個人隱私泄露的途徑與防范研究

戴文奎 李學成

摘 要：隨著物聯(lián)網(wǎng)、大數(shù)據(jù)、云計算技術方式的使用，個人信息的價值不斷地被挖掘、使用。從積極的一方面來看，企業(yè)通過收集用戶信息，對用戶的喜好進行深度分析，構(gòu)造了一幅幅用戶畫像，給用戶推送他們感興趣的信息，大大地增加了用戶對此的粘性。另一方面，用戶的隱私信息是否能夠充分得到保護成為擺在眾人面前的難題。如若用戶的隱私信息被不法分子利用，將造成難以估計的后果。該文通過分析著重對個人隱私信息泄露的途徑及危害進行分析并對如何防范隱私泄露給予相關建議。

關鍵詞： 個人隱私; 信息安全; 網(wǎng)絡安全; 大數(shù)據(jù);信息泄露

中圖分類號：TP309? ? ? ?文獻標識碼：A

文章編號：1009-3044（2021）25-0057-03

Abstract：With the use of the Internet of Things，big dataand cloud computing technology methods，the value of personal information is constantly being tapped and used. On the positive side，by collecting users' information，enterprises can deeply analyze users' preferences，construct a user portraitand push users the information they are interested in，which greatly increases the stickiness of users to this.On the other hand，whether users' privacy information can be adequately protected has become a problem in front of everyone. If users' private information is exploited by unscrupulous elements，it will cause incalculable consequences. In this paper，we focus on the ways and hazards of personal privacy information leakage and give suggestions on how to prevent privacy leakage.

Key words：personal privacy; information security; network security; big data; information leakage

1引言

隨著互聯(lián)網(wǎng)科技的迅速發(fā)展，在我們看不到的地方，網(wǎng)絡信息安全正悄無聲息地窺視著我們，隨時向我們伸來罪惡之手。如何保護個人隱私信息安全，不僅是一個技術命題，更是一個制度命題。隱私保護永遠是一場博弈，當你保護的越全面，也會犧牲越大的便利性體驗。如何平衡體驗和隱私這桿秤，成為當今社會深刻探討的話題。

2個人隱私信息安全簡述

個人信息是指以電子或者其他方式記錄的能夠識別自然人個人身份的各種信息，包括但不限于的姓名、出生日期、身份證號碼、個人生物識別信息、住址、電話號碼等。在符合法律的情況下，個人所存在、持有、產(chǎn)生、經(jīng)歷的歸屬于個人的數(shù)據(jù)、思維、物品及信息，都屬于個人隱私信息的范疇。

3個人隱私信息泄露的危害

3.1 被用于非法用途

2016年震驚全國的徐玉玉案。被告人杜天禹通過使用反序列化漏洞攻擊方式，非法入侵了山東省2016年普通高等教育學校招生考試平臺的網(wǎng)站。竊取了2016年山東省高考考生大量個人信息，出售獲利。徐玉玉的信息遭到暴露之后，被不法分子通過電信詐騙的手段將其9900元的大學費用全部騙走，徐玉玉因此傷心欲絕，最終導致心臟驟停，不幸離世。

3.2 監(jiān)控用戶

2021年的“315”晚會上，科勒衛(wèi)浴被曝在全國數(shù)千家門店安裝了人臉識別攝像頭。消費者只要進了其中一家店，攝像頭就會在其不知情的情況下抓取人臉信息并自動生成一個編號。在未來，顧客去了哪一家店，去了多少次都會被科勒衛(wèi)浴所得知。除此之外，商家可以手動向系統(tǒng)捕獲的客戶添加各種信息，甚至將一些特殊的人也可以被列入黑名單?？梢酝ㄟ^手動模式做一個標簽，比如說像同行、記者之類的。一旦貼上這個標簽，就非常準確了，一目了然。盡管法律明確規(guī)定未經(jīng)允許不得隨意獲取人臉識別信息。然而在我們周圍，偷偷獲取涉及我們隱私，財產(chǎn)安全的人臉識別攝像頭數(shù)量驚人。甚至這些核心的生物識別信息已經(jīng)被和我們毫無關系的第三方公司所掌握。人臉信息屬于個人獨有的生物識別信息，一旦泄露，將嚴重威脅用戶的財產(chǎn)安全、隱私安全等。

4 個人隱私泄露的途徑

4.1 泄露密碼導致的“撞庫”攻擊

“撞庫”在網(wǎng)絡安全中是一個古老的概念，按中文的字面意思解讀，就是“碰撞數(shù)據(jù)庫”的意思?！芭鲎病币馕吨鲞\氣，即不一定能成功。而“數(shù)據(jù)庫”中往往存儲著大量敏感數(shù)據(jù)，比如我們登錄一個網(wǎng)站所需要的用戶名、密碼，再比如手機號、身份證號等個人隱私信息。所謂“撞庫”，是一種針對數(shù)據(jù)庫的攻擊方式，是黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息，嘗試批量登錄其他網(wǎng)站后，得到一系列可以登錄的用戶賬號。也可以理解為，若用戶在不同網(wǎng)站使用相同密碼，當某一網(wǎng)站被攻陷時。使用其相同密碼的網(wǎng)站將面臨內(nèi)容泄露風險。

4.2 人臉信息偽造

人臉信息泄露不僅可被用來監(jiān)控用戶，而且還可以偽造人臉識別信息。2020年的GeekPwn大會上，有一項挑戰(zhàn)為“AI變臉口罩挑戰(zhàn)賽”。在比賽中，參數(shù)隊員需要戴上口罩，偽裝成別人的人臉信息，繞過機器的驗證識別。舞臺上有改裝后的自動售貨機和ATM機，這兩臺機器都裝有人臉識別系統(tǒng)，選手的目的就是偽裝指定的人臉信息，達成相應的目標。有隊伍兩次挑戰(zhàn)成功，不僅成功取得了貨物，而且還用口罩，成功取得了“美金”。這就是突破了自動售貨機和ATM機的人臉識別驗證。事實上，近年來人工智能換臉成功的案例不斷出現(xiàn)，而且確實有犯罪分子繞過金融應用的風險控制機制的案例。在這樣的情況下，個人隱私的信息問題面臨的挑戰(zhàn)也更多。