隨著智能手機��、無線傳感網(wǎng)絡��、RFID閱讀器等信息采集終端在物聯(lián)網(wǎng)中的廣泛應用�,個人隱私數(shù)據(jù)的暴露和非法利用的可能性大增。物聯(lián)網(wǎng)環(huán)境下的數(shù)據(jù)隱私保護已經(jīng)引起了政府和個人的密切關注�����。特別是手機用戶在使用位置服務過程中���,位置服務器上留下了大量的用戶軌跡���,而且附著在這些軌跡上的上下文信息能夠披露用戶的生活習慣、興趣愛好�����、日?��;顒?���、社會關系和身體狀況等個人敏感信息����。當這些信息不斷增加且被泄露給不可信第三方(如服務提供商)時,濫用個人隱私數(shù)據(jù)的大門就會被打開����。
01 隱私的概念
狹義的隱私是指以自然人為主體的個人秘密,即凡是用戶不愿讓他人知道的個人(或機構)信息都可以稱為隱私(privacy)�,如電話號碼、身份證號�����、個人健康狀況�����、企業(yè)重要文件等�����。廣義的隱私不僅包括自然人的個人秘密�����,也包括機構的商業(yè)秘密。隱私蘊含的內容很廣泛���,而且對不同的人���、不同的文化和民族,隱私的內含也不相同����。簡單來說,隱私就是個人����、機構或組織等實體不愿意被外部世界知曉的信息。
隨著社會文明進程的推進��,隱私保護也漸漸受到了人們的重視���。為了保護隱私���,美國于1974年制定了《隱私權法》,隨后�����,許多國家也相繼立法保護隱私權。2002年我國頒布的《民法典草案》�����,對隱私權保護的隱私做了規(guī)定�,包括私人信息����、私人活動、私人空間和私人的生活安寧等4個方面��。我國在《侵權責任法》中也提到了對隱私權的保護��。2012年12月�����,我國出臺了《關于加強網(wǎng)絡信息保護的決定》�,將網(wǎng)絡上的個人信息保護作為重點加以規(guī)定。
隨著物聯(lián)網(wǎng)����、云計算、大數(shù)據(jù)�����、人工智能等的快速發(fā)展,越來越多的人在日常生活中與各種網(wǎng)絡����、計算機和通信系統(tǒng)進行信息交互與共享。每一次交互的過程中必然會在通信和計算機系統(tǒng)中產(chǎn)生大量的關于“如何”“什么時候”“在哪里”“通過誰”“和誰”“為了什么目的”等的個人數(shù)據(jù)�����,而這些數(shù)據(jù)中包含了大量的個人敏感信息�����,如果處理不當�,則很容易在數(shù)據(jù)交互和共享的過程中遭受惡意攻擊者攻擊而導致機密泄露、財物損失或正常的生產(chǎn)秩序被打亂����,進而構成嚴重的隱私安全威脅。
王利明教授在其著作《人格權法新論》中指出:“在網(wǎng)絡空間的個人隱私權主要指公民在網(wǎng)上享有的私人生活安寧與私人信息依法受到保護���,不被他人非法侵犯����、知悉、搜集��、復制�����、公開和利用的一種人格權��,也指禁止在網(wǎng)上泄露某些與個人有關的敏感信息�����,包括事實�、圖像以及毀損聲譽的意見等����。”
但由于獵奇心理或是利益的驅動�,許多惡意攻擊者仍然時刻覬覦著他人的隱私。物聯(lián)網(wǎng)的快速發(fā)展����,一方面促使大量隱私信息存儲在網(wǎng)絡上,為惡意攻擊者提供了豐富的潛在目標;另一方面�,由于監(jiān)管的困難及安全防范的不足���,惡意攻擊者也更容易通過網(wǎng)絡實施各種侵犯隱私的行為。2011年12月����,世紀樂知(Chinese Software Developer Network,CSDN)的安全系統(tǒng)遭到了黑客攻擊���,600萬名用戶的登錄名�、密碼及郵箱遭到了泄露����。此外,層出不窮的各類網(wǎng)上隱私照片泄露事件也都在提醒人們���,存儲在網(wǎng)絡上的隱私其實處在一個十分容易泄露的環(huán)境中��。
顯然�,僅僅依靠法律規(guī)范來保護隱私還遠遠不夠��,必須要從技術上防止惡意用戶竊取用戶隱私�����。
保護隱私信息最常見的技術是加密。信息經(jīng)過加密后����,可讀的明文信息會被轉變?yōu)闊o法識別的密文信息。即使密文被攻擊者竊取���,在沒有密鑰的情況下�����,攻擊者也很難獲得有效信息。因此��,加密是保護隱私信息的有效手段��。隨著計算機及互聯(lián)網(wǎng)技術的發(fā)展���,人們越來越多地依靠互聯(lián)網(wǎng)傳輸并存儲信息��,其中不乏隱私信息�����,如網(wǎng)絡用戶的敏感信息�,甚至是經(jīng)濟、政治��、軍事機密���。為了保障信息的安全�,人們通常需要把敏感信息加密后再存儲到網(wǎng)絡上��。
在具體應用中��,隱私即為數(shù)據(jù)擁有者不愿意披露的敏感信息��,包括敏感數(shù)據(jù)以及數(shù)據(jù)所表征的特性�����,如個人的興趣愛好����、身體狀況、宗教信仰���、公司的財務信息等���。但當針對不同數(shù)據(jù)以及數(shù)據(jù)擁有者時�,隱私的定義也會存在差別�����。例如��,保守的病人會視疾病信息為隱私����,而開放的病人卻不會視之為隱私。從隱私擁有者的角度而言��,隱私通?�?煞譃橐韵聝深?���。
1)個人隱私
個人隱私(privacy of individual)一般是指數(shù)據(jù)擁有者不愿意披露的敏感信息�����,如個人的興趣愛好��、健康狀況、收入水平���、宗教信仰和政治傾向等����。
由于人們對隱私的限定標準不同��,因此對隱私的定義也就有所差異���。一般來說��,任何可以確定是個人的����,但個人不愿意披露的信息都可以認定為是個人隱私�。在個人隱私的概念中主要涉及4個范疇:① 信息隱私、收集和處理個人數(shù)據(jù)的方法和規(guī)則����,如個人信用信息、醫(yī)療和檔案信息��,信息隱私也被認為是數(shù)據(jù)隱私;② 人身隱私�����,涉及侵犯個人物理狀況相關的信息,如基因測試等;③ 通信隱私�,信件、電話���、電子郵件以及其他形式的個人通信的信息;④ 空間隱私�����,對干涉自有地理空間的制約���,包括辦公場所、公共場所�����,如搜查��、跟蹤�����、身份檢查等����。
2)共同隱私
共同隱私(privacy of corporate)與個人隱私相對應,是指群體的私生活安寧不受群體之外的任何他人非法干擾��,群體內部的私生活信息不被他人非法搜集�����、探聽和公開���。公開共同隱私一般需要共同隱私人全部同意���。在沒有征得共同隱私的其他成員的同意與許可的情況下,披露共同隱私一般情況下也屬于侵權行為�����。但是����,如果共同隱私主體之一或者全部為公眾人物或者官員,則他們的隱私和共同隱私的保護也會受到社會公共利益的限制�。為了滿足人們知情權的需要以及輿論監(jiān)督的需要,有時候需要對共同隱私予以必要的限制�,即在特殊情況下���,未經(jīng)當事人同意而披露這部分共同隱私不屬于侵犯隱私權。如果當事人有特別約定部分共同隱私人可以披露他們的共同隱私�,則其也不會被視為侵權。另外�����,如果法律有特別規(guī)定��,則也不應該視為侵犯共同隱私其他方的隱私權��。共同隱私不僅包含個人的隱私���,還包含所有個人共同表現(xiàn)出的�、但不愿被暴露的信息��,如公司員工的平均薪資���、薪資分布等信息�����。
02 隱私與安全
隱私與安全存在緊密關系����,但也存在一些細微差別��。一般地��,隱私總是相對于用戶個人而言的�,它與公共利益、群體利益無關�����,是指當事人不愿他人知道或他人不便知道的個人信息����,當事人不愿他人干涉或他人不便干涉的個人私事,以及當事人不愿他人侵入或他人不便侵入的個人領域�。
傳統(tǒng)個人隱私在網(wǎng)絡環(huán)境中主要表現(xiàn)為個人數(shù)據(jù),包括可用來識別或定位個人的信息(如電話號碼����、地址和信用卡號等)、敏感的信息(如個人的健康狀況���、財務信息����、公司的重要文件等)。網(wǎng)絡環(huán)境下對隱私權的侵害也不再簡單地表現(xiàn)為對個人隱私的直接竊取�、擴散和侵擾,而更多的是收集大量的個人資料��,通過數(shù)據(jù)挖掘方法分析出個人并不愿意讓他人知道的信息�。
安全更多地與系統(tǒng)、組織�����、機構����、企業(yè)等相關。安全涉及的范圍更廣�����,影響范圍更大����,在我們日常的物聯(lián)網(wǎng)信息生活中,安全問題一定存在,包括身份認證��、訪問控制���、病毒檢測和網(wǎng)絡管理等。
另外�,安全是絕對的,而隱私則是相對的���。因為對某人來說屬于個人隱私的事情�����,對他人來說可能不是隱私����。而安全問題往往和個人的喜好關系不大��,每個人的安全需求基本類同��。況且���,信息安全對個人隱私保護具有重大的影響�,甚至決定了隱私保護的強度。
03 隱私度量
隨著無線通信技術和個人通信設備的飛速發(fā)展����,各種計算機、通信技術悄無聲息地融入了人們的日常生活���,深刻地影響著人們的生活方式�。人們在利用這些技術享受信息時代的各種信息服務帶來的便利的同時����,個人隱私信息也難免會遭到威脅。雖然這些服務中融入了隱私保護技術��,但是���,再完美的技術也難免存在漏洞�����,面對惡意攻擊者的強大攻擊能力和可變的背景知識���,個人隱私信息仍舊會泄露。這些隱私保護技術應用于實際生活中的效果如何?它們到底在多大程度上保護了用戶的隱私?基于此���,隱私度量的概念應運而生����。
隱私度量就是指評估個人的隱私水平與隱私保護技術應用于實際生活中能達到的效果,同時也是為了測量“隱私”這個概念而被提出的����。度量和量化用戶的隱私水平是非常重要且必不可少的,它可以度量給定的隱私保護系統(tǒng)所能提供的真實的隱私水平���,分析影響隱私保護技術實際效果的各個隱私,并為隱私保護技術設計者提供重要的參考����。
不同的隱私保護系統(tǒng)的隱私保護技術的度量方法和度量指標有所不同,下面將從數(shù)據(jù)庫隱私�����、位置隱私�����、數(shù)據(jù)隱私3個方面介紹隱私的概念與度量方法����。
(1)數(shù)據(jù)庫隱私度量
隱私保護技術需要在保護隱私的同時���,兼顧數(shù)據(jù)的可用性。通常從以下兩個方面對數(shù)據(jù)庫隱私保護技術進行度量���。
1)隱私保護度
通常通過發(fā)布數(shù)據(jù)的披露風險來反映隱私保護度��。披露風險越小����,隱私保護度越高���。
2)數(shù)據(jù)可用性
數(shù)據(jù)可用性是對發(fā)布數(shù)據(jù)質量的度量�����,它可以反映通過隱私保護技術處理后數(shù)據(jù)的信息丟失情況:數(shù)據(jù)缺損越高���,信息丟失越多,數(shù)據(jù)利用率越低����。具體的度量指標有:信息缺損的程度�����、重構數(shù)據(jù)與原始數(shù)據(jù)的相似度等�����。
(2)位置隱私度量
位置隱私保護技術需要在保護用戶隱私的同時�����,能為用戶提供較高的服務質量����。通常從以下兩個方面對位置隱私保護技術進行度量��。
1)隱私保護度
一般通過位置隱私或查詢隱私的披露風險來反映隱私保護度��。披露風險越小�����,隱私保護度越高�����。披露風險越大��,隱私保護度越低�����。披露風險是指在一定的情況下��,用戶位置隱私或查詢隱私泄露的概率�。披露風險依賴于攻擊者掌握的背景知識和隱私保護算法。攻擊者掌握的關于用戶查詢內容屬性和位置信息的背景知識越多����,披露風險越大。
2)服務質量
在位置隱私保護中��,通常采用服務質量來衡量隱私算法的優(yōu)劣���。在相同的隱私保護度下���,移動對象獲得的服務質量越高說明隱私保護算法越好。一般情況下�,服務質量由查詢響應時間、計算和通信開銷����、查詢結果的精確性等來衡量�。
(3)數(shù)據(jù)隱私度量
數(shù)據(jù)隱私披露風險是指由于個人的敏感數(shù)據(jù)或者企業(yè)和組織的機密數(shù)據(jù)被惡意攻擊者或非法用戶獲取后�����,他們可以借助某些背景知識推理出個人的隱私信息或者企業(yè)和組織的機密信息����,從而給個人、企業(yè)和組織帶來嚴重損失�。保護敏感數(shù)據(jù)常用的方法之一就是采用密碼技術對敏感數(shù)據(jù)進行加密,因此��,主要從機密性�、完整性和可用性3個方面對數(shù)據(jù)隱私進行度量。
1)機密性
數(shù)據(jù)必須按照數(shù)據(jù)擁有者的要求保證一定的機密性���,不會被非授權的第三方非法獲知。敏感的機密信息只有得到擁有者的許可后��,其他人才能夠獲得該信息��。信息系統(tǒng)必須能夠防止信息的非授權訪問和泄露��。
2)完整性
完整性是指信息安全、精確和有效��,不因人為因素而改變信息原有的內容�����、形式和流向�,即不能被未授權的第三方修改。它包含數(shù)據(jù)完整的內含�����,既要保證數(shù)據(jù)不被非法篡改和刪除��,又要包含系統(tǒng)的完整性內含���,即保證系統(tǒng)以無害的方式按照預定的功能運行����,不受有意的或意外的非法操作破壞��。數(shù)據(jù)的完整性包括正確性��、有效性和一致性。
3)可用性
可用性是指數(shù)據(jù)資源能夠提供既定的功能��,無論何時何地�����,只要需要即可使用��,而不會受系統(tǒng)故障和誤操作等影響�,此類影響會導致使用資源丟失或妨礙資源使用,進而使服務不能得到及時的響應�。
04 隱私保護技術分類
隱私保護技術是為了既能使用戶享受各種服務和應用,又能保證其隱私不被泄露和濫用�����。在數(shù)據(jù)庫隱私保護�、位置隱私保護、數(shù)據(jù)隱私保護的研究中已經(jīng)提出了大量的隱私保護技術���,這些技術有些是相同的�����,有些因面向具體應用而不同。
下面從數(shù)據(jù)庫隱私���、位置隱私和數(shù)據(jù)隱私3個方面介紹常用的隱私保護技術���。
(1)數(shù)據(jù)庫隱私保護技術
一般來說���,數(shù)據(jù)庫中的隱私保護技術大致可以分為3類。
① 基于數(shù)據(jù)失真的技術����,可使敏感數(shù)據(jù)失真但同時保持某些數(shù)據(jù)或數(shù)據(jù)屬性不變。例如����,采用添加噪聲、交換等技術對原始數(shù)據(jù)進行擾動處理���,但要求處理后的數(shù)據(jù)仍然可以保持某些統(tǒng)計方面的性質����,以便進行數(shù)據(jù)挖據(jù)等操作����。
② 基于數(shù)據(jù)加密的技術,它是一種采用加密技術在數(shù)據(jù)挖掘過程中隱藏敏感數(shù)據(jù)的技術,多用于分布式應用環(huán)境����,如安全多方計算法。
③ 基于限制發(fā)布的技術���,可根據(jù)具體情況有條件地發(fā)布數(shù)據(jù)�,如不發(fā)布數(shù)據(jù)的某些閾值����、進行數(shù)據(jù)泛化等。
基于數(shù)據(jù)失真的技術���,效率比較高����,但是存在一定程度的信息丟失;基于數(shù)據(jù)加密的技術則剛好相反��,它能保證最終數(shù)據(jù)的準確性和安全性�,但計算開銷比較大;而基于限制發(fā)布的技術的優(yōu)點是能保證所發(fā)布的數(shù)據(jù)一定真實,但發(fā)布的數(shù)據(jù)會有一定的信息丟失�。
(2)位置隱私保護技術
目前的位置隱私保護技術大致可分為3類。
① 基于策略的隱私保護技術�,是指通過制定一些常用的隱私管理規(guī)則和可信任的隱私協(xié)定來約束服務提供商�,使其公平��、安全地使用用戶的個人位置信息����。
② 基于匿名和混淆的隱私保護技術�����,是指利用匿名和混淆技術分隔用戶的身份標志和其所在的位置信息��,降低用戶位置信息的精確度以達到隱私保護的目的�,如k-匿名技術。
③ 基于空間加密的隱私保護技術�����,是通過對空間位置進行加密以達到匿名的效果�,如Hilbert曲線法。
基于策略的隱私保護技術實現(xiàn)簡單����,服務質量高,但其隱私保護效果差;基于匿名和混淆的隱私保護技術在服務質量和隱私保護度上取得了較好的平衡���,是目前位置隱私保護的主流技術;基于空間加密的隱私保護技術能夠提供嚴格的隱私保護��,但其需要額外的硬件和復雜的算法支持��,計算開銷和通信開銷比較大�。
(3)數(shù)據(jù)隱私保護技術
對于傳統(tǒng)的敏感數(shù)據(jù)可以采用加密、Hash函數(shù)��、數(shù)字簽名��、數(shù)字證書���、訪問控制等技術來保證其機密性���、完整性和可用性。隨著新型計算模式(如云計算�����、移動計算�����、社會計算等)的不斷出現(xiàn)與應用�����,我們對數(shù)據(jù)隱私保護技術提出了更高的要求。傳統(tǒng)網(wǎng)絡中的隱私主要發(fā)生在信息傳輸和存儲的過程中���,而外包計算模式下的隱私不僅要考慮數(shù)據(jù)傳輸和存儲過程中的隱私問題,還要考慮數(shù)據(jù)計算過程中可能出現(xiàn)的隱私泄露問題����。外包數(shù)據(jù)計算過程中的數(shù)據(jù)隱私保護技術,按照運算處理方式不同可分為兩種��。
① 支持計算的加密技術�����,是一類能滿足支持隱私保護的計算模式(如算數(shù)運算�����、字符運算等)的要求���,通過加密手段保證數(shù)據(jù)的機密性���,同時密文能支持某些計算功能的加密方案的統(tǒng)稱�����,如同態(tài)加密技術����。
② 支持檢索的加密技術����,是指在加密狀態(tài)下可以對數(shù)據(jù)進行精確檢索和模糊檢索,從而保護數(shù)據(jù)隱私的技術����,如密文檢索技術。
