据之间具有一种信息的关联关系,它能描述对象的属性,同时数据属性也包含数据溯源信息。目前数据溯源的方法主要包括基于标准的数据溯源、基于查询反演的数据溯源、基于存储定位的数据溯源、双向指针追踪数据溯源、查询语言追踪的数据溯源和基于图论思想的数据溯源等。在个人信息安全保护中,根据个人信息数据利用的流程和涉及到的发布者、收集者、应用者、监督者等主体构建数据溯源模型,考虑大数据存在的异构分布特征引入时间、数据利用过程和数据异构分布特征构建三维模型,并将溯源信息保存在不同的数据库中形成异构数据库,再通过数据库接口或者数据转换工具形成统一的数据库,可实现数据的追踪、信息可靠性的评估和数据使用过程的重现。
篇3:个人信息安全保护措施论文
(1)调整分享功能,如腾讯QQ空间与微信朋友圈等。
(2)更换手机号时要改变所绑定的银行卡,社交软件、购物软件等相关信息。
(3)不要使用山寨手机,不从非法渠道下载软件,不要越狱手机。
(4)不使用WiFi共享软件,少蹭网。
(5)区分重要账户和非重要账户,设置不同密码,尽量用邮箱注册账号。
(6)警惕微信测试等网络调查,玩游戏测试等程序。
(7)警惕电话推销、网络推销,谨慎向外界透漏个人信息。
5结语
大数据环境下的个人信息安全问题制约了信息技术的发展,为此研究和提升个人信息安全保护能力,对于保证大数据环境下数据应用的可靠性具有非常积极的现实意义。通过提出了匿名技术、水印技术、数据溯源保护和个人信息日常防护措施等内容,能够较好地从技术层面对个人信息安全进行保护,但是在个人信息安全保护方面还需要计算机安全系统、数据库安全系统、防火墙等多方面技术的结合,并建立数据保护的预警系统,全范围的保护个人信息安全,促进网络环境健康发展。
参考文献
[1]任孟山.Facebook数据泄露事件:社交媒体与公私边界[J].传媒,,(7).
[2]刘百平.信息安全之个人信息安全防护解析[J].无线互联科技,,(20):34-36.
[3]杨挺,薛质,施勇.基于K-匿名的隐私保护关键技术研究[J].信息技术,2016,(12):6-9.
[4]朱倩,李雪燕.数字水印技术在大数据安全保护中的应用[J].软件导刊,2016,15(1):153-155.
[5]殷建立,王忠.大数据环境下个人数据溯源管理体系研究[J].情报科学,2016,V35(2):139-143.
篇4:保护个人信息安全论文
有关保护个人信息安全论文
有关保护个人信息安全论文
摘要:信息网络越来越多的受到各方面的威胁,各种攻击手法层出不穷,外部攻击、内部资源滥用、木马和病毒等,使网络随时都处在危险之中。本文在此基础上,指出校园网信息安全存在的风险,探讨提高校园网信息安全水平的对策.
关键词:校园网络;信息安全;对策
随着我国高校信息化建设的逐步深入,学校教学科研管理工作对信息系统的依赖程度越来越高;教育信息化建设中大量的数据资源,成为学校成熟的业务展示和应用平台,信息化安全是业务应用发展需要关注的核心和重点在未来的教育信息化规划中占有非常重要的地位。
但随着网络应用的不断发展,高校业务应用和网络系统日益复杂,信息网络受到越来越多的各方面威胁,各种攻击手法层出不穷,外部攻击、内部资源滥用、木马和病毒等不安全因素越来越显著。
1校园网信息安全风险分析
1.1网络层风险分析
网络层风险主要是指来自互联网的各种攻击、探测、网络病毒威胁。例如端口探测扫描、DDOS攻击等。
1.2系统层风险分析
系统层包括各类服务器、办公电脑、移动终端等操作系统层面的安全风险。系统层面临的安全风险主要来自两个方面,一方面来自系统本身存在的漏洞,另一方面来自对管理员对系统的配置和管理。
1.3数据风险分析
数据库系统平台是应用系统的`核心,数据是学校应用系统的基石。学校系统的网络与互联网教育网互通,数据风险主要包括:数据存储风险,保存在数据库及文件服务器中的数据可能受到泄漏攻击;数据通信风险,处于通信状态的数据,由于在网络中传输,存在信息泄漏或窃取的风险。
远程管理可通过明文传输协议TELNET,FTP,SMTP,POP3,这样任何一个人都可以在内部窃 听数据,通过简单的软件还原数据包,从而获得机密资料以及管理员口令,威胁所有服务器安全。
1.4应用风险分析
大多数学校的主要应用系统为门户网站与校园应用系统。
针对这一Web系统面临的风险主要有:网页篡改、利用漏洞对服务器内应用系统攻击、非法侵入、弱认证方式等。
1.5安全管理风险分析
目前大多数学校安全管理人员较少、管理较为分散。
基于上述现状,一旦整个信息网爆发病毒或被黑客攻击,则安全管理员将无法从众多的安全设备中快速定位故障,不能及时处理,可能将导致多个重要业务系统瘫痪,严重影响相关的教学和生活。
安全管理问题具体表现为:未实现以业务系统为核心的安全管理自动化处理流程;对业务系统风险未进行统一和实时管理;缺乏完整的安全管理方案,安全管理人员少,工作量大;缺少安全监控能力,无法探测和掌握来自外部或者内部的针对主机、Web系统、数据库等的可疑行为。
2校园网信息安全需求与对策
2.1网络层安全
在安全模型中,网络层中进行的各类传输活动的安全都应得到关注。网络层主要考虑如下方面的内容:网络结构与网段划分、网络访问控制、安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护。
信息系统网络层加强安全的对策:(1)部署下一代防火墙,优化配置控制策略实现外部网络与内部网络的安全隔离。
(2)部署入侵防御系统全面监测网络和系统资源,及时发现并实施有效的阻断网络内部违规操作和黑客攻击行为。
(3)部署堡垒机系统对管理员日常维护进行权限管理和日志审计。
(4)部署网络防毒设备,用以发现网络中的各种恶意程序,同时弥补单机杀毒产品病毒库的不足。
2.2系统层安全
系统层主要考虑如下方面的内容:系统保护、用户管理、访问控制、密码管理、安全审计、入侵防范、系统日志、资源控制。
信息系统系统层加强安全的对策:(1)办公设备和服务器补丁需要及时更新,应配置漏洞扫描系统及时进行漏洞检查。
(2)缺乏主机系统层面的审计手段,但可以使用网络层面部署的堡垒主机进行操作审计。
(3)无法对网络中所有设备的安全策略配置做到统一标准,如果采取人工配置,不仅对人员能力要求高,而且费时费力,效率很低,应采用漏洞扫描系统的安全配置核查功能来进行检查。
(4)对终端和服务器支持安装防病毒软件的,需要安装防病毒软件系统,应部署网络防病毒软件系统,且与防毒墙使用的是不同的病毒库。
2.3应用层安全
应用层是对于现有业务系统应通过技术、管理、培训等多种手段对应用系统代码、安全功能、数据、开发、外包、测试、部署等方面所涉及的安全问题进行预防性和发现性安全防护。
主要的方法有:功能验证、性能测试、渗透性测试、编码安全培训、制度流程约束等。
其中有关制度流程约束的部分可参考管理和运维体系中的相关制度和流程。
信息系统应用层加强安全的对策:(1)在应用开发之初进行相关审计模块的开发。
(2)部署WEB应用防火墙系统来进行安全防护,加强SQL注入、XSS攻击、端口扫描和应用层DDoS等攻击手段的防范措施。
2.4数据层安全
数据层主要考虑如下方面的内容:数据可用性、完整性和保密性,确保数据不会修改、丢失和泄漏。
信息系统数据层加强安全的对策:(1)对数据库的操作行为进行审计,可以使用部署的数据库安全审计系统来实现。
(2)对数据库的操作用户进行身份鉴别和限制,可以使用堡垒主机来实现。
(3)数据的备份和恢复措施需加强,应建设本地存储和本地容灾备份系统。
2.5管理层安全
除了采用技术手段控制信息安全威胁外,安全管理措施也是必不可少的,所谓“三分技术,七分管理”就是这个道理。
健全的信息安全管理体系是各种技术防护措施得以有效实施、网络系统安全运行的保证,技术防护措施和安全管理措施可以相互补充,共同构建全面、有效的信息安全保障体系。
管理层主要考虑如下方面的内容:安全组织结构、安全管理制度、系统建设管理、系统运维管理、人员安全管理、人员安全培训。
校园网络信息安全保障体系建设需要考虑以上各个层面的安全需求,同时还需要参考国际国内成熟的信息安全体系进行实际建设,才能保障校园网络的安全稳定运行。
参考文献
[1][美]P.W.辛格(P.W.Singer),[美]艾伦弗里德曼(AllanFriedman).网络安全:输不起的互联网战争.中国信息通信研究院译[M].北京:电子工业出版社,.
[2]张戈译.[美]斯坦普(MarkStamp).信息安全原理与实践[M].北京:清华大学出版社,.
[3]田果,刘丹宁译.[美]SeanConvery.网络安全体系结构[M].北京:人民邮电出版社,2013.
[4]张炳帅.Web安全深度剖析[M].北京:电子工业出版社,2015.
篇5:个人信息安全认证机制论文
个人信息安全认证机制论文
软件产业的开发、生产、销售各个环节都对于用户个人信息保护与安全至关重要。在借鉴美国的隐私认证制度、日本的个人信息评价制度以及我国大连软件及信息服务业个人信息评价制度的基础上,提出从宏观深入到微观、从表面深入到实质、从产业深入到产品,将个人信息安全认证制度推广到软件产业链的末梢,全面加强软件行业的自律,切实保障广大用户的权益,增强用户对于软件产品的信心,并对该制度的构建着重从软件产品个人信息保护认证标准和软件产品个人信息保护认证流程两个方面进行了探讨。
计算机软件产品成为世界的核心和灵魂
(一)计算机软件产业成为战略性新兴产业工信部软件服务业司司长陈伟表示:“今天,很多人提出了SDN(软件定义网络)、SDD(软件定义数据中心)、SDS(软件定义系统),而我认为,软件可以定义世界(SDW),软件应该成为世界的核心和灵魂,成为信息消费的引擎和重要内容。”[1]软件产业在我国国民经济中具有重要的战略地位,随着大数据、物联网、移动互联网的兴起与广泛运用,软件产品已经覆盖人民生产、生活的各个领域,逐渐成为重要的民生物品。软件产业个人信息保护不仅关系到本产业的发展,关系到国民高品质智能化生活,而且对于整个信息产业的长远发展,对于信息消费市场的培育与推动,对于“宽带中国”战略的实施,对于国家信息安全的保障具有重要的战略意义。
(二)计算机软件产品的界定
技术业已变革,整个社会都在地动山摇发生着巨大的变化,如果法律制度仍然固守两千年前的传统理论,秉持“祖宗之法不可变”的陈词滥调,那么法律制度必定束缚生产力的发展,并必然地被技术的迅猛发展而冲破。从物和产品的发展趋势来看,随着社会经济高速发展,物与产品的观念均有扩展之势[7]。世界各国出于对消费者权益的保护,不再对已经以“产品”的形式流通的计算机软件“视而不见”,纷纷以“计算机软件产品”称呼之,并开展相关立法规范。
TRUSTe认证工作主要涵盖以下几个方面。
1.初始认证
当网站为获得TRUSTe 的认证而提交了正式的申请表后,TRUSTe 将检查申请网站,看它是否符合程序原则(Program Principles)。其目的是为了确保该网站的隐私政策,明确指出哪类个人信息被收集、谁在收集、为何目的收集、如何使用以及与谁共享等。如果网站符合TRUSTe关于隐私保护的认证要求,TRUSTe就会授予该网站隐私图章,允许在其网站主页上张贴TRUSTe的隐私图章标志。
2.后续监督
当申请网站成为会员后,TRUSTe就会定期检查网站,确保网站的行为符合它公布的隐私声明,并且检查网站隐私声明的变动。初始认证和后续监督都是在网站事先不知道的情况下,通过提交特定标志符到网站来跟踪该站点个人信息的使用,并监控结果,以此来确定其信息收集使用行为是否与该站点的隐私声明相符合。
3.争端解决
当消费者认为网站侵犯其隐私权,而就隐私侵权问题不能得到会员网站恰当处理时,TRUSTe为其提供一种在线的争端解决服务,即所谓的看门狗争端解决方法(Watchdog Dispute Resolution Process)。一旦TRUSTe针对涉嫌侵犯隐私而被消费者投诉的网站作出最终决定,网站必须执行,否则其所获得的隐私图章将被取消,并被列入“不守规矩的网站”的名单中,TRUSTe甚至通过适当的途径向相关的'法律权威部门提起诉讼,如美国贸易委员会或者消费保护机构等。这样的争端解决程序逐渐为TRUSTe 树立了一定的威信。
(二)日本个人信息保护评价制度评析
日本早在由非官方第三方机构日本情报处理开发协会(Japan Information Processing Development Corporation,JIPDEC)建立了Pmark认证制度,日本《个人信息保护法》的实施,极大地推进了企业参与个人信息保护认证。
软件及信息服务业个人信息保护评价体系(PIPA)评价的对象主要是企业,其初衷在于帮助以软件和信息服务业为主的企业建立个人信息保护制度,使得企业有能力在20日本《个人信息保护法》实施后继续承接日本软件外包业务。通过PIPA评价的企业可以得到个人信息保护合格证书和PIPA标志使用权。具体而言,大连个人信息保护评价制度包括以下几个方面。
1.评价机构
软件及信息服务业个人信息保护评价机构为大连软件行业协会,下设个人信息保护工作委员会、PIPA办公室和评价专家组。
PIPA办公室主要负责PIPA文件管理和事务性工作,负责PIPA受理及投诉,负责评价员的聘任及管理工作,PIPA办公室下设培训教育部门,负责个人信息保护企业培训和评价员培训、考核。
个人信息保护工作委员会主要负责标准和PIPA体系相关文件的制定、修改和完善,负责PIPA申批、投诉及事故处理结果的审批,负责对PIPA的监督及聘任评价员的审批等工作。工作委员会下设:标准组、仲裁组、宣传推广组、国际交流组和教育培训组。标准组主要负责标准的研究和制定;仲裁组负责投诉及事故的调查及处理;宣传推广组负责PIPA宣传推广;国际交流组负责国际间的交流与合作;教育培训组负责个人信息保护人才的教育、培养研究及试点,开展个人信息保护人才培养工作。
2.评价依据
大连软件行业协会在全国率先开始制定软件及信息服务业的个人信息保护标准,即《规范》,经过多年的实践,在大连市的地方标准的基础上,形成了辽宁省的个人信息保护“省标”《辽宁省软件与信息服务业个人信息保护规范》DB21/T 1522、《个人信息保护规范》DB21/T 1628和辽宁省地方标准《信息安全个人信息保护规范》DB21/T 1628.1。目前大连软件行业协会已经发布通知自6月1日起正式实施《信息安全个人信息保护规范》,即2012版标准替代目前实施的2008版标准[10]。
3.评价流程
个人信息保护评价流程包括申请、受理、文件审查(前期审查)、现场审核、公示15天、审批、颁发合格证和标志等几个环节[11]。个人信息保护评价申请的前提是申请评价的企业按照《规范》的要求建立企业个人信息保护制度,经过三个月运行的检验,在这期间没有发生任何涉及个人信息保护的重大事故,方得以开展评价申请。
4.评价监督管理
通过个人信息保护认证的企业并非一劳永逸,大连软件行业协会对于通过认证的企业具有监督管理的权利。大连软件行业协会对于通过认证的企业可以采取抽查的方式进行监督管理,对于抽查不合格的企业,将限期整改,整改后仍然无法达到相关标准的企业,则取消其使用个人信息保护合格证书和PIPA标志的资格。同时,大连软件行业协会在接到重要举报和投诉时,可对认证企业进行复审,复审不合格的企业同样取消其使用个人信息保护合格证书和PIPA标志的资格。
5.证书与标志
通过个人信息保护认证的企业,由大连软件行业协会颁发个人信息保护合格证书、PIPA标志,证书和标志在两年内有效。
值得一提的是,由于大连行业协会与日本情报处理开发协会签署了互认合作协议,即通过大连PIPA认证的企业受到日本情报处理开发协会的个人信息认证体系Pmark认可,无需再另行申请日本Pmark认证,因此,通过大连行业协会个人信息保护认证的企业还可以获得PIPAmark互认标志。
(四)中美日个人信息保护评价制度比较及启示中美日的个人信息保护评价制度各具特色,三者的共同点在于均是出于对用户个人信息和隐私的保护而构建的一整套认证制度,均是以非官方组织为主导开展的评价认证,三者的差别在于:
从评价的地域范围来看,由于互联网的无国界性,以TRUSTe为代表的美国个人信息评价制度目前已经发展成为一个全球性的认证体系,并不局限于仅对美国的网站开展认证业务;日本的Pmark个人信息评价体系则是针对日本的企业开展认证服务,是日本国家级的认证体系,但不针对国外的企业开展认证;大连的PIPA评价体系最初仅仅局限于针对大连市的企业,而且是对软件和信息服务业的企业开展评价,现在逐步向全国范围内扩大。
(一)软件产品个人信息安全认证标准
软件产品个人信息安全认证标准是软件产品个人信息安全认证最基本的依据,放眼全球,目前尚无一个针对软件产品个人信息安全认证的标准,只有类似针对整个企业的个人信息保护管理系统的标准、针对软件和信息服务业整个行业的个人信息保护规范、针对网站的隐私认证标准,而缺乏针对最直接收集个人信息的计算机软件产品的个人信息安全认证标准。
(二)软件产品个人信息安全认证流程
建立软件产品申请个人信息保护认证流程,对于符合个人信息保护法律收集、利用和处理的软件产品,经审查合格的,颁发软件产品个人信息保护合格证书与标志。该软件产品的开发者和利用者可以在其上注明个人信息保护合格标志,以告知用户,增加用户对其的信赖感。软件产品个人信息安全认证流程与软件企业的个人信息保护认证并不相同,前者注重的是软件产品是否合法收集利用用户个人信息、是否保障用户个人信息安全,而后者强调的是企业个人信息保护管理体系的建立以及对于个人信息保护的政策。
本研究结合国内外隐私认证和企业个人信息保护评价的流程,对软件产品个人信息安全认证流程初步设计如下。
1.申报
欲进行个人信息保护认证的软件产品开发者或生产者、经营者作为申请单位需填写《软件产品个人信息安全认证申请书》及相关附件材料呈交评价机构。
2.资料审查
由评价机构对申请单位提交的《软件产品个人信息安全认证申请书》及相关附件材料进行审查,审查合格者制作审查合格报告,并进入软件信息保护评估阶段,不合格者返回补正。
3.软件信息保护评估
资料审查合格的单位向评价机构提交软件产品样品一份,由评价机构利用技术手段针对软件的安全性进行测试,包括软件产品的信息安全、软件产品的运行机制、软件产品对于用户个人信息的收集利用情况等方面,并由专家组进行评估,最终形成评价报告。通过者进入审核阶段;未通过者,申报单位按照专家组的评价意见进行一次改进完善,改进完善后重新进行评估,如仍不能通过,则出具评估不合格报告,若未进行实质性修改完善,不得再申请进行个人信息安全评价。
4.审核
依据专家组形成的评价报告,评价机构进行审核,而后签署最终审核意见。评价机构对通过审核者公示10个工作日,其间如没有实质性异议,则正式通过审核并予以公告,颁发“软件产品个人信息安全合格证书”及认证标志。
通过软件产品个人信息安全认证机制的构建,有助于培育一批品质优良、注重用户权益、服务经济社会发展需要的软件产品,从而肃清我国软件产品市场鱼目混珠的乱象,引领软件产业的发展,为信息产业的长远发展奠定基础。
篇6:个人信息安全风险与防范论文
个人信息安全风险与防范论文
摘要:云计算时代的个人信息安全体系初步形成,但个人信息安全技术风险和管理风险还大量存在,可能导致个人信息的违法收集、利用和处理,因而有必要构建云计算下的个人信息安全监控机制、侦查机制和应急机制,确保个人信息安全可控和云计算产业健康发展。
关键词:云计算;个人信息;安全风险
一、云计算及其潜在风险概述
云计算是继分布式计算、网格计算、对等计算之后的一种新型计算方式,通过互联网上异构、自治的服务,为用户提供定制化的计算。云计算是将网络储存技术、虚拟化技术、网格计算技术、并行处理技术、分布式处理技术等软硬件技术融合发展的集大成者,也是集合了网络、服务器、计算、储存、应用软件等资源并提供快速便捷、即需即取服务的共享平台。云计算具有按需服务、广泛的网络接入、资源池化、快速弹性以及按使用量计费等5个特点;涵盖私有云、社区云、公有云、混合云等4种开发模式]。云计算有3大优势:
一是具有强大的存储和计算能力,能提供即需即取的服务。最大的云计算平台的服务器数量达到百万级别,一般的云计算企业的服务器数量在几十万台,比较小的企业私有云服务器数量也要数百上千台。另外,云计算还能够弹性配置、动态伸缩,以满足用户规模和计算量增长的需要。二是具有开放性,能实现资源共享。云计算将虚拟化技术、分布式计算技术、效用计算技术和定制、计量、租用的商业模式相结合,最大效率地利用了随时连接、随时访问、分布存取的各个服务器,实现了资源的共享。三是具有管理成本最小化以及与服务供应商的交互最小化的优势,能降低使用成本。云计算具有规模效应和网络效应,在硬件成本、管理成本、电力成本、资源利用率方面都有极大的成本优势,企业和个人也省去了服务器的磨损、闲置和管理成本,只需按需要使用相应功能、按服务量支付费用。云计算潜在的安全风险与云计算的技术优势和经济效益总是如影随形。用户对于个人信息安全的担忧是云计算服务推广应用的首要障碍,云计算的理念是开放和共享,而个人信息安全注重封闭和私权,两者之间存在一定的矛盾。个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可识别特定个人的信息[5]。个人信息涉及用户的人身自由、人格尊严、财产权利等基本权利,事关重大,一般具有极高的敏感性。用户在决定是否使用云计算之前会对云计算的安全风险加以衡量。使用云计算功能在线存储的文档、图片、视频等文件大量涉及个人信息,一旦云计算的安全体系被攻破,则可能发生个人信息泄露、贩卖等事件,严重危及用户的人身财产安全,甚至会造成社会恐慌。与传统的互联网技术相比,云计算环境下保护个人信息的必要性更加突出。一是因为云计算下个人信息脱离了用户的控制范围,一旦云计算服务商的数据中心发生事故,用户无法知悉,也无法及时采取措施,只能被动挨打。
二是因为云计算的交互式、参与性、网络化的特点,用户几乎将所有个人信息被动或者主动地全部暴露在云计算服务商平台上,存在信息不对称和能力不对称的问题,一旦发生侵权事件,用户损失巨大,而且难以维权。
三是因云计算的普及性和规模性,小的漏洞都会造成巨大的破坏,损害具有连锁反应。比如,亚马逊的EC2业务由于出现一点小的漏洞,整个云计算数据中心出现全范围宕机;微软的WindowsAzure平台由于个人服务的设置问题,导致所有集群的功能不能使用。目前,研究云计算时代个人信息安全保护的学者大多从国家立法、行业立规的角度展开。针对个人信息保护的建章立法固然重要,特别是构建规制云计算环境下个人信息保护问题的法律规范和行业标准正当其时,法律的具体执行,特别是建立个人信息安全风险的防控机制和措施更是迫在眉睫,本文拟从这一角度进行探析。
二、云计算中的个人信息安全体系与技术风险
云计算架构分为基础设施层、平台层和软件服务层3个层次,分别对应简称IaaS、PaaS和SaaS3个服务类型。IaaS是由政府或者企业建立的大规模服务器和网络传输连接装置等基础设施,同时采用虚拟技术将分散到各个数据中心的服务器集中起来。PaaS包括基本硬件、基础软件、储存设备等,起到应用支持的作用。SaaS的作用是制定一系列标准和协议,构建公共平台,提供最终的应用服务。分层是横向的、纵向的管理系统将这些资源进行统一的配置和统一运行,实现一站式的服务。不同的云计算服务模式意味着不同的个人信息安全体系,目前大多数个人信息安全体系就是基于云计算服务模型构建的。
(一)IaaS层的个人信息安全体系与技术风险IaaS服务提供商将基础设施,包括服务器、储存、网络等IT设施进行组合,形成不同规模、不同用途的服务产品,大到集网络、数据计算、数据处理于一体的应用系统,小到一台处理简单业务的服务器,然后以套餐的形式提供给用户。用户可以像在麦当劳点餐一样,租用产品目录上的IT基础设施服务套餐,将自己的应用部署在上面,开展各种业务。使用IaaS服务的信息安全风险比较大,无论是物理设施、虚拟化技术、接口设施、还是应用程序,如果发生自然灾害或者操作错误,将会对信息安全造成釜底抽薪般的巨大影响。其中,虚拟化安全风险是防范重点。一方面是虚拟机自身存在的安全风险,包括可能面临用户劫持、脆弱的防火墙等;另一方面是虚拟化软件带来的安全风险,包括未经授权的访问、非法删除、非法添加等[6]。在传统计算机技术下,对于个人信息的保护已经有比较成熟的技术,包括加密和密钥管理、身份识别和访问控制、安全事件管理等。云计算环境更加复杂,更加开放。云计算环境下的IaaS个人信息安全体系的关键是将这些技术进行融合,按照一定的技术标准,形成兼容的、完备的安全闭环,确保物理安全、网络安全、虚拟化安全、接口安全。一是要加入安全防护技术,利用防火墙、病毒防护墙等对整个IaaS进行防护;二是要加入访问控制技术,利用加密和解密管理、身份识别等技术为用户提供用户登录管理、用户认证、数字签名等安全管理服务;三是要加入审计技术,对用户的登录和使用情况进行统计分析,按照不同的风险级别区分不同的安全域,实施不同等级的安全干预[7]。
(二)PaaS层的个人信息安全体系与技术风险
PaaS层处在云计算的中间层,具有承上启下的作用,其对于个人信息的整体安全具有重要作用。PaaS服务商提供的是应用基础设施服务,即中间件服务。PaaS用户可以将其应用系统布置到PaaS平台上,应用系统服务器、网络、操作系统、信息管理等应用系统运行的环境,由PaaS服务商提供保障。所有PaaS服务商不仅提供平台,还提供安全服务。他们的职责是提供安全可靠的运行环境,保证用户的信息安全。PaaS个人信息安全体系要求数据处理符合国家法律法规的要求,主要包括:数据存放位置、数据删除或持久性、数据备份和恢复重建、数据发现;同时禁止一些不当的个人信息处理行为,比如:不同客户数据的混合、数据聚合和推理。PaaS个人信息安全体系重点在于对价值较高的个人信息的保护,尤其是防范对个人信息的交叉查询。
(三)SaaS层的个人信息安全体系与技术风险
与等软件服务模式类似。在SaaS平台上,用户不用购买软件,也不用维护管理,只需要按照服务类型和服务时间支付费用,就可以选择使用符合自己需求的软件。SaaS服务商不仅要管理维护自身的软件,而且要将用户的个人信息储存在自己的服务器上,以便用户随时随地可以接着使用软件。个人信息违法犯罪的概率总是与管理权限成正比。特别是在SaaS层下,存在一个基本的矛盾,一方面,SaaS需要将用户的个人信息进行备份,保存在多个不同位置的服务器上,防止数据丢失、数据删除,提供及时的数据恢复服务;另一方面,SaaS可能涉嫌秘密保存和永久保存用户的个人信息,在用户不知情或者已经删除软件上的个人信息的情况下,仍然保留电子痕迹并随时可以恢复数据。所以SaaS应该提供给用户透明的个人信息储存、删除和保护方案。当然,由于SaaS的共享性,用户的个人信息安全风险主要来自第三方的攻击、窃取和篡改等。SaaS层的个人信息安全体系应该包括以下4个方面内容:
一是应用的安全,软件运行的环境安全可靠,软件能够及时更新换代,确保没有漏洞;
二是个人信息数据库的安全,数据库与应用软件数据应该隔离分开,多个服务器进行分别储存,并使用防火墙、密钥管理等技术进行数据库的保护;
三是个人信息的传输安全,采用加密的传输协议,确保用户在客户端和云计算服务器之间传输个人信息时不被截留;四是访问控制机制,由于多个用户共用云计算服务器,需要对个人信息进行分块隔离,采用身份识别、数字签名和访问控制技术对访问登录进行严格管理。上述分析是着眼于云计算平台3个层次本身的技术漏洞,除此之外,云计算用户的服务终端也是个人信息安全风险的重要源头。一方面,云计算环境下,服务终端与云计算平台连为一体,构成一个统一的系统,具有极强传染性和破坏性的病毒很可能从服务终端侵入到整个云平台,导致整个云的崩溃或者瘫痪。特别是现在手机服务端日益普及,APP使用率日益增高,手机病毒的传播更加猖獗,也极易侵入云计算网络。另一方面,操控电脑的也很可能通过云计算网络对服务端发起攻击,即使用户的计算机采取防火墙、杀毒软件等安全措施,但毕竟防范投入和水平有限,未必能阻挡病毒的侵袭。恶意代码制作者、病毒邮件发送者以及其他恶意攻击者可能直接窃取用户服务端的个人信息,这种窃取采取各个击破、蚂蚁搬家的形式,更加难以觉察和防范。他们也可能破解或者盗取用户在云计算平台上的登录名称和登录密码,盗取用户储存在云计算数据中心上的海量个人信息。
三、云计算中的个人信息安全管理风险
除了云计算技术风险,云计算的'管理不善也可能带来个人信息的安全风险。天灾易避,人祸难防,云计算时代个人信息安全管理风险更大,后果也更为严重。技术风险多为概率事件,偶然性较强,而管理风险存在主观故意,发生的可能性更高。技术风险可能造成个人信息的破坏或者丢失,但不一定立即引起直接损失,而管理风险一般伴随着恶意商业目的,紧接着就可能造成用户财产的损失或者人格权利的侵害。技术风险可以由云计算服务商通过技术改进进行补漏,通过人工操作进行补救,但是,在信息不对称的现状下,道德缺失造成的云计算服务商监守自盗所带来的风险几乎是难以防范的。下面笔者将从个人信息的收集、利用、处理3个方面归纳总结各种安全风险。
(一)道德的失范导致的个人信息收集风险
在云计算产业巨大利益的驱使下,云计算服务商可能有意或者无意地大量收集用户的个人信息。云计算的主要商业模式是由云计算服务商运用数据挖掘技术,海量收集各类政府机关、企事业单位、个人用户的信息,进行储存、信息交换、个性服务、定向营销等。信息量越大,服务功能越强,商业价值就越大,这直接激发了云计算服务商收集个人信息的动力。首先,用户在使用云计算上的软件时,并不知悉个人信息已经被计算服务商获取。虽然法律规定服务商必须履行告知义务,但是软件的告知明细往往过于复杂,用户如果不仔细阅读一般都难以发现。特别是信息收集技术的不断进步,云计算服务商的信息收集能力不断增强,信息收集的种类和数量往往超出了用户能够知晓的范围。有时候,云计算服务商秘密收集或者备份用户的个人信息,但有时用户知道自己的个人信息要被收集,为了享有便利的服务,不得不放弃个人信息权。其次,由于数据挖掘、数据比对等众多信息收集技术的出现,云计算服务商具备了强大的信息比对、分析、归纳、推理、整理能力,能够将用户在不同平台不同服务中的碎片化个人信息整理成完整的个人信息图谱,能够掌握用户完整的特征和清晰的活动轨迹。虽然这些个人信息能够更方便地为用户提供优质的个性化服务,但这些脱离信息主体的个人信息,往往处于事实上的权利失控状态,信息主体并不知道谁收集、处理和利用了他们的信息,以及以何种手段收集、处理和利用他们的信息,这构成了巨大的个人信息收集风险[8]。第三,不同云计算平台之间可能存在不正当的个人信息交换,秘密签订个人信息共享协议,实现云计算服务商的商业利益最大化。特别是在云计算不区分国界的情况下,个人信息的跨境传输更难以管控。斯诺登事件就曝光了一些云计算企业在国家力量的支持下,收集其他国家公民的个人信息。这样的跨境收集个人信息的行为,不仅侵害了公民的民事权利,还侵害了一个国家的信息主权。
(二)规则的缺失导致的个人信息利用风险
云计算产业发展迅猛,但是云计算领域的规则和标准的建构与完善却相对滞后,这种不对称的发展造成了个人信息安全领域的无序状况,容易造成个人信息利用的违法和犯罪。首先,云计算安全技术标准还有待强化和细化。没有统一的云安全技术标准,无法强制要求云计算服务商布设有关安全技术措施,导致一些服务商重视能够带来盈利的商业技术,而忽视了不能带来直接利益的安全技术。没有安全技术标准的约束,一些云计算服务提供商还可能在云计算系统中插入秘密收集个人信息的软件,比如等等。其次,云计算行业的制度规范也尚未制定。云计算产业需要一套关于个人信息保护的完整的行为准则,确立个人信息数据库的管理制度,明确个人信息处理人员、安全管理人员、系统开发人员和系统操作人员的职责范围和操作规程。云安全规则的缺失极其容易造成个人信息的滥用。云计算服务商可能将个人信息应用于定向推送广告、不断骚扰下的强迫交易、信息销售等。在现实生活中,用户将身份证复印件提供给服务商时,往往在身份证上注明“仅限用作……”等字样,确保身份证复印件的有限使用和特定用途使用。但是电子数据形式的个人信息极易被复制,很难保证服务商不将其挪作他用。第三,由于个人信息相关法律不够健全,云计算环境下个人信息的保护法更是少之又少,个人信息缺乏有力的司法强制力的保护。云计算用户在个人信息遭受侵犯时,往往难以获得有效的救济。云计算没有地域性,个人信息案件的管辖难以明确,造成立案难;云计算具有虚拟性,电子数据极易篡改,造成个人信息案件的取证难;另外,个人信息具有非物质性,其价值难以计量,造成个人信息案件的赔偿难。
(三)管理的失位引发的个人信息处理风险
我国云计算产业刚刚起步,无论是监管机构还是云计算企业,都尚未建立完整有效的管理机制。一方面,政府监管力度不够。目前,我国云计算的监管部门是国家工信部,由于其职能主要是促进产业发展,因此往往重发展而轻安全。个人信息的违法犯罪涉及司法权和行政执法权,信息化管理部门还无法行使调查取证、强制措施、搜查冻结、罚款没收等权力。另外,由于条件的限制,信息化管理部门进行个人信息安全执法的力量较为薄弱。另一方面,企业管理动力不足。云计算服务商利用个人信息的利益和用户保护个人信息的权利存在一定的矛盾,企业没有足够的动力投入更多的人力物力进行个人信息的管理。云计算企业对于能够产生经济价值的个人信息的利用较为重视,而对于不能直接产生经济效益,甚至有可能产生负效益的个人信息的管理重视不够。云计算服务提供商如果不加强内部操作人员的管理,不加强个人信息保护内部控制的建设,操作人员违规处理个人信息的现象将不断出现。云计算时代,所有IT设备或数据被放到一起集中管理,内部人员拥有的权限让其能轻易获取重要个人信息甚至得到整个云服务平台的完全控制权。用人失察或监管缺位都会给个人信息安全带来灾难性的损失。
四、云计算下的个人信息安全防控措施
云计算下的个人信息安全已经不是一个纯技术问题,仅仅依靠云计算企业采用先进的云安全技术去遏制个人信息的违法犯罪是不够的。唯有法律才能明确管理责任,才能明晰处理个人信息的权限,才能惩罚和防范一些犯罪分子利用个人信息谋取私利。违法收集、利用、处理行为主要承担民事责任、行政责任和刑事责任[9]。个人信息相关法律法规的制定非常重要,而且迫在眉睫。但是个人信息安全防控机制的构建、个人信息安全防范措施的完善同样非常重要。作为以保障公共安全、保护人民生命财产安全为职能的公安机关,在防范和控制个人信息安全违法犯罪中,具有得天独厚的优势。我国应该构建以公安机关为主,信息化管理部门协调配合,法律规制与行业管理相结合的个人信息安全防控体系,构建并完善云计算下的个人信息安全监控机制、侦查机制和应急机制。
(一)云计算下的个人信息安全监控机制
信息的公开具有不可逆性,云计算个人信息安全事故一旦发生,造成的损害无法恢复原状。因而个人信息的保护不能依赖事后的被动处理,而应该着重于监控与预警,从事后救济、被动维护向事前设计、事中报告、主动监控转移,形成常态的监控机制[10]。首先,应该制定统一的技术标准,要求云计算服务商在系统中植入安全监控技术;制定统一的行业规范,要求云计算服务商建立完善的内部控制制度。利用安全监控技术,公安机关、信息化管理部门和云计算服务商都能及时了解云计算系统运行状态。监控技术不仅起到预警作用,也为云计算安全的内部控制提供数据支撑。其次,应该建立常态的个人信息安全报告机制,要求云计算服务商及时报告个人信息流动的异常情况。个人信息安全的报告机制可以借鉴我国《法律中的“大额交易和可疑交易监控与报告”制度,要求云计算服务商将可疑的个人信息流动报告给公安机关和信息化管理部门。可疑的个人信息流动是指个人信息流动在数量、频率、流向和性质等方面表现异常,或与客户身份、登录状况、活动规律不符,存有个人信息违法犯罪嫌疑的流动。
(二)云计算下的个人信息安全侦查机制
严格的侦查机制和过硬的侦查能力是个人信息安全保护的根本保障。要整合公安机关、信息化管理部门、行业自律组织的资源,司法、行政与行业之间无缝对接,协调配合,共同执法。在行政和刑事执法过程中,取证难严重降低了打击违法犯罪行为的力度。在云计算环境下,某些电子证据依靠目前的侦查技术,还难以充分侦测与提取。如在云应用服务中,有许多服务通过运行的虚拟专用网络(VPA)访问,现有侦查技术几乎检测不到[11]。对此,可以采用面向取证的现场迁移技术等进行侦查,采取迁移取证监管来调度和监控镜像证据提取层的每一次迁移操作,并记录下全部的迁移过程信息,保证取证数据符合证据法要求的可靠性和完整性[12]。
(三)云计算下的个人信息安全应急机制
云计算服务提供商应当设置个人信息安全监控中心,负责系统安全的全面维护、个人信息安全的总体监控、个人信息安全情况报告和个人信息安全事件的处置等[13]。公安机关和信息化管理部门要根据云计算服务商提交的可疑个人信息流动报告,进行认真研判、仔细甄别。对筛选出来的违反法律规定的个人信息安全事件,要根据严重程度,启动个人信息安全应急机制。应急机制分为轻微、一般、重大、特别重大等不同等级。不同等级的警报对应不同级别的应急方案。应急方案包括提醒客户、数据隔离、数据恢复、停止运行等。其中数据隔离可以保证用户的个人信息运行于封闭且安全的范围内,防止进一步地泄露,避免用户间的相互影响,减少用户错误操作或受到计算机病毒攻击时对整个系统带来的安全风险。数据恢复是针对计算机病毒攻击的重要应急措施,包括恢复个人信息和遭受病毒侵害的软件等。数据恢复是典型的事后应急措施,可以保证云计算服务可靠性和可用性。
五、结语
技术的进步必然引起法律制度的变革,产业的发展必须依赖法律机制的完善。云计算时代,个人信息安全的法律规制迫在眉睫。随着云计算成为人类基本的工作、生活环境,个人信息都无法避免地集中到云上,海量个人信息的安全问题是公安机关必须面对的难题。个人信息安全监控机制旨在防范犯罪,个人信息安全侦查机制旨在打击犯罪,个人信息安全应急机制则是处理已经发生的犯罪。建立系统的个人信息安全防控机制,多方位协同发挥效力,方能最大程度确保个人信息安全可控和云计算产业健康发展。
参考文献:
[1]周汉华.个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,:3.
[2]姜茸,张秋瑾,李彤,等.电子政务云安全风险分析[J].现代情报,(12):14-15.
[3]李连,朱爱红.云计算安全技术研究综述[J].信息安全与技术,(5):44-45.
[4]齐爱民,陈星.云计算时代的个人信息安全危机与法律对策[J].中国信息安全,2012(11):83-84.
[5]何培育.个人信息盗窃的技术路径与法律规制问题研究[J].重庆理工大学学报(社会科学),(2):159-162.
[6]林闯,苏文博,孟坤,等.云计算安全:架构、机制与模型评价[J].计算机学报,2013(9):1775-1776.
[7]丁秋峰,孙国梓.云计算环境下取证技术研究[J].信息网络安全,(11):36-38.
[8]周刚.云计算环境中面向取证的现场迁移技术研究[D].华中科技大学,2011:29.
[9]魏光禧.电子商务中个人信息的利用与保护[J].中国商论,2015(5):41-42.
篇7:大数据时代个人信息安全保护问题论文
随着网络与科学技术的不断发展与成熟,现代社会生活中每一位个体产生的数据量也在迅猛增长,数据的计量单位已经达到PB(1,024TB)级,我们已经迎来了大数据时代。大数据时代的人们运用智能手机、iPad等移动电子设备,可以随时随地在社交网络上发布地址定位信息、照片、日记等个人隐私信息。这些信息被网络数据服务商等机构不断地跟踪和记录,挖掘其潜在的巨大价值,寻求数据背后隐藏的巨大经济利益。如何保护好个人的信息一直是网络用户、专家学者乃至国家备受关注的问题。
1大数据的内涵及其特征
1.1大数据的内涵
每一位个体在搜索引擎上的任何一次搜索形成的数据都会被记录下来,这些数据在不断积累、汇集的过程中,逐渐成了“大数据”。大数据的定义很多学者已经给出,但表述各不相同。综合来看,大数据就是数据量大、数据类型多的数据集合,同时传统的数据处理技术及IT技术无法对该数据集进行采集、获取、处理等操作。用户最能切身感受到的大数据表现为:相关企业根据个体在网络上的浏览痕迹,进行细致的用户需求分析,然后向用户提供定制和个性化的服务。
1.2大数据的特征
大数据通常是指数据的规模大于10TB以上的数据集,可以概括成“4V”:①数据量大(Volume)。生活在网络时代里,数据的计量单位也在随着数据量的不断变化而变大。②数据类型多(Variety)。常见的类型有结构化数据、非结构化的数据、半结构化数据。多类型的数据结构对数据的处理分析能力提出了更高的要求。③价值稀疏性(Value)。大数据时代数据量非常大,但是有价值的数据比例又很小。④速度快、时效高(Velocity)。信息技术的不断创新发展,促使数据的增长速度也急速提高,使各行各业对数据的时效性提出了更高的要求,对处理数据的响应速度也有更严格的要求。
篇8:个人信息安全保护的法律研究论文
随着互联网以及信息化的高速发展,人们在享受数据带来的方便、快捷的同时,也面临着个人信息遭遇泄露的风险以及因此而带来的诸多影响正常生活的困扰。本文以我国个人信息安全保护为研究对象,通过对比国外有关个人信息安全保护的立法现状,对我国在此领域的法律问题进行分析并提出完善建议,以期推动我国《个人信息安全法》的立法进程。
在当前大数据时代的背景下,人们对数据信息安全的要求达到了前所未有的高度。而现在,通过各种各样的渠道都可能会导致个人信息的泄露,例如银行、购房购车、实名买票等。3月13日中国消费者协会发布《消费者个人信息网络安全报告》(以下简称《网络安全报告》),报告显示 度消费者个人信息保护现状满意度低,非常不满意和不满意的受访者占比多达56.58%,约有三分之二受访者20个人信息被泄露。近年来,随着个人信息泄露引发的纠纷案件的增多,如何对个人信息加以保护,在互联网大数据时代就显得尤为重要。
1 个人信息安全基本概述
1.1 个人信息的定义
关于个人信息的定义,目前理论界尚未有统一的规定,主要存在“关联型”、“隐私型”和“识别型”三种定义。关联型是将与个人有关的所有信息都归入个人信息的范畴内;隐私型则仅指涉及个人隐私的信息;而识别型是指能够通过识别将个人与他人区别开来的个人信息。
的《信息安全技术公共及商用服务信息系统个人信息保护指南》将个人信息定义为可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据,个人信息可分为个人敏感信息和个人一般信息。
工信部7月公布的《电信和互联网用户个人信息保护规定》在第四条中对“个人信息”做了如下的定义:“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”
笔者认为,个人信息应当是指包括姓名、出生日期、身份证件号码等身份信息,不动产、机动车、银行账户等财产信息,以及包括健康等其他信息在内的,能够直接或间接识别公民个人的一切信息。
1.2 个人信息安全面临的风险
由于个人信息具有巨大的价值性,才导致近年来越来越多的窃取公民个人信息以此获利案件的发生,个人信息贩卖的产业链也慢慢进入人们的视野内。据消协《2014网络安全报告》显示,一条价值较高的用户信心甚至可以被卖至数千元。
目前个人信息安全面临的风险主要有以下两种:
1)非法收集个人信息。人们在进行网络消费或者使用网络其它功能时,都会被要求填写一些个人信息,这些信息有的是需要实名认证的,有的则不需要;有的是使用时必需的信息,有的则不是。通常网络后台会对这些信息进行储存以便于用户再次使用,但这其中也包括一部分非必需信息就是为了服务商提供后续服务或商品而在用户无意识的状况下被收集了起来。如果服务商的系统存在漏洞,极有可能再次发生类似携程网的事件。
2)非法使用个人信息。人们收集信息的目的就是为了使用信息,非法使用个人信息主要有两种方式,一是将个人信息转卖,二是利用个人信息进行敲诈、骚扰等。消协《2014网络安全报告显示》有八成受访者表示在信息遭到泄漏后收到过各种形式的骚扰,严重影响个人生活。
篇9:大数据时代个人信息安全保护问题论文
2.1外在原因
2.1.1数据本身在传播中具有动态、交互、连续性。大数据时代信息和数据在传播的过程中是动态化、碎片化的,而有着这样特性的数据在网络中更加容易被捕捉和搜索,这就加大了个人信息被泄露的风险。大数据时代用户的数据具有紧密的交互性,拥有庞大数据量的计算机可以依据用户之间的数据的交互分析出两者之间的网络关系。所以,一旦某人信息泄露,就有可能因蛛丝马迹而泄露其好友的个人信息。
2.1.2相关企业过度寻求大数据背后的商业利益。互联网能够及时地追踪到个体的个人信息,其手段之一就是运用浏览器里的浏览记录和 Cookies。如:在20“3·15晚会”曝光有关企业对用户的Cookies信息进行无告知收集,通过对数据的分析处理,辨别每一个用户的社会阶层、职业、家庭收入等。更有被利益驱使的企业通过不正当的渠道变卖用户的个人信息,为自己赢取利润。
2.2内在原因
个人信息主体安全意识薄弱。根据《中国移动语音社交应用行业研究报告》,预测中国整体网民规模将达8.5亿人,中国移动网民将达 7.5亿人,中国的网民数量呈现稳步的增长趋势[1]。网民数量在不断增加的同时,信息安全事件也频频发生。如:中国铁路12306网站个人用户信息的泄露等。虽然我国在信息安全保护技术方面存在一定的欠缺,但根本原因还是用户的个人隐私保护的意识薄弱。目前,在国内非常流行的社交网络当属微信朋友圈和新浪的微博。相关报告指出:微信用户平均每4分钟便会看一下手机微信,新浪的微博更是广大网民及时了解各类实时专题新闻并进行互动的渠道之一。根据《TIME》(时代周刊)208月发布的调查显示:“1/4的人每隔30分钟就看一下手机,1/5的人每隔10分钟就要看一下,1/3的人承认即使很短时间不用手机,他们也会感到焦虑。”这种过度依赖网络的行为,更有可能在不经意间泄露个人的信息。
篇10:大数据时代个人信息安全保护问题论文
4.1完善立法
进一步加强个人信息安全的立法制度。在大数据时代,各行各业的数据处于不断交融、碰撞的动态变化之中,慢慢形成行业发展的新局面。首先,政府应该建立个人信息保护的专项法律。个人信息保护的专项法案是对其他已有相关法律法规的有力补充,既保障个人信息保护有法可依,也打击侵犯个人信息安全的行为。其次,法律法规要明确数据的采集界限以及数据的使用权。什么样的数据能够被获取利用?什么样的数据属于个人隐私应该予以保护?这都需要有明确的规定。数据采集过程中,一定要按照法律规定的获取范围采集所需数据,数据的使用权同样也是需要探讨的。
4.2技术创新预防外来攻击
在注重信息安全的理念中,虽然只提及三分靠技术,但是技术的提升却是保障信息安全最直接有效的方式。首先,在大数据时代,需要加强个人信息保护技术的研发创新,同时加大力度推动云计算、移动互联网的.硬件技能的不断提升;其次,技术的不断创新依靠的是强大的技术团队、技术人才。从赛迪智库颁布的 版大数据白皮书得知,大数据的人才无论是中国还是美国等发达国家都是稀缺的,这就需要国家加大资金的投入,培养专业性的大数据技术人才,提高信息技术水平。
4.3加强各行各业的自律和监管
信息安全的七分靠管理,应该体现在各行各业、各组织机构,应该相对应地形成内部的标准和公约,明确各方的责任与义务,监督与管理其对数据的各项使用权利。同时,政府需要加强对个人信息服务行业的引导,如:对移动运营商应该加以鼓励合理地运用数据,为广大网民提供更加便捷且个性化的服务。在监管方面,需要引入第三方安全评估的认证机构,加强对行业数据处理的全部流程的监管。
4.4推行网络实名制
推行网络实名制是提高个体信息安全意识的方式之一。有些人认为推行网络实名制会压制网民言论自由,不能完全体现民主。但是从铁路运输的售票实名制的成功案例来看,互联网络实名制虽然可能会存在不足之处,但是必定是利大于弊。首先,实行网络实名制,某种程度上会让网络上的言论更加得体,从而营造健康的网络环境。如:网络冷暴力给网民带来的危害案例比比皆是,网络言论的过度自由给青少年群体带来的伤害也是显而易见。推行网络实名制可以在一定程度上限制不法分子的恶意中伤等。其次,实行网络实名制可以有效地保护用户的个人财产。当下,“微商”是非常红火的一个名词,但“微商”的可信度不高。假若这样的网络创业能够推行实名制,必然会提高网民对其的认可度。最后,推行实名制一定程度上能够降低网络犯罪的发生。
4.5加强信息安全教育
加强信息安全教育是一个漫长的且需要持之以恒的过程。社会各阶层群体都应该加强信息安全知识的学习。国家也应该针对不同的人群,提供相应的学习条件。如:对在校学生,可以开设信息安全相关的课程,鼓励学生进行选修学习;对工作人员,应该定期参加信息安全知识的培训。
篇11:个人信息安全保护的法律研究论文
涉及个人信息安全的保护可分为法律保护、企业行业制度规范、计算机网络通信技术以及公民个人自我防范等,本节仅就法律保护有关方面的现状进行分析。
2.1 个人信息保护的立法现状
目前我国尚未出台统一的有关个人信息安全保护的专门法律,据不完全统计,涉及个人信息安全保护方面的法律有将近40部,法规有30余部,另外还有一些存在于部门规章和地方性法规之中。其中:
首先,在宪法层面上,我国并没有在宪法中明确规定公民的个人信息权,也就是在宪法中没有提到对公民个人信息安全的保护。
其次,在民法领域,有观点认为个人信息安全如隐私权一样适用有关人格尊严的规定,因此《民法通则》第101条对公民人格尊严的保护,也可以视为对公民个人信息安全的保护。而民法领域对个人信息比较明确的规定出现在最新修订的《消费者权益保护法》之中,第14条和第29条分别从消费者权利以及经营者义务两个方面对消费者个人信息予以明确的保护,同时还在第50条、56条规定了相应的法律责任。
再次,在刑法领域主要体现在《刑法修正案七》中,其中第七条的规定对出售、非法提供公民个人信息罪和非法获取公民个人信息罪作出了规定,但前者的行为主体只限定于“国家机关或金融、电信、交通、教育、医疗等单位的工作人员”,并未将企业或公民个人纳入其中,同时该条也未对“公民个人信息”的范围做出具体的界定。
最后,为了加强对个人信息的保护,全国人大常委会分别在和出台的《关于维护互联网安全的决定》和《关于加强网络信息保护的决定》均明确表示保护公民个人信息安全,工信部出台的《电信和互联网用户个人信息保护规定》等部门规章对公民个人信息收集、保障措施、监督检查及法律责任做出了具体规定,但由于尚未明确“主管部门”究竟为何部门,因此在实践中缺乏可操作性。
2.2 个人信息保护的`行政执法监管现状
首先,我国尚未成立专门负责个人信息安全保护的监管机构或者部门,且法律法规中规定的“有关主管部门”也未具体确定,于是在实践中就会出现当公民在其个人信息受到侵害后寻求救济时,多个行政机构之间相互推诿,大大降低了行政执法的效率。
其次,从法律法规的条文规定来看,行政机关的监管方式大多采取的是一种事后监管的方式,然而事后监管很难做到对存在的风险进行防控。同时由于个人信息具有无形性,又通过网络传输,导致了侵权行为调查取证难,只进行事后监督难以及时发现侵权行为并做出有效反应。
最后,从目前已经发生的案件来看,行政机关并没有形成对涉及侵害公民个人信息安全行为的有效监管,往往在发生大规模的个人信息泄露后,由公安机关介入调查。从案件的处理结果来看,虽然规定了一些诸如警告、罚款、没收违法所得、吊销许可证等常见的行政处罚措施,且处罚力度较轻,往往行政处罚不具有威慑性,多数案件最后都是以刑事处罚终结的。
3 国外个人信息保护立法情况
国外保护个人信息安全领域的法律体系基本比较成熟,本文主要介绍欧盟和美国的相关立法情况,以期对我国健全个人信息安全法律体系提供一些启示。
3.1 欧盟保护个人信息安全的立法
欧盟对个人信息安全的立法经历了由成员国单独立法到欧盟内部出台统一法规的过程。除欧洲各国的立法外,1995年10月24日欧洲议会和欧盟理事通过了《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》(简称欧盟数据保护指令),这是欧盟在个人信息保护方面最重要的指令之一。尽管这一指令并不具备直接的执行效力,但欧盟通过此指令,要求其成员国修改或制定国内法以达到欧盟内部对此类问题的统一性。
通过立法,欧盟规定了个人信息保护的主要执行机构包括:欧洲法院、欧盟数据保护专员、第29条工作组、第31条委员会以及如欧洲网络与信息安全局在内的其他机构。
3.2 美国保护个人信息安全的立法
众所周知,美国一直重视有关信息安全方面的立法,其在信息安全上的立法可分为保障国家及政府信息安全的立法、保障商业组织信息安全的立法以及保障个人信息隐私的立法,并且高度强调个人信息隐私的至高性。
美国最初是根据宪法第四修正案中规定的“隐私权”来对个人信息进行保护的,在后来的宪法修正案虽未正式将“个人信息安全”纳入到其中,但从判例上看,隐私权是可以成为抗辩主张的。
相较于欧盟的统一立法模式,美国采取了分散立法的模式,除了宪法对个人信息进行保护外,美国在此方面最大的特点是其联邦成文法对个人信息的保护十分全面、几乎涵盖了各个领域,其中的《电子通讯隐私法》可以说是目前有关网络个人信息安全最全面的立法。这些法律在各自的领域发挥着重要作用,共同推动美国保护个人信息安全法律体系的发展。
4 对我国加强个人信息保护的法律对策及建议
根据消协《网络安全报告》显示,受访者在个人信息安全受到侵害后,极少数会选择通过法律途径救济,而206月,我国正式在境内全面推行网络实名制,实名制对个人信息安全提出了更高的要求。面对日益严峻的个人信息安全问题,加快推进我国个人信息安全保护的法律体系建设势在必行。
4.1 制定颁布统一的《个人信息安全法》
个人信息权作为公民的一项人格权,应当获得来自国家力量的保障,而涉及到全体公民的个人信息安全并不能单单依靠部门规章、地方性法规等偏低层级的立法来规范,基于我国的国情和目前的立法体系,个人信息安全的保护更应该由一部经全国人大审议通过的专门性法律予以规范,以减少法律空白的出现,实现对公民个人信息的全面保护。
在统一的《个人信息安全法》的内容中,首先应当对个人信息做出的界定,明确受保护的个人信息的范围。其次,明确《个人信息安全法》的原则及保护措施,对包括收集、加工、转移、利用、删除等环节做出具体要求。最后,确定侵害个人信息安全行为的具体表现、法律责任以及处罚范围和措施做出详细的规定,以便在未来的实践中有法可依。
除了《个人信息安全法》外,还应当在刑法、行政法领域的其他相关法律法规中对个人信息安全的保护予以规定。通过《个人信息安全法》的总领性作用,逐渐细化在各个领域内的相关立法,逐步确立个人信息安全保护的法律体系。
4.2 强化执法力度与完善救济途径
4.2.1 设置独立的执法机构
设置独立的执法机构或部门有助于为保护个人信息安全提供,可以设置一个类似消协但非社会团体的行政监管机构或者在工信部之下设置一个单独的监管部门来处理有关个人信息安全保护的问题。该监管机构享有单独的保障个人信息安全的执法权,负责保障《个人信息安全法》等相关法律的实施,同时负责对个人信息安全的法律普及和宣传工作,提高公民保护个人信息的意识。除此之外,该机构还应当负责对外加强国际合作,推动我国在此领域的立法、标准等与国际接轨。
4.2.2 加大对侵害个人信息安全行为的处罚力度
目前国家对侵害个人信息安全行为的处罚力度较小,相对于个人信息的巨大商业价值,非法窃取、收集、利用公民个人信息的成本明显较低,因此有必要加大对此类行为的处罚力度。通过各个层级的立法、政策规定侵害个人信息安全的具体惩罚方式,设置除损害赔偿金额外的高昂惩罚性赔偿金额以提高其不法行为的成本。同时还可将侵权人的侵权行为纳入其个人信用体系之中,以达到遏制侵害个人信息安全行为发生的效果。
4.2.3 设置诉前救济措施
由于诉讼时间较长、调查取证存在一定的困难,等待诉讼判决后的救济往往会给扩大事件的不良后果,给个人信息遭到泄露的公民造成难以估量的人身或财产损失。因此在诉讼救济中可以设置类似票据挂失止付和知识产权侵权案件中的诉前禁令措施,及时有效避免公民因信息泄露遭受更大的损失。
5 结语
我们现在在反复强调国家信息安全的重要性,但个人信息安全也同样重要。纵观世界其他国家,近几年都逐步加强了对个人信息安全的保护。随着信息化的蓬勃发展,信息之间的流转越来越频繁,我们逐渐意识到个人信息安全在社会生活中所面临的风险,中国加快将《个人信息安全法》提上立法议程不仅是顺应大数据时代发展的选择,更是我国全面深化依法治国的选择,笔者相信,未来几年内中国必将会建立起完善的个人信息保护制度来保护公民的个人信息安全、实现依法治国。
篇12:大数据时代个人信息安全保护问题论文
3.1缺乏完善的个人信息安全保护法
大数据时代,提到个人信息的保护,很多人会认为我国个人信息保护的法律是空缺的。实际情况并非如此,我国涉及个人信息保护的法律法规不在少数,如:《中华人民共和国电子签名法》《侵权责任法》[2]以及203月1日开始实施的个人信息安全国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》[3],然而其内容都是较为零散的,不具备一定的针对性和适用性,整体缺乏制约作用。同时,如何切实可行地保护个人的信息问题,现有的法律没有做出明确的规定,也没有进行细致的归纳和划分,不能从根本上保障个人的信息安全。
3.2外在攻击技术力度加强,应对技术相对薄弱
在技术层面上,一方面,传统的信息安全技术已经不能适用于大数据时代复杂多样的数据集;另一方面,侵权者攻击的力度也在不断地加强,传统的信息保护技术已经被依次破解,新的攻击形式层出不穷,而新的防卫技术研发投入不足。
3.3缺乏完善的管理机制
谈及信息安全,“三分靠技术,七分靠管理”,合理高效的管理是信息安全的一大保障。目前,国家层面缺乏完善的管理机制,企业层面缺少行业的自律机制,个人而言则更加随意,难以形成统一高效的管理。网络上随处可见参差不齐的信息就是管理存在不足最直接的表现。现实生活中的每个人都会受到很多管理体制的制约,若违犯必将受到相应的惩罚,虚拟的网络世界更应该如此,但目前我国尚欠缺有力的监管体制保障其整体秩序。
篇13:浅析大数据环境下的个人信息安全保护论文
随着互联网、物联网、云计算等技术的快速发展,以及智能终端、数字地球、智慧城市等信息体的普及和建设,个人通过智能手机及其他智能移动设备就能完成购物支付、资金转账、交水电费用等,极大的方便了人们的生活,同时,全球数据量出现爆炸式增长。个人在社交网站上的每天共享的内容超过50亿,并且在其他医疗卫生、金融、电商等各行业也有大量数据在不断产生。全球信息总量已经达到2.7ZB,而到这一数值预计会达到8ZB。
大数据以其数据收集整理与分析的高效性极大的推动了网络的进步和社会的发展。这一现象引发了人们的广泛关注。在学术界,图灵奖获得者JimGray提出了科学研究的第四范式,即以大数据为基础的数据密集型科学研究;《Science》也推出类似的数据处理专刊。在我国,20中国通信学会、中国计算机学会等重要学术组织先后成立了大数据专家委员会,为我国大数据应用和发展提供学术咨询。
大数据以其数据收集整理与分析的高效性极大的推动了网络的进步和社会的发展。但目前大数据的发展仍然面临着许多问题,安全与隐私问题是人们公认的关键问题之一。单纯通过技术手段限制对用户信息的使用,实现用户隐私保护是极其困难的事。当前很多组织都认识到大数据的安全问题,并积极行动起来,如何保护好社会网络的个人信息安全是非常值得思考的一个问题。
1大数据概述
1.1大数据的定义
目前,对于大数据尚无统一解释,普遍的观点认为,大数据是指无法在一定时间内用常规软件工具对其内容进行抓取、管理和处理的数据集合。从信息安全的角度看,大数据是指规模和格式前所未有的大量数据,它是从企业的各个部分搜集而来,它们相互关联,技术人员可以据此进行高速分析。
1.2大数据的特点
大数据的常见特点包括:数据量大(Volume)、类型多样(Variety)、运算高效(Velocity)、产生价值(Value)。
1.2.1数据量大(Volume)
大数据时代,各种传感器、移动设备、智能终端和网络社会等无时无刻不在产生数据,数量级别已经突破TB,发展至PB乃至ZB,统计数据量呈千倍级别上升。据估计,年全球产生的数据量将达到2.7ZB,20将超过8ZB。
1.2.2类型多样(Variety)
目前大数据不仅仅是数据量的急剧增长,而且还包含数据类型的多样化发展。以往数据大都以二维结构呈现,目前随着互联网、多媒体等技术的快速发展和普及,视频、音频、图片、邮件、HTML、RFID、GPS和传感器等产生的非结构化数据,每年都以60%速度增长。预计,非结构化数据将占数据总量的80%以上。
1.2.3运算高效(Velocity)
基于云计算的Hadoop大数据框架,利用集群的威力高速运算和存储,实现了一个分布式运行系统,以流的形式提供高传输率来访问数据,适应了大数据的应用程序。而且,数据挖掘、语义引擎、可视化分析等技术的发展,可从海量的数据中深度解析,提取出所需的信息,是大数据时代对数据管理提出的基本要求。
1.2.4产生价值(Value)
价值是大数据的终极目的。特别是激烈竞争的商业领域,数据正成为企业的新型资本,企业都在追求数据最大价值化,在数据量高速增长的情况下,通过挖掘数据有用信息,从中获得有价值的信息,对于企业至关重要。同时,大数据价值也存在密度低的特点,需要对海量的数据进行分析才能得到真正有用的信息,最终形成用户价值。
2大数据面临的挑战
社会网络的不断发展将每个人都曝光在这种没有个人隐私的环境下,大数据时代下的个人信息被各种网络团体进行恶意泄露和传播。个人信息处于非常危险的环境中,比如各种网络论坛里对个人进行“人肉”,个人的各种信息都被迫公开,给当事人带来了非常坏的影响。当前大数据时代下的社会网络发展迅速,极大的丰富了人们的文化生活,通过互联网能够有效及时的获取各样各种的信息,并且能够做到远距离的及时交流。通过网络能够获得一些自信和满足感,但是大数据时代的个人信息安全性非常的低,个人信息极易被不法分子获取用到不正当的途径上去。
大数据时代下的社会网络特征是非常明显的,网络中的信息呈现出非常多样化的形态,各种信息数据以各种形态存在于网络上,例如视频形式、声音形式、图片形式、文字形式进行信息传播与交流。网络的方便快捷加快了社会的进步,各种社交平台的出现,利用网络进行购物并支付货款等牵涉到个人的真实有效信息,这些个人信息被互联网企业通过大数据进行整理与保存,某些不法分子会利用一些技术手段窃取用户的个人信息用于商业行为,这些个人隐私对于用户来说是非常重要的,比如好多人会收到各种莫名其妙的推销电话,这就是个人信息被泄露的一个直观现象。
2.1大数据中的个人隐私泄露
个人在网络社会进行各种活动时最基本的一点就是要确保自己各种网站私人账户的安全,确保个人隐私不会被第三方企业或个人所获取。大数据时代下的现代网络促进了时代的进步,各种网站的出现将公民更多的投入到网络社会中,现代社会的个人离不开网络社会,通过各种账号能够实现用户多种多样的需求。用户在申请个人账号时往往都是通过自己的手机号或者邮箱账号作为账户名进行关联,这种数据之间的关联虽然非常对用户来说非常方便快捷,但是其风险是较高的,一个账号被盗可能会引起其他账户信息的泄露,账户安全问题在大数据时代显得更加严峻。大数据时代背景下用户的个人隐私安全问题日渐突出。当今社交网络的非常火爆,用户通过各种各样的社交软件与外界进行沟通与交流。用户通过分享自己的位置、发布照片等多种多样的形式与其他用户进行深度交流。这些信息都会被这些社交软件进行数据化处理,形成各种数据存储在云平台里。虽然在社交网络中分享自己的心情和照片能够增加自己的愉悦感,但对于某些较为隐私的信息还是不想被他人获取并发布到网络世界中。当前情况下,一些大数据公司在进行数据的处理和分析过程中,并没有根据用户的具体隐私进行正确的分类,对于某些用户的个人隐私进行整理并当成商品售卖给其他企业或个人,严重影响了用户的隐私,给用户造成了不同程度的困扰。因此,作为处理大数据的互联网企业不能以任何名义去泄露用户的个人隐私,要充分保证用户个人信息的安全性。积极采取各种技术手段有效的保护好用户的个人信息,保证用户在网络社会当中的合法权益。
2.2个人信息控制权弱化
跟传统环境作比较用户个人信息控制权弱化程度太高。互联网社会的飞速发展,信息在这个世界的传播速度超越先前的任何一个时代,互联网社会的公民对于个人信息的控制程度达到了最低的限度,个人隐私非常容易被暴露到网络社会当中。特别是大数据时代的发展,数据的处理能力得到了质的飞跃,公民个人的所有信息被整理成数据的形式存在于互联网当中,数据公司通过对个人数据的合理分析能够迅速的'定位到个人,个人对于信息的控制权遭到了极大的削弱。
篇14:浅析大数据环境下的个人信息安全保护论文
3.1数据匿名保护
大数据的匿名更为复杂,大数据中多元数据之间的集成融合以及相关性分析是的上述那些针对小数据的被动式保护方法失效,与主动式隐私管理框架相比,传统匿名技术存在缺陷是被动式地防止隐私泄露,结合单一数据集上的攻击假设来制定相应的匿名化策略。然而,大数据的大规模性、多样性是的传统匿名花技术顾此失彼。
对于大数据中的结构化数据而言,数据发布匿名保护是实现其隐私保护的核心关键技术与基本手段,目前仍处于不断发展与完善阶段。在大数据场景中,数据发布匿名保护问题较之更为复杂:攻击者可以从多种渠道获得数据,而不仅仅是同一发布源。对网络用户中的匿名技术以及对于大数据网络下的数据分析技术和相关的预测技术对于网络的营销业务的发展都有着非常重要的促进作用,相关的企业还要进一步对匿名技术进行研究,保证用户的个人信息安全以及数据之间的应用安全。
3.2加强数据的监管
海量数据的汇集加大了隐私信息暴露的可能性,对大数据的无序使用也增加了信息泄露的风险。在监管层面,明确重点领域数据库范围,制定完善的数据库管理和安全操作制度,加大对重点领数据库的日常监管。在企业层面,加强企业内部管理,制定设备尤其是移动设备的安全使用规程,规范大数据的使用流程和使用权限。
3.3建立和完善法律法规
在我国现阶段个人信息安全法律法规与大数据技术同步跟进还是新生事物,行业内部仍在不断地摸索中努力前进,在其发展的过程中也会有很多的挑战,比如法律法规相对不够健全,相关的用户信息不能进行安全的保护等等。《信息安全技术公共及商用服务信息系统个人信息保护指南》作为个人信息、保护方面的最高国家标准于2013年2月1日开始实施,这项标准主要是在整个大数据的环境下对用户个人信息的安全性以及合理利用性进行相应的标准规定,这就进一步保证了在对用户个人信息处理过程中的规范性。所以,在目前我国大数据的背景下,如果想要进一步对个人信息的安全进行保护,就要对相关的法律法规进行相应的建立和完善。
3.4安全体系建设
在目前我国大数据环境下的社会网络,要对网络行业的相关规范标准以及相关的公约进行相应的建立,要想保证我国的社会网络行业在目前我国社会经济的发展背景下能够进一步提升,在市场上能够占有一定的地位,就要对相关的建立相应的安全体系,并且对用户的信息安全进行进一步的保障,保证用户能够对网络行业产生一定的信任,并且能够在目前大数据的环境下能够获取一定的收益。
3.5提高个人安全意识
提高个人的安全意识是社会网络用户在大数据时代主动保护个人信息、安全的有力措施。如学习信息安全基本保护措施,加强对信息安全知识的拓展,不仅能够帮助用户对相关的网络病毒特征进行了解,还进一步提升了自身的信息安全保护意识,进而保护其他用户的个人信息安全。还要对用户的信息进行及时的备份,提高用户的信息安全保护的意识。
对于网站以及相关的网络应用要进行相应的控制,保持其合理性的应用,在使用网络的过程中要对各个方面进行考虑,不要将个人信息过多的放入到网络中去,对于分享的照片以及地理位置等等个人信息要进行相应的控制,还要对陌生人进行相应的访问权限设置,对于自己的个人信息要能够把控住,保证自己信息的安全性。
在访问网站时,会产生很多注册的信息,在注册的过程中要保证自己的个人信息不被透露。用户还要进行定期的个人信息安全教育,根据相关数据表明,用户信息在进行相关的安全教育之后,对于其个人信息的保护意识也就有所提升。在目前大数据的背景下,相关的用户要对网络中相关的隐私安全保护公约进行更多的了解,主动地进行自身信息安全的保护。
4结语
综上所述,目前在我国大数据的网络环境下,我国的网络技术一直在发展,用户对于相关信息的获得以及使用都得到了相应的发展。随着科技信息的不断发展,个人信息的安全也就产生了一定的问题,而大数据面临的安全挑战却不容忽视。当前对大数据安全与隐私保护的相关研究还不充分,只有通过技术手段与相关政策法规等相结合,加强对目前大数据的安全管理,进一步提升网络安全性,才能更好地解决大数据环境下的个人信息安全保护问题。
★ 网络信息安全论文
★ 安全论文
★ 水利水电论文
【个人信息安全保护措施论文(推荐14篇)】相关文章:
网络安全论文2022-07-31
计算机毕业论文范文模板2023-10-18
网络安全现状及防范措施论文2024-02-06
农村水利水电的论文2022-11-02
论文:电子政务信息安全研究2022-04-29
水利水电施工工程技术问题及环境保护论文2022-05-04
论信息安全的论文2023-07-20
计算机毕业论文范文2024-02-01
信息安全网络安全与网络空间安全分析论文2023-03-23
市政工程施工中地下管线的保护措施论文2022-09-12