隨著智能手機、無線傳感網(wǎng)絡、RFID閱讀器等信息采集終端在物聯(lián)網(wǎng)中的廣泛應用,個人隱私數(shù)據(jù)的暴露和非法利用的可能性大增。物聯(lián)網(wǎng)環(huán)境下的數(shù)據(jù)隱私保護已經(jīng)引起了政府和個人的密切關(guān)注。特別是手機用戶在使用位置服務過程中,位置服務器上留下了大量的用戶軌跡,而且附著在這些軌跡上的上下文信息能夠披露用戶的生活習慣、興趣愛好、日常活動、社會關(guān)系和身體狀況等個人敏感信息。當這些信息不斷增加且被泄露給不可信第三方(如服務提供商)時,濫用個人隱私數(shù)據(jù)的大門就會被打開。
01 隱私的概念
狹義的隱私是指以自然人為主體的個人秘密,即凡是用戶不愿讓他人知道的個人(或機構(gòu))信息都可以稱為隱私(privacy),如電話號碼、身份證號、個人健康狀況、企業(yè)重要文件等。廣義的隱私不僅包括自然人的個人秘密,也包括機構(gòu)的商業(yè)秘密。隱私蘊含的內(nèi)容很廣泛,而且對不同的人、不同的文化和民族,隱私的內(nèi)含也不相同。簡單來說,隱私就是個人、機構(gòu)或組織等實體不愿意被外部世界知曉的信息。
隨著社會文明進程的推進,隱私保護也漸漸受到了人們的重視。為了保護隱私,美國于1974年制定了《隱私權(quán)法》,隨后,許多國家也相繼立法保護隱私權(quán)。2002年我國頒布的《民法典草案》,對隱私權(quán)保護的隱私做了規(guī)定,包括私人信息、私人活動、私人空間和私人的生活安寧等4個方面。我國在《侵權(quán)責任法》中也提到了對隱私權(quán)的保護。2012年12月,我國出臺了《關(guān)于加強網(wǎng)絡信息保護的決定》,將網(wǎng)絡上的個人信息保護作為重點加以規(guī)定。
隨著物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等的快速發(fā)展,越來越多的人在日常生活中與各種網(wǎng)絡、計算機和通信系統(tǒng)進行信息交互與共享。每一次交互的過程中必然會在通信和計算機系統(tǒng)中產(chǎn)生大量的關(guān)于“如何”“什么時候”“在哪里”“通過誰”“和誰”“為了什么目的”等的個人數(shù)據(jù),而這些數(shù)據(jù)中包含了大量的個人敏感信息,如果處理不當,則很容易在數(shù)據(jù)交互和共享的過程中遭受惡意攻擊者攻擊而導致機密泄露、財物損失或正常的生產(chǎn)秩序被打亂,進而構(gòu)成嚴重的隱私安全威脅。
王利明教授在其著作《人格權(quán)法新論》中指出:“在網(wǎng)絡空間的個人隱私權(quán)主要指公民在網(wǎng)上享有的私人生活安寧與私人信息依法受到保護,不被他人非法侵犯、知悉、搜集、復制、公開和利用的一種人格權(quán),也指禁止在網(wǎng)上泄露某些與個人有關(guān)的敏感信息,包括事實、圖像以及毀損聲譽的意見等?!?/p>
但由于獵奇心理或是利益的驅(qū)動,許多惡意攻擊者仍然時刻覬覦著他人的隱私。物聯(lián)網(wǎng)的快速發(fā)展,一方面促使大量隱私信息存儲在網(wǎng)絡上,為惡意攻擊者提供了豐富的潛在目標;另一方面,由于監(jiān)管的困難及安全防范的不足,惡意攻擊者也更容易通過網(wǎng)絡實施各種侵犯隱私的行為。2011年12月,世紀樂知(Chinese Software Developer Network,CSDN)的安全系統(tǒng)遭到了黑客攻擊,600萬名用戶的登錄名、密碼及郵箱遭到了泄露。此外,層出不窮的各類網(wǎng)上隱私照片泄露事件也都在提醒人們,存儲在網(wǎng)絡上的隱私其實處在一個十分容易泄露的環(huán)境中。
顯然,僅僅依靠法律規(guī)范來保護隱私還遠遠不夠,必須要從技術(shù)上防止惡意用戶竊取用戶隱私。
保護隱私信息最常見的技術(shù)是加密。信息經(jīng)過加密后,可讀的明文信息會被轉(zhuǎn)變?yōu)闊o法識別的密文信息。即使密文被攻擊者竊取,在沒有密鑰的情況下,攻擊者也很難獲得有效信息。因此,加密是保護隱私信息的有效手段。隨著計算機及互聯(lián)網(wǎng)技術(shù)的發(fā)展,人們越來越多地依靠互聯(lián)網(wǎng)傳輸并存儲信息,其中不乏隱私信息,如網(wǎng)絡用戶的敏感信息,甚至是經(jīng)濟、政治、軍事機密。為了保障信息的安全,人們通常需要把敏感信息加密后再存儲到網(wǎng)絡上。
在具體應用中,隱私即為數(shù)據(jù)擁有者不愿意披露的敏感信息,包括敏感數(shù)據(jù)以及數(shù)據(jù)所表征的特性,如個人的興趣愛好、身體狀況、宗教信仰、公司的財務信息等。但當針對不同數(shù)據(jù)以及數(shù)據(jù)擁有者時,隱私的定義也會存在差別。例如,保守的病人會視疾病信息為隱私,而開放的病人卻不會視之為隱私。從隱私擁有者的角度而言,隱私通??煞譃橐韵聝深?。
1)個人隱私
個人隱私(privacy of individual)一般是指數(shù)據(jù)擁有者不愿意披露的敏感信息,如個人的興趣愛好、健康狀況、收入水平、宗教信仰和政治傾向等。
由于人們對隱私的限定標準不同,因此對隱私的定義也就有所差異。一般來說,任何可以確定是個人的,但個人不愿意披露的信息都可以認定為是個人隱私。在個人隱私的概念中主要涉及4個范疇:① 信息隱私、收集和處理個人數(shù)據(jù)的方法和規(guī)則,如個人信用信息、醫(yī)療和檔案信息,信息隱私也被認為是數(shù)據(jù)隱私;② 人身隱私,涉及侵犯個人物理狀況相關(guān)的信息,如基因測試等;③ 通信隱私,信件、電話、電子郵件以及其他形式的個人通信的信息;④ 空間隱私,對干涉自有地理空間的制約,包括辦公場所、公共場所,如搜查、跟蹤、身份檢查等。
2)共同隱私
共同隱私(privacy of corporate)與個人隱私相對應,是指群體的私生活安寧不受群體之外的任何他人非法干擾,群體內(nèi)部的私生活信息不被他人非法搜集、探聽和公開。公開共同隱私一般需要共同隱私人全部同意。在沒有征得共同隱私的其他成員的同意與許可的情況下,披露共同隱私一般情況下也屬于侵權(quán)行為。但是,如果共同隱私主體之一或者全部為公眾人物或者官員,則他們的隱私和共同隱私的保護也會受到社會公共利益的限制。為了滿足人們知情權(quán)的需要以及輿論監(jiān)督的需要,有時候需要對共同隱私予以必要的限制,即在特殊情況下,未經(jīng)當事人同意而披露這部分共同隱私不屬于侵犯隱私權(quán)。如果當事人有特別約定部分共同隱私人可以披露他們的共同隱私,則其也不會被視為侵權(quán)。另外,如果法律有特別規(guī)定,則也不應該視為侵犯共同隱私其他方的隱私權(quán)。共同隱私不僅包含個人的隱私,還包含所有個人共同表現(xiàn)出的、但不愿被暴露的信息,如公司員工的平均薪資、薪資分布等信息。
02 隱私與安全
隱私與安全存在緊密關(guān)系,但也存在一些細微差別。一般地,隱私總是相對于用戶個人而言的,它與公共利益、群體利益無關(guān),是指當事人不愿他人知道或他人不便知道的個人信息,當事人不愿他人干涉或他人不便干涉的個人私事,以及當事人不愿他人侵入或他人不便侵入的個人領(lǐng)域。
傳統(tǒng)個人隱私在網(wǎng)絡環(huán)境中主要表現(xiàn)為個人數(shù)據(jù),包括可用來識別或定位個人的信息(如電話號碼、地址和信用卡號等)、敏感的信息(如個人的健康狀況、財務信息、公司的重要文件等)。網(wǎng)絡環(huán)境下對隱私權(quán)的侵害也不再簡單地表現(xiàn)為對個人隱私的直接竊取、擴散和侵擾,而更多的是收集大量的個人資料,通過數(shù)據(jù)挖掘方法分析出個人并不愿意讓他人知道的信息。
安全更多地與系統(tǒng)、組織、機構(gòu)、企業(yè)等相關(guān)。安全涉及的范圍更廣,影響范圍更大,在我們?nèi)粘5奈锫?lián)網(wǎng)信息生活中,安全問題一定存在,包括身份認證、訪問控制、病毒檢測和網(wǎng)絡管理等。
另外,安全是絕對的,而隱私則是相對的。因為對某人來說屬于個人隱私的事情,對他人來說可能不是隱私。而安全問題往往和個人的喜好關(guān)系不大,每個人的安全需求基本類同。況且,信息安全對個人隱私保護具有重大的影響,甚至決定了隱私保護的強度。
03 隱私度量
隨著無線通信技術(shù)和個人通信設(shè)備的飛速發(fā)展,各種計算機、通信技術(shù)悄無聲息地融入了人們的日常生活,深刻地影響著人們的生活方式。人們在利用這些技術(shù)享受信息時代的各種信息服務帶來的便利的同時,個人隱私信息也難免會遭到威脅。雖然這些服務中融入了隱私保護技術(shù),但是,再完美的技術(shù)也難免存在漏洞,面對惡意攻擊者的強大攻擊能力和可變的背景知識,個人隱私信息仍舊會泄露。這些隱私保護技術(shù)應用于實際生活中的效果如何?它們到底在多大程度上保護了用戶的隱私?基于此,隱私度量的概念應運而生。
隱私度量就是指評估個人的隱私水平與隱私保護技術(shù)應用于實際生活中能達到的效果,同時也是為了測量“隱私”這個概念而被提出的。度量和量化用戶的隱私水平是非常重要且必不可少的,它可以度量給定的隱私保護系統(tǒng)所能提供的真實的隱私水平,分析影響隱私保護技術(shù)實際效果的各個隱私,并為隱私保護技術(shù)設(shè)計者提供重要的參考。
不同的隱私保護系統(tǒng)的隱私保護技術(shù)的度量方法和度量指標有所不同,下面將從數(shù)據(jù)庫隱私、位置隱私、數(shù)據(jù)隱私3個方面介紹隱私的概念與度量方法。
(1)數(shù)據(jù)庫隱私度量
隱私保護技術(shù)需要在保護隱私的同時,兼顧數(shù)據(jù)的可用性。通常從以下兩個方面對數(shù)據(jù)庫隱私保護技術(shù)進行度量。
1)隱私保護度
通常通過發(fā)布數(shù)據(jù)的披露風險來反映隱私保護度。披露風險越小,隱私保護度越高。
2)數(shù)據(jù)可用性
數(shù)據(jù)可用性是對發(fā)布數(shù)據(jù)質(zhì)量的度量,它可以反映通過隱私保護技術(shù)處理后數(shù)據(jù)的信息丟失情況:數(shù)據(jù)缺損越高,信息丟失越多,數(shù)據(jù)利用率越低。具體的度量指標有:信息缺損的程度、重構(gòu)數(shù)據(jù)與原始數(shù)據(jù)的相似度等。
(2)位置隱私度量
位置隱私保護技術(shù)需要在保護用戶隱私的同時,能為用戶提供較高的服務質(zhì)量。通常從以下兩個方面對位置隱私保護技術(shù)進行度量。
1)隱私保護度
一般通過位置隱私或查詢隱私的披露風險來反映隱私保護度。披露風險越小,隱私保護度越高。披露風險越大,隱私保護度越低。披露風險是指在一定的情況下,用戶位置隱私或查詢隱私泄露的概率。披露風險依賴于攻擊者掌握的背景知識和隱私保護算法。攻擊者掌握的關(guān)于用戶查詢內(nèi)容屬性和位置信息的背景知識越多,披露風險越大。
2)服務質(zhì)量
在位置隱私保護中,通常采用服務質(zhì)量來衡量隱私算法的優(yōu)劣。在相同的隱私保護度下,移動對象獲得的服務質(zhì)量越高說明隱私保護算法越好。一般情況下,服務質(zhì)量由查詢響應時間、計算和通信開銷、查詢結(jié)果的精確性等來衡量。
(3)數(shù)據(jù)隱私度量
數(shù)據(jù)隱私披露風險是指由于個人的敏感數(shù)據(jù)或者企業(yè)和組織的機密數(shù)據(jù)被惡意攻擊者或非法用戶獲取后,他們可以借助某些背景知識推理出個人的隱私信息或者企業(yè)和組織的機密信息,從而給個人、企業(yè)和組織帶來嚴重損失。保護敏感數(shù)據(jù)常用的方法之一就是采用密碼技術(shù)對敏感數(shù)據(jù)進行加密,因此,主要從機密性、完整性和可用性3個方面對數(shù)據(jù)隱私進行度量。
1)機密性
數(shù)據(jù)必須按照數(shù)據(jù)擁有者的要求保證一定的機密性,不會被非授權(quán)的第三方非法獲知。敏感的機密信息只有得到擁有者的許可后,其他人才能夠獲得該信息。信息系統(tǒng)必須能夠防止信息的非授權(quán)訪問和泄露。
2)完整性
完整性是指信息安全、精確和有效,不因人為因素而改變信息原有的內(nèi)容、形式和流向,即不能被未授權(quán)的第三方修改。它包含數(shù)據(jù)完整的內(nèi)含,既要保證數(shù)據(jù)不被非法篡改和刪除,又要包含系統(tǒng)的完整性內(nèi)含,即保證系統(tǒng)以無害的方式按照預定的功能運行,不受有意的或意外的非法操作破壞。數(shù)據(jù)的完整性包括正確性、有效性和一致性。
3)可用性
可用性是指數(shù)據(jù)資源能夠提供既定的功能,無論何時何地,只要需要即可使用,而不會受系統(tǒng)故障和誤操作等影響,此類影響會導致使用資源丟失或妨礙資源使用,進而使服務不能得到及時的響應。
04 隱私保護技術(shù)分類
隱私保護技術(shù)是為了既能使用戶享受各種服務和應用,又能保證其隱私不被泄露和濫用。在數(shù)據(jù)庫隱私保護、位置隱私保護、數(shù)據(jù)隱私保護的研究中已經(jīng)提出了大量的隱私保護技術(shù),這些技術(shù)有些是相同的,有些因面向具體應用而不同。
下面從數(shù)據(jù)庫隱私、位置隱私和數(shù)據(jù)隱私3個方面介紹常用的隱私保護技術(shù)。
(1)數(shù)據(jù)庫隱私保護技術(shù)
一般來說,數(shù)據(jù)庫中的隱私保護技術(shù)大致可以分為3類。
① 基于數(shù)據(jù)失真的技術(shù),可使敏感數(shù)據(jù)失真但同時保持某些數(shù)據(jù)或數(shù)據(jù)屬性不變。例如,采用添加噪聲、交換等技術(shù)對原始數(shù)據(jù)進行擾動處理,但要求處理后的數(shù)據(jù)仍然可以保持某些統(tǒng)計方面的性質(zhì),以便進行數(shù)據(jù)挖據(jù)等操作。
② 基于數(shù)據(jù)加密的技術(shù),它是一種采用加密技術(shù)在數(shù)據(jù)挖掘過程中隱藏敏感數(shù)據(jù)的技術(shù),多用于分布式應用環(huán)境,如安全多方計算法。
③ 基于限制發(fā)布的技術(shù),可根據(jù)具體情況有條件地發(fā)布數(shù)據(jù),如不發(fā)布數(shù)據(jù)的某些閾值、進行數(shù)據(jù)泛化等。
基于數(shù)據(jù)失真的技術(shù),效率比較高,但是存在一定程度的信息丟失;基于數(shù)據(jù)加密的技術(shù)則剛好相反,它能保證最終數(shù)據(jù)的準確性和安全性,但計算開銷比較大;而基于限制發(fā)布的技術(shù)的優(yōu)點是能保證所發(fā)布的數(shù)據(jù)一定真實,但發(fā)布的數(shù)據(jù)會有一定的信息丟失。
(2)位置隱私保護技術(shù)
目前的位置隱私保護技術(shù)大致可分為3類。
① 基于策略的隱私保護技術(shù),是指通過制定一些常用的隱私管理規(guī)則和可信任的隱私協(xié)定來約束服務提供商,使其公平、安全地使用用戶的個人位置信息。
② 基于匿名和混淆的隱私保護技術(shù),是指利用匿名和混淆技術(shù)分隔用戶的身份標志和其所在的位置信息,降低用戶位置信息的精確度以達到隱私保護的目的,如k-匿名技術(shù)。
③ 基于空間加密的隱私保護技術(shù),是通過對空間位置進行加密以達到匿名的效果,如Hilbert曲線法。
基于策略的隱私保護技術(shù)實現(xiàn)簡單,服務質(zhì)量高,但其隱私保護效果差;基于匿名和混淆的隱私保護技術(shù)在服務質(zhì)量和隱私保護度上取得了較好的平衡,是目前位置隱私保護的主流技術(shù);基于空間加密的隱私保護技術(shù)能夠提供嚴格的隱私保護,但其需要額外的硬件和復雜的算法支持,計算開銷和通信開銷比較大。
(3)數(shù)據(jù)隱私保護技術(shù)
對于傳統(tǒng)的敏感數(shù)據(jù)可以采用加密、Hash函數(shù)、數(shù)字簽名、數(shù)字證書、訪問控制等技術(shù)來保證其機密性、完整性和可用性。隨著新型計算模式(如云計算、移動計算、社會計算等)的不斷出現(xiàn)與應用,我們對數(shù)據(jù)隱私保護技術(shù)提出了更高的要求。傳統(tǒng)網(wǎng)絡中的隱私主要發(fā)生在信息傳輸和存儲的過程中,而外包計算模式下的隱私不僅要考慮數(shù)據(jù)傳輸和存儲過程中的隱私問題,還要考慮數(shù)據(jù)計算過程中可能出現(xiàn)的隱私泄露問題。外包數(shù)據(jù)計算過程中的數(shù)據(jù)隱私保護技術(shù),按照運算處理方式不同可分為兩種。
① 支持計算的加密技術(shù),是一類能滿足支持隱私保護的計算模式(如算數(shù)運算、字符運算等)的要求,通過加密手段保證數(shù)據(jù)的機密性,同時密文能支持某些計算功能的加密方案的統(tǒng)稱,如同態(tài)加密技術(shù)。
② 支持檢索的加密技術(shù),是指在加密狀態(tài)下可以對數(shù)據(jù)進行精確檢索和模糊檢索,從而保護數(shù)據(jù)隱私的技術(shù),如密文檢索技術(shù)。
掃一掃在手機上閱讀本文章