隨著智能手機、無線傳感網(wǎng)絡(luò)���、RFID閱讀器等信息采集終端在物聯(lián)網(wǎng)中的廣泛應(yīng)用���,個人隱私數(shù)據(jù)的暴露和非法利用的可能性大增��。物聯(lián)網(wǎng)環(huán)境下的數(shù)據(jù)隱私保護已經(jīng)引起了政府和個人的密切關(guān)注��。特別是手機用戶在使用位置服務(wù)過程中�����,位置服務(wù)器上留下了大量的用戶軌跡��,而且附著在這些軌跡上的上下文信息能夠披露用戶的生活習(xí)慣����、興趣愛好���、日?;顒印⑸鐣P(guān)系和身體狀況等個人敏感信息�����。當(dāng)這些信息不斷增加且被泄露給不可信第三方(如服務(wù)提供商)時�,濫用個人隱私數(shù)據(jù)的大門就會被打開。
01 隱私的概念
狹義的隱私是指以自然人為主體的個人秘密����,即凡是用戶不愿讓他人知道的個人(或機構(gòu))信息都可以稱為隱私(privacy),如電話號碼���、身份證號���、個人健康狀況、企業(yè)重要文件等����。廣義的隱私不僅包括自然人的個人秘密,也包括機構(gòu)的商業(yè)秘密���。隱私蘊含的內(nèi)容很廣泛,而且對不同的人���、不同的文化和民族�����,隱私的內(nèi)含也不相同����。簡單來說,隱私就是個人�����、機構(gòu)或組織等實體不愿意被外部世界知曉的信息�。
隨著社會文明進程的推進,隱私保護也漸漸受到了人們的重視����。為了保護隱私,美國于1974年制定了《隱私權(quán)法》�,隨后,許多國家也相繼立法保護隱私權(quán)���。2002年我國頒布的《民法典草案》����,對隱私權(quán)保護的隱私做了規(guī)定,包括私人信息����、私人活動、私人空間和私人的生活安寧等4個方面�。我國在《侵權(quán)責(zé)任法》中也提到了對隱私權(quán)的保護。2012年12月��,我國出臺了《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》��,將網(wǎng)絡(luò)上的個人信息保護作為重點加以規(guī)定���。
隨著物聯(lián)網(wǎng)���、云計算、大數(shù)據(jù)�、人工智能等的快速發(fā)展,越來越多的人在日常生活中與各種網(wǎng)絡(luò)����、計算機和通信系統(tǒng)進行信息交互與共享。每一次交互的過程中必然會在通信和計算機系統(tǒng)中產(chǎn)生大量的關(guān)于“如何”“什么時候”“在哪里”“通過誰”“和誰”“為了什么目的”等的個人數(shù)據(jù)�,而這些數(shù)據(jù)中包含了大量的個人敏感信息���,如果處理不當(dāng),則很容易在數(shù)據(jù)交互和共享的過程中遭受惡意攻擊者攻擊而導(dǎo)致機密泄露�����、財物損失或正常的生產(chǎn)秩序被打亂�����,進而構(gòu)成嚴(yán)重的隱私安全威脅��。
王利明教授在其著作《人格權(quán)法新論》中指出:“在網(wǎng)絡(luò)空間的個人隱私權(quán)主要指公民在網(wǎng)上享有的私人生活安寧與私人信息依法受到保護�����,不被他人非法侵犯��、知悉����、搜集��、復(fù)制��、公開和利用的一種人格權(quán),也指禁止在網(wǎng)上泄露某些與個人有關(guān)的敏感信息���,包括事實����、圖像以及毀損聲譽的意見等��?!?/p>
但由于獵奇心理或是利益的驅(qū)動,許多惡意攻擊者仍然時刻覬覦著他人的隱私�。物聯(lián)網(wǎng)的快速發(fā)展,一方面促使大量隱私信息存儲在網(wǎng)絡(luò)上��,為惡意攻擊者提供了豐富的潛在目標(biāo);另一方面����,由于監(jiān)管的困難及安全防范的不足,惡意攻擊者也更容易通過網(wǎng)絡(luò)實施各種侵犯隱私的行為�����。2011年12月�,世紀(jì)樂知(Chinese Software Developer Network,CSDN)的安全系統(tǒng)遭到了黑客攻擊��,600萬名用戶的登錄名、密碼及郵箱遭到了泄露���。此外���,層出不窮的各類網(wǎng)上隱私照片泄露事件也都在提醒人們,存儲在網(wǎng)絡(luò)上的隱私其實處在一個十分容易泄露的環(huán)境中�����。
顯然����,僅僅依靠法律規(guī)范來保護隱私還遠(yuǎn)遠(yuǎn)不夠���,必須要從技術(shù)上防止惡意用戶竊取用戶隱私�。
保護隱私信息最常見的技術(shù)是加密�����。信息經(jīng)過加密后��,可讀的明文信息會被轉(zhuǎn)變?yōu)闊o法識別的密文信息�。即使密文被攻擊者竊取����,在沒有密鑰的情況下����,攻擊者也很難獲得有效信息。因此����,加密是保護隱私信息的有效手段。隨著計算機及互聯(lián)網(wǎng)技術(shù)的發(fā)展����,人們越來越多地依靠互聯(lián)網(wǎng)傳輸并存儲信息,其中不乏隱私信息�����,如網(wǎng)絡(luò)用戶的敏感信息���,甚至是經(jīng)濟�����、政治�、軍事機密。為了保障信息的安全���,人們通常需要把敏感信息加密后再存儲到網(wǎng)絡(luò)上�。
在具體應(yīng)用中�����,隱私即為數(shù)據(jù)擁有者不愿意披露的敏感信息�,包括敏感數(shù)據(jù)以及數(shù)據(jù)所表征的特性,如個人的興趣愛好����、身體狀況�����、宗教信仰�、公司的財務(wù)信息等。但當(dāng)針對不同數(shù)據(jù)以及數(shù)據(jù)擁有者時���,隱私的定義也會存在差別���。例如�,保守的病人會視疾病信息為隱私����,而開放的病人卻不會視之為隱私。從隱私擁有者的角度而言�����,隱私通?��?煞譃橐韵聝深?。
1)個人隱私
個人隱私(privacy of individual)一般是指數(shù)據(jù)擁有者不愿意披露的敏感信息�,如個人的興趣愛好、健康狀況����、收入水平、宗教信仰和政治傾向等����。
由于人們對隱私的限定標(biāo)準(zhǔn)不同,因此對隱私的定義也就有所差異�����。一般來說,任何可以確定是個人的�����,但個人不愿意披露的信息都可以認(rèn)定為是個人隱私����。在個人隱私的概念中主要涉及4個范疇:① 信息隱私、收集和處理個人數(shù)據(jù)的方法和規(guī)則����,如個人信用信息、醫(yī)療和檔案信息�,信息隱私也被認(rèn)為是數(shù)據(jù)隱私;② 人身隱私,涉及侵犯個人物理狀況相關(guān)的信息����,如基因測試等;③ 通信隱私��,信件�、電話、電子郵件以及其他形式的個人通信的信息;④ 空間隱私�,對干涉自有地理空間的制約,包括辦公場所�、公共場所���,如搜查、跟蹤�����、身份檢查等����。
2)共同隱私
共同隱私(privacy of corporate)與個人隱私相對應(yīng),是指群體的私生活安寧不受群體之外的任何他人非法干擾�����,群體內(nèi)部的私生活信息不被他人非法搜集�����、探聽和公開�����。公開共同隱私一般需要共同隱私人全部同意���。在沒有征得共同隱私的其他成員的同意與許可的情況下�����,披露共同隱私一般情況下也屬于侵權(quán)行為���。但是�,如果共同隱私主體之一或者全部為公眾人物或者官員�,則他們的隱私和共同隱私的保護也會受到社會公共利益的限制。為了滿足人們知情權(quán)的需要以及輿論監(jiān)督的需要���,有時候需要對共同隱私予以必要的限制�����,即在特殊情況下��,未經(jīng)當(dāng)事人同意而披露這部分共同隱私不屬于侵犯隱私權(quán)����。如果當(dāng)事人有特別約定部分共同隱私人可以披露他們的共同隱私���,則其也不會被視為侵權(quán)。另外,如果法律有特別規(guī)定��,則也不應(yīng)該視為侵犯共同隱私其他方的隱私權(quán)��。共同隱私不僅包含個人的隱私�,還包含所有個人共同表現(xiàn)出的、但不愿被暴露的信息�����,如公司員工的平均薪資�����、薪資分布等信息��。
02 隱私與安全
隱私與安全存在緊密關(guān)系�,但也存在一些細(xì)微差別。一般地�����,隱私總是相對于用戶個人而言的�,它與公共利益、群體利益無關(guān)�,是指當(dāng)事人不愿他人知道或他人不便知道的個人信息�,當(dāng)事人不愿他人干涉或他人不便干涉的個人私事����,以及當(dāng)事人不愿他人侵入或他人不便侵入的個人領(lǐng)域。
傳統(tǒng)個人隱私在網(wǎng)絡(luò)環(huán)境中主要表現(xiàn)為個人數(shù)據(jù)�����,包括可用來識別或定位個人的信息(如電話號碼�����、地址和信用卡號等)���、敏感的信息(如個人的健康狀況���、財務(wù)信息、公司的重要文件等)��。網(wǎng)絡(luò)環(huán)境下對隱私權(quán)的侵害也不再簡單地表現(xiàn)為對個人隱私的直接竊取���、擴散和侵?jǐn)_�����,而更多的是收集大量的個人資料����,通過數(shù)據(jù)挖掘方法分析出個人并不愿意讓他人知道的信息�����。
安全更多地與系統(tǒng)����、組織、機構(gòu)���、企業(yè)等相關(guān)����。安全涉及的范圍更廣��,影響范圍更大���,在我們?nèi)粘5奈锫?lián)網(wǎng)信息生活中�����,安全問題一定存在�����,包括身份認(rèn)證���、訪問控制���、病毒檢測和網(wǎng)絡(luò)管理等。
另外�����,安全是絕對的�����,而隱私則是相對的���。因為對某人來說屬于個人隱私的事情��,對他人來說可能不是隱私��。而安全問題往往和個人的喜好關(guān)系不大����,每個人的安全需求基本類同。況且����,信息安全對個人隱私保護具有重大的影響����,甚至決定了隱私保護的強度。
03 隱私度量
隨著無線通信技術(shù)和個人通信設(shè)備的飛速發(fā)展�����,各種計算機�����、通信技術(shù)悄無聲息地融入了人們的日常生活����,深刻地影響著人們的生活方式。人們在利用這些技術(shù)享受信息時代的各種信息服務(wù)帶來的便利的同時����,個人隱私信息也難免會遭到威脅��。雖然這些服務(wù)中融入了隱私保護技術(shù)���,但是,再完美的技術(shù)也難免存在漏洞��,面對惡意攻擊者的強大攻擊能力和可變的背景知識����,個人隱私信息仍舊會泄露。這些隱私保護技術(shù)應(yīng)用于實際生活中的效果如何?它們到底在多大程度上保護了用戶的隱私?基于此���,隱私度量的概念應(yīng)運而生����。
隱私度量就是指評估個人的隱私水平與隱私保護技術(shù)應(yīng)用于實際生活中能達到的效果��,同時也是為了測量“隱私”這個概念而被提出的����。度量和量化用戶的隱私水平是非常重要且必不可少的,它可以度量給定的隱私保護系統(tǒng)所能提供的真實的隱私水平���,分析影響隱私保護技術(shù)實際效果的各個隱私���,并為隱私保護技術(shù)設(shè)計者提供重要的參考���。
不同的隱私保護系統(tǒng)的隱私保護技術(shù)的度量方法和度量指標(biāo)有所不同,下面將從數(shù)據(jù)庫隱私��、位置隱私�����、數(shù)據(jù)隱私3個方面介紹隱私的概念與度量方法��。
(1)數(shù)據(jù)庫隱私度量
隱私保護技術(shù)需要在保護隱私的同時���,兼顧數(shù)據(jù)的可用性。通常從以下兩個方面對數(shù)據(jù)庫隱私保護技術(shù)進行度量����。
1)隱私保護度
通常通過發(fā)布數(shù)據(jù)的披露風(fēng)險來反映隱私保護度。披露風(fēng)險越小�����,隱私保護度越高。
2)數(shù)據(jù)可用性
數(shù)據(jù)可用性是對發(fā)布數(shù)據(jù)質(zhì)量的度量���,它可以反映通過隱私保護技術(shù)處理后數(shù)據(jù)的信息丟失情況:數(shù)據(jù)缺損越高���,信息丟失越多,數(shù)據(jù)利用率越低���。具體的度量指標(biāo)有:信息缺損的程度��、重構(gòu)數(shù)據(jù)與原始數(shù)據(jù)的相似度等�。
(2)位置隱私度量
位置隱私保護技術(shù)需要在保護用戶隱私的同時�����,能為用戶提供較高的服務(wù)質(zhì)量�����。通常從以下兩個方面對位置隱私保護技術(shù)進行度量�。
1)隱私保護度
一般通過位置隱私或查詢隱私的披露風(fēng)險來反映隱私保護度。披露風(fēng)險越小���,隱私保護度越高�。披露風(fēng)險越大,隱私保護度越低���。披露風(fēng)險是指在一定的情況下���,用戶位置隱私或查詢隱私泄露的概率。披露風(fēng)險依賴于攻擊者掌握的背景知識和隱私保護算法����。攻擊者掌握的關(guān)于用戶查詢內(nèi)容屬性和位置信息的背景知識越多,披露風(fēng)險越大��。
2)服務(wù)質(zhì)量
在位置隱私保護中���,通常采用服務(wù)質(zhì)量來衡量隱私算法的優(yōu)劣。在相同的隱私保護度下�����,移動對象獲得的服務(wù)質(zhì)量越高說明隱私保護算法越好�����。一般情況下��,服務(wù)質(zhì)量由查詢響應(yīng)時間、計算和通信開銷��、查詢結(jié)果的精確性等來衡量����。
(3)數(shù)據(jù)隱私度量
數(shù)據(jù)隱私披露風(fēng)險是指由于個人的敏感數(shù)據(jù)或者企業(yè)和組織的機密數(shù)據(jù)被惡意攻擊者或非法用戶獲取后,他們可以借助某些背景知識推理出個人的隱私信息或者企業(yè)和組織的機密信息�,從而給個人、企業(yè)和組織帶來嚴(yán)重?fù)p失�����。保護敏感數(shù)據(jù)常用的方法之一就是采用密碼技術(shù)對敏感數(shù)據(jù)進行加密�,因此,主要從機密性�����、完整性和可用性3個方面對數(shù)據(jù)隱私進行度量�。
1)機密性
數(shù)據(jù)必須按照數(shù)據(jù)擁有者的要求保證一定的機密性,不會被非授權(quán)的第三方非法獲知�。敏感的機密信息只有得到擁有者的許可后,其他人才能夠獲得該信息��。信息系統(tǒng)必須能夠防止信息的非授權(quán)訪問和泄露�。
2)完整性
完整性是指信息安全���、精確和有效,不因人為因素而改變信息原有的內(nèi)容����、形式和流向,即不能被未授權(quán)的第三方修改����。它包含數(shù)據(jù)完整的內(nèi)含,既要保證數(shù)據(jù)不被非法篡改和刪除���,又要包含系統(tǒng)的完整性內(nèi)含����,即保證系統(tǒng)以無害的方式按照預(yù)定的功能運行��,不受有意的或意外的非法操作破壞����。數(shù)據(jù)的完整性包括正確性����、有效性和一致性��。
3)可用性
可用性是指數(shù)據(jù)資源能夠提供既定的功能���,無論何時何地,只要需要即可使用��,而不會受系統(tǒng)故障和誤操作等影響�,此類影響會導(dǎo)致使用資源丟失或妨礙資源使用,進而使服務(wù)不能得到及時的響應(yīng)���。
04 隱私保護技術(shù)分類
隱私保護技術(shù)是為了既能使用戶享受各種服務(wù)和應(yīng)用�,又能保證其隱私不被泄露和濫用����。在數(shù)據(jù)庫隱私保護、位置隱私保護���、數(shù)據(jù)隱私保護的研究中已經(jīng)提出了大量的隱私保護技術(shù)�����,這些技術(shù)有些是相同的�����,有些因面向具體應(yīng)用而不同�����。
下面從數(shù)據(jù)庫隱私�����、位置隱私和數(shù)據(jù)隱私3個方面介紹常用的隱私保護技術(shù)�。
(1)數(shù)據(jù)庫隱私保護技術(shù)
一般來說,數(shù)據(jù)庫中的隱私保護技術(shù)大致可以分為3類��。
① 基于數(shù)據(jù)失真的技術(shù)�����,可使敏感數(shù)據(jù)失真但同時保持某些數(shù)據(jù)或數(shù)據(jù)屬性不變�����。例如���,采用添加噪聲、交換等技術(shù)對原始數(shù)據(jù)進行擾動處理����,但要求處理后的數(shù)據(jù)仍然可以保持某些統(tǒng)計方面的性質(zhì)��,以便進行數(shù)據(jù)挖據(jù)等操作��。
② 基于數(shù)據(jù)加密的技術(shù)����,它是一種采用加密技術(shù)在數(shù)據(jù)挖掘過程中隱藏敏感數(shù)據(jù)的技術(shù)�����,多用于分布式應(yīng)用環(huán)境���,如安全多方計算法��。
③ 基于限制發(fā)布的技術(shù)�,可根據(jù)具體情況有條件地發(fā)布數(shù)據(jù)��,如不發(fā)布數(shù)據(jù)的某些閾值���、進行數(shù)據(jù)泛化等��。
基于數(shù)據(jù)失真的技術(shù)����,效率比較高,但是存在一定程度的信息丟失;基于數(shù)據(jù)加密的技術(shù)則剛好相反���,它能保證最終數(shù)據(jù)的準(zhǔn)確性和安全性�����,但計算開銷比較大;而基于限制發(fā)布的技術(shù)的優(yōu)點是能保證所發(fā)布的數(shù)據(jù)一定真實����,但發(fā)布的數(shù)據(jù)會有一定的信息丟失�。
(2)位置隱私保護技術(shù)
目前的位置隱私保護技術(shù)大致可分為3類。
① 基于策略的隱私保護技術(shù)����,是指通過制定一些常用的隱私管理規(guī)則和可信任的隱私協(xié)定來約束服務(wù)提供商,使其公平���、安全地使用用戶的個人位置信息����。
② 基于匿名和混淆的隱私保護技術(shù),是指利用匿名和混淆技術(shù)分隔用戶的身份標(biāo)志和其所在的位置信息����,降低用戶位置信息的精確度以達到隱私保護的目的���,如k-匿名技術(shù)�。
③ 基于空間加密的隱私保護技術(shù)�����,是通過對空間位置進行加密以達到匿名的效果����,如Hilbert曲線法。
基于策略的隱私保護技術(shù)實現(xiàn)簡單��,服務(wù)質(zhì)量高�����,但其隱私保護效果差;基于匿名和混淆的隱私保護技術(shù)在服務(wù)質(zhì)量和隱私保護度上取得了較好的平衡���,是目前位置隱私保護的主流技術(shù);基于空間加密的隱私保護技術(shù)能夠提供嚴(yán)格的隱私保護��,但其需要額外的硬件和復(fù)雜的算法支持�,計算開銷和通信開銷比較大。
(3)數(shù)據(jù)隱私保護技術(shù)
對于傳統(tǒng)的敏感數(shù)據(jù)可以采用加密�、Hash函數(shù)、數(shù)字簽名�、數(shù)字證書、訪問控制等技術(shù)來保證其機密性��、完整性和可用性�。隨著新型計算模式(如云計算、移動計算���、社會計算等)的不斷出現(xiàn)與應(yīng)用���,我們對數(shù)據(jù)隱私保護技術(shù)提出了更高的要求。傳統(tǒng)網(wǎng)絡(luò)中的隱私主要發(fā)生在信息傳輸和存儲的過程中�,而外包計算模式下的隱私不僅要考慮數(shù)據(jù)傳輸和存儲過程中的隱私問題,還要考慮數(shù)據(jù)計算過程中可能出現(xiàn)的隱私泄露問題����。外包數(shù)據(jù)計算過程中的數(shù)據(jù)隱私保護技術(shù),按照運算處理方式不同可分為兩種�。
① 支持計算的加密技術(shù),是一類能滿足支持隱私保護的計算模式(如算數(shù)運算�����、字符運算等)的要求,通過加密手段保證數(shù)據(jù)的機密性����,同時密文能支持某些計算功能的加密方案的統(tǒng)稱�����,如同態(tài)加密技術(shù)���。
② 支持檢索的加密技術(shù)���,是指在加密狀態(tài)下可以對數(shù)據(jù)進行精確檢索和模糊檢索,從而保護數(shù)據(jù)隱私的技術(shù)�����,如密文檢索技術(shù)��。
