10月31日,蚂蚁金服联合浙江大学共建的“浙江大学金融科技研究中心——数据安全与隐私保护实验室”正式亮相,并举办签约揭牌仪式。这也是双方继今年7月宣布战略合作后的首个成果落地。
据介绍,双方将利用各自的技术优势,共同研究数字金融面临的数据安全与隐私保护问题,联合推进前沿科技研究。将聚焦安全多方计算、可信环境、数据安全等领域,探索新技术在大数据场景下的安全应用,推动产学研协同和成果创新,培养适应未来需要的实践人才。
签约仪式上,除实验室揭牌外,还宣布启动《针对数据安全流通方案的评测算法和标准建设》、《通用安全多方计算框架及隐私保护机器学习》等7个研究项目。
安全是支付宝的生命线。早在成立之初,支付宝便承诺“你敢付我敢赔”,来让用户对资金安全放心。而现在支付宝保护的不仅是资金安全,同样还涵盖信息安全,这一保护体系不仅通过人民银行第三方支付机构安全检测、公安部等级保护认证,也通过了ISO27001信息安全管理体系认证。
支付宝相关负责人表示,“互联网时代,用户隐私和信息保护愈发重要。我们需要联合各方力量,共同提升整个互联网行业的安全水位,保障生态数据及隐私安全。”
公开资料显示,支付宝此前已陆续与清华大学、同济大学、上海交通大学、麻省理工学院、加州伯克利大学等全球多所高校分别开展合作,并逐步取得科研成果。
如何保护数据安全和个人隐私?
随着信息技术的不断发展,数据以指数级的速度增长。大数据开始蔓延到社会的各行各业,从而影响着我们的工作、生活、学习以及社会的发展。
正如麦肯锡(McKinsey)所说:“数据,已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。”医疗大数据的应用为疾病的预防提供了保障,有效地减少了疾病的传播,延长了病患的寿命;教育大数据的应用让学生更好地进行自我管理,提高学习效率,同时也有利于学校教学工作的统筹安排;零售业大数据的应用改变了传统的营销模式,通过满足顾客的个性需求实现精准营销,为企业带来了巨大的利益。
大数据应用的基础是对这些海量数据的分析和挖掘,通过对数据的处理可以使大量的数据转化为多种具有价值的信息,进而为政府决策、企业发展、用户选择提供建议和帮助。海量的数据已成为最具有价值的财富。
大数据技术的兴起正在改变着我们的工作、生活和思维方式,数据影响力正在不断增强。但与之伴随的,是大数据在广泛应用的同时必然存在着一系列的问题,例如数据安全、个人隐私泄露等等。
存在问题
一是会引入未知的漏洞隐患。随着大数据存储、计算和分析等关键技术的创新和发展,带动了信息系统软硬件架构的全新变革,可能会在软件、硬件、协议等多方面引入未知的漏洞隐患,而现有安全防护技术无法抵御未知漏洞带来的安全风险。
二是安全边界变模糊。在传统网络环境下,网络安全边界相对清晰,而由于大数据技术采用底层复杂、开放的分布式存储和计算架构,使得大数据环境下安全边界变模糊,传统基于边界的安全防护技术不再适用。
三是新的网络攻击手段。大数据技术发展催生出新型高级的网络攻击手段。黑客最大限度地收集更多有用信息,比如社交网络、邮件、微博、电子商务、电话和家庭住址等信息,为发起攻击做准备,攻击更精准;高级可持续攻击(APT)代码隐藏在大量数据中,让其很难被发现。这给安全分析制造了很大困难。
四是个人隐私无处藏身。大数据场景下无所不在的数据收集技术、专业多样的数据处理技术,使用户很难确保自己的个人信息被合理收集、使用与清除,进而削弱了用户对其个人信息的自决权利。
五是数据挖掘与隐私保护是天然矛盾。大数据资源开放和共享的诉求与个人隐私保护存在天然矛盾,为追求最大化数据价值,滥用个人信息几乎是不可避免的,使个人隐私处于危险境地。
此外,利用大数据技术进行深度关联分析、挖掘,可以从看似与个人信息不相关的数据中获得个人隐私,个人信息的概念就此泛化,保护难度直线上升。
大数据时代,如何构建信息安全体系,保护数据安全、用户隐私是我们必须要面对的问题。首先,我们需要对大数据时代信息安全与隐私保护的概念重新定义、重新认识。其次,还要有一定的对策来应对这种风险。具体而言,在用户方面,要提高个人意识;政府方面,要完善法律法规;企业方面,要利用各种技术来保护数据的安全。
新的观念
一方面,信息安全技术要适应大数据安全的需要。大数据技术具有强大的数据挖掘和数据分析能力,分为数据收集、数据集成、数据规约、数据清理、数据变换、挖掘分析、模式评估、知识表示等八大步骤,利用了神经网络、遗传算法、粗糙集方法、决策树算法,分类算法、数据聚类算法、机器学习算法。信息安全依然具有机密性、真实性、可控性和可用性,需要保障信息系统的物理安全、运行安全、数据安全、内容安全和信息对抗等五个层面上的安全。
另一方面,大数据隐私与传统不同。传统的隐私是隐蔽、不公开的私事,实际上是个人的秘密。大数据时代的隐私与传统不同,内容更多,分为个人信息、个人事务、个人领域,即隐私是一种与公共利益、群体利益无关,当事人不愿他人知道或他人不便知道的个人信息,当事人不愿他人干涉或他人不便干涉的个人私事,以及当事人不愿他人侵入或他人不便侵入的个人领域。
隐私是客观存在的个人自然权利。在大数据时代,个人身份、健康状况、个人信用和财产状况以及自己和恋人的亲密过程是隐私;使用设备、位置信息、电子邮件也是隐私;同时上网浏览情况,应用的app,在网上参加的活动、发表及阅读什么帖子、点赞也可能成为隐私。
大数据时代信息安全与隐私保护的技术
其一,数据的加密和解密,是数据安全和隐私保护的关键。如果别人连你发布的信息都读不懂,他怎么会知道那是你的隐私;就算他知道是你的隐私,他又怎么知道隐私的具体内容,毕竟人人都有隐私嘛。如果他不知道你的隐私内容,那么,你就可以安心睡觉了。为了保障数据安全,国家商用密码管理办公室已制定了一系列密码标准。
其二,同态密码技术、安全多方计算实现大数据的数据挖掘,同时保护数据的安全。为了数据安全和隐私保护,将所有的数据加密,那么如何实现大数据挖掘,创造价值呢?在密码学中有同态密码技术、安全多方计算技术可以实现在加密后的密文上进行数据挖据与分析。比如,利用同态密码技术,或者使用安全多方计算可以解决著名的百万富翁问题(两个百万富翁想比较谁更富有,但是不想暴露自己的确切钱数,也不想让第三方知道)。
其三,匿名是大数据隐私保护的核心。大数据时代,应该如何来保护自己的隐私?传统的隐私保护的哲学是把“私”藏起来,而“我”的身份可公开。大数据隐私保护的哲学将变成把“私”公开,而“我”的身份却被藏起来。包括身份匿名:当大家并不知道你就是当事人时,个人隐私就不会泄露;属性匿名:如果觉得自己的某些属性(比如在哪里工作、有啥爱好、病史纪录等)需要保密,那么就不要在网上发布这些消息,甚至要有意避开与这些属性相关的东西,这样别人就很难对你顺藤摸瓜;关系匿名:如果你不想让别人知道你与张三是朋友,那么最好在网上离张三远一点,不要去关注与他相关的任何事情,更别与他搭讪;位置匿名:不要主动在社交媒体上随时暴露自己的行踪。
匿名性是区块链的重要特征。利用区块链技术、密码学中零知识证明技术、群签名技术、环签名技术可以实现大数据的匿名的需求。
大数据时代信息安全与隐私保护的对策
第一,从国家法制层面进行管控。目前国内涉及信息安全和隐私保护的法律法规等有侵权责任法、刑法修正案、个人信息保护指南、关于加强网络信息保护的决定、电信和互联网用户个人信息保护规定,以及最新颁布的《中华人民共和国网络安全法》等。从国家法律层面来讲,为顺应互联网发展趋势,还需要进一步细化和完善对个人信息安全的立法,出台相应的细化标准与措施。
第二,从企业端源头进行遏制。企业是个人信息搜集、存储、使用、传播的主体,因此要从企业端进行遏制、规范。除了要遵循国家法律法规的约束之外,企业应通过制度、技术等方式加强和完善对个人信息的保护,不能过度收集个人信息,避免因个人信息的不当使用和泄露而对多方造成损失。
第三,提高个人意识,应用安全技术。生活在大数据下的每一个人,都应该主动去学习这方面的知识,了解大数据时代下可能会存在的一些关于个人隐私泄露的风险,从而学会如何去保护自己的隐私信息不被泄露;同时还要加强个人日常生活中的安全意识,例如保护密码等敏感信息,不在社交平台上发布个人定位信息,不要连接公共WIFI进行支付等重要操作等等。
最后总结一下。大数据挖掘,从正面来说,是创造价值;从负面来说,就是泄露隐私。大数据已经成为一把双刃剑,各种身份、信用、财产、医疗等数据的互联互通、有效共享,给个人工作、生活带来了巨大的便利和好处,但也给数据安全和隐私保护带来了新的挑战。我们希望,隐私保护能跟上大数据时代,让这个信息交换过程变得更可控,让大数据造福社会。