中孚信息敏感信息實時監(jiān)管系統(tǒng),切實保障數(shù)據(jù)安全

近日,一名頗受觀眾喜愛的脫口秀演員發(fā)微博證實,在其與原合作公司訴訟過程中的案件材料里,他發(fā)現(xiàn)了自己在中信銀行的個人賬戶交易明細。

“你也沒有我的身份證,你也沒有我的銀行卡,你也沒有司法機關(guān)的調(diào)查令,竟然能從中信銀行拿到我近兩年的流水還打印出來。”當(dāng)事人就此事正式發(fā)出律師函,并指出在未經(jīng)個人授權(quán)和司法機關(guān)合法調(diào)查程序的情況下,直接將個人銀行賬戶交易明細打印,并提供給第三方,屬于嚴(yán)重違法。

那么這種行為到底違不違法?違反了什么法?答案是當(dāng)然是屬于違法的,涉嫌“侵犯公民個人信息罪”。我國第一次將侵犯公民個人信息犯罪寫入立法之中是在2009年的《刑法修正案七》,其中第二百五十三條中以明確的主體和構(gòu)成要件填補了我國公民信息保護的立法空白。至今十余年間兩次修正案的修訂,對侵犯公民個人信息相關(guān)規(guī)定進一步擴充和完善,特別是對出售、非法提供以及非法獲取等行為的犯罪構(gòu)成要件以及量刑情節(jié)進行了細化,從對公民法益的間接性保護轉(zhuǎn)變?yōu)橹苯颖Wo的內(nèi)容。

除此之外,《民法通則》第一百一十一條明確了公民的個人信息受法律保護?!肚謾?quán)責(zé)任法》還專門對網(wǎng)絡(luò)上實施的侵犯公民信息權(quán)益的行為做出了規(guī)定。

中信銀行的這次個人信息泄露據(jù)說是內(nèi)部人員為了配合大客戶的要求而做出的,而實際上這種現(xiàn)象的背后還暗藏一條販賣銀行流水等信息的黑色產(chǎn)業(yè)鏈,據(jù)南方都市報記者調(diào)查,有賣家聲稱,銀行流水等信息來自“內(nèi)部人士”,4000元可查一個月的流水記錄,并“確保專業(yè)準(zhǔn)確”。早在2016年12月,南都記者就曾在調(diào)查報道中披露,公眾的隱私信息,包括開房記錄、四大銀行存款記錄、乘坐航班,甚至網(wǎng)吧上網(wǎng)記錄信息,只要付費,在黑產(chǎn)圈都可以輕易被買到。

大數(shù)據(jù)時代,個人敏感信息泄露問題日益嚴(yán)重

那么到底什么才是個人數(shù)據(jù)?目前,我國學(xué)術(shù)界與司法實踐多根據(jù)識別的來源來界定個人數(shù)據(jù)。識別包括直接識別和間接識別,直接識別即可通過直接確認(rèn)本人身份的數(shù)據(jù)來識別,如身份證號碼、基因等;間接識別指通過與其他數(shù)據(jù)結(jié)合從而確定本人身份的數(shù)據(jù)來識別。從根本上說,我們生活中的幾乎每個方面都圍繞著數(shù)據(jù)。從社交平臺到銀行,從零售商和政府,幾乎我們使用的每項服務(wù)都涉及對我們個人數(shù)據(jù)的收集和分析,姓名、性別、年齡、地址、手機號碼、銀行卡號等等,所有都由組織收集、分析,并且可以存儲。

2016年4月27日,歐盟通過了《通用數(shù)據(jù)保護條例》GDPR(General Data Protection Regulation),該條例經(jīng)兩年過渡期后取代1995年95/46/EC號指令于2018年5月25日正式生效[2]。這標(biāo)志著歐盟建立了統(tǒng)一的個人數(shù)據(jù)保護法制。根據(jù)GDPR的條款,組織不僅必須確保在嚴(yán)格的條件下合法收集個人數(shù)據(jù),而且收集和管理個人數(shù)據(jù)的人有義務(wù)保護其免受濫用和利用,并尊重數(shù)據(jù)權(quán)利,否則將面臨罰款。GDPR的核心是一套旨在使歐盟公民對其個人數(shù)據(jù)有更多控制權(quán)的新規(guī)則,它旨在簡化企業(yè)的監(jiān)管環(huán)境,以便歐盟公民和企業(yè)都可以從數(shù)字經(jīng)濟中充分受益。

GDPR所指的個人數(shù)據(jù)是什么?在原有法律下被視為個人數(shù)據(jù)的類型包括姓名、地址和照片。GDPR擴展了個人數(shù)據(jù)的定義,IP地址之類的信息都可以成為個人數(shù)據(jù),而諸如遺傳數(shù)據(jù)和生物統(tǒng)計數(shù)據(jù),可以對其進行處理以唯一地識別個人的信息都屬于敏感的個人數(shù)據(jù),也就是隱私的范疇。

美國銀行,保險和醫(yī)療保健等對隱私敏感的行業(yè)的公司敏銳地意識到了隱私問題,這就是為什么這些企業(yè)(及其行業(yè)監(jiān)管機構(gòu))每年向客戶發(fā)布隱私政策聲明,說明其數(shù)據(jù)隱私政策以及公司將選擇與他人共享(或不共享)的信息的原因。當(dāng)人們收到這些隱私通知時,大多數(shù)人都會把它們?nèi)拥?,因為人們感到相對安全,該公司將對收集到的?shù)據(jù)做得很好。而實際上,數(shù)據(jù)問題還有另一面:一些采集消費者數(shù)據(jù)的公司往往將這些數(shù)據(jù)打包私自出售,因為這為其業(yè)務(wù)創(chuàng)造了新的收入流。2018年3月美國發(fā)生了一起轟動全球的隱私泄露事件,名為“劍橋分析”的數(shù)據(jù)分析公司被曝料通過Facebook收集用戶偏好信息,然后利用這些用戶喜好有針對性地推送廣告,最終達成的目標(biāo)是影響2016年美國大選。接著Facebook被爆出超過5000萬的用戶信息被濫用,受到丑聞影響,次日Facebook股價應(yīng)聲大跌7%,市值縮水360多億美元。

GDPR認(rèn)為個人數(shù)據(jù)是“敏感”的,滿足以下條件之一才能處理敏感數(shù)據(jù):

已獲得個人的明確同意(在某些情況下,法律可能會排除此選項);

歐盟或國家法律或集體協(xié)議,要求公司或機構(gòu)來處理,以履行其義務(wù)和權(quán)利的數(shù)據(jù),以及那些個人的,在就業(yè),社會保障和社會保障法的領(lǐng)域;

人的重大利益,或身體或法律上無能力同意的人的重大利益受到威脅;

基金會,協(xié)會或其他非營利組織,其宗旨是政治,哲學(xué),宗教或工會,處理有關(guān)其成員或與該組織定期聯(lián)系的人員的數(shù)據(jù);

個人數(shù)據(jù)明顯是由個人公開的;

建立,行使或抗辯法律要求所需要的數(shù)據(jù)

根據(jù)歐盟或國家法律,出于重大公共利益的原因處理數(shù)據(jù);

為預(yù)防或職業(yè)醫(yī)學(xué),評估員工的工作能力、進行醫(yī)療診斷、提供健康或社會護理或治療,或基于以下目的管理健康或社會護理系統(tǒng)和服務(wù)而處理數(shù)據(jù);

根據(jù)歐盟或國家法律,出于公共衛(wèi)生領(lǐng)域公共利益的原因處理數(shù)據(jù);

根據(jù)歐盟或國家法律對數(shù)據(jù)進行存檔,科學(xué)研究或歷史研究目的或統(tǒng)計目的的處理。

隱私泄露風(fēng)險多,如何對敏感數(shù)據(jù)進行有效保護?

敏感數(shù)據(jù)經(jīng)常通過各種漏洞泄漏出去。特別是類似金融、醫(yī)療、電子商務(wù)等各種業(yè)務(wù)生產(chǎn)系統(tǒng)積累了大量包含客戶賬戶、身份、密碼、個人健康情況等敏感信息的數(shù)據(jù)。而這些數(shù)據(jù),在這些業(yè)務(wù)系統(tǒng)的很多工作場景中都會經(jīng)常使用,例如,業(yè)務(wù)分析、開發(fā)測試、審計監(jiān)管,甚至是一些外包業(yè)務(wù)等方面,使用的都是真實的業(yè)務(wù)數(shù)據(jù)和信息。如果這些數(shù)據(jù)發(fā)生泄露、損壞,不僅會給這些組織帶來經(jīng)濟上的損失,更重要的是會大大影響用戶對于這些組織的信任度。如何保證業(yè)務(wù)過程中敏感數(shù)據(jù)安全已經(jīng)成為必須面對的一個重要的問題。

隱私泄露等敏感數(shù)據(jù)遇到的風(fēng)險不是開發(fā)人員的疏忽,而是對敏感數(shù)據(jù)采集、傳輸、存儲、使用和銷毀的全套解決方案和基礎(chǔ)架構(gòu)的信任放錯了位置,要加強對組織和個人敏感數(shù)據(jù)的保護應(yīng)該轉(zhuǎn)向具有自動敏感數(shù)據(jù)識別功能的數(shù)據(jù)安全解決方案。

敏感數(shù)據(jù)可能是以文字、圖片,甚至是視頻的方式存在,發(fā)現(xiàn)敏感信息并進行妥善處理的關(guān)鍵環(huán)節(jié)即敏感數(shù)據(jù)的識別與發(fā)現(xiàn),這一過程通過應(yīng)用自然語言處理及文檔分類、圖像模式識別等算法,采用人工智能的理論和技術(shù)將設(shè)定的自然語言、圖形圖像用計算機程序表達處理,構(gòu)建具有高準(zhǔn)確度和較高速度的若干數(shù)據(jù)識別分類器,從而構(gòu)造出能夠理解和識別敏感和隱私信息的機器智能模塊,一般包括訓(xùn)練分類器和分類識別兩個功能層次:

中孚信息敏感信息實時監(jiān)管系統(tǒng),切實保障數(shù)據(jù)安全

整個識別過程包括:樣本數(shù)據(jù)庫預(yù)分類、提取文本、圖片和視頻特征、建立特征庫、場景數(shù)據(jù)抽取、數(shù)據(jù)預(yù)處理、文本檢測、視頻檢測、圖像檢測、特征提取、分類判斷。

數(shù)據(jù)抽取:對包括敏感信息的海量數(shù)據(jù)信息進行抽取,獲取與組織敏感信息或個人隱私相關(guān)的多維數(shù)據(jù)進行內(nèi)容識別,判斷其敏感性和重要性。

數(shù)據(jù)預(yù)處理:文本數(shù)據(jù)預(yù)處理,必須把文檔中的詞與詞分割開也就是分詞,然后才能提取對文本分類最有意義的詞語,并根據(jù)每個詞對分類的重要程度進行權(quán)重計算和特征提取。視頻數(shù)據(jù)預(yù)處理,由于視頻中圖像有著過多冗余的特征,所以在處理視頻時一般將視頻中的圖像通過某些算法,選取其中的一幅或者若干幅圖像作為關(guān)鍵幀,用這些關(guān)鍵幀表示視頻中的內(nèi)容;其他數(shù)據(jù)預(yù)處理,數(shù)據(jù)庫中其他與個人隱私或組織敏感信息有關(guān)的數(shù)據(jù)抽取后的清洗、分解和合并等工作;數(shù)據(jù)檢測,根據(jù)數(shù)據(jù)類型,按文本、圖像、視頻或其他,數(shù)據(jù)進行分類檢測,提取相應(yīng)數(shù)據(jù)特征。

數(shù)據(jù)特征提?。何谋咎卣魈崛。瑢ξ谋咀詣臃衷~后,從分詞結(jié)果中選擇特征詞是建立分類特征模型的關(guān)鍵。本模塊提供包括互信息、信息增益、文檔頻度等特征詞選擇方法;圖像特征提取,圖像特征的正確提取和恰當(dāng)組合是整個判別模型的關(guān)鍵,對于后期分類器的分類效果起著決定性的作用。敏感圖像過濾是一個特殊的圖像識別問題,結(jié)合此類問題的分析,大部分情況下人臉、動作和周邊環(huán)境是敏感圖像的主要內(nèi)容,判別模型所采用的特征包括圖像顏色特征、皮膚特征、人臉特征等。

樣本數(shù)據(jù)庫:實驗數(shù)據(jù)包括文本、圖像、視頻或其他數(shù)據(jù),相應(yīng)數(shù)據(jù)都已打好標(biāo)記。其中,文本類樣本可以選自成熟的語料庫,從已經(jīng)標(biāo)記好的文本中提取若干作為測試文本集,剩余的作為訓(xùn)練文本集。

分類器:采用半監(jiān)督學(xué)習(xí)分類器,這種分類器在訓(xùn)練樣本集數(shù)據(jù)的部分信息缺失時,具有較好性能和推廣能力,具體分類器包括協(xié)同訓(xùn)練、圖理論、生成式模型算法等。

中孚信息為全面解決敏感信息和涉密信息的泄露問題提供有效技術(shù)手段

我們深知,發(fā)生這類事件,重點是從“人防”方面著手,加強從業(yè)人員職業(yè)道德教育。除此之外,金融系統(tǒng)還可以部署敏感信息實時監(jiān)管系統(tǒng)、計算機終端保密檢查系統(tǒng)等產(chǎn)品,為大數(shù)據(jù)時代的數(shù)據(jù)安全提供服務(wù)。

“中孚敏感信息實時監(jiān)管系統(tǒng)”支持對敏感信息的實時監(jiān)管,為全面解決敏感信息甚至是涉密信息的泄露問題提供了有效技術(shù)手段。系統(tǒng)通過實時監(jiān)控,及時發(fā)現(xiàn)敏感信息并堵住泄露渠道,具體原理是對被監(jiān)控端所有文檔的編輯工作進行監(jiān)控,根據(jù)策略自動分析文檔中的敏感信息,在發(fā)現(xiàn)文檔包括已定義敏感信息類別的情況下,可立即屏蔽該機網(wǎng)絡(luò)功能,防止敏感信息泄露行為發(fā)生,同時進行發(fā)出告警,供日后查證。

目前,中孚信息自主研發(fā)的敏感信息實時監(jiān)管系統(tǒng)和計算機終端保密檢查系統(tǒng)已在中國建設(shè)銀行、國家開發(fā)銀行、農(nóng)業(yè)發(fā)展銀行等重點金融系統(tǒng)進行部署,為切實保障數(shù)據(jù)安全做好保障。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )