基于數據運營安全的個人信息保護*

王文宇

（數安行科技有限公司，北京 100036）

0 引 言

信息技術的高度發展與普及，為我們的日常工作、生活帶來極大的便利。個人信息作為標識一個人的主要屬性，在各業務場景下需要將身份證、電話等提供給他人（含企業、政府等組織）。一旦他人對個人信息監管疏漏或使用不當，個人信息沒有有效保護，一方面會對個人的財產、人身安全造成侵害，一方面責任方也會受到聲譽、經濟的雙重重創。據IBM Security發布的《2020年數據泄露成本報告》，對全球 500 多個組織數據泄露事件的深入分析發現，有 80% 的事件導致了客戶個人身份信息的泄露。針對個人信息保護問題，本文提出了結合人工智能，通過數據運營安全保護個人信息的方法。

1 個人信息保護面臨的挑戰

在紙質辦公時代，個人信息的保護一般通過簽署保密協議等承諾方式進行保護，個人信息的保護訴求相對比較弱化。在互聯網、大數據、5G 互聯時期，一方面，個人信息被急速的收集、匯聚；另一方面，企業為了從個人信息數據中挖掘商業價值，擴大個人信息的使用、共享，個人信息流動頻率上升。與此同時，越來越多的行業、企業、個人意識到個人信息中蘊含的價值，這也引導更多的注意力集中在個人信息的收集上。不法分子從中嗅到了商機，使用各種非法手段竊取個人信息進行倒賣。其中，不乏企業內部人員借助工作便利直接進行信息倒賣博取經濟利益，內部威脅在個人信息侵害中占比很大。個人信息保護不當導致個人財產受損乃至造成生命危險，個人信息保護形勢極其嚴峻。

個人數據規模持續快速增長，這些數據蘊含著巨大的價值。而數據價值要釋放出來，就需要打破當前個人信息的孤島式數據服務提供方式，加速開放和共享。這就需要首先解決個人信息的安全問題。面對多維度的個人信息，不同行業不同需求的個人信息使用，各企業對個人信息相關的業務線條復雜化，以及隨著技術發展所帶來的個人信息保護的新挑戰，使得個人信息保護迫在眉睫。從國家、企業到個人，也對個人信息保護愈加重視。

2 個人信息保護立法的合規要求

在我國，立法部門、執法部門以及社會產業等各界正在持續致力于推動個人信息保護的發展與落實。近年來《網絡安全法》[1]、《數據安全法（草案）》[2]陸續出臺，《個人信息保護法(草案)》[3]在2020 年 10 月公布。與此同時，針對金融、電信、互聯網等各行業自身行業特征，國家及行業相關部門制定了相應的個人信息保護指南，如《金融數據安全數據安全分級指南》[4]，《個人金融信息保護技術規范》[5]，《電信和互聯網用戶個人信息保護規定》[6]等。在國外，相應的法律法規也在陸續制定，例如2018 年歐盟正式實施GDPR。GDPR 雖然由歐盟頒布實施，根據內部條文的約束定義，管轄范圍可以延及全球。2018—2020 年，GDPR 開出的罰單總計上億美元，包括谷歌、Facebook、萬豪、英國航空等多家巨頭企業都因個人信息違規而收到大額罰單。

個人信息維度多樣，在《個人信息保護法(草案)》中對個人信息的保護，涵蓋了個人信息的收集、處理和利用。[3]各行業對個人信息分類分級保護，提出了具體要求。縱觀國家及各行業的法律法規可以看到，對個人信息分類分級，從收集、傳輸、存儲、使用、共享、銷毀全生命周期的保護，是個人信息保護的關鍵。

3 現有保護技術的優勢和劣勢

對個人信息的保護，現有的保護方式主要包括傳統安全、數據庫安全、數據防泄漏（DLP）、終端加密以及UEBA。各種保護方式的特點如下：

第一，傳統安全（防火墻/下一代防火墻）：主要抵御外部攻擊，下一代防火墻帶有一定的數據安全檢測和管控的能力，不能對內部的數據流動做出響應和保護。

第二，數據庫安全：解決結構化數據的安全問題如運維、審計、加密、脫敏等。單一的對結構化數據進行保護，不能對非結構化數據以及非結構化數據流動過程進行保護。

第三，數據防泄漏（DLP）：以邊界保護為主，重在對外發的個人信息進行安全監控或保護。不能保障個人信息在內部不同終端間，不同服務器、業務系統之間的流動安全。

第四，終端加密：以終端保護為主，對落地到終端的數據加密，重在非結構化數據的靜態存儲保護。結構化數據如個人信息等無法保護，不能在數據流動過程中平衡安全與業務。

第五，UEBA：能夠發現并保護內部數據異常使用和安全威脅，但對數據從生產到運維，從前端到后端的整個生命周期中的流動安全沒有保障。

針對個人信息保護的關鍵技術研究，主要包括K-匿名化、差分隱私、零知識證明ZKP、同態加密、安全多方計算、聯邦學習等。1）K-匿名化[7]：匿名化程度不足，隱私信息容易被破解；獲得越高的匿名化，就要選擇越復雜的匿名化算法。2）差分隱私[8]：差分隱私對數據添加噪音以獲得隱私信息的保護，需要在結果中加入大量隨機化，這會導致數據的可用性急劇下降。3）零知識證明ZKP[9]:生成零知識證明需要大量的算力，意味著較高的硬件資源投入，對數據使用效率的也有影響，對企業日常業務的個人信息進行保護存在一定難度。4）同態加密[10]：計算開銷較大，在同態加密體制的設計與優化方面，仍需要繼續研究。5）安全多方計算[11]：可獲取數據使用價值，卻不泄露原始數據，但需要交互較多，通信的開銷比較大。提高計算協議的效率，擴充本技術的應用場景，還在研究中[12]。6）聯邦學習[13]：算法通信次數多，需要從效率上提升；從安全性來講，需要防止從模型參數推演出原始數據；同時技術本身的魯棒性有待繼續研究[14]。

綜上所述，現有的個人信息保護方式，存在以下問題：1）重在保護結構化數據，在處理非結構化數據方面存在空缺。2）主要解決數據在單個域內的安全，沒有對不同域之間的數據流動進行保護。而數據只有流動起來，才能得到價值最大化。尤其是在大數據時代，數據孤島被打破，企業業務線條復雜化，個人信息既可能在特定的業務服務流程中使用，也可能在不同的業務之間流動使用。在數據流動中保護個人信息，是個人信息保護的重點。3）集中解決數據單個時期的安全問題，比如數據靜態存儲安全，或者監控數據檢索、查詢；保護了前端數據的存儲、使用安全，但對前后端整個運維過程缺乏監管。

新興的關鍵保護技術在解決某一類業務問題，某些特定應用場景的保護，有一定優勢，但總體上在業務中的應用還不夠成熟，有待進一步研究。現有個人信息保護方式，不足以應對當前個人信息的保護需要。本文針對當前個人信息保護的新形勢，提出結合AI，通過數據運營安全對結構化、半結構化、非結構化的個人信息流動的保護，涵蓋從生產到運維，從采集、傳輸、存儲、處理、分析、共享、銷毀全生命周期保護，深入業務執行內嵌防護，同時與業務解耦，達到保護個人信息安全的目標。

4 下一代技術方案實現

如圖1 所示，數據運營安全的個人信息保護，讓個人信息保護滿足合規性要求，在數據使用過程中追溯個人信息的流動，對數據的全生命周期進行保護，主要包括以下核心： 1）跨業務跨域的遙測數據采集分析； 2）全類型AI 個人信息梳理； 3）暗數據與明數據的AI 分類梳理標注； 4）個人信息影子及非感知數據的追溯；5）數據鏈的全運營周期追溯；6）分布式AI 數據安全風險分析；7）零信任數據安全； 8）自動化編排安全響應；9）多源數據統一安全機制。（參見圖2）

圖1 基于數據運營安全的個人信息保護

4.1 跨業務跨域的遙測數據采集分析

探針遙測內嵌入業務單元中，對終端、數據庫、業務服務器以及公有云、私有云或混合云，包括Docker、數據倉庫、數據湖等個人信息進行跨業務跨域的采集分析，為全域的個人信息保護建立基礎。探針遙測到各個域內，同時將抓手探入到業務內部，分析個人信息數據。

4.2 全類型AI 個人信息梳理

對各種類型的個人信息進行深度識別，從個人信息本體特征、行業特性、合規性等角度，結合機器學習對個人信息進行梳理，主要包括：1）用戶的姓名、電話、身份證等基礎屬性，以及與業務緊密關聯的個人信息，比如在電信運營中的通話數據、位置數據等等；金融行業中的賬戶信息、財產信息、借貸信息等。2）信息以結構化、半結構化、非結構化等多形態方式，或在數據庫中存儲，或轉為辦公文檔方式流轉，或在內部業務流轉過程中進一步進行格式轉換、數據的解析等等。3）新網絡形態、新技術的應用，所衍生出的新數據類型、數據生產方式、數據處理方式。

圖2 數據運營安全的個人信息保護核心

4.3 暗數據與明數據的AI 分類梳理標注

基于AI 和不同行業的個人信息特征，選取分類標準和算法，對暗數據、明數據方式存在的個人信息自動完成分類梳理標注。1）跨業務跨域的個人信息，大量的暗數據沉淀積累。暗數據蟄伏不動，一方面不能挖掘數據的價值，另一方面也會存在安全隱患，管理者無法了解，也不敢貿然使用。對暗數據的AI 分類梳理標注，發現數據價值，規范數據的進一步使用；2）極大量級的明數據持續使用和增長。明數據處于活躍期，在使用和增長過程中持續變動。通過明數據的AI 分類梳理標注，從鏈條上將各類信息梳理清晰。

4.4 個人信息影子及非感知數據的追溯

個人信息的存在方式，除了直觀可見的完整的個人信息記錄，還包括個人信息的痕跡、碎片化的數據，即個人信息影子，以及看似已刪除的數據、駐留內存但感知不到的數據。個人信息的使用痕跡，或者碎片化的個人信息，這些單獨的點滴信息不足以給個人信息構成威脅，但多條點滴信息匯聚在一起，就比較容易獲得個人信息的完整畫像，這時候就會給個人信息帶來威脅。同時，已刪除的數據，駐留在內存的數據，對一般用戶來講感知不到，但是通過一定的技術手段也是很容易恢復出原始的完整個人信息。通過對個人信息影子和非感知數據的追溯，挖掘隱式數據的蹤跡，保護個人信息生命周期安全。

4.5 數據鏈的全運營周期追溯

對現有的數據流轉路徑以及新興的數據流進行追溯管理，建立個人信息與主體的映射關系；個人信息在流動中的原文流轉、變形流轉的血緣關系；記錄個人信息的版本、狀態、位置以及軌跡，形成個人信息數據流全生命周期的流動畫像，對個人信息的流轉、擴散進行全視角的風險態勢感知和合規性管控，從數據流的鏈路中保護個人信息，具體流程如圖3 所示。追溯個人信息在企業中流動，主要包括三個方面：1）廣泛的流動。這和企業業務線條復雜化有關。既有一些個人信息集中式在特定業務系統中處理分析，也有一些個人信息隨著不同部門、不同業務需求在網絡中向不同的業務系統流動。通過對廣域分布的個人信息流動進行追溯管理，感知個人信息的風險態勢。2）基于生命周期的數據鏈的個人信息流動。個人信息從生產到運維，從產生、收集、存儲、使用、共享到銷毀，在數據鏈的每個節點上，抓取個人信息的軌跡。個人信息在不同的業務流程中使用，在不同的業務服務器之間流轉，以及不同域之間的流動，本方案以數據與業務的運營周期為牽引，追溯個人信息，保護全數據鏈的流動安全。3）新技術下個人信息多流轉路徑追溯。為了挖掘數據價值，企業自身在進一步尋求打破內部業務壁壘的方式；同時，隨著大數據時代、5G 時代的數據開放共享，網絡環境趨于開放，數據流也愈來愈多，追溯各流轉路徑，突破傳統的數據邊界，保障數據的可控性。

圖3 個人信息全鏈路周期追溯

4.6 分布式AI 數據安全風險分析

個人信息數據涉及隱私，在保護模式上不適合對所有個人信息進行集中式的收集和分析，而從企業管理角度，需要獲取個人數據特征，并基于數據特征做進一步保護。在不獲取原始個人隱私數據的前提下，通過分布式機器學習對分散于各處的個人信息特征進行智能識別、風險分析，進而形成組織級的個人信息風險保護特征與應對機制。

4.7 零信任數據安全

個人信息的保護，從用戶、終端、網絡、個人信息數據四個方面建立起零信任數據安全域，保護個人信息的訪問、傳輸、存儲和使用。由零信任用戶、零信任終端控制訪問個人信息的安全認證，防止非法用戶或終端接觸個人信息；個人信息數據在終端之間、終端與服務器之間傳輸時，由零信任網絡保護個人信息；個人信息存儲在終端中以及在終端中使用時，零信任終端以及對個人信息本體的零信任防護，構建安全域空間，保護數據安全。

4.8 自動化編排安全響應

分布于各業務、各域的個人信息，以及在數據運營過程中流動的個人信息，如果保護力度不當，會造成新的難題。比如，保護力度弱，達不到安全要求，則個人信息安全無法保障。保護力度過強，可能影響業務的持續性，導致本來正常流轉的業務被中斷。由此，通過數據運營全周期的特征追蹤與數據分析，對個人信息進行數據分布采集、流動追溯，感知個人信息的風險態勢，基于機器學習，對各類事件和風險進行分析和分診，結合用戶使用場景、安全基線以及風險活動，從響應時間到響應力度，形成適合數據運營業務安全的按需保護的響應機制。

4.9 多源數據統一安全機制

個人信息是多源化的存儲、使用、流轉，同類或同級的個人信息保護在不同源中獲得一致的保護，達到保護個人信息的目標。同類或同級的個人信息，如果在一部分域內按高強度保護，在一部分域內按弱強度保護，可能讓原本需要高度保護的個人信息，通過不同域的傳輸流轉后進入弱保護狀態，這就等同于百密一疏，導致保護效力被大大縮減。本方案在安全保護機制方面，對同類或同級的個人信息的保護力度統一，通過對多源個人信息構建適合業務流程與個人信息安全的統一安全機制。

5 結 論

個人信息因其自身攜帶隱私特性，與每個個體息息相關。個人信息保護不當，影響公眾利益、企業利益以及社會秩序。國家、政府、學術、企業社會各界對個人信息保護極度重視，從立法、執法、研究、產業化多個角度落實個人信息保護。基于數據運營安全的個人信息保護方案，遵循個人信息保護的合規性要求，結合AI，內嵌至數據運營全周期中對個人信息進行保護，是當前階段適應個人信息保護新訴求的方案。個人信息保護隨著時代的發展，保護訴求也會發生新的變化。本文所涉及的仍在研究中的個人信息保護關鍵技術，在技術難點取得突破進展的同時也將推廣到更多的個人信息保護領域。除此之外，機密計算作為可信執行環境+數據隔離的高度安全技術，在未來的發展中將有助于個人信息的保護。