摘要:
在大数据时代,信息泄露是一个不可回避的话题。近几年因为个人隐私泄露导致受害者在生活以及工作中受到极大困扰的事件比比皆是,甚至因此发生了多起自杀事件,公民隐私数据保护显得尤为重要。... 在大数据时代,信息泄露是一个不可回避的话题。近几年因为个人隐私泄露导致受害者在生活以及工作中受到极大困扰的事件比比皆是,甚至因此发生了多起自杀事件,公民隐私数据保护显得尤为重要。2017年6月1日我国正式实施的网络安全法中明确提及了个人隐私数据保护的相关要求。作为网络运营者应该如何确保公民隐私数据的安全性?
隐私保护框架模型
在给出隐私保护评估策略之前,首先要梳理清楚隐私保护的任务,也就是用一个框架模型来描述隐私保护的场景。这个场景中包含四个实体:隐私主体(所有者)、数据采集者、隐私侵犯者和隐私保护机构。
图:隐私保护模型
1.隐私主体:指作为隐私所有者的个人或团体,对隐私具有所有权和处分权。
2.数据采集者:指隐私主体在接受各种服务过程中,与之进行交互的团体或个人,例如医院、银行、人社等,其出于业务的需要而面对隐私主体的私密信息进行收集。
3.隐私侵犯者:指对隐私主体的私密信息进行非法或不道德的获取、存储和使用的团体或个人。数据采集者未经隐私主体同意对其私密信息进行非法或不道德的使用时,也有构成隐私侵犯者。
4.隐私保护机构:指保护隐私主体的私密信息不为他人侵犯的团体或个人、软件技术等,其可能是政府部门、也可能是行业协会、第三方隐私保护机构,还可能是认证程序、隐私保护软件等。
隐私保护的任务与措施
隐私保护的核心任务
隐私保护任务的主要内容是让隐私保护模型中各个实体都受到应有的处置或承担应有的责任。
隐私主体:了解自身应享有的权利,知道隐私保护的相关法律规定。
数据采集者: 有专门的技术措施、管理制度及资质合规的人员防范隐私侵犯行为的发生。
隐私保护者:响应隐私主体的投诉,对数据采集者及其商业合作方进行监督和评审,处罚隐私侵犯者。
隐私保护的技术措施
信息系统中,为了确保信息的真实性、机密性、完整性和不可否认性,应遵守以下三个原则:所有电子化的信息,应根据所有者属性加密,使其能够安全的存储、传输和访问;保障信息系统中隐私信息的真实性、完整性和可用性;信息的访问和共享过程应该通过签名和认证。
可以采取以下几种保护措施来保障信息系统中的隐私保护:
1.数据匿名化
在信息系统使用中、研究机构的数据分析工作中、各种消费服务中的信息传递,要保护用户隐私信息的安全。公开发布数据时,去掉身份信息,对数据进行泛化处理,保留数据的整体分布规律。
2.加密和数字签名
对数据库加密,对数据字段加密,并管理加密密钥,保护信息系统中用户隐私信息的安全。信息系统的使用者创建或更改数据时,要进行数字签名,保证信息数据的不可否认性。
3.身份认证和访问控制
根据角色级别、用户类型及其对信息系统的重要性来选择是否进行身份认证,对不同的用户选择恰当的身份认证手段。访问控制策略要有时间维度和空间维度的限制,具有访问权限的用户,只有在规定范围的时间和空间内,才可以访问信息系统。
4.网络通信的安全保障
网络安全设备(防火墙,入侵检测系统等)可以监控网络的数据流、对危险的网络行为进行报警,自动检测并处理安全事件,降低使用风险,确保业务数据通信的安全性。
5.安全审计
对每项服务所涉及到的系统、用户、工作人员、信息数据的行为进行记录,帮助安全人员审计信息系统的可靠性和安全性。
6.信息资产的物理安全
信息资产的安全保护分为硬件和软件两个方面。硬件方面,首先确保信息资产处在安全、适合工作的物理环境当中,其次要确保能源供应,并做到冗余备份。软件方面,确保系统软件的可靠性和安全性以及入网端点设备接口启用情况、注册表关键值、系统运行进程等情况的安全性。
相关内容:
