個(gè)人信息安全風(fēng)險與防范論文

　　摘要：云計算時(shí)代的個(gè)人信息安全體系初步形成，但個(gè)人信息安全技術(shù)風(fēng)險和管理風(fēng)險還大量存在，可能導致個(gè)人信息的違法收集、利用和處理，因而有必要構建云計算下的個(gè)人信息安全監控機制、偵查機制和應急機制，確保個(gè)人信息安全可控和云計算產(chǎn)業(yè)健康發(fā)展。

　　關(guān)鍵詞：云計算；個(gè)人信息；安全風(fēng)險

　　一、云計算及其潛在風(fēng)險概述

　　云計算是繼分布式計算、網(wǎng)格計算、對等計算之后的一種新型計算方式，通過(guò)互聯(lián)網(wǎng)上異構、自治的服務(wù)，為用戶(hù)提供定制化的計算。云計算是將網(wǎng)絡(luò )儲存技術(shù)、虛擬化技術(shù)、網(wǎng)格計算技術(shù)、并行處理技術(shù)、分布式處理技術(shù)等軟硬件技術(shù)融合發(fā)展的集大成者，也是集合了網(wǎng)絡(luò )、服務(wù)器、計算、儲存、應用軟件等資源并提供快速便捷、即需即取服務(wù)的共享平臺。云計算具有按需服務(wù)、廣泛的網(wǎng)絡(luò )接入、資源池化、快速彈性以及按使用量計費等5個(gè)特點(diǎn)；涵蓋私有云、社區云、公有云、混合云等4種開(kāi)發(fā)模式］。云計算有3大優(yōu)勢：

　　一是具有強大的存儲和計算能力，能提供即需即取的服務(wù)。最大的云計算平臺的服務(wù)器數量達到百萬(wàn)級別，一般的云計算企業(yè)的服務(wù)器數量在幾十萬(wàn)臺，比較小的企業(yè)私有云服務(wù)器數量也要數百上千臺。另外，云計算還能夠彈性配置、動(dòng)態(tài)伸縮，以滿(mǎn)足用戶(hù)規模和計算量增長(cháng)的需要。二是具有開(kāi)放性，能實(shí)現資源共享。云計算將虛擬化技術(shù)、分布式計算技術(shù)、效用計算技術(shù)和定制、計量、租用的商業(yè)模式相結合，最大效率地利用了隨時(shí)連接、隨時(shí)訪(fǎng)問(wèn)、分布存取的各個(gè)服務(wù)器，實(shí)現了資源的共享。三是具有管理成本最小化以及與服務(wù)供應商的交互最小化的優(yōu)勢，能降低使用成本。云計算具有規模效應和網(wǎng)絡(luò )效應，在硬件成本、管理成本、電力成本、資源利用率方面都有極大的成本優(yōu)勢，企業(yè)和個(gè)人也省去了服務(wù)器的磨損、閑置和管理成本，只需按需要使用相應功能、按服務(wù)量支付費用。云計算潛在的安全風(fēng)險與云計算的技術(shù)優(yōu)勢和經(jīng)濟效益總是如影隨形。用戶(hù)對于個(gè)人信息安全的擔憂(yōu)是云計算服務(wù)推廣應用的首要障礙，云計算的理念是開(kāi)放和共享，而個(gè)人信息安全注重封閉和私權，兩者之間存在一定的矛盾。個(gè)人信息是指個(gè)人姓名、住址、出生日期、身份證號碼、醫療記錄、人事記錄、照片等單獨或與其他信息對照可識別特定個(gè)人的信息［5］。個(gè)人信息涉及用戶(hù)的人身自由、人格尊嚴、財產(chǎn)權利等基本權利，事關(guān)重大，一般具有極高的敏感性。用戶(hù)在決定是否使用云計算之前會(huì )對云計算的安全風(fēng)險加以衡量。使用云計算功能在線(xiàn)存儲的文檔、圖片、視頻等文件大量涉及個(gè)人信息，一旦云計算的安全體系被攻破，則可能發(fā)生個(gè)人信息泄露、販賣(mài)等事件，嚴重危及用戶(hù)的人身財產(chǎn)安全，甚至會(huì )造成社會(huì )恐慌。與傳統的互聯(lián)網(wǎng)技術(shù)相比，云計算環(huán)境下保護個(gè)人信息的必要性更加突出。一是因為云計算下個(gè)人信息脫離了用戶(hù)的控制范圍，一旦云計算服務(wù)商的數據中心發(fā)生事故，用戶(hù)無(wú)法知悉，也無(wú)法及時(shí)采取措施，只能被動(dòng)挨打。

　　二是因為云計算的交互式、參與性、網(wǎng)絡(luò )化的特點(diǎn)，用戶(hù)幾乎將所有個(gè)人信息被動(dòng)或者主動(dòng)地全部暴露在云計算服務(wù)商平臺上，存在信息不對稱(chēng)和能力不對稱(chēng)的問(wèn)題，一旦發(fā)生侵權事件，用戶(hù)損失巨大，而且難以維權。

　　三是因云計算的普及性和規模性，小的漏洞都會(huì )造成巨大的破壞，損害具有連鎖反應。比如，2011年亞馬遜的EC2業(yè)務(wù)由于出現一點(diǎn)小的漏洞，整個(gè)云計算數據中心出現全范圍宕機；2012年微軟的WindowsAzure平臺由于個(gè)人服務(wù)的設置問(wèn)題，導致所有集群的功能不能使用。目前，研究云計算時(shí)代個(gè)人信息安全保護的學(xué)者大多從國家立法、行業(yè)立規的角度展開(kāi)。針對個(gè)人信息保護的建章立法固然重要，特別是構建規制云計算環(huán)境下個(gè)人信息保護問(wèn)題的法律規范和行業(yè)標準正當其時(shí)，法律的具體執行，特別是建立個(gè)人信息安全風(fēng)險的防控機制和措施更是迫在眉睫，本文擬從這一角度進(jìn)行探析。

　　二、云計算中的個(gè)人信息安全體系與技術(shù)風(fēng)險

　　云計算架構分為基礎設施層、平臺層和軟件服務(wù)層3個(gè)層次，分別對應簡(jiǎn)稱(chēng)IaaS、PaaS和SaaS3個(gè)服務(wù)類(lèi)型。IaaS是由政府或者企業(yè)建立的大規模服務(wù)器和網(wǎng)絡(luò )傳輸連接裝置等基礎設施，同時(shí)采用虛擬技術(shù)將分散到各個(gè)數據中心的服務(wù)器集中起來(lái)。PaaS包括基本硬件、基礎軟件、儲存設備等，起到應用支持的作用。SaaS的作用是制定一系列標準和協(xié)議，構建公共平臺，提供最終的應用服務(wù)。分層是橫向的、縱向的管理系統將這些資源進(jìn)行統一的配置和統一運行，實(shí)現一站式的服務(wù)。不同的云計算服務(wù)模式意味著(zhù)不同的個(gè)人信息安全體系，目前大多數個(gè)人信息安全體系就是基于云計算服務(wù)模型構建的。

　�。ㄒ唬㊣aaS層的個(gè)人信息安全體系與技術(shù)風(fēng)險IaaS服務(wù)提供商將基礎設施，包括服務(wù)器、儲存、網(wǎng)絡(luò )等IT設施進(jìn)行組合，形成不同規模、不同用途的服務(wù)產(chǎn)品，大到集網(wǎng)絡(luò )、數據計算、數據處理于一體的應用系統，小到一臺處理簡(jiǎn)單業(yè)務(wù)的服務(wù)器，然后以套餐的形式提供給用戶(hù)。用戶(hù)可以像在麥當勞點(diǎn)餐一樣，租用產(chǎn)品目錄上的IT基礎設施服務(wù)套餐，將自己的應用部署在上面，開(kāi)展各種業(yè)務(wù)。使用IaaS服務(wù)的信息安全風(fēng)險比較大，無(wú)論是物理設施、虛擬化技術(shù)、接口設施、還是應用程序，如果發(fā)生自然災害或者操作錯誤，將會(huì )對信息安全造成釜底抽薪般的巨大影響。其中，虛擬化安全風(fēng)險是防范重點(diǎn)。一方面是虛擬機自身存在的安全風(fēng)險，包括可能面臨用戶(hù)劫持、脆弱的防火墻等；另一方面是虛擬化軟件帶來(lái)的安全風(fēng)險，包括未經(jīng)授權的訪(fǎng)問(wèn)、非法刪除、非法添加等［6］。在傳統計算機技術(shù)下，對于個(gè)人信息的保護已經(jīng)有比較成熟的技術(shù)，包括加密和密鑰管理、身份識別和訪(fǎng)問(wèn)控制、安全事件管理等。云計算環(huán)境更加復雜，更加開(kāi)放。云計算環(huán)境下的IaaS個(gè)人信息安全體系的關(guān)鍵是將這些技術(shù)進(jìn)行融合，按照一定的技術(shù)標準，形成兼容的、完備的安全閉環(huán)，確保物理安全、網(wǎng)絡(luò )安全、虛擬化安全、接口安全。一是要加入安全防護技術(shù)，利用防火墻、病毒防護墻等對整個(gè)IaaS進(jìn)行防護；二是要加入訪(fǎng)問(wèn)控制技術(shù)，利用加密和解密管理、身份識別等技術(shù)為用戶(hù)提供用戶(hù)登錄管理、用戶(hù)認證、數字簽名等安全管理服務(wù)；三是要加入審計技術(shù)，對用戶(hù)的登錄和使用情況進(jìn)行統計分析，按照不同的風(fēng)險級別區分不同的安全域，實(shí)施不同等級的安全干預［7］。

　�。ǘ�）PaaS層的個(gè)人信息安全體系與技術(shù)風(fēng)險

　　PaaS層處在云計算的中間層，具有承上啟下的作用，其對于個(gè)人信息的整體安全具有重要作用。PaaS服務(wù)商提供的是應用基礎設施服務(wù)，即中間件服務(wù)。PaaS用戶(hù)可以將其應用系統布置到PaaS平臺上，應用系統服務(wù)器、網(wǎng)絡(luò )、操作系統、信息管理等應用系統運行的環(huán)境，由PaaS服務(wù)商提供保障。所有PaaS服務(wù)商不僅提供平臺，還提供安全服務(wù)。他們的職責是提供安全可靠的運行環(huán)境，保證用戶(hù)的信息安全。PaaS個(gè)人信息安全體系要求數據處理符合國家法律法規的要求，主要包括：數據存放位置、數據刪除或持久性、數據備份和恢復重建、數據發(fā)現；同時(shí)禁止一些不當的個(gè)人信息處理行為，比如：不同客戶(hù)數據的混合、數據聚合和推理。PaaS個(gè)人信息安全體系重點(diǎn)在于對價(jià)值較高的個(gè)人信息的保護，尤其是防范對個(gè)人信息的交叉查詢(xún)。

　�。ㄈ�）SaaS層的個(gè)人信息安全體系與技術(shù)風(fēng)險

　　與等軟件服務(wù)模式類(lèi)似。在SaaS平臺上，用戶(hù)不用購買(mǎi)軟件，也不用維護管理，只需要按照服務(wù)類(lèi)型和服務(wù)時(shí)間支付費用，就可以選擇使用符合自己需求的軟件。SaaS服務(wù)商不僅要管理維護自身的軟件，而且要將用戶(hù)的個(gè)人信息儲存在自己的服務(wù)器上，以便用戶(hù)隨時(shí)隨地可以接著(zhù)使用軟件。個(gè)人信息違法犯罪的概率總是與管理權限成正比。特別是在SaaS層下，存在一個(gè)基本的矛盾，一方面，SaaS需要將用戶(hù)的個(gè)人信息進(jìn)行備份，保存在多個(gè)不同位置的服務(wù)器上，防止數據丟失、數據刪除，提供及時(shí)的數據恢復服務(wù)；另一方面，SaaS可能涉嫌秘密保存和永久保存用戶(hù)的個(gè)人信息，在用戶(hù)不知情或者已經(jīng)刪除軟件上的個(gè)人信息的情況下，仍然保留電子痕跡并隨時(shí)可以恢復數據。所以SaaS應該提供給用戶(hù)透明的個(gè)人信息儲存、刪除和保護方案。當然，由于SaaS的共享性，用戶(hù)的個(gè)人信息安全風(fēng)險主要來(lái)自第三方的攻擊、竊取和篡改等。SaaS層的個(gè)人信息安全體系應該包括以下4個(gè)方面內容：

　　一是應用的安全，軟件運行的環(huán)境安全可靠，軟件能夠及時(shí)更新?lián)Q代，確保沒(méi)有漏洞；

　　二是個(gè)人信息數據庫的安全，數據庫與應用軟件數據應該隔離分開(kāi)，多個(gè)服務(wù)器進(jìn)行分別儲存，并使用防火墻、密鑰管理等技術(shù)進(jìn)行數據庫的保護；

　　三是個(gè)人信息的傳輸安全，采用加密的傳輸協(xié)議，確保用戶(hù)在客戶(hù)端和云計算服務(wù)器之間傳輸個(gè)人信息時(shí)不被截留；四是訪(fǎng)問(wèn)控制機制，由于多個(gè)用戶(hù)共用云計算服務(wù)器，需要對個(gè)人信息進(jìn)行分塊隔離，采用身份識別、數字簽名和訪(fǎng)問(wèn)控制技術(shù)對訪(fǎng)問(wèn)登錄進(jìn)行嚴格管理。上述分析是著(zhù)眼于云計算平臺3個(gè)層次本身的技術(shù)漏洞，除此之外，云計算用戶(hù)的服務(wù)終端也是個(gè)人信息安全風(fēng)險的重要源頭。一方面，云計算環(huán)境下，服務(wù)終端與云計算平臺連為一體，構成一個(gè)統一的系統，具有極強傳染性和破壞性的病毒很可能從服務(wù)終端侵入到整個(gè)云平臺，導致整個(gè)云的崩潰或者癱瘓。特別是現在手機服務(wù)端日益普及，APP使用率日益增高，手機病毒的傳播更加猖獗，也極易侵入云計算網(wǎng)絡(luò )。另一方面，操控電腦的也很可能通過(guò)云計算網(wǎng)絡(luò )對服務(wù)端發(fā)起攻擊，即使用戶(hù)的計算機采取防火墻、殺毒軟件等安全措施，但畢竟防范投入和水平有限，未必能阻擋病毒的侵襲。惡意代碼制作者、病毒郵件發(fā)送者以及其他惡意攻擊者可能直接竊取用戶(hù)服務(wù)端的個(gè)人信息，這種竊取采取各個(gè)擊破、螞蟻搬家的形式，更加難以覺(jué)察和防范。他們也可能破解或者盜取用戶(hù)在云計算平臺上的登錄名稱(chēng)和登錄密碼，盜取用戶(hù)儲存在云計算數據中心上的海量個(gè)人信息。

　　三、云計算中的個(gè)人信息安全管理風(fēng)險

　　除了云計算技術(shù)風(fēng)險，云計算的管理不善也可能帶來(lái)個(gè)人信息的安全風(fēng)險。天災易避，人禍難防，云計算時(shí)代個(gè)人信息安全管理風(fēng)險更大，后果也更為嚴重。技術(shù)風(fēng)險多為概率事件，偶然性較強，而管理風(fēng)險存在主觀(guān)故意，發(fā)生的可能性更高。技術(shù)風(fēng)險可能造成個(gè)人信息的破壞或者丟失，但不一定立即引起直接損失，而管理風(fēng)險一般伴隨著(zhù)惡意商業(yè)目的，緊接著(zhù)就可能造成用戶(hù)財產(chǎn)的損失或者人格權利的侵害。技術(shù)風(fēng)險可以由云計算服務(wù)商通過(guò)技術(shù)改進(jìn)進(jìn)行補漏，通過(guò)人工操作進(jìn)行補救，但是，在信息不對稱(chēng)的現狀下，道德缺失造成的云計算服務(wù)商監守自盜所帶來(lái)的風(fēng)險幾乎是難以防范的。下面筆者將從個(gè)人信息的收集、利用、處理3個(gè)方面歸納總結各種安全風(fēng)險。

　�。ㄒ唬┑赖碌氖Х秾е碌膫�(gè)人信息收集風(fēng)險

　　在云計算產(chǎn)業(yè)巨大利益的驅使下，云計算服務(wù)商可能有意或者無(wú)意地大量收集用戶(hù)的個(gè)人信息。云計算的主要商業(yè)模式是由云計算服務(wù)商運用數據挖掘技術(shù)，海量收集各類(lèi)政府機關(guān)、企事業(yè)單位、個(gè)人用戶(hù)的信息，進(jìn)行儲存、信息交換、個(gè)性服務(wù)、定向營(yíng)銷(xiāo)等。信息量越大，服務(wù)功能越強，商業(yè)價(jià)值就越大，這直接激發(fā)了云計算服務(wù)商收集個(gè)人信息的動(dòng)力。首先，用戶(hù)在使用云計算上的軟件時(shí)，并不知悉個(gè)人信息已經(jīng)被計算服務(wù)商獲取。雖然法律規定服務(wù)商必須履行告知義務(wù)，但是軟件的告知明細往往過(guò)于復雜，用戶(hù)如果不仔細閱讀一般都難以發(fā)現。特別是信息收集技術(shù)的不斷進(jìn)步，云計算服務(wù)商的信息收集能力不斷增強，信息收集的種類(lèi)和數量往往超出了用戶(hù)能夠知曉的范圍。有時(shí)候，云計算服務(wù)商秘密收集或者備份用戶(hù)的個(gè)人信息，但有時(shí)用戶(hù)知道自己的個(gè)人信息要被收集，為了享有便利的服務(wù)，不得不放棄個(gè)人信息權。其次，由于數據挖掘、數據比對等眾多信息收集技術(shù)的出現，云計算服務(wù)商具備了強大的信息比對、分析、歸納、推理、整理能力，能夠將用戶(hù)在不同平臺不同服務(wù)中的碎片化個(gè)人信息整理成完整的個(gè)人信息圖譜，能夠掌握用戶(hù)完整的特征和清晰的活動(dòng)軌跡。雖然這些個(gè)人信息能夠更方便地為用戶(hù)提供優(yōu)質(zhì)的個(gè)性化服務(wù)，但這些脫離信息主體的個(gè)人信息，往往處于事實(shí)上的權利失控狀態(tài)，信息主體并不知道誰(shuí)收集、處理和利用了他們的信息，以及以何種手段收集、處理和利用他們的信息，這構成了巨大的個(gè)人信息收集風(fēng)險［8］。第三，不同云計算平臺之間可能存在不正當的個(gè)人信息交換，秘密簽訂個(gè)人信息共享協(xié)議，實(shí)現云計算服務(wù)商的商業(yè)利益最大化。特別是在云計算不區分國界的情況下，個(gè)人信息的跨境傳輸更難以管控。斯諾登事件就曝光了一些云計算企業(yè)在國家力量的支持下，收集其他國家公民的個(gè)人信息。這樣的跨境收集個(gè)人信息的行為，不僅侵害了公民的民事權利，還侵害了一個(gè)國家的信息主權。

　�。ǘ�）規則的缺失導致的個(gè)人信息利用風(fēng)險

　　云計算產(chǎn)業(yè)發(fā)展迅猛，但是云計算領(lǐng)域的規則和標準的建構與完善卻相對滯后，這種不對稱(chēng)的發(fā)展造成了個(gè)人信息安全領(lǐng)域的無(wú)序狀況，容易造成個(gè)人信息利用的違法和犯罪。首先，云計算安全技術(shù)標準還有待強化和細化。沒(méi)有統一的云安全技術(shù)標準，無(wú)法強制要求云計算服務(wù)商布設有關(guān)安全技術(shù)措施，導致一些服務(wù)商重視能夠帶來(lái)盈利的商業(yè)技術(shù)，而忽視了不能帶來(lái)直接利益的安全技術(shù)。沒(méi)有安全技術(shù)標準的約束，一些云計算服務(wù)提供商還可能在云計算系統中插入秘密收集個(gè)人信息的軟件，比如等等。其次，云計算行業(yè)的制度規范也尚未制定。云計算產(chǎn)業(yè)需要一套關(guān)于個(gè)人信息保護的完整的行為準則，確立個(gè)人信息數據庫的管理制度，明確個(gè)人信息處理人員、安全管理人員、系統開(kāi)發(fā)人員和系統操作人員的職責范圍和操作規程。云安全規則的缺失極其容易造成個(gè)人信息的濫用。云計算服務(wù)商可能將個(gè)人信息應用于定向推送廣告、不斷騷擾下的強迫交易、信息銷(xiāo)售等。在現實(shí)生活中，用戶(hù)將身份證復印件提供給服務(wù)商時(shí)，往往在身份證上注明“僅限用作……”等字樣，確保身份證復印件的有限使用和特定用途使用。但是電子數據形式的個(gè)人信息極易被復制，很難保證服務(wù)商不將其挪作他用。第三，由于個(gè)人信息相關(guān)法律不夠健全，云計算環(huán)境下個(gè)人信息的保護法更是少之又少，個(gè)人信息缺乏有力的司法強制力的保護。云計算用戶(hù)在個(gè)人信息遭受侵犯時(shí)，往往難以獲得有效的救濟。云計算沒(méi)有地域性，個(gè)人信息案件的管轄難以明確，造成立案難；云計算具有虛擬性，電子數據極易篡改，造成個(gè)人信息案件的取證難；另外，個(gè)人信息具有非物質(zhì)性，其價(jià)值難以計量，造成個(gè)人信息案件的賠償難。

　�。ㄈ�）管理的失位引發(fā)的個(gè)人信息處理風(fēng)險

　　我國云計算產(chǎn)業(yè)剛剛起步，無(wú)論是監管機構還是云計算企業(yè)，都尚未建立完整有效的管理機制。一方面，政府監管力度不夠。目前，我國云計算的監管部門(mén)是國家工信部，由于其職能主要是促進(jìn)產(chǎn)業(yè)發(fā)展，因此往往重發(fā)展而輕安全。個(gè)人信息的違法犯罪涉及司法權和行政執法權，信息化管理部門(mén)還無(wú)法行使調查取證、強制措施、搜查凍結、罰款沒(méi)收等權力。另外，由于條件的限制，信息化管理部門(mén)進(jìn)行個(gè)人信息安全執法的力量較為薄弱。另一方面，企業(yè)管理動(dòng)力不足。云計算服務(wù)商利用個(gè)人信息的利益和用戶(hù)保護個(gè)人信息的權利存在一定的矛盾，企業(yè)沒(méi)有足夠的動(dòng)力投入更多的人力物力進(jìn)行個(gè)人信息的管理。云計算企業(yè)對于能夠產(chǎn)生經(jīng)濟價(jià)值的個(gè)人信息的利用較為重視，而對于不能直接產(chǎn)生經(jīng)濟效益，甚至有可能產(chǎn)生負效益的個(gè)人信息的管理重視不夠。云計算服務(wù)提供商如果不加強內部操作人員的管理，不加強個(gè)人信息保護內部控制的建設，操作人員違規處理個(gè)人信息的現象將不斷出現。云計算時(shí)代，所有IT設備或數據被放到一起集中管理，內部人員擁有的權限讓其能輕易獲取重要個(gè)人信息甚至得到整個(gè)云服務(wù)平臺的完全控制權。用人失察或監管缺位都會(huì )給個(gè)人信息安全帶來(lái)災難性的損失。

　　四、云計算下的個(gè)人信息安全防控措施

　　云計算下的個(gè)人信息安全已經(jīng)不是一個(gè)純技術(shù)問(wèn)題，僅僅依靠云計算企業(yè)采用先進(jìn)的云安全技術(shù)去遏制個(gè)人信息的違法犯罪是不夠的。唯有法律才能明確管理責任，才能明晰處理個(gè)人信息的權限，才能懲罰和防范一些犯罪分子利用個(gè)人信息謀取私利。違法收集、利用、處理行為主要承擔民事責任、行政責任和刑事責任［9］。個(gè)人信息相關(guān)法律法規的制定非常重要，而且迫在眉睫。但是個(gè)人信息安全防控機制的構建、個(gè)人信息安全防范措施的完善同樣非常重要。作為以保障公共安全、保護人民生命財產(chǎn)安全為職能的公安機關(guān)，在防范和控制個(gè)人信息安全違法犯罪中，具有得天獨厚的優(yōu)勢。我國應該構建以公安機關(guān)為主，信息化管理部門(mén)協(xié)調配合，法律規制與行業(yè)管理相結合的個(gè)人信息安全防控體系，構建并完善云計算下的個(gè)人信息安全監控機制、偵查機制和應急機制。

　�。ㄒ唬┰朴嬎阆碌膫�(gè)人信息安全監控機制

　　信息的公開(kāi)具有不可逆性，云計算個(gè)人信息安全事故一旦發(fā)生，造成的損害無(wú)法恢復原狀。因而個(gè)人信息的保護不能依賴(lài)事后的被動(dòng)處理，而應該著(zhù)重于監控與預警，從事后救濟、被動(dòng)維護向事前設計、事中報告、主動(dòng)監控轉移，形成常態(tài)的監控機制［10］。首先，應該制定統一的技術(shù)標準，要求云計算服務(wù)商在系統中植入安全監控技術(shù)；制定統一的行業(yè)規范，要求云計算服務(wù)商建立完善的內部控制制度。利用安全監控技術(shù)，公安機關(guān)、信息化管理部門(mén)和云計算服務(wù)商都能及時(shí)了解云計算系統運行狀態(tài)。監控技術(shù)不僅起到預警作用，也為云計算安全的內部控制提供數據支撐。其次，應該建立常態(tài)的個(gè)人信息安全報告機制，要求云計算服務(wù)商及時(shí)報告個(gè)人信息流動(dòng)的異常情況。個(gè)人信息安全的報告機制可以借鑒我國《法律中的“大額交易和可疑交易監控與報告”制度，要求云計算服務(wù)商將可疑的個(gè)人信息流動(dòng)報告給公安機關(guān)和信息化管理部門(mén)�？梢傻膫�(gè)人信息流動(dòng)是指個(gè)人信息流動(dòng)在數量、頻率、流向和性質(zhì)等方面表現異常，或與客戶(hù)身份、登錄狀況、活動(dòng)規律不符，存有個(gè)人信息違法犯罪嫌疑的流動(dòng)。

　�。ǘ�）云計算下的個(gè)人信息安全偵查機制

　　嚴格的偵查機制和過(guò)硬的偵查能力是個(gè)人信息安全保護的根本保障。要整合公安機關(guān)、信息化管理部門(mén)、行業(yè)自律組織的資源，司法、行政與行業(yè)之間無(wú)縫對接，協(xié)調配合，共同執法。在行政和刑事執法過(guò)程中，取證難嚴重降低了打擊違法犯罪行為的力度。在云計算環(huán)境下，某些電子證據依靠目前的偵查技術(shù)，還難以充分偵測與提取。如在云應用服務(wù)中，有許多服務(wù)通過(guò)運行的虛擬專(zhuān)用網(wǎng)絡(luò )（VPA）訪(fǎng)問(wèn)，現有偵查技術(shù)幾乎檢測不到［11］。對此，可以采用面向取證的現場(chǎng)遷移技術(shù)等進(jìn)行偵查，采取遷移取證監管來(lái)調度和監控鏡像證據提取層的每一次遷移操作，并記錄下全部的遷移過(guò)程信息，保證取證數據符合證據法要求的可靠性和完整性［12］。

　�。ㄈ�）云計算下的個(gè)人信息安全應急機制

　　云計算服務(wù)提供商應當設置個(gè)人信息安全監控中心，負責系統安全的全面維護、個(gè)人信息安全的總體監控、個(gè)人信息安全情況報告和個(gè)人信息安全事件的處置等［13］。公安機關(guān)和信息化管理部門(mén)要根據云計算服務(wù)商提交的可疑個(gè)人信息流動(dòng)報告，進(jìn)行認真研判、仔細甄別。對篩選出來(lái)的違反法律規定的個(gè)人信息安全事件，要根據嚴重程度，啟動(dòng)個(gè)人信息安全應急機制。應急機制分為輕微、一般、重大、特別重大等不同等級。不同等級的警報對應不同級別的應急方案。應急方案包括提醒客戶(hù)、數據隔離、數據恢復、停止運行等。其中數據隔離可以保證用戶(hù)的個(gè)人信息運行于封閉且安全的范圍內，防止進(jìn)一步地泄露，避免用戶(hù)間的相互影響，減少用戶(hù)錯誤操作或受到計算機病毒攻擊時(shí)對整個(gè)系統帶來(lái)的安全風(fēng)險。數據恢復是針對計算機病毒攻擊的重要應急措施，包括恢復個(gè)人信息和遭受病毒侵害的軟件等。數據恢復是典型的事后應急措施，可以保證云計算服務(wù)可靠性和可用性。

　　五、結語(yǔ)

　　技術(shù)的進(jìn)步必然引起法律制度的變革，產(chǎn)業(yè)的發(fā)展必須依賴(lài)法律機制的完善。云計算時(shí)代，個(gè)人信息安全的法律規制迫在眉睫。隨著(zhù)云計算成為人類(lèi)基本的工作、生活環(huán)境，個(gè)人信息都無(wú)法避免地集中到云上，海量個(gè)人信息的安全問(wèn)題是公安機關(guān)必須面對的難題。個(gè)人信息安全監控機制旨在防范犯罪，個(gè)人信息安全偵查機制旨在打擊犯罪，個(gè)人信息安全應急機制則是處理已經(jīng)發(fā)生的犯罪。建立系統的個(gè)人信息安全防控機制，多方位協(xié)同發(fā)揮效力，方能最大程度確保個(gè)人信息安全可控和云計算產(chǎn)業(yè)健康發(fā)展。

　　參考文獻：

　�。�1］周漢華．個(gè)人信息保護法（專(zhuān)家建議稿）及立法研究報告［M］．北京：法律出版社，2006：3．

　�。�2］姜茸，張秋瑾，李彤，等．電子政務(wù)云安全風(fēng)險分析［J］．現代情報，2014（12）：14－15．

　�。�3］李連，朱愛(ài)紅．云計算安全技術(shù)研究綜述［J］．信息安全與技術(shù)，2013（5）：44－45．

　�。�4］齊愛(ài)民，陳星．云計算時(shí)代的個(gè)人信息安全危機與法律對策［J］．中國信息安全，2012（11）：83－84．

　�。�5］何培育．個(gè)人信息盜竊的技術(shù)路徑與法律規制問(wèn)題研究［J］．重慶理工大學(xué)學(xué)報（社會(huì )科學(xué)），2015（2）：159－162．

　�。�6］林闖，蘇文博，孟坤，等．云計算安全：架構、機制與模型評價(jià)［J］．計算機學(xué)報，2013（9）：1775－1776．

　�。�7］丁秋峰，孫國梓．云計算環(huán)境下取證技術(shù)研究［J］．信息網(wǎng)絡(luò )安全，2011（11）：36－38．

　�。�8］周剛．云計算環(huán)境中面向取證的現場(chǎng)遷移技術(shù)研究［D］．華中科技大學(xué)，2011：29．

　�。�9］魏光禧．電子商務(wù)中個(gè)人信息的利用與保護［J］．中國商論，2015（5）：41－42．

【個(gè)人信息安全風(fēng)險與防范論文】相關(guān)文章：

網(wǎng)絡(luò )信息安全與防范論文05-23

網(wǎng)絡(luò )信息安全與防范論文11-05

財務(wù)風(fēng)險管理防范論文12-20

債務(wù)風(fēng)險防范方案03-25

債務(wù)風(fēng)險防范方案11-17

淺談保險法律道德風(fēng)險的法律防范論文08-04

網(wǎng)絡(luò )信息安全與防范論文[合集]05-25

怎么防范金融犯罪風(fēng)險03-07

債務(wù)風(fēng)險防范方案通用12-21

債務(wù)風(fēng)險防范化解方案12-26