中孚信息敏感信息實時監(jiān)管系統(tǒng)，切實保障數(shù)據(jù)安全

近日，一名頗受觀眾喜愛的脫口秀演員發(fā)微博證實，在其與原合作公司訴訟過程中的案件材料里，他發(fā)現(xiàn)了自己在中信銀行的個人賬戶交易明細。

“你也沒有我的身份證，你也沒有我的銀行卡，你也沒有司法機關的調查令，竟然能從中信銀行拿到我近兩年的流水還打印出來。”當事人就此事正式發(fā)出律師函，并指出在未經(jīng)個人授權和司法機關合法調查程序的情況下，直接將個人銀行賬戶交易明細打印，并提供給第三方，屬于嚴重違法。

那么這種行為到底違不違法?違反了什么法?答案是當然是屬于違法的，涉嫌“侵犯公民個人信息罪”。我國第一次將侵犯公民個人信息犯罪寫入立法之中是在2009年的《刑法修正案七》，其中第二百五十三條中以明確的主體和構成要件填補了我國公民信息保護的立法空白。至今十余年間兩次修正案的修訂，對侵犯公民個人信息相關規(guī)定進一步擴充和完善，特別是對出售、非法提供以及非法獲取等行為的犯罪構成要件以及量刑情節(jié)進行了細化，從對公民法益的間接性保護轉變?yōu)橹苯颖Ｗo的內容。

除此之外，《民法通則》第一百一十一條明確了公民的個人信息受法律保護?！肚謾嘭熑畏ā愤€專門對網(wǎng)絡上實施的侵犯公民信息權益的行為做出了規(guī)定。

中信銀行的這次個人信息泄露據(jù)說是內部人員為了配合大客戶的要求而做出的，而實際上這種現(xiàn)象的背后還暗藏一條販賣銀行流水等信息的黑色產業(yè)鏈，據(jù)南方都市報記者調查，有賣家聲稱，銀行流水等信息來自“內部人士”，4000元可查一個月的流水記錄，并“確保專業(yè)準確”。早在2016年12月，南都記者就曾在調查報道中披露，公眾的隱私信息，包括開房記錄、四大銀行存款記錄、乘坐航班，甚至網(wǎng)吧上網(wǎng)記錄信息，只要付費，在黑產圈都可以輕易被買到。

大數(shù)據(jù)時代，個人敏感信息泄露問題日益嚴重

那么到底什么才是個人數(shù)據(jù)?目前，我國學術界與司法實踐多根據(jù)識別的來源來界定個人數(shù)據(jù)。識別包括直接識別和間接識別，直接識別即可通過直接確認本人身份的數(shù)據(jù)來識別，如身份證號碼、基因等;間接識別指通過與其他數(shù)據(jù)結合從而確定本人身份的數(shù)據(jù)來識別。從根本上說，我們生活中的幾乎每個方面都圍繞著數(shù)據(jù)。從社交平臺到銀行，從零售商和政府，幾乎我們使用的每項服務都涉及對我們個人數(shù)據(jù)的收集和分析，姓名、性別、年齡、地址、手機號碼、銀行卡號等等，所有都由組織收集、分析，并且可以存儲。

2016年4月27日，歐盟通過了《通用數(shù)據(jù)保護條例》GDPR(General Data Protection Regulation)，該條例經(jīng)兩年過渡期后取代1995年95/46/EC號指令于2018年5月25日正式生效[2]。這標志著歐盟建立了統(tǒng)一的個人數(shù)據(jù)保護法制。根據(jù)GDPR的條款，組織不僅必須確保在嚴格的條件下合法收集個人數(shù)據(jù)，而且收集和管理個人數(shù)據(jù)的人有義務保護其免受濫用和利用，并尊重數(shù)據(jù)權利，否則將面臨罰款。GDPR的核心是一套旨在使歐盟公民對其個人數(shù)據(jù)有更多控制權的新規(guī)則，它旨在簡化企業(yè)的監(jiān)管環(huán)境，以便歐盟公民和企業(yè)都可以從數(shù)字經(jīng)濟中充分受益。

GDPR所指的個人數(shù)據(jù)是什么?在原有法律下被視為個人數(shù)據(jù)的類型包括姓名、地址和照片。GDPR擴展了個人數(shù)據(jù)的定義，IP地址之類的信息都可以成為個人數(shù)據(jù)，而諸如遺傳數(shù)據(jù)和生物統(tǒng)計數(shù)據(jù)，可以對其進行處理以唯一地識別個人的信息都屬于敏感的個人數(shù)據(jù)，也就是隱私的范疇。

美國銀行，保險和醫(yī)療保健等對隱私敏感的行業(yè)的公司敏銳地意識到了隱私問題，這就是為什么這些企業(yè)(及其行業(yè)監(jiān)管機構)每年向客戶發(fā)布隱私政策聲明，說明其數(shù)據(jù)隱私政策以及公司將選擇與他人共享(或不共享)的信息的原因。當人們收到這些隱私通知時，大多數(shù)人都會把它們扔掉，因為人們感到相對安全，該公司將對收集到的數(shù)據(jù)做得很好。而實際上，數(shù)據(jù)問題還有另一面：一些采集消費者數(shù)據(jù)的公司往往將這些數(shù)據(jù)打包私自出售，因為這為其業(yè)務創(chuàng)造了新的收入流。2018年3月美國發(fā)生了一起轟動全球的隱私泄露事件，名為“劍橋分析”的數(shù)據(jù)分析公司被曝料通過Facebook收集用戶偏好信息，然后利用這些用戶喜好有針對性地推送廣告，最終達成的目標是影響2016年美國大選。接著Facebook被爆出超過5000萬的用戶信息被濫用，受到丑聞影響，次日Facebook股價應聲大跌7%，市值縮水360多億美元。

GDPR認為個人數(shù)據(jù)是“敏感”的，滿足以下條件之一才能處理敏感數(shù)據(jù)：

已獲得個人的明確同意(在某些情況下，法律可能會排除此選項);

歐盟或國家法律或集體協(xié)議，要求公司或機構來處理，以履行其義務和權利的數(shù)據(jù)，以及那些個人的，在就業(yè)，社會保障和社會保障法的領域;

人的重大利益，或身體或法律上無能力同意的人的重大利益受到威脅;

基金會，協(xié)會或其他非營利組織，其宗旨是政治，哲學，宗教或工會，處理有關其成員或與該組織定期聯(lián)系的人員的數(shù)據(jù);

個人數(shù)據(jù)明顯是由個人公開的;

建立，行使或抗辯法律要求所需要的數(shù)據(jù)

根據(jù)歐盟或國家法律，出于重大公共利益的原因處理數(shù)據(jù);

為預防或職業(yè)醫(yī)學，評估員工的工作能力、進行醫(yī)療診斷、提供健康或社會護理或治療，或基于以下目的管理健康或社會護理系統(tǒng)和服務而處理數(shù)據(jù);

根據(jù)歐盟或國家法律，出于公共衛(wèi)生領域公共利益的原因處理數(shù)據(jù);

根據(jù)歐盟或國家法律對數(shù)據(jù)進行存檔，科學研究或歷史研究目的或統(tǒng)計目的的處理。

隱私泄露風險多，如何對敏感數(shù)據(jù)進行有效保護？

敏感數(shù)據(jù)經(jīng)常通過各種漏洞泄漏出去。特別是類似金融、醫(yī)療、電子商務等各種業(yè)務生產系統(tǒng)積累了大量包含客戶賬戶、身份、密碼、個人健康情況等敏感信息的數(shù)據(jù)。而這些數(shù)據(jù)，在這些業(yè)務系統(tǒng)的很多工作場景中都會經(jīng)常使用，例如，業(yè)務分析、開發(fā)測試、審計監(jiān)管，甚至是一些外包業(yè)務等方面，使用的都是真實的業(yè)務數(shù)據(jù)和信息。如果這些數(shù)據(jù)發(fā)生泄露、損壞，不僅會給這些組織帶來經(jīng)濟上的損失，更重要的是會大大影響用戶對于這些組織的信任度。如何保證業(yè)務過程中敏感數(shù)據(jù)安全已經(jīng)成為必須面對的一個重要的問題。

隱私泄露等敏感數(shù)據(jù)遇到的風險不是開發(fā)人員的疏忽，而是對敏感數(shù)據(jù)采集、傳輸、存儲、使用和銷毀的全套解決方案和基礎架構的信任放錯了位置，要加強對組織和個人敏感數(shù)據(jù)的保護應該轉向具有自動敏感數(shù)據(jù)識別功能的數(shù)據(jù)安全解決方案。

敏感數(shù)據(jù)可能是以文字、圖片，甚至是視頻的方式存在，發(fā)現(xiàn)敏感信息并進行妥善處理的關鍵環(huán)節(jié)即敏感數(shù)據(jù)的識別與發(fā)現(xiàn)，這一過程通過應用自然語言處理及文檔分類、圖像模式識別等算法，采用人工智能的理論和技術將設定的自然語言、圖形圖像用計算機程序表達處理，構建具有高準確度和較高速度的若干數(shù)據(jù)識別分類器，從而構造出能夠理解和識別敏感和隱私信息的機器智能模塊，一般包括訓練分類器和分類識別兩個功能層次：

整個識別過程包括：樣本數(shù)據(jù)庫預分類、提取文本、圖片和視頻特征、建立特征庫、場景數(shù)據(jù)抽取、數(shù)據(jù)預處理、文本檢測、視頻檢測、圖像檢測、特征提取、分類判斷。

數(shù)據(jù)抽取：對包括敏感信息的海量數(shù)據(jù)信息進行抽取，獲取與組織敏感信息或個人隱私相關的多維數(shù)據(jù)進行內容識別，判斷其敏感性和重要性。

數(shù)據(jù)預處理：文本數(shù)據(jù)預處理，必須把文檔中的詞與詞分割開也就是分詞，然后才能提取對文本分類最有意義的詞語，并根據(jù)每個詞對分類的重要程度進行權重計算和特征提取。視頻數(shù)據(jù)預處理，由于視頻中圖像有著過多冗余的特征，所以在處理視頻時一般將視頻中的圖像通過某些算法，選取其中的一幅或者若干幅圖像作為關鍵幀，用這些關鍵幀表示視頻中的內容;其他數(shù)據(jù)預處理，數(shù)據(jù)庫中其他與個人隱私或組織敏感信息有關的數(shù)據(jù)抽取后的清洗、分解和合并等工作;數(shù)據(jù)檢測，根據(jù)數(shù)據(jù)類型，按文本、圖像、視頻或其他，數(shù)據(jù)進行分類檢測，提取相應數(shù)據(jù)特征。

數(shù)據(jù)特征提?。何谋咎卣魈崛?，對文本自動分詞后，從分詞結果中選擇特征詞是建立分類特征模型的關鍵。本模塊提供包括互信息、信息增益、文檔頻度等特征詞選擇方法;圖像特征提取，圖像特征的正確提取和恰當組合是整個判別模型的關鍵，對于后期分類器的分類效果起著決定性的作用。敏感圖像過濾是一個特殊的圖像識別問題，結合此類問題的分析，大部分情況下人臉、動作和周邊環(huán)境是敏感圖像的主要內容，判別模型所采用的特征包括圖像顏色特征、皮膚特征、人臉特征等。

樣本數(shù)據(jù)庫：實驗數(shù)據(jù)包括文本、圖像、視頻或其他數(shù)據(jù)，相應數(shù)據(jù)都已打好標記。其中，文本類樣本可以選自成熟的語料庫，從已經(jīng)標記好的文本中提取若干作為測試文本集，剩余的作為訓練文本集。

分類器：采用半監(jiān)督學習分類器，這種分類器在訓練樣本集數(shù)據(jù)的部分信息缺失時，具有較好性能和推廣能力，具體分類器包括協(xié)同訓練、圖理論、生成式模型算法等。

中孚信息為全面解決敏感信息和涉密信息的泄露問題提供有效技術手段

我們深知，發(fā)生這類事件，重點是從“人防”方面著手，加強從業(yè)人員職業(yè)道德教育。除此之外，金融系統(tǒng)還可以部署敏感信息實時監(jiān)管系統(tǒng)、計算機終端保密檢查系統(tǒng)等產品，為大數(shù)據(jù)時代的數(shù)據(jù)安全提供服務。

“中孚敏感信息實時監(jiān)管系統(tǒng)”支持對敏感信息的實時監(jiān)管，為全面解決敏感信息甚至是涉密信息的泄露問題提供了有效技術手段。系統(tǒng)通過實時監(jiān)控，及時發(fā)現(xiàn)敏感信息并堵住泄露渠道，具體原理是對被監(jiān)控端所有文檔的編輯工作進行監(jiān)控，根據(jù)策略自動分析文檔中的敏感信息，在發(fā)現(xiàn)文檔包括已定義敏感信息類別的情況下，可立即屏蔽該機網(wǎng)絡功能，防止敏感信息泄露行為發(fā)生，同時進行發(fā)出告警，供日后查證。

目前，中孚信息自主研發(fā)的敏感信息實時監(jiān)管系統(tǒng)和計算機終端保密檢查系統(tǒng)已在中國建設銀行、國家開發(fā)銀行、農業(yè)發(fā)展銀行等重點金融系統(tǒng)進行部署，為切實保障數(shù)據(jù)安全做好保障。

（免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）