前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的隐私保护的原则主题范文,仅供参考,欢迎阅读并收藏。
杂的社会问题。在我国隐私权立法缺位的情况下,确立隐私权的法律地位并在此基础上对网络隐私权的保护机制进行建构已经成为当务之急。
网络隐私权保护是一项系统工程,在网民加强自我隐私保护意识之余,不仅需要相关的法律法规保护,而且所有需要与互联网相关的行业进行行业自律。在这两方面,美国和欧盟为我们提供了可供参考的模板。
美国:以行业自律为主导
美国是最早开始研究隐私权的国家,无论隐私权保护的意识还是采取措施,都走在了世界的前列。
在网络隐私权的保护上,美国除了政府机关及某些特定领域进行立法保护外,基本上采取以行业自律为主导模式。所谓行业自律是指业界通过采取自律措施来规范自己在个人资料的收集、利用、公开、交换方面的行为,达到保护网络隐私权的目的。美国之所以没有对网络环境下隐私保护进行全面、系统的联邦立法,主要是基于对互联网行业的优先发展的考虑,深怕由于在没有把握之前仓促立法会阻碍网络的发展,因此,对于网络环境下隐私保护问题,目前主要靠政府引导、行业自律的方式进行规范。
1993年,克林顿政府为实施其《NII行动计划》,成立了信息基础结构特别工作组(IITF),下设政府信息工作组、隐私工作组和知识产权工作组。1995年6月,隐私工作组发表了一份题为《个人隐私和国家信息基础结构:提供和使用个人信息的原则》的报告,该报告推出了一系列有关收集、加工、存储和利用个人数据行为的指导原则,并建议政府采取非管制手段来保护个人的网络隐私权,如采取合同模式、加强对信息相关方的教育或发生争议进行磋商调解等。1995年10月,美国国家电信与信息管理局根据上述原则和公众调查了《个人隐私与国家信息基础结构》白皮书,主题是保护与电信有关的个人信息。其中提到了网络环境下保护个人隐私的两大原则:告知和许可。其中,告知是指数据收集者在收集个人数据前应当告知用户收集何种个人数据及这些数据将如何利用;许可是经用户同意后,收集者才能按照事先宣布的用途使用这些数据,并向消费者提供限制使用和限制再利用个人数据的途径。
1997年,美国政府的《全球电子商务框架报告》提出了发展电子商务的基本原则:第一,民营部门必须发挥主导作用;第二,政府应当避免对电子商务作不恰当的限制;第三,政府必须参与时,其目的是致力于支持和创造一种可能预测的、受影响最小的、持续简单的法律环境;第四,政府应当认识到Internet的独立价值。可见,美国政府认为对于网络上的商业活动不应加以太多的法律限制,而应采取市场导向原则,以行业自律为主,对于自律机制不能解决的部分,政府将与产业合作,共同研讨解决的思路。在已经出台的有关网络隐私保护政策中,较为突出的是1994年5月公布的《关于隐私保护原则的宣言》及随后制定的《关于纳税人隐私权的政策声明》。
美国行业自律模式所采取的主要手段:建设性的行业引导;网络隐私认证组织;同行业界网络隐私保护自律规范;技术保护;安全港模式。
欧盟:以法律规制为主导
欧洲人认为,个人隐私是法律赋予个人的基本权利,应当采取相应的法律手段对用户的网络隐私权加以保护。
法律规制为主模式的基本做法是通过政府立法的方法,从法律上确立网络隐私权保护的各项基本原则与各项具体的制度,并在此基础上建立相应的司法或者行政救济措施。在这种模式之下,由法律来对网络服务商在网上的各种收集、传播和利用用户信息的行为进行限制,使网络服务商在网上收集、处理用户信息的行为更为规范,相对于用户来讲更透明,使网上用户的个人隐私权更容易得到保护。
网络环境下的隐私保护立法主要包括1995年制定的《欧盟隐私保护指令》、1996年通过的《欧盟电子通讯中的数据保护》、1999年的《网络个人隐私权保护的一般原则》、2001年出台的规范欧盟的职能机构组织处理和传播个人信息的专门规章、2002年通过新的《电子通讯隐私保护指令》等。欧盟通过上述一系列规章指令,在成员国内构建起了一套相对完备的网络隐私权的法律保护框架,为用户和网络服务商提供了清晰可循的隐私权保护原则。
这些法律规定具有以下特点:首先,将隐私权作为一项基本人权加以保护。1995年通过的《个人数据保护指令》的第1条就要求各成员国保护数据主体的基本权利和自由,尤其是保护个人数据处理方面的隐私权。其次,欧盟启用的是网络个人隐私权保护的高级标准。1995年的《个人数据保护指令》严格地规定了数据主体的权利及资料控制者的义务,1998年在正式实施该指令时又增加了相关条款,十分严格地限定了在传递和使用个人数据时必须遵守的原则。第三,使网络隐私权的保护呈现出国际化、统一化的趋势。欧盟不仅在国际贸易中积极推进相关法律制度的实施,而且还带有强制性色彩,如其在1995年的《个人数据保护指令》颁布后,就要求各成员国据此制定或调整本国的个人数据保护法,这种做法的目的是消除各成员国之间的数据传输壁垒。同时该指令第25条明确规定了欧盟网络用户的个人数据向欧盟以外的第三国进行传递的条件和要求。
两种基本模式分析
从国外有关立法实践来看,欧美在隐私保护的理念和立法政策上有所不同:前者强调法律的规范和强制作用并对隐私给予强有力的保护;试图通过法律的权威性、强制性和稳定性对个人隐私给予有力的保护以树立公众对网络和电子商务的信心,使网络安全给隐私保护造成的不利影响得以最大限度地抵消,从而促进网络和电子商务的健康发展;后者则强调行业自律和政策引导对隐私保护的作用,试图通过行业规范和政策的灵活性既兼顾对个人隐私的保护,又考虑到网络技术和电子商务发展的特点,尽量避免严格或不适当的立法给网络和电子商务的发展造成不利影响。虽然二者有上述不同,但从其立法或政策的原则和精神来看,他们对网络环境下个人隐私的保护还是具有以下共同之处:首先,在指导思想上,都注重合理平衡个人与社会、国家之间的隐私利益关系,既尊重个人的隐私权,又尊重社会的知情权,又不使对个人隐私保护成为网络发展的障碍;其次,在隐私保护的具体内容上包括个人数据的含义、对个人数据的收集、存储、传播、加工、维护更新等应遵循同意、合法、准确、公平、个人参与等原则。隐私或数据主体享有公开权、保密权、知情权、审查权、维护权、获得报酬权等隐私利益的支配权,并规定了ISP、电子商家、数据控制者等有关主体的相应义务;网络隐私侵权的归责原则、责任承担、责任豁免等。
启示与借鉴
物联网的普遍应用将为我们创造更加美好的生活,逐步影响我们生活的方方面面,尤其是在智能交通、智能家居、智慧农业、环境监测、物流、工业安全生产、城市公共安全等领域拥有广阔的应用前景,有可能渗透到通信业务的每一层。但是物联网的应用同时将有可能带来严重的安全问题和社会伦理问题,如物联网病毒、诈骗信息蔓延、黑客入侵、物网滥用、个人隐私泄露而受到侵害等。因此在我国物联网发展过程中,需要高度重视物联网的安全保障和隐私保护问题,从国家安全的战略高度出发,长远规划、密切关注、缜密布局,详细制定和实施对策措施,以防患于未然。一、物联网的信息安全研究
随着社会信息化的深入,对于计算机信息的安全保护越来越受到重视,多年来一直是国内外重点研究领域。为了提供安全化的信息服务,必须要认清信息安全的五大要素,主要包括认证,认证是安全的最基本要素,当用户使用一个平台的时候,首先必须要知道用户的身份。在平台的设计中,必须要对每一个可能的入口采取认证措施,不允许出现无差别入口,从而达到安全漏洞的防范。
此过程必须具备以下几点特征:
1.授权,简单来说,授权就是对权限控制的控制。是给予合法用户使用系统资源和进行行为监控的权利的过程。授权可以授权特定对象,授权一组对象或基于对象的角色授权它们。
2.保密,如果说认证和授权是信息安全的基础,保密则是必要手段。保密室要确保信息在传输期间信息不被窃取。例如,当被认证和授权的合法用户通过网络访问信息时,信息在传送过程期间有被其他人非法截获的危险。加密和解密技术是确保机密性的重要手段。
3.真实性,假如信息在存储或传输期间被修改,就破坏了信息的真实性,这甚至比信息被窃取造成的后果还严重。
4.不可否认性,这一点主要是确保事件的可查性和可追溯性,无论是授权使用还是非授权使用,都应该可查、可追溯,这样在出现安全和纠纷问题的时候,才能更容易定位安全问题发生的原因。
对于物联网的安全防护,是如今物联网研究的热门领域之一,为了加强保密性,提出了一种基于无线传感器网络的公私钥密码算法和局部安全算法等等,大大增强了物联网节点与基站之间的安全通信。
二、物联网的隐私保护研究
在信息传递、交换的过程中,会存在很多机密的、高敏感度的私密信息,只有当一个平台能充分尊重个人隐私,得到用户信任,才能提升客户体验。安全性、维护隐私性、可信任性、非强迫性、易用性是一个物联网平台是否成熟的標志要素。
W3C理事会在定制一系列网络标准、协议的时候对隐私保护也有相关的规定,即P3P协议,本意用于授予用户对他们平台个人隐私更多的控制,而现在P3P标准的构想是:WEB站点的隐私策略应该告之访问者该站点所收集的信息类型、信息将提供给哪些人、信息将被保留多少时间及其使用信息的方式。
在搜集和通信中保护信息隐私,首先就要做到安全中的保密属性,因此使用成熟的密码技术是隐私保护的基础。对于网络通信的隐私保护,必须要提到在传感器数据搜集过程中的保护技术。因此,在服务器采集实时传感器数据的时候,必须要采取一些特殊的手段,如改变发包频率、改变网络包大小、发送虚拟包、对采集时间、位置信息进行必要的保护等手段,即使数据在传输过程中被获取,也无法确定具体数据内容,从而达到隐私保护的效果。同时,在物联网的隐私保护的过程中,不能忽视一些环境感知的数据,如占用率、内存使用率等,因为这些数据很容易推断出实际数据的内容。
另一个在隐私保护领域里比较成熟的方式是使用匿名网络传输中无法区别不同设备或者不同用户数据的时候,窃取的数据就失去了意义。匿名对隐私保护有很重要的意义,这样可以保证信息在发送给第三方的时候不会对源信息的隐私造成泄漏,但是在做隐私保护的时候,不能忽视安全保护的不可忽略原则,不然很容易造成系统的混乱。
隐私保护与安全的不同地方在于,安全问题是第三方可以进行客观判断,对于某操作是否对数据源或其拥有者造成破坏,但是隐私问题前提是要尊重用户的设置。可能对于用户,第三方对于某信息的操作泄漏了他的隐私,但对于用户同样的信息的相同操作,认为并没有泄漏隐私。
基于物联网的隐私保护策略可以归纳为:
1.信息隐私保护策略:选择性发送数据,用户的隐私信息可以发送给用户可信的用户群,但是不可以泄漏给用户不可信的、敌对的用户群。
2.泛化策略:对于信息特征值明确的场景,如数据包大小独特、传感器发包频率独特等情况,需要进行一定的泛化操作。不允许在一个数据集里面轻易的获得某个特定的数据。
3.集合操作策略:在物联网平台中,由于数据环境感知性较强,对于单独数据的隐私保护可能起不到效果,因此需要对相似数据或含有同一特征的数据进行集合隐私保护。例如,对于用户节点信息的匿名操作,需要同时对该节点的位置信息进行匿名。
4.信息可信策略:信息对于平台应该完全可信,平台对于信息的匿名或模糊,不能影响可信第三方获得数据的可靠性。这种可信,又称为“主观概率”,要求用户、平台都需要规范自己一系列的操作。
结束语
综上所述,需要加强物联网道德和伦理的研究、宣传、教育,努力建设物联网绿色文化。要努力形成社会对物联网道德和物联网伦理的共识,强化物联网道德和伦理意识,坚持合理利用物联网。使大众对物联网行为有较为准确的道德判断并形成社会舆情,使物联网道德和伦理内化为公众内在的行为约束机制,努力建设绿色、和谐的物联网文化。
参考文献
[1]物联网隐私保护研究进展[J].董晓蕾.计算机研究与发展.2015(10)
[2]物联网安全与隐私保护研究[J].王和平,景凤宣.微型机与应用.2015(05)
[3]无线传感网数据聚合隐私保护协议分析[J].聂旭云,倪伟伟,王瑞锦,赵洋,秦志光.计算机应用研究.2013(05)
关键词:征信业;隐私保护;信息共享;立法
中图分类号:F830文献标识码:B文章编号:1007-4392(2009?雪10-0027-03
一、征信立法对消费者隐私权保护国际比较
当今国际上,对个人信息收集、使用保护方面大致可分为以美国为代表的平衡保护立法模式和以欧洲大陆为代表的严格保护立法模式。美国认为牺牲一些隐私是融入并享受信息经济应付出的代价,平衡考虑了征信机构发展和个人权利保护两方面因素。欧洲大陆认为在充分保护隐私权的基础上才能收集和使用个人信息,欧盟的数据保护法令只是设定了隐私保护的最低基本标准,并不阻止单个的欧盟国家对征信机构的活动实行更严格的限制。
在对消费者隐私权保护的具体制度设计方面,美欧也有许多共性,多数国家均是通过对征信过程中各个环节的严格把关来实现隐私权保护的,具体体现在对征信范围、征信方法、信息的使用目的和公开范围、个人商业信用信息共享的限制等规定中。
(一)个人信息征集范围的立法比较
1.正面信息和负面信息。信用信息可以分为正面信息和负面信息。正面信息主要包括:提供贷款的日期、数量、到期日、担保、抵押类型、还款历史记录等等。正面信息可以在防止过度负债、提高信用报告预测能力等方面发挥很大作用。各国对正面信息是否在征信范围内有不同的法律规定。美国、德国、意大利、日本等大多数国家的法律,允许个人征信局收集有关消费者行为的正、负面信息。在部分欧洲国家,如比利时和法国,金融机构只提供负面信息,在东南亚、澳大利亚、韩国、香港等地,个人征信局也只允许收集有关消费者信用的负面信息。
负面信息的披露可以使征信业发挥失信惩戒机制的作用,但是负面信息不应永远对消费者造成不利影响,人人都应该有改过自新、重建信誉和社会地位的机会。因此大多数国家对信用报告中历史数据的年限都做了限制性规定。如美国1971年颁布的《公平信用报告法》第605节规定,禁止征信机构向信用报告使用者提供10年以上的破产信息,7年以上的任何民事诉讼、民事判决、被捕记录、缴纳欠税滞纳金记录、被追收或被冲销坏账负面记录(刑事犯罪记录不受7年时限的限制)。
2.敏感信息。国际上普遍认为应当特别保护个人敏感信息,保护的手段有禁止或限制采集及禁止披露个人敏感信息。欧盟法令规定,除非当事人明确同意,不得披露有关种族、民族、政治观点、宗教或哲学信仰、健康或性取向等个人信息。美国虽然允许采集个人敏感信息,但规定这些信息不得用于信贷决策,同时也禁止在个人信用报告中披露个人的敏感信息。拉美国家对敏感信息也做出了特别的法律规定。如阿根廷规定,为法定公共安全的目的或出于统计和科学研究的需要,在不透露个人身份识别信息的情况下,才可以采集、分析个人敏感信息。
(二)个人信息采集方式的立法比较
为了尊重征信的数据主体的隐私权,大多数国家规定:除个别情况外,原则上征信机构采集信用信息应事先征得消费者本人同意。同意原则可以分为“明确同意”原则和“知情同意”原则。
“明确同意”一般是指征信机构在采集消费者的信用信息时必须获得数据主体的书面授权,这样做显然会增加数据采集的成本,并带来法律上的不确定性。因此,除了法国等少数国家以外,其他国家大多采用“知情同意”原则,即信息收集者在收集信息时,无须取得消费者同意,但会不断地向当事人通报有关他们的信息的主要用途和次要用途,使当事人有机会对其数据的使用表示同意或不同意。如果当事人在知情后的合理期限内没有反应,则视为同意。如美国的个人信用局收集消费者个人信用信息不需要取得消费者的同意,大多数授信机构也会将消费者的不良记录主动提供给信用局。在英国,其《数据保护法》只对敏感数据需要“明确表示同意”,而对一般数据只需简单同意,不要求获得事先的书面授权。
(三)个人信息使用限制的立法比较
在个人信用报告的使用上,多数国家都确立了“严格目的限制原则”。如英国《数据保护法》规定:只有为特定的合法的目的,才能持有个人数据,使用或透露个人数据的方式不能与持有数据的目的相冲突。但“严格目的限制原则”只是一个必要条件,征信机构合法提供信用报告或信用数据还必须经过“主体授权”,即取得数据主体的书面同意,这是各个国家比较通行的做法。
欧盟的《数据保护法令》规定,个人数据的使用仅限于合法的目的,需得到数据主体的明确同意,甚至有些欧盟各成员国的某些规定更加严格。在法国,不仅每次将个人数据录入数据库时必须经本人书面同意,而且每次信用报告时必须再次取得本人的书面授权,这不仅增加了征信机构采集成本,也严重阻碍了该国的私营征信局的发展。
美国倾向于通过提高消费者信息的透明度来减少银行体系的风险,维护公众对金融体系的信心,只要符合“许可目的”的人,如债权人、保险商、雇主和房东,即可购买信用报告,即隐含了可能会出现没有数据所有者明确允许的情况。宽松的信息数据保护环境极大促进了美国征信业的发展。
(四)启示
1.各国隐私保护立法的多样性,对征信业的发展产生了不同的影响。立法上对隐私给予充分、适度的考虑既保护了消费者合法权益,也间接地服务于经济效率。过度的隐私保护则会限制数据采集和传播,增加信息采集和分析工作的成本,降低征信业的效率。
2.正确认识并处理好隐私保护与信息对称的关系,对于征信体系建设至关重要。虽然信息对称与隐私权的保护之间有不可避免的矛盾和冲突,但通过周密、完善的制度设计完全可以协调两者的关系,在尊重和保护消费者隐私权的前提下,使征信业得到快速、健康、持续的发展。因此,征信立法应力争在个人信用信息公开和消费者隐私权保护两者之间寻求最佳平衡点。
3.建立适度的失信惩戒机制。目前,我国征信系统中对负面信息的保留时限,以及贷款偿还后不良记录是否删除尚无明确的法律规定。征信系统需设置适当的存储记录时限,使系统对失信行为的“宽恕”空间恰到好处,即在约束借款人的同时又给他们提供纠偏的“第二次机会”。从国际经验看,征信系统对负面信息保存时限太短会影响征信系统的价值,降低征信系统促进按时还款的作用。较长时间的保留消费者信用历史,有助于加强“信用文化”的建设,增强偿还意愿。尤其是我国在对债权人的权利保护相对弱、执法不得力的情况下,对借款人的纪律约束的必要性就比其他国家显得更为迫切,在制度设计上建议我国征信系统的负面记录保留时限相对长一些,以促进大众信用意识的尽快提高。
二、我国个人征信中对消费者隐私权保护立法现状
近几年我国征信业步入快速发展的轨道,但现行立法还没有形成完整的法律保护体系,公民隐私保护意识尚淡薄,隐私权无法得到有效、全面保护。当前,信用报告查询、异议处理纠纷日益增多,征信诉讼案件频出,已经暴露出了立法滞后问题的严峻形势。我国发生了多起身份证被他人冒用办理贷款的案件,身份证件被冒用已经成为我国征信活动中身份盗窃案件的主要形式之一。根据中国人民银行征信中心2008年对6家全国性商业银行的调查,因信用报告不准确引发的诉讼案件从2005年开始逐渐增加,2005年至2008年发生的118讼案件中,涉嫌身份伪冒、办理虚假贷款或信用卡的案例占36%,是引讼的第一大原因。引发这类侵权事件的主要原因可以归结为我国的个人隐私保护的法律缺失及监管存在漏洞。
(一)现行相关法律对消费者隐私权的保护
我国《宪法》规定了公民的人格尊严、住宅、通信秘密权不受侵犯;《刑法》、《民事诉讼法》、《刑事诉讼法》和其他一些行政性法律法规从刑事、民事、行政责任、程序等角度对公民隐私权的保护做出了规定。对于商业、技术秘密的保护,《民法通则》、《商业银行法》、《合同法》、《商标法》、《专利法》以及其他相关的法律法规也有规定。但总体看,多数法律条文及司法解释中涉及隐私保护的内容还不完善、不具体,没有形成完整的法律保护体系。
(二)征信立法对消费者隐私权的保护
1.征信法规。2002年我国启动了《征信管理条例》立法工作,经过几年艰难探索,目前《征信管理条例》已经列入了2009年国务院立法工作安排中的一档项目,有望出台。但是目前在我国,个人征信数据的采集和应用、界定个人信用数据的开放与保护个人隐私的关系等方面尚没有明确的法律依据。
2.地方性征信法规。部分地方出台了地方性征信法规,例如,2002年1月1日起实施的《深圳市个人信用征信及信用评级管理办法》和2004年2月1日起实施的《上海市个人信用征信管理试行办法》是国内两部最早以政府令形式的规定个人信用征信的政府规章,在一定范围内为个人征信业务的开展提供了依据。
3.部门规章。2005年中国人民银行公布了《中国人民银行个人信用信息基础数据库管理暂行办法》,简称3号令,是目前关于个人信用信息管理较为权威的一部行业规章,对个人信用信息的报送、查询、异议处理、安全管理等都做了明确规定。如第十三条规定,除对已发放的个人信贷进行贷后风险管理之外,商业银行查询个人信用报告时应当取得被查询人的书面授权。但3号令属于部门规章,缺乏普遍的约束力。
三、几点建议
(一)加快征信立法,在保护消费者隐私权的前提下促进征信业健康发展
一是要明确政府机构信息公开的办法,明确其信息公开的内容、范围和具体方式,为征信机构能够公平、方便地使用政府的信息资源创造制度保障;二是对涉及个人隐私、商业秘密和国家安全的信息内容进行明确的界定并制订出相关的保护措施。三是出台征信行业的管理规定,对征信机构,特别是个人征信机构采集和使用信用信息的行为进行规范。
(二)正确处理隐私权保护与信息共享的关系
在处理隐私保护与信息共享的关系上,建议遵循三个原则:1、社会政治及公共利益原则。个人隐私原则上受法律保护,但如果涉及社会政治及公共利益,就要区别对待,以后者为先。2、权利协调原则。两者发生冲突时,应进行适当协调。通过较小范围内公开隐私,满足知情权的需要。3、人格尊严原则。涉及某些个人隐私时以不伤害其人格尊严为目的。建议我国在上述原则的指导下,借鉴国际经验,结合本国实际,设计详细而周密的个人信息公开和隐私权保护制度。
(三)设计符合我国国情的信用信息采集和披露制度
我国征信业尚出于初级发展阶段,社会信用环境欠佳,征信机构信息来源渠道不畅,服务成本高,生存发展困难。为给予征信机构更为宽松的发展空间,降低采集、披露信息的成本,扶持民族征信机构做大做强,适应当前经济社会发展的需要。建议在信息的采集,除个别情况外,采用“知情同意”原则,信息披露方面可借鉴美国的做法,对数据的使用权根据是否具有“许可目的”而确定。
关键词:隐私策略;位置信息安全;访问控制;角色分级
DOI:10.16640/ki.37-1222/t.2017.04.129
1 移动互联网隐私保护技术的研究现状
移动物联网技术的迅速发展,可以使我们利用 GPS 系统很容易地获得终端使用者的位置信息数据。这些服务以用户的位置信息为基础,为生活提供了便利。与此同时用户的位置信息保护也被人们所重视。个人位置信息是 GPS(全球定位系统)通过卫星直接将位置信息和时间数据发送到用户的移动无线终端。移动终端将用户显示在平面地图的位置信息与很多数据并行处理来提供新的服务用户平面地图的位置信息需要用户能够获得 3 个卫星信号才能显示。
位置隐私的研究应该先从社会、法律的方面进行分析。明确位置隐私保护的法律地位。 从民法到刑法多层次保护, 尽快制定专门法律、 法规。国外的隐私保护方案已相对比较完善:
(1)美国的网络科技和电子商务较为发达,注重个人隐私权的法律保护问题。在众多法律中,最重要的是 1986 年颁布的《电子通讯隐私法案》。它明确指出了通过截取、访问或者泄露个人通信信息,侵犯个人隐私权的问题、及责任归属问题,禁止“向公众提供电子通信服务” 的供应商提供给任何未经批准的实体有关服务过程中所产生的通讯内容;
(2)欧盟也完善了法律框架体系。1995 年颁布了《电子通讯资料保护指令》和《欧洲电子商务行动方案》。上述的法规和指令为使用者、 网络服务商、政府机构等提供了明确可循的规则,同时完善欧盟的互联网保护隐私权的法律框架。另外,与欧盟成员有特殊关系的国际组织,如: 经济合作与发展组织也非常重视对隐私权的保护问题,尤其是针对个人隐私数据的保护。
(3)日本提出隐私保护五原则。1982年9月制定了《 个人数据信息处理中隐私保护对策》,其中明确指出了保护隐私的问题需要遵循的五项基本原则。“互联网隐私保护是隐私权在网络环境中的延伸”,在我国首先是宪法层面的保护,如:宪法第40条对公民通信自由和通信秘密的保护。其次是民法层面的保护,主要涉及的法律法规是民法通则和 2011 年实施的侵权责任法。因此,我国应当在技术上加强公民隐私权的保护,同时,也应当加强法律法规的约束作用。
2 移动互联网隐私保护概述
位置信息由地理位置信息和标识信息共同组成。地理信息表示移动用户现在所处的地点,一般由经纬度来体现用户的踪迹。标识信息用来标识唯一用户。我们可以将现有的保护技术大致分为以下三种:假数据法、泛化法和抑制法。
假数据法即使用者向位置服务商报告本人位置信息时, 会报告多个系统产生的用户位置信息或者报告一个虚假信息。 即使用户的位置信息在传输的时候被不法分子所拦截, 也无法从这些假的位置信息中获取用户真实的位置信息。 假数据法在实现时, 只要在用户端添加位置服务功能或者添加合适的位置信息保护组件即可, 而服务器端可不用改变。 这样的设置简单且容易实现, 开销少, 但是会增加用户端的负担, 会导致信息隐私保护性较差造成数据失真等。
泛化法即将位置信息泛化成相对应的匿名隐匿区域,来实现位置信息的保护和隐藏。此方法主要有两种类型:(1)可运用一个诚信度高的第三方来保护用户的私密信息并帮助生成隐蔽空间,该方法一般是集中式的或者分布式的;(2)隐匿空间由移动用户彼此点对点通讯来合成。第一种方法来说需要极高安全度和可信度的第三方来完成数据的计算和通信,第三方成为了主要安全保障;第二种方法中生成了较弱抵御攻击能力的隐匿空间和效率较低的生成过程,这是移动设备的通信状况以及电池容量等一系列限制因素导致的。上述两种方法中位置服务提供商都应先对位置信息进行查询再来解决使用者的隐匿空间保护请求。
抑制法即在实际应用中根据现实条件来公开用户的位置信息达到保护的目的。 抑制法有两方面标准: 抑制敏感且多次访问的位置信息; 抑制会导致二次泄露的位置信息。抑制法相对实现起来较简单,安全性较高, 但可能会造成用户数据的严重失真。
对于位置信息保护技术来说,学术界提出来三大类解决方案:匿名空间技术、虚拟位置技术、虚拟名称技术。
匿名空间技术的主要方法是由系统设计生成一个空间来代替用户所处的真实空间并将位置信息发送给位置信息提供商,使攻击者很难在这个空间内分析出用户真实的位置信息,达到扩大用户位置信息范围的效果来保护用户的位置信息不被窃取。
虚拟位置技术是移动用户发送给位置服务提供商的是系统自动生成的假位置信息,这些假位置信息是由系统进行相应计算得出,攻击者很难获取使用者位置真实信息。
虚拟名称技术是将用户的真实名称采用假名进行替代,假名形式多变且可以实时更换,有效地防止了不法分子对用户位置信息的跟和窃取,即使是获取了用户的虚拟名称它也无法将用户真实信息与其匹配。国内外学者都重点研究保护位置信息所达到的“安全性程度”和“算法效率”。
3 移动互联网隐私保护策略的研究现状
国内外研究中,移动互联网位置保护技术大致可分为两个方面: 一方面隐匿用户 ID,使攻击者无法将获取数据与使用者真实数据相联系。 另一方面为保护使用者实际的位置信息, 提供给服务提供商一个地理位置区域,使其很难从泛化区域内找到用户精准位置。隐匿用户 ID 的方法多采用假名和匿名方式。 Beresford 和 Stajano最早提出 mix zone 身份保护方法。此方法引入了应用和混合区域, 在混合区域用户可用任意假名代替自己的真实 ID信息,目前已提出的位置匿名系统有:独立式、中心式、点对点分布式结构。国内外研究者常使用的匿名技术分为:匿名技术、假名技术、K-匿名等。最早提出的匿名技术是由 Marco Gruteser的 K-匿名基础模型。今很多学者都对传统 K-匿名模型进一步研究,提出多种新型隐私保护方法。Jin Z P和 Xu Jian 等人利用隐匿通信路径来保护真实位置与用户ID的联系,并在实际应用中进行了实现。Yao Lin 等人提出了改进的 K-匿名技术区分模糊区域,使攻击者不能识别用户真实位置区域。Liu S B提出了策略空间叠加技术来进行泛化区域的叠加来达到保护用户位置信息的目的。Y Sun、T.F.LPorta 和 P Kermani 提出了基于密钥机制的位置保护模型对用户位置信息实行保护。
4 移动互联网隐私保护技术存在的问题
目前,国内外研究学者也提出了很多策略来避免移动用户的位置信息受到威胁。国内外学者提出的方法基本上是以降低位置数据准确度来进行保护,例如:假地址技术等。虽然这种技术能在某种程度上避免使用者的位置咨询受到威胁,但是也降低了此项服务的品质。提
出的匿名空间技术,需要引入第三方可信机构这就造成了其安全性能会下降,第三方机构也会成为通信瓶颈。存在的问题可分为以下几点:
(1)保护手段单一。如移动用户可以选择对应用软件是否安装使用, 使位置服务提供商不能随意获取用户位置信息,但当用户安装软件并使用时往往对系统认定的权限是开放的,这就会导致用户面临着“好友” 会时刻掌握用户的位置信息,导致用户位置信息的泄露。例如:用户在应用软件中一条动态信息,信息会显示用户所在位置和用户的行为轨迹。一旦用户疏忽,便会造成位置信息被泄露。
(2)数据存储不安全。用户的行为轨迹数据存储在手机中,用户最近的位置数据一般存储在本地,而登录是用户自己设置的登录密码,一旦密码被攻破,那用户的位置信息将会被窃取,如果用户的手机丢失则会造成用户行为轨迹信息大量遗失,如果被不法分子盗取会导致隐私数据的二次泄露。
(3)漏洞发现修补过程较慢。对于接入移动互联网并公开用户位置信息的保护研究较少,对于这种情况常常面临边修补、先受害,后修补的漏洞防御形式往往滞后性强、安全性较低、开发周期长、设备要求高等问题,单方面漏洞修补不能保证位置数据不被获取。同时也没有考虑微量的信息泄露会造成大量隐私信息被挖掘和分析所造成的危害。
参考文献:
[1]刘丹.基于匿名空间的位置隐私保护技术研究[J].吉林大学硕士学位论文,2013:6-24.
[2]彭志宇,李善平.移动环境下LBS 位置隐私保护[J].电子信息学报,2011,33(05):74-76.
[3]丞.移动互联网隐私泄露研究[J].北京邮电大学硕士学位论文, 2012:4-26.
[4]刘昭斌,刘文芝,顾君忠.基于隐私的保护的策略空间叠加模型研究[J].计算机应用研究,2010,27(10):3890-3892.
1.1 隐私权保护意识淡漠、机制不够健全。由于受学生档案管理人员专业素质等因素的制约,一些高校对学生档案只重视档案本身的管理,而对隐私保护缺乏认识或意识淡薄。对于学生而言,根本没有意识到保护自身隐私不受非法侵犯具有相当的重要性。从机制上讲,很多高校没有建立相应科学规范的学生档案隐私保护机制或机制不健全,往往采取传统档案管理“三步走”的方式,即收集、整理、转寄,程序上缺乏严密性,严重影响了学生档案的隐私保护。
1.2 学生档案隐私信息被非法透漏。每个人都有着属于隐私范畴独有的私密,对学生而言,其身份证号、家庭出身、生理缺陷、不幸遭遇等都属于隐私。学生档案利用者基于管理等工作的需要,从档案中获取的这些信息,都属于隐私范畴,应该保密而不得泄露,更不能以此牟利。但实际上,这些隐私信息往往被泄露给未经授权的个人、企业,等等。
1.3 信息时代下档案管理的安全问题。档案管理者及使用者在享受数字开发成果的同时,数字信息因多种因素的制约也不可避免地存在安全漏洞,给不法分子以可乘之机,致使学生的隐私权遭到侵害。
2 学生档案隐私权的立法完善和司法救济
2.1 学生档案隐私权保护的立法原则
2.1.1 “慎重修法”原则。法律的连续性、稳定性和权威性,要求法律体系调整必须具备充足的理由。必须进行充分论证,确立修法合理性基础;讲究策略,充分考虑立法成本,根据实际选择修法范围、程度和步骤,不可简单而行。
2.1.2 “实践发展”原则。一方面,法律法规的修缮需要不断满足实践发展的需要,以保证法律法规的现实性。另一方面,法律法规要有前瞻性,防止信息技术等因素的迅猛发展导致法律失时。
2.1.3 “法际协调”原则。法际关系协调原则亦称“不矛盾性”原则,是法治统一原则的基本要求。修法时,要通盘考虑其与相应行政法规、规章的相互关系,注意同其他法律、法规的协调配合关系,避免对接不良现象。
2.1.4 “以人为本”原则。“以人为本,学生为先”应是高校教育永恒的主题。档案工作的宗旨既要满足档案管理者及用户的知情权和使用权,也要对档案主体隐私信息进行有效保护,这就要求档案法规的修订须坚持“以人为本”的精神和原则,明确和完善相关的隐私权保护和救济措施。
2.2 建立有效监督机制,疏通司法救济途径
2.2.1 健全外部监督机制。基于不同的法律传统和价值取向,目前,世界法学界形成了两种主流的隐私保护监督机制的实践。一种,是设立统一、专职的监督机构。例如,欧盟的《个人数据指令》、我国香港地区的“个人资料隐私专员”等。另一种,是仅针对作为个人信息控制人的公共部门设立专门的监督机构,而对非公共部门则倡导业界自律,如日本、美国、韩国。而就我国目前实际看,“倡导自律”显得有些理想化,这方面,可以借鉴欧盟的一些做法,设立专职机构,明确档案信息隐私权利,并建立相应配套机制。
2.2.2 疏通学生档案隐私权的司法救济途径。司法救济是权利的最后救济途径,应当体现法律对于社会实质平等的追求。而目前,司法机关在处理学生隐私权案件时,没有充分考虑弱势群体学生的利益,常以不予受理或其他简单的技术操作进行处理,不作实质性判断,从而阻断了学生的最终司法救济。笔者认为,应逐步完善相关法律的适用规则,使学生及类似弱势群体的隐私权救济得到恰当受理和裁判。
关键词:数据库;隐私保护;技术;数据失真;数据加密;限制保护
中图分类号:TP309 文献标识码:A 文章编号:1007-9599 (2012) 09-0000-02
相关工作人员需要清醒的认识到一个方面的问题:一方面,对于数据挖掘而言,其最关键的目的在于将数据库系统数据中那部分潜在利用价值表现明显的知识、模型以及规则有效抽取出来。就传统模式下的数据挖掘技术而言,其在抽取知识模型的同时也给整个数据库的有效运行带来了极为不利的隐患。数据在抽取中不得以而暴露出的敏感数据处在了公开化状态之下;另一方面,对于数据而言,其最关键的目的在于将数据库中所储存的有利信息以一种直接且直观的方式展现在数据库系统终端操作用户面前。传统数据在数据保护问题上的缺失同样潜在敏感信息泄露的可能性,由此而造成的数据使用者的损失不可预估。换句话来说,将隐私保护技术引入数据库应用当中已成为新时期数据库系统建设完善的必然选择与发展趋势。那么,现阶段面向数据库的隐私保护技术的研究情况如何?数据失真、数据加密以及限制技术在数据库隐私保护中有着怎样的应用优势呢?笔者现结合实践工作经验,就这一问题谈谈自己的看法与体会。
一、隐私保护研究方向及研究现状分析
相关工作人员必须明确一个方面的问题:数据应用与隐私保护从哲学角度上来说是一对相辅相成的有机整体。数据应用的形成是导致隐私保护问题产生的最根本原因。在针对隐私保护问题进行研究的过程当中,隐私保护技术研究方向的确定是由数据库系统在实际应用过程当中差异性的隐私保护需求所决定的。一般来说,通用私保护技术将隐私保护设定在了较低应用层次数据库数据范围之上,在统计模型引入的基础之上应用概率模型对隐私保护进行算法验算。对于面向数据挖掘功能的隐私保护技术研究而言,其最主要的隐私保护对象设定为数据库系统中的高层数据应用,以不同数据挖掘操作的差异性特性来制定并实施针对挖掘信息的隐私保护措施。对于面向数据功能的隐私保护技术而言,其研究重心在于针对数据一般原则制定一种具备高度适用性的隐私保护策略,并确保基于隐私保护策略所执行的隐私保护算法具有同等适用性。
面向数据库隐私保护技术所呈现出的系统性、集成性以及适应性使其成为了当前数据库及隐私保护研究领域的研究中心。在当前技术条件支持之下,我国关于隐私保护技术的研究主要集中在基于数据失真、数据加密以及限制保护技术的研究之上,兼顾各种隐私保护算法的研究。处于隐私保护技术研究初级阶段的我国,在该领域有着极为广大的潜在发展空间与潜力。
二、隐私保护技术分类分析
在现阶段隐私保护技术的研究领域当中,至今仍未发现一种能够通用于各个领域的隐私保护技术。其均有着一定的限制性。一般来说,我们可以将当前应用较为广泛,研究较为成熟的隐私保护技术划分为以下三个方面——1.基于数据失真。这种隐私保护技术的关键在于其在促使数据库中敏感数据失真的同时确保了以上数据基本属性及信息结构的完整性。针对原始数据所实施的扰动处理同样能够满足后续数据挖掘提出的统计性质要求;2.基于数据加密。这种隐私保护技术的关键在于以信息加密的方式将整个数据库在数据挖掘环节中有可能暴露的敏感数据进行二次处理。目前广泛应用于分布式环境下数据库系统的隐私保护当中;3.基于限制。这种隐私保护技术的关键在于对所数据库系统在数据环节中预备的数据进行加工处理,有条件的隐藏数据的某部分域值以及泛化。在面向数据库的隐私保护实践中,基于数据失真隐私保护技术表现出了较高的应用效率,但始终无法避免一定量的数据信息丢失问题;而基于数据加密隐私保护技术则表现出了良好加密数据良好的安全性及精确性,但其在整个数据加密算法中的劳动力及软件消耗较大,实用性存在一定的影响;基于限制隐私保护技术最大的优势在于它能够确保所发挥数据的真实性,但却同基于数据失真隐私保护技术一样,无法规避数据库系统数据在数据环节中的丢失问题。
三、面向数据库应用的隐私保护技术分析
(一)基于数据失真的隐私保护技术分析。正如上文所述,基于数据失真的隐私保护技术的关键在于扰动。数据库原始数据在扰动作用之下表现失真状态,失去利用价值,从而确保数据库隐私数据安全。在整个基于数据失真的隐私保护技术研究工作中,我们需要特别注意一个方面的问题——对于扰动作用下的数据库数据而言,其不仅需要确保数据库攻击方无法经由失真数据信息重构原始数据,同时也要确保失真状态下的数据信息在基本性质以及信息组织结构方面保持不变,数据库利用方借由失真数据所获取的信息应当同借由原始数据所获取的信息保持一致。
(二)基于数据加密的隐私保护技术分析。在分布式环境作用之下,隐私保护功能得以实现的关键也是基本前提在于整个数据库信息通信安全性的确保,加密技术无疑恰到好处的解决了这一问题。在分布式作用下,数据加密因素保护技术的应用往往依赖于数据站点可信度以及数据信息储存模式来实现。无论是对于垂直划分数据或是水平划分数据而言,数据加密技术均能够确保各个站点所存储数据的独立性,进而实现其信息加密功能。
(三)基于限制的隐私保护技术分析。前文中提到,限制的关键在于有条件的隐藏数据的某部分域值以及泛化,数据库系统中精度较低的敏感数据将在基于限制隐私保护技术的作用之下得以隐藏。正因为如此,有关数据匿名化问题的研究成为了基于限制隐私保护技术的中心与重点。其能够在数据精度以及隐私披露风险当中针对隐私信息进行这种处理,高精度提取敏感数据,确保有可能的敏感信息的披露风险在数据库系统可承受范围之内,兼顾匿名化算法成本的控制以及基于限制隐私保护技术之下所信息利用价值的提升,应当成为相关工作人员下一步研究重点。
四、结束语
在全球经济一体化建设进程不断加剧与城市化建设规模持续扩大的推动作用之下,计算机开发及应用相关行业在整个国民经济建设发展中所占据的地位日益关键。可以说,计算机开发及应用相关行业的建设发展程度将直接关系着新时期整个经济社会的建设发展程度。对于计算机开发及应用的中心枢纽环节—数据库而言,数据挖掘以及数据无疑是重中之重。本文针对现阶段面向数据库应用的隐私保护问题这一中心,展开了简要分析与说明,希望能够为今后相关研究及实践工作的开展提供一定的参考与帮助。
参考文献:
[1]刘逸敏,周浩峰,王智慧等.Purpose融合:基于风险purpose的隐私查询访问控制[C].第27届中国数据库学术会议论文集,2010.1339-1348
[2]蒋亚军,杨波,张明武等.外包数据库系统中隐私匹配与包含关系的安全计算协议[J].计算机科学,2011,38,(03),120-122,135
[3]余永红,柏文阳.基于分解和加密的外包数据库隐私保护[J].计算机工程,2011,37,(07),139-141,159
[4]蒋亚军,杨波,张明武等.具有隐私保护的外包数据库合计查询方案[J].中南大学学报(自然科学版),2011,42,(03),721-725
【关键词】妇科;隐私;保护
1妇科隐私保护现状
1.1患者对隐私的认识大多数的患者认为病情和某些部位属于个人隐私,也有部分患者认为婚育史和某些心理活动属个人隐私。
1.2妇科疾病的特点由于妇科疾病往往涉及生殖系统,病因也可能与不良生活方式等多方面隐私问题密切相关。许多病人觉得羞于启齿,不便详谈或不愿向外透露诊疗信息,不能正确叙述症状、疾病的经过。如临床高度怀疑宫外孕时,需要了解病人的婚姻史、交友史、性接触史、月经史等。
1.3妇科病人的心理特点妇科病人具有女性独特的生理、心理特点,心态复杂多样,在妇科方面表现为生殖器官的暴露、生殖器的畸形、异常婚育史、不孕不育史、婚外及性疾病传播史等,一旦泄露被他人所知,将会引起病人不同程度的情绪反应和心理变化。主要有畏惧、紧张、害羞、焦虑、依赖等。在进行妇科检查时,需暴露隐私部位,很多女性患者,特别是年轻未婚女性,怕被男性看到,怕男医生检查,不愿有男实习生在场,觉得在男性面前暴露生殖器很难为情,同时也存在怕被家属不理解的顾虑。有某些隐私的女性患者。
1.4 隐私被暴露的原因
1.4.1 妇科病房及检查室的布局 (1)病房较大,设施不齐全,病室环境差,一个房间住6~8位患者甚至更多,床与床之间没有隔帘。(2) 某些常用无菌物品放置在妇科检查室内,以至于患者在做妇科检查时,常有医护人员进入检查室取物。
1.4.2 管理方面 (1)诊室秩序混乱,表现为患者多、家属多,甚至妇产科诊室里有男家属等。(2)探视制度不严格,探视人数多和探视时间长,某些病床24h都有陪护,有时甚至有多人陪伴的现象。(3)一览表上写明疾病诊断,来人通过查找便可知道该患者到底得了什么病。(4)病历资料管理不善,病人、家属私自翻阅等。
2保护妇科病人隐私的措施与对策
2.1 加强保护患者隐私的意识在目前的医疗服务领域,患者自我保护意识日渐增强,在诊疗过程中,通过使医务人员自觉尊重并保护患者隐私的行为,使患者就医时不再尴尬,不再感到人格的尊严正在滑落,有利于建立和谐的医患关系,减少医疗纠纷的发生。
2.2 加强专业操作过程中的隐私保护在诊疗活动中,需要暴露患者的身体隐私部位的情形经常发生,如导尿术、术前备皮、会阴冲洗等,医务人员在其他病人仍留在病房又无屏风遮挡的情况下,给病人进行上述操作,会给病人的心理造成一定的压力和伤害。妇产科患者大都存在害羞、焦虑不安等心理问题,应给予充分理解,多与患者及家属进行沟通,尽可能满足他们的个性化需求。
2.3 加强医务人员法律意识医务人员要注意改变传统的医疗护理观念,增强法律意识,加强相关法律法规知识的培训。《中华人民共和国护士管理办法》第二十四条规定,护士在护理工作中得悉患者的隐私,不得泄露,必须严格保护,才能取得患者的信任。
2.4在临床教学活动中对隐私权的保护在临床教学过程中,把患者作为“活教具”让学生观摩实习,尤其关于患者的个人信息、身体的隐私部位、个人的秘密等使患者感到自身人格、自尊的侵犯和伤害。作为教学医院,临床教学活动必不可少,然而,所有的专业检查和操作必须在征得患者和家属同意的情况下方可进行。对实习生应加强职业道德教育,尊重患者,注意实习安全,不要不懂装懂,在带教老师不在的时候自己盲目操作,带教老师则应以身作则,在带教活动中体现出对患者隐私的保护,使患者安心地配合教学。
2.5 注意服务技巧,提高服务质量目前,性传播疾病、多次人流对今后的生殖健康及社会的影响越来越大,询问病史时应尽量避免家属及其他患者在场,以免揭穿患者隐私而引起家庭矛盾和社会问题。如在院期间查出性传播疾病者,应单独对患者交代病情,并指导其隔离措施,患者床头卡上不写诊断,这样做既保护了患者的隐私,又减轻了患者的心理压力。如遇来电话询问某位患者病情者,不可随便将患者的病情告之。
3 小结
作为妇科的医务人员,我们应全面细致地了解患者病史,准确无误地作出判断,除做好常规的各项专业操作外,更应从患者的知情权、隐私权方面做好心理指导工作,使患者尽快进入病人角色,减轻患者的心理负担。只要我们本着以人为本的原则,设身处地地为病人着想,必将拥有和谐的医患关系,使患者更快的恢复健康。
参考文献
[1]栾伟,丁学易,赵爱平.病人隐私文化在护理服务过程中的思考.护士进修杂志,2005,20(11):985-987.
[2]李小妹.护理学导论.长沙:湖南科学技术出版社,2001,219.
[3]戴慧萍.妇产科患者隐私保护的调查分析.中华现代护理学杂志,2007,4(20):1846.
[4]潘孟昭.护理学导论.北京:人民卫生出版社,1999,138.
[5]王湘,邓瑞姣.保护患者隐私在护理实践中的问题与对策.中国医学伦理学,2005,18(6):88-89.
[6]陈君然.《妇科病人的隐私保护研究进展》.《全科护理》,2010年5期
作者简介:
马颖,女,(1967―),黑龙江七台河人,七台市中医院妇产科主治医师
以法律为核心的监管理念
中国电子商务的发展离不开完善的监管环境,而要建立完善的监管环境首先就要了解电子商务区别于传统商务的运作特征。
IBM公司首席执行官卢·郭士纳认为:“电子商务(e-business)涵盖了生产周期、速度、全球化、提高生产效率、赢得新客户以及在部门间共享知识从而获得竞争优势的方方面面。”电子商务的应用,如电子银行、电子政务或网上拍卖,都需要一定的基础设施和其他支持机制。这些应用被划分为企业对消费者、企业对企业、企业内部三种。基础设施涉及硬件、网络和软件领域。其中支持服务涉及的领域包括安全支付系统、通信标准以及监管等问题。
监管问题是一个在制度层面上影响着电子商务在中国应用和发展的关键性因素,同时它也如同系统支持方面的相关技术因素一样,制约着我国电子商务的发展。电子商务是一种全新的商务模式,其生存和发展所必需的法律、道德和其他公共政策问题仍处在不断发展和变化中。法律和道德是所有商业环境监管部分的关键组成部分。事实上,电子商务发展中的最大障碍就是法律、道德及相关的公共政策问题。
理论上,我们可以区分法律问题和道德问题。如果所做的事情不合法,那么就是违法;如果所做的事情不道德,则可能并不违法。但问题是,在信息技术领域里,我们并不总是清楚哪些是合法的、哪些是违法的,而道德问题又有颇多争议。
法律是由政府制定的严格的法定规则,在其司法范围内监管所有公民或组织的行为。而道德是哲学的一个分支,它规定哪些是正确的以及哪些是错误的。但在今天复杂的经济环境中,对正确和错误的定义并不总是十分明确。正是因为电子商务开创了一系列现有法律没有调整约束到的行为空间,所以道德就在这中间扮演了一种很重要的角色。在这样的“灰色地带”中,一些从事电子商务的机构就需要一种自有的指导方针,来规范特定情形下行为的合理性,以此来规避一些法律问题。
比如保护隐私的方法之一是建立隐私政策,它可以帮助机构避免相关法律问题。像IBM和微软等信息领域内的主要公司都公布了自己的隐私政策来表明公司在收集大量供应商、顾客和员工信息时,有责任确保这些信息的安全。欧盟早在1998年就通过了一项隐私指导方针,这套方针致力于规范任何控制网上个人资料的收集、持有、处理或使用的人(包括法人)的活动。
而在这些“灰色地带”之外,政府的立法则起着更加宏观的作用,因为它对各机构构建自身的规则起着协调和控制的作用。比如美国的《联邦因特网隐私保护法》禁止联邦机构公布个人记录或建立关于个人医疗、财务或雇佣历史的鉴定记录。《通信隐私和消费者权益法》涉及面更广,以通过大量法律手段来保护电子商务中的隐私权。
简而言之,法律、道德和技术是监管范畴中的三大要素。对于电子商务的监管也正是建立在这样一个系统的、多维度,不断协调的理念之上。法律是其基石,是最终的途径,最上层的概念,它本身的产生需要更大范围的调查和讨论,并和国家在各个领域的法制系统有着千丝万缕的联系。当一些道德问题在未形成法律之前,应当给予私人、公司以及机构更多的决策权,这本身便有利于在全球背景下形成适合电子商务发展的法律环境,也有利于新技术的不断涌现,总之立法应当更大限度地体现出对于道德和技术更加宽容的态度,这才是监管的核心点。
电子商务监管理念在国外立法中的实践
经济合作发展组织(OECD)在《全球电子商务行动计划》中写到:“电子商务并不是发生在法律真空中,并不需要为之创建一个全新的法律框架,关键在于调整现行的法律、法规使之适应电子商务发展的需求。”这表明了立法所要体现的传承性,然而现实世界的法律总是和邻近地理、个人行为和本身的文化传统有着深刻的联系,故各个国家在已有的法律框架基础上,调整自身现行的法律、法规以适应电子商务发展的观念和手段,也即理念的实践方面是大不相同的。本文仅介绍美国和欧盟这两个属于不同法系的系统在这方面的立法概况,予以参考。
美国的立法启示
近十年来美国出台了一系列的法律和文件,其中包括以信息为主要内容的《电子信息自由法案》、《个人隐私保护法》、《公共信息准则》等等;以基础设施为主要内容的《1996年电信法》;以计算机安全为主要内容的《计算机保护法》、《网上电子安全法案》等等;以商务实践为主要内容《统一电子交易法》和《国际国内电子签名法》;还有属于政策性文件的《国家信息基础设施行动议程》与《全球电子商务政策框架》等。这些法律和文件从不同的角度在不同的程度上相互关联,从而在整体上构成了电子商务的法律基础和框架。我们从中可以得出如下的一些启示。
第一,完善电子商务整个监管环境,就应当在总体上将这种因特网上的革命认知为一项社会系统工程,其实质是把某一层次的技术或某一系列的新技术全面地应用到社会生产和生活的各个层面,这就要求具备这一系统工程顺利推进所需要的各方面的因素,包括技术的成熟度、社会的发展程度、学术咨询界的辩论和预测、资金的支持力度与稳定性、管理机构的参与和支持、基础设施的完善程度等等。
第二,坚持技术中立原则,政府和监管部门要在立法上为技术发展留有空间。高新技术领域里的法律规范,尤其是信息技术领域的法律规范,在很多情况下都是一些技术规范或技术方案在发展到一定阶段后逐步上升为标准再上升为法律的,或者说,这样的法律只是用法律化的语言表达了某种技术方案,运用法律原则和形式承认了某些技术方案的结果。最为典型的就是数字签章法,它是完完全全建立在一个技术解决方案的基础上,在这个技术解决方案成熟到亟需相应的法律予以认可和保护的时候,相应的数字签章法或电子签章法也就应运而生了。
第三,监管中的角色定位,政府是通过扮演积极的推进者与参与者来诠释的。经合组织于1997年首先提出:企业与政府之间的合作对于促进电子商务是至关重要的,在促进电子商务和电子行政管理原则协调发展方面应建立有效的对话机制;政府应调整现行法律(包括知识产权保护法)和法规,使其不仅适用于“有形”产品的需要也适用“无形”产品的需要,而且还应就制定政策和实施方面达成一致。在美国的发展模式中,政府与企业的关系基本上是政府起引导作用,企业起主导作用。政府的引导作用很好地为新技术及新经济的引进创造了条件,做出了榜样,启动市场和需求,并为广大消费者树立信心。企业的主导作用不仅可以为政府解决筹集资金的困难,而且也有利于企业在信息化建设中获取相应的经济利益,为企业在国内外的开拓发展积蓄力量,增强企业的竞争力。
欧盟的立法启示
欧盟自成立以来,已制定推出了关于构建新型科技信息社会的一整套政策,如《有关实施对电信管制一揽子计划的第五份报告》、《电子通信服务的新框架》等政策性文件。欧盟还同时出台了《促进21世纪的信息产业的长期社会发展规划》及相应的行动计划,了一系列用以规范和指导各国信息化发展的“指令”,其中包括:《欧洲电子商务提案》、《关于数据库法律保护的指令》、《关于内部市场中与电子商务有关的若干法律问题的指令》、《协调信息社会定著作权和著作邻接权指令》、《电信部门的隐私保护指令》、《软件保护指令》等等。欧盟在电子商务监管方面的立法具有以下一些不同于美国的特点。
第一,利用欧洲一体化的优势,协调各国的立法,为电子商务发展创造无障碍的法制环境。比如,欧盟在《关于内部市场中与电子商务有关的若干法律问题的指令》中明确表示:“本指令的目的是保障内部市场的良好运行,重点在于保障信息服务得以在成员国之间自由流通。为实现这个目的,本指令致力于在如下一些领域使各成员国关于信息服务的国内立法趋于统一。这些领域主要包括:内部市场制度、服务供应商的设立、商业信息传播、电子合同、服务中间商的责任、行业行为准则、争议的非诉讼解决、司法管辖和成员国间的合作等等。”
第二,重视网络隐私权的保护。欧盟主张订立严格的保护标准,并通过设立特别委员会,敦促各国以立法的形式来保护网络隐私权。欧盟对于网络隐私权保护的框架文件主要有四个:一个是为配合经合组织《关于隐私和个人资料的跨国境流动的保护指令》而制定的《关于在自动运行系统中个人资料保护公约》;二是1998年10月生效的《关于个资料的运行和自由流动的保护指令》;三是1997年7月欧委会个人资料保护工作组制定的《关于个人资料向第三国传递的第一个指令——评估充分性的可能方案》;四是1999年部长会议关于互联网隐私保护指引备忘录中规定的《关于在信息高速公路上收集和传送个人资料的保护》。欧盟网络隐私保护的特点在于其指令对于与欧盟有电子交易的他国的网络隐私保护情况提出要求,将欧盟所确立的网络隐私保护的标准提升为国际标准,这使得在国际范围内出现了大规模的网络隐私保护和立法活动。
完善电子商务监管体系的思考
无论是美国自下而上通过行业自律逐渐形成的监管体制,还是欧盟更加注重一体化的宏观法制建设,中国都不能生搬硬套,因为中国自有其独特的现状。面对电子商务所燃起的激情,激进主义者总是不断地强调中国所具有的后发优势,“制度创新”是这些学者谈论的最多的一个词;而对于渐进主义者来说,他们则总是拿起缺乏说服力的“实证分析”来证明中国需要等待制度环境的进一步成熟,而这样的代价是将国家的一些不透明而又低效率的运作机制进一步制度化。
关键词:数据;隐私保护;特征选择;微聚集
中图分类号:TP311 文献标识码:A 文章编号:1009-3044(2016)15-0001-02
1 概述
数据隐私保护的主要思想是在不泄露数据隐私和保持数据可用性之间寻找一种平衡[1]。数据的目的是为了数据的收集者(如个体、企业、政府等)进行分析研究然后做出相对应的措施来达到自己的目的。的数据的属性大都是多维的,如果所有的数据属性全部,数据的隐私泄露的几率非常高,同时数据的损失也会非常大,数据可用性大大降低,一些无关数据属性或者相关性较小的数据属性的会加大隐私泄露的几率且对于数据没有研究意义,因此,研究数据中的属性对于数据是否具有研究价值,以及在数据隐私保护和保证数据可用性之间寻找一种平衡具有非常重要的意义。本文提出将特征选择技术和微聚集技术相结合的隐私保护方法,从待的数据属性中选择最有利于对数据有研究价值的数据属性,该方法降低了数据隐私泄露的风险,但是在一定程度上增加了信息的损失。
2 特征选择及reliefF算法
特征选择是一种非常常见的降维方法,它是指从原始特征集中选择使某种评估标准最优的特征子集,其目的是挑选一些最有效的特征从而降低数据特征维度,使选出的最优特征子集和特征选择前近似甚至更好的预测结果,这不但提高了模型的泛化能力、计算效率,也提高了数据的实际效用,同时可降低维度灾难的发生频率。
Relief[2]算法在特征选择算法中比较优秀且常用的算法。Relief算法随机从训练集中选取m个样本实例,然后找出和选取的样本属于同类和不同类的两个距离最近的样本,计算它们之间的差异,计算样本的每个特征和类的相关性,再用平均值分别作为各个特征的权值。
在relief算法的基础上,I. Kononerko[3]等人在其基础上得到了其扩展算法ReliefF,ReliefF算法是从同类和不同类中选择k个距离最近的样本,然后计算平均值作为各个特征的权值[3]。将得到的特征进行排序,然后根据一定的规则来判定特征是有效还是无效的;或者选择n个权值最大的特征,去除其他特征来进行特征选择。
特征选择的目的是选择和分类有较大相关的特征,特征选择没有改变特征的语义特征和数值,只是选择特征子集。将特征选择应用在数据中时,特征选择是选择和敏感属性有较大相关的准标识符属性,权值越高的说明该准标识符属性和敏感属性的相关性越高,那么该准标识符属性对于数据的研究价值和意义就越大,反之则越小。原始数据集在经过了特征选择之后,数据属性个数减少,即数据的维度降低了,这样再对数据集进行匿名化时,匿名化的效率得到了提高,防止了数据“维度灾难”的发生,同时隐私泄露的风险也相应地降低了,但是在一定程度上增加了数据的信息损失。
3 reliefF 算法在数据隐私保护中的应用
特征选择算法选择的是对于分类最有利的特征。而在本文中,我们要选择的特征属性则是和敏感属性具有相关性的准标识符属性。本文提出的基于reliefF的匿名化方法主要思想是:首先使用reliefF算法得到每个数据属性的权值,即数据中每个属性和敏感属性的相关性;然后按照一定的规则剔除一些数据属性,对剔除了数据属性的数据集进行微聚集得到匿名数据表。具体步骤如下:
步骤1:数据预处理1
1)将原始数据集中的不完整数据剔除;
2)去除元组中的冗余属性;
步骤2:数据预处理2
对预处理1中得到的数据集进行标准化,得到数据集T;
步骤3:使用reliefF算法对数据集T进行降维处理得到数据集T’
该步计算元组每个属性的权值,先将权值小于0的属性去除,同时将大于0的属性权值进行排序;
步骤4:使用MDAV算法对数据集T'进行微聚集得到数据集T''
对整个数据集进行微聚集,得到k值不同时的信息损失和隐私泄露风险;
剔除权值最小的属性得到新的数据集,对新的数据集进行微聚集,得
得到k值不同时的信息损失和隐私泄露风险;
多次执行,得到多个信息损失和隐私泄露风险,比较他们之间的差异,再结合数据属性的实际含义得到最后需要的数据集T"
基于reliefF的数据隐私保护是将reliefF和MDAV相结合来得到匿名化数据,该匿名化数据权衡了数据可用性和隐私泄露风险之间的关系,是相对于最原始数据集较为有利的匿名化数据集。
3.1 数据可用性分析
同质性测度(SSE)的计算方法为:等价类中的元组的和原始数据集的数值是相同的,而该等价类的类质心应为经过特征选择后的匿名化数据的类质心加上被剔除的属性的质心0,同质性测度则是原始数据集的数据元组和所在的等价类的类质心之间的距离之和,此时的匿名表所有类相对于原始数据集的同质性测度定义为R-SSE,信息损失量为R-IL=R-SSE/SST。
3.2 隐私泄露分析
匿名化处理后的数据匿名表并不能保证隐私信息得到百分百不被泄露,它仍然有被攻击者攻击的可能,匿名表的安全性指标是信息泄露风险的主要考虑原则。数据安全性度量方法主要有[4]:(1)记录链接方法;(2)区间泄密方法。记录链接度量方法包括基于距离记录链接方法和基于概率记录链接方法两张方法。本文使用的是基于距离记录链接方法。
基于距离记录链接方法就是通过统计匹配成功数所占的比例来衡量数据集的安全性,匹配成功的元组个数用LR表示,数据集总的元组个数用TR表示,则整个数据集的安全性可以用公式表示:
R-TRL = LR /TR
4 实验结果及分析
本实验的运行环境:2.5GHz Intel(R) Core(TM)处理器,8G内存,Windows 8系统。实验数据采用美国的Adult数据库,目前,大部分对PPDP的匿名化模型的研究都采用Adult数据库为测试数据。
实验首先经过reliefF特征选择选择和敏感属性具有相关性的属性,然后分别测试了不同的数据属性个数在不同的数据集大小和不同k值的情况下的信息损失量和隐私泄露风险。
表1是经过特征选择后权值大于0的特征的平均权值。
通过特征选择后我们得到了和敏感属性具有相关性的数据属性,我们将这些属性作为数据中的准标识符属性,然后对数据集进行微聚集,得到不同的数据属性个数在不同的数据集大小和不同k值的情况下的信息损失量和隐私泄露风险。实验分别测试了数据集大小为2000,k为20,10,5,数据属性个数为10,9,8,7时的多组信息损失量和隐私泄露风险。
图3、图4可以看出,当数据属性的维度N=8时,数据的信息损失量R-IL和隐私泄露风险R-TRL之间的平衡相较于其他维度是较好。
图5、图6可以看出,当数据属性的维度N=8或9时,数据的信息损失量R-IL和隐私泄露风险R-TRL之间的平衡相较于其他维度是较好。
综合以上几种情况分析能够看出,当属性个数N=8时,数据的信息损失量R-IL和隐私泄露风险R-TRL之间的平衡相较于其他维度是较好。
5 结束语
通过实验验证我们可以得出结论:通过reliefF来选择数据的属性能够选择对数据有意义的数据属性,相对于原始数据集增加了数据的信息损失,但是在的匿名化数据集中,数据的准确性相较于原始数据集的更好,数据失真更小,同时也提高数据的安全性。
参考文献:
[1] 王平水. 基于聚类的匿名化隐私保护技术研究[D].南京航空航天大学,2013.
[2] Kira K ,Rendell L A.The feature selection problem: Traditional methods and a new Algorithm[J].Proceedings of Ninth National Conference on Artificial Intelligence, 1992,05: 129-134.