大数据时代数字图书馆隐私保护问题探讨

北京邮电大学 米铁男

危机来临

2012 年 8 月，盛大云服务器发生数据泄露事件。

2012 年 8 月， CNCERT 发布报告显示手机恶意应用下载量突破 2000 万。

继 CSDN 、天涯、新浪等互联网公司被爆用户资料外泄之后，京东商城、网易公司、支付宝也被卷入“泄密门”。

2011 年 12 月 21日黑客在网上公开了开发者技术

社区 CSDN 网站的用户数据库。包括 600 余万个注册邮箱账号和与之对应的明文密

码。

根据 CNNIC2012 年统计报告显示， 84.8% 的网民遇到过信息安全事件，总人数为 4.56亿。

什么是大数据？• 定义： Big Data ，指无法在一定时间内用通常的软件

工具进行捕获、管理的数据集合。

特点： — 容量 (Volume) — 速度(Velocity) — 种类(Variety) — 价值 (Value)

大数据的发展趋势• IDC （互联网数据中心）： 2006 年全世界的数据存

储量是 18 万 PB ，而 2012 年这个数字已经达到了180 万 PB ，而到了 2015 年会达到 800 万 PB 。

大数据使我们预见未来淘宝网单日数据产生量 50TB;百度目前数据总量接近1000PB ；2012 年，全球产生 2.4ZB 数据，相当于 3 万亿张 DVD 光盘。

世界经济论坛认定大数据为新财富，其价值堪比石油。《华尔街日报》更是将大数据称为引领未来繁荣的三大技术变革之一。

沃尔玛公司通过分析销售数据，了解顾客购物习惯，提供个性化服务。

阿里公司根据大数据筛选出财务健康和讲究诚信的企业，对他们发放无需担保的贷款。

2013 年初美国利用大数据来防止流感的蔓延。

大数据的分析处理需要强大的计算平台的支撑，那就是云计算平台。

云服务器 业务引擎

网管

…

业务管理接口

接口 接口

用户终端

用户终端用户终端

云体系内威胁

云体系外威胁

云体系内

云体系外

云内威胁主要来自于云服务提供商

由于云保护措施的有

限性，导致外部

对云服务器发动攻击

，盗取、删

除或

修改用户数据（可

能包含个人

隐私或

商业秘密等）

支撑大数据运转的云计算平台

数字图书馆的网络性质• 数字图书馆主要是 B2C式的电子商务企业，其中涉及到 ISP平台、出版商、作者、读者（消费者）等多方关系。

• 所谓的个人信息或隐私数据安全问题主要是针对读者而提出来的。

• 大数据时代的到来和云计算平台的应用，使得数字图书馆成为分析处理大量用户个人信息和隐私数据的新领域，威胁也随之而来。

数字图书馆隐私数据安全隐患• 内部隐患：• 1.安保措施不到位，过失造成隐私数据泄露• 2. 未经用户授权擅自利用其个人信息，造成用

户隐私数据扩散

• 外部隐患：• 利用了数字图书馆自身的信息系统漏洞，运用木马程序或者网络间谍等工具非法侵入信息系统，并进行破坏或窃取数据信息，从而造成网站用户隐私信息的泄漏

现有的防护体系 理想的防护体系

信息与隐私安全信息与隐私安全

立法

行业自律保护技术

至今尚未出台由全国人大制定的统一的个人信息保护法，或者相关的信息安全立法、隐私权保护法等

行业组织没有成为规范其成员行

为的有效机构

计算机网络应用技术与资源长期受制于美国等网络强国，自身防御技术存在诸多问题，再加之主观上对保护个人信息与隐私的不重视，大

多不会为此采用最佳技术手段

中国相关立法的主要问题

• 没有专门的个人信息或隐私保护立法。现有法律规范效力层级低，立法主体分散，强调管理有余，权利保护不足。

• 工信部：《信息安全技术 公共及商用服务信息系统个人信息保护指南》；《电信和互联网用户个人信息保护规定 (征求意见稿 )》

• 其他：• 《计算机信息网络国际联网安全保护管理办法》• 《计算机信息网络国际联网管理暂行规定实施办法》• 《互联网信息服务管理办法》• 《互联网安全保护技术措施规定》• 《规范互联网信息服务市场秩序若干规定》• 《个人信用信息基础数据库管理暂行办法》• 《互联网视听节目服务管理规定》• 《中华人民共和国电信条例》• ……

国际组织• 欧盟： 1995 年《欧洲个人数据保

护指令》（ Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data ）；2002 年《关于在电子通信领域个人数据处理及保护隐私权的指令》

• 经合组织（ OECD ）：《隐私保护与个人数据跨界流通指南》（ Guidelines on the Protection of Privacy and Transborder Flows of Personal Data ）

• 亚太经合组织（ APEC ）：《 APEC 隐私框架》（即所谓的CBPR体系）

• 美国：1974年《隐私权法》；1999年《儿童在线隐私保护法》

• 加拿大：1982年《隐私法》；2000年《个人信息保护与电子文件法》

• 法国：1978年《数据保护法》• 俄罗斯：2006年《信息、信息技

术、信息保护法》• 意大利：1996年《数据保护法》• 日本：2003年《个人信息保护

法》• 台湾地区：1995年《计算机处理

个人数据保护法》• 澳门：2005年《个人资料保护

法》• … …

国家

其他问题• 监管机构：没有专门的监管机构，现有的职能部门权力交叉、管理混乱，网络用户权利救济渠道缺乏；

• 行业自律：多具官方背景，没有与行业成员捆绑利益，容易成为除政府外的“第二监管机构”，而非自律组织；

• 执行标准：在执行保护标准方面，缺少行业标准，技术保护水平参差不齐，没有标准的P3P范例，保护意识也不强。

侵权处理方式没有任何办法

向掌握信息的机构投诉

向政府部门或媒体投诉

向法院起诉

其他

根据中国互联网络信息中心 2012年的统计， 88.2%的网民在信息泄露后没有任何办法处理，只有 6.7%的网民会向掌握信息的机构投诉，向政府部门、媒体投诉和到法院起诉的网民仅分别占2.8%和 0.6%。

可能的选择• 由全国人大制定统一的《个人信息保护法》；

• 行业自律组织逐渐实现事实上独立，亦即“去官方化”，与其成员之间建立起“荣辱与共”的关系；

• 在国内设立专门的监管机构，也可改组现有机构，如国家互联网信息办公室。该机构属于数据信息保护和流通监管的行政机关，整合中国现有各个职能部门较为分散的监管权，作为司法的前置机构进行互联网数据信息的审查监管。

• 设立专门的非官方性质的隐私数据保护认证机构，亦可利用和发展现有的相关认证机构，如中国软件测评中心、中国电子商务协会诚信评价中心等。该举措旨在监督网络主体对用户隐私数据的保护，提高行业的信用度和竞争力。

• 完善隐私政策声明，逐渐形成符合国际标准的国内范例。如强制载明符合如下原则的内容：目的有限原则；数据质量与相称原则；透明原则；安全原则；查阅、修改与反对权原则；后续转移限制等。

感谢关注！

继续修炼中… …