〔摘 要〕由于在社會(huì)網(wǎng)絡(luò)應(yīng)用程序站點(diǎn)上自愿添加個(gè)人身份信息的人數(shù)不斷增加，站點(diǎn)服務(wù)商可以從中獲益，但是同時(shí)數(shù)據(jù)誤用的風(fēng)險(xiǎn)會(huì)威脅個(gè)人用戶的隱私信息以及服務(wù)商的商業(yè)模式。本文根據(jù)最近的調(diào)查，分析了開(kāi)發(fā)隱私保護(hù)社會(huì)網(wǎng)絡(luò)應(yīng)用的主要需求，在此基礎(chǔ)上提出了隱私風(fēng)險(xiǎn)模式，以增強(qiáng)數(shù)據(jù)或社會(huì)網(wǎng)絡(luò)遷移過(guò)程中的信息隱私保護(hù)。通過(guò)確定與個(gè)人身份信息遷移過(guò)程中重要的問(wèn)題設(shè)計(jì)出了該隱私風(fēng)險(xiǎn)模式。

〔關(guān)鍵詞〕隱私；社會(huì)網(wǎng)絡(luò)應(yīng)用；數(shù)據(jù)遷移；社會(huì)網(wǎng)絡(luò)遷移

ＤＯＩ：１０．３９６９／ｊ．ｉｓｓｎ．１００８－０８２１．２０．０１．００６

〔中圖分類號(hào)〕Ｇ２５０.７ 〔文獻(xiàn)標(biāo)識(shí)碼〕Ａ 〔文章編號(hào)〕１００８－０８２１（２０）０１－００２４－０５

The Research of Privacy Threat Model for Data

Portability in Social Network ApplicationsMa Zhenping１，２

（１．School of Continuting Education，Central University of Finance and Economics，Beijing 100081，China；

２．School of Information，Central University of Finance and Economics，Beijing 100081，China）

〔Ａｂｓｔｒａｃｔ〕Social network application providers benefit from the increasing amount of personally identifiable information willingly displayed on their sites，at the same time，risks of data misuse threaten the information privacy of individual users as well as the providers business model.From recent research，this paper reported the major requirements for developing privacy-preserving social network applications and proposed a privacy threat model that can be used to enhance the information privacy in data or social network portability initiatives by determining the issues at stake related to the processing of personally identifiable information.

〔Ｋｅｙｗｏｒｄｓ〕privacy;social network applications;data portability;social network portability

隱私問(wèn)題已經(jīng)以各種形式和主題被律師、哲學(xué)家、社會(huì)學(xué)家、心理學(xué)家、經(jīng)濟(jì)學(xué)者、技術(shù)人員和其他相關(guān)人員討論了超過(guò)100年。1980年Harvard Law Review主張，隱私權(quán)的定義是“不受干擾的權(quán)利（the right to be let alone）”，該定義為今天現(xiàn)有的大多數(shù)隱私法指定了方向。1967年Alan Westin對(duì)隱私的定義是“被要求提供信息的個(gè)人、團(tuán)體或者機(jī)構(gòu)自己決定與其他人交流的時(shí)間、方式和信息范圍”，該定義給隱私概念和構(gòu)成中添加了個(gè)人自己決定，這是隱私法的基礎(chǔ)（例如EU Directive）。40年后，隨著參與式Web和社會(huì)網(wǎng)絡(luò)應(yīng)用程序（Social Network Application，SNA）的出現(xiàn)，個(gè)人自我決定再一次成為Web應(yīng)用中增強(qiáng)隱私的手段。最新統(tǒng)計(jì)表明，MySpace和Facebook的注冊(cè)用戶數(shù)都超過(guò)2億，開(kāi)心網(wǎng)的注冊(cè)用戶數(shù)也已經(jīng)超過(guò)4 000萬(wàn)(2009年8月初數(shù)據(jù))。

網(wǎng)絡(luò)上社會(huì)網(wǎng)絡(luò)應(yīng)用程序中用戶提供的大量個(gè)人身份信息（PII）已經(jīng)引起了隱私保護(hù)提倡者的關(guān)注。此外，社會(huì)網(wǎng)絡(luò)應(yīng)用中越來(lái)越多的隱私濫用現(xiàn)象廣泛存在，比如不必要的信息披露、信息失真、不文明信息、身份盜用、網(wǎng)霸行為或者聲譽(yù)損毀。因此需要嚴(yán)格控制隱私，使個(gè)人用戶不會(huì)因?yàn)樽约鹤?cè)信息而遭受損害。同時(shí)，SAN是使用頂級(jí)技術(shù)建立的，這種技術(shù)還沒(méi)有多少內(nèi)部控制方法。構(gòu)建網(wǎng)絡(luò)最初目的是在一組相互信任的人之間進(jìn)行開(kāi)放式交流，而相互信任的人之間不存在隱私問(wèn)題。

本文指出了SNA技術(shù)的復(fù)雜性和數(shù)據(jù)概念、社會(huì)網(wǎng)絡(luò)遷移，以及社會(huì)網(wǎng)絡(luò)遷移的相關(guān)隱私風(fēng)險(xiǎn)。然后提出社會(huì)網(wǎng)絡(luò)應(yīng)用中數(shù)據(jù)遷移的隱私風(fēng)險(xiǎn)模式。該模式可用于增強(qiáng)數(shù)據(jù)或者社會(huì)網(wǎng)絡(luò)遷移過(guò)程中的信息隱私，具體方法是確定與個(gè)人身份信息處理過(guò)程相關(guān)的重要問(wèn)題。

１ 社會(huì)網(wǎng)絡(luò)應(yīng)用中隱私保護(hù)的需求分析

網(wǎng)絡(luò)上SNA使用的不斷增加使很多隱私保護(hù)提倡者感到迷惑。個(gè)人身份數(shù)據(jù)必定是任何隱私增強(qiáng)技術(shù)需要保護(hù)的核心，如今這些數(shù)據(jù)是由社會(huì)網(wǎng)絡(luò)站點(diǎn)上的用戶自愿提供的，這些數(shù)據(jù)必須經(jīng)過(guò)加密、隱藏或者匿名(Kolbitsch Maurer，2006)。但是，最近關(guān)于在線社區(qū)的隱私研究顯示大部分用戶沒(méi)有意識(shí)到隱私侵害活動(dòng)的具體風(fēng)險(xiǎn)，并且不清楚他們的在線個(gè)人檔案和PII中有多少信息是可見(jiàn)的并且是顯示給其他人的(Acquisti Gross，2006)。很多事實(shí)也顯示用戶總是聲稱他們很重視自己的隱私，接著就泄露有關(guān)自己的PII數(shù)據(jù)，這種做法和他們關(guān)心自己的隱私相矛盾(Flinn Lumsden，2005)。Acquisti and Grossklags(2004)已經(jīng)詳細(xì)說(shuō)明隱私態(tài)度和行為的矛盾，推論出個(gè)人處理敏感隱私信息時(shí)，既不能計(jì)算出風(fēng)險(xiǎn)的概率和數(shù)量，也不能察覺(jué)到長(zhǎng)遠(yuǎn)的風(fēng)險(xiǎn)和損失。

有趣的是，當(dāng)詢問(wèn)隱私保護(hù)的有效解決方案時(shí)，大多數(shù)網(wǎng)絡(luò)中推薦使用的隱私保護(hù)解決方案與SAN中推薦使用的隱私保護(hù)解決方案完全不同。首先，傳統(tǒng)隱私增強(qiáng)技術(shù)（privacy-enhancing technologies，PET）優(yōu)先考慮使用假名、匿名技術(shù)和數(shù)據(jù)訪問(wèn)權(quán)限管理。對(duì)于社會(huì)網(wǎng)絡(luò)應(yīng)用程序，可能的解決方法集中于透明、自動(dòng)接受功能和主動(dòng)通信技術(shù)，其中主動(dòng)通信技術(shù)能構(gòu)建察覺(jué)潛在風(fēng)險(xiǎn)的警告功能。

分析社會(huì)網(wǎng)絡(luò)中隱私保護(hù)需求的框架由Preibusch等于2007年提出。但是他們的研究集中于從數(shù)據(jù)保護(hù)意義上進(jìn)行隱私保護(hù)，也就是數(shù)據(jù)訪問(wèn)和數(shù)據(jù)處理方面的限制，沒(méi)有關(guān)于數(shù)據(jù)透明度和控制機(jī)制的研發(fā)。在應(yīng)用程序開(kāi)發(fā)階段隱私設(shè)計(jì)變得更加重要。由于需要數(shù)據(jù)更加透明、更加結(jié)構(gòu)化以及個(gè)人用戶更加可控，所以對(duì)于開(kāi)發(fā)者和服務(wù)商來(lái)說(shuō)就可能有更大的挑戰(zhàn)。大部分人對(duì)服務(wù)商用目前的工具和程序從技術(shù)上控制用戶的所有PII沒(méi)有信心。

由于從SNA程序提取數(shù)據(jù)用到其他應(yīng)用程序的實(shí)際狀況越來(lái)越多，所以就需要增加一個(gè)維度來(lái)表示隱私信息的潛在風(fēng)險(xiǎn)。復(fù)雜的活動(dòng)（比如注冊(cè)大量新社會(huì)網(wǎng)絡(luò)服務(wù)、輸入個(gè)人資料信息的重復(fù)性工作和在這些站點(diǎn)中添加朋友）已經(jīng)導(dǎo)致用戶產(chǎn)生了社會(huì)網(wǎng)絡(luò)疲勞問(wèn)題。由于用戶需要在各種應(yīng)用程序和社會(huì)網(wǎng)絡(luò)中一遍又一遍地輸入同樣的信息，這給社會(huì)網(wǎng)路用戶造成了沉重的負(fù)擔(dān)，所以形成了集成更多的應(yīng)用程序和社會(huì)網(wǎng)絡(luò)的需求。此外，SNA服務(wù)商不得不面對(duì)新的商業(yè)模式，在該模式中服務(wù)商們可以利用組合數(shù)據(jù)并從組合數(shù)據(jù)中獲得商業(yè)價(jià)值。

數(shù)據(jù)遷移的缺點(diǎn)是逐漸增加的復(fù)雜性和不能控制涉及PII的數(shù)據(jù)流程。OpenSocial和Data Portability Workgroup等已經(jīng)將隱私問(wèn)題放在了議事日程上，但是集中于提供簡(jiǎn)單的隱私設(shè)置功能，該功能不能有效防護(hù)潛在的隱私風(fēng)險(xiǎn)。

Facebook的首席隱私官Chris Kelly在2008年接受IDG News Service采訪時(shí)說(shuō)，伴隨數(shù)據(jù)遷移產(chǎn)生的問(wèn)題開(kāi)始越來(lái)越多，因?yàn)橛懈鞣N隱私和安全困擾與數(shù)據(jù)遷移有關(guān)，如果能找到進(jìn)入網(wǎng)絡(luò)的一個(gè)點(diǎn)的話，一大群網(wǎng)絡(luò)系統(tǒng)外的人很愿意嘗試挖掘其他人的個(gè)人信息，比如試圖導(dǎo)出盡可能多的數(shù)據(jù)。即使是與許多第三方應(yīng)用程序連接的Facebook系統(tǒng)本身也被發(fā)現(xiàn)存在嚴(yán)重的隱私風(fēng)險(xiǎn)。例如，弗吉尼亞大學(xué)最近分析了150個(gè)頂級(jí)Facebook應(yīng)用程序，確認(rèn)其中90%的應(yīng)用程序獲取過(guò)他們無(wú)權(quán)訪問(wèn)的私人用戶數(shù)據(jù)（Felt Evans，2007）。

當(dāng)問(wèn)及哪種技術(shù)被認(rèn)為是網(wǎng)絡(luò)用戶隱私信息保護(hù)的最大挑戰(zhàn)，大部分人首先想到的是應(yīng)用程序的“mashing up”，以及使用不成熟且脆弱的技術(shù)組合底層數(shù)據(jù)。此外還缺少可解釋的數(shù)據(jù)管理系統(tǒng)和可審計(jì)的流程。

即使沒(méi)有最近的社會(huì)網(wǎng)路數(shù)據(jù)遷移發(fā)生，社會(huì)網(wǎng)絡(luò)中的信息也已被數(shù)據(jù)挖掘和屏幕抓取應(yīng)用程序使用，這些應(yīng)用程序能自動(dòng)推斷現(xiàn)實(shí)世界的關(guān)系并且發(fā)現(xiàn)、標(biāo)注和分類群體和個(gè)人（Adamic Adar，2003）。Adamic和Adar強(qiáng)調(diào)可遷移和導(dǎo)出到其他應(yīng)用程序環(huán)境的數(shù)據(jù)越多，信息的副作用越可能發(fā)生。他們把這些信息副作用描述為數(shù)據(jù)的副產(chǎn)品——“用于一個(gè)用途的數(shù)據(jù)能被挖掘用于另一個(gè)用途，目的是為了理解有點(diǎn)離題并且范圍可能更大的問(wèn)題”。

保護(hù)SNA用戶信息隱私的另一個(gè)問(wèn)題是，大多數(shù)增加到SNA中的mash-up應(yīng)用程序是用開(kāi)源軟件開(kāi)發(fā)的，因此沒(méi)有清晰的隱私設(shè)計(jì)原則和已定義的隱私需求。在沒(méi)有設(shè)置隱私配置標(biāo)準(zhǔn)的應(yīng)用程序環(huán)境中如何實(shí)現(xiàn)更加透明化、結(jié)構(gòu)化和可控制的需求，以及在這樣的應(yīng)用程序中沒(méi)有清楚地明確誰(shuí)有權(quán)訪問(wèn)，以及訪問(wèn)哪部分?jǐn)?shù)據(jù)，以上這些都是未解決的問(wèn)題。

Google宣布在他們的OpenSocial中將采用friend-of-a-friend（FOAF）和XHTML Friends Network（XFN）標(biāo)準(zhǔn)，使開(kāi)發(fā)者有權(quán)訪問(wèn)他們渴望獲得的社會(huì)網(wǎng)絡(luò)圖表（朋友關(guān)系地圖）和相關(guān)數(shù)據(jù)（Techcrunch，2008）。這將允許開(kāi)發(fā)者以及第三方服務(wù)商隨意使用PII，并且在他們的應(yīng)用程序中整合PII。但是起碼，Google在基本的數(shù)據(jù)遷移過(guò)程中使用了已知的標(biāo)準(zhǔn)。Facebook等其他服務(wù)商僅僅通過(guò)把所有責(zé)任轉(zhuǎn)移給用戶自己的方式來(lái)解決這個(gè)問(wèn)題。Facebook目前的隱私策略是和應(yīng)用程序開(kāi)發(fā)者簽訂合同達(dá)成協(xié)議，合同中規(guī)定應(yīng)用程序開(kāi)發(fā)者必須保證尊重用戶的隱私設(shè)置，但是同時(shí)Facebook聲明他們不擔(dān)保所有開(kāi)發(fā)者將遵守該協(xié)議。

為了理解在前面介紹的環(huán)境中生成數(shù)據(jù)中涉及的信息隱私含義，以及SNA中具體的PII遷移的信息隱私含義，本文根據(jù)如下3個(gè)假設(shè)提出了隱私風(fēng)險(xiǎn)模式：①信息隱私需要被控制在數(shù)據(jù)（PII）級(jí)；②用戶必須能確定所提供的PII的敏感度和環(huán)境；③如果用戶能用個(gè)人隱私參數(shù)標(biāo)記所提供的PII，隱私保護(hù)數(shù)據(jù)遷移才能起作用。

該隱私風(fēng)險(xiǎn)模式描述了對(duì)應(yīng)于各種類型的PII，用戶可設(shè)置的隱私參數(shù)，如圖１所示。其中，實(shí)線箭頭表示用戶的控制，通過(guò)用特殊屬性標(biāo)記應(yīng)用程序中的PII來(lái)設(shè)置一個(gè)參數(shù)。相反，虛線箭頭表示不存在用戶甚至應(yīng)用程序服務(wù)商的完全控制，圖１中用小方塊表示一個(gè)mash-up應(yīng)用程序。也許存在一種情形，由一個(gè)應(yīng)用程序開(kāi)發(fā)者提供和開(kāi)發(fā)一個(gè)mash-up應(yīng)用程序集。圖１ 設(shè)置隱私參數(shù)選項(xiàng)

用戶可以設(shè)置的隱私參數(shù)選項(xiàng)如下所示：

①用戶的PII敏感度級(jí)別（例如，“婚姻狀況”也許對(duì)某些用戶非常敏感，然而對(duì)一些正在找男女朋友的人來(lái)說(shuō)對(duì)“婚姻狀況”根本不敏感）。

②期望使用PII的環(huán)境（例如，只在提供注冊(cè)私人服務(wù)的環(huán)境中，比如音樂(lè)會(huì)入場(chǎng)券提示服務(wù)而不是商業(yè)網(wǎng)絡(luò)環(huán)境，使用“流行音樂(lè)粉絲”群組關(guān)系）。

③PII需要被處理的特殊用途（例如，收集出生日期只是為了身份確認(rèn)而不是為了在SNA個(gè)人資料中展示，除非經(jīng)過(guò)授權(quán)）。

④特定類型的PII的過(guò)期時(shí)間（例如，重新確認(rèn)與特定朋友的關(guān)系或者特定時(shí)間段后的聯(lián)系）。

⑤為具體的個(gè)人和群組設(shè)置PII訪問(wèn)和查看權(quán)限（例如，允許用戶的SNA網(wǎng)絡(luò)上的所有成員查看“婚姻狀況”和“出生日期”，但不允許“流行音樂(lè)粉絲”群組聯(lián)盟查看）。

圖１中，用戶的數(shù)據(jù)可以在應(yīng)用程序X和應(yīng)用程序Y之間遷移。一些數(shù)據(jù)處理發(fā)生在應(yīng)用程序X和一些mash-up應(yīng)用程序之間。那些數(shù)據(jù)交換關(guān)系中的一些是被應(yīng)用程序控制的（實(shí)線箭頭表示的），另外一些不受應(yīng)用程序的控制（虛線箭頭表示的）。但是即使應(yīng)用程序X控制所有數(shù)據(jù)流，一旦數(shù)據(jù)導(dǎo)出到應(yīng)用程序Y就會(huì)立刻產(chǎn)生新數(shù)據(jù)流，在這個(gè)過(guò)程不存在控制系統(tǒng)。這個(gè)例子中雖然應(yīng)用程序Z好像不能實(shí)現(xiàn)和其他應(yīng)用程序的數(shù)據(jù)遷移，但是一些第三方mash-up應(yīng)用程序也許能夠通過(guò)數(shù)據(jù)挖掘或者屏幕抓取技術(shù)訪問(wèn)用戶的PII。

為了強(qiáng)調(diào)在這種數(shù)據(jù)遷移情形中存在的潛在固有風(fēng)險(xiǎn)，本文提出了隱私風(fēng)險(xiǎn)模式，試圖構(gòu)想最重要的隱私保護(hù)需求，使其成為任何數(shù)據(jù)遷移項(xiàng)目的組成部分。

３ 社會(huì)網(wǎng)絡(luò)遷移的隱私風(fēng)險(xiǎn)模式

無(wú)論用戶是否提供了PII給其他人，個(gè)人的隱私都存在潛在威脅。即使像隱居者一樣生活，與網(wǎng)絡(luò)和電話沒(méi)有連接，個(gè)人隱私也存在潛在的威脅。比如，其他人會(huì)因?yàn)槟承┰蚯秩腚[居者的生活空間。為了保護(hù)隱居者的隱私，認(rèn)識(shí)到構(gòu)成入侵隱居者隱私的因素（他自己的隱私偏好）是很重要的。有多大可能是其他人無(wú)意中發(fā)現(xiàn)這個(gè)隱居者的空間，甚至都沒(méi)有察覺(jué)到它的存在（公眾可達(dá)性），以及隱居者為自己建立了什么程度的自我防護(hù)（自我控制）機(jī)制。當(dāng)然這個(gè)例子與社會(huì)網(wǎng)絡(luò)遷移比起來(lái)是微不足道的，但是它給我們?cè)u(píng)估風(fēng)險(xiǎn)提供了基礎(chǔ)。

為了讓隱私保護(hù)機(jī)制在社會(huì)網(wǎng)絡(luò)應(yīng)用程序中發(fā)揮有效的作用，隱私保護(hù)機(jī)制中涉及到的所有成員（其中最重要的是應(yīng)用程序開(kāi)發(fā)者）都需要理解已存在的潛在風(fēng)險(xiǎn)。那些風(fēng)險(xiǎn)不僅威脅個(gè)人用戶和相關(guān)的PII，而且也威脅社會(huì)網(wǎng)絡(luò)應(yīng)用服務(wù)商的商業(yè)模式。社會(huì)網(wǎng)絡(luò)站點(diǎn)中的隱私風(fēng)險(xiǎn)種類和嚴(yán)重性已經(jīng)于2007年在Weiss學(xué)術(shù)文獻(xiàn)中進(jìn)行了說(shuō)明，該文獻(xiàn)尤其解釋了社會(huì)網(wǎng)絡(luò)應(yīng)用程序的開(kāi)放性本質(zhì)。

隱私風(fēng)險(xiǎn)應(yīng)該包括三維：個(gè)人隱私參數(shù)、公眾訪問(wèn)方便性、用戶控制PII的程度。

３.１ 個(gè)人隱私參數(shù)

處理信息隱私時(shí)能想到的最顯而易見(jiàn)的方面就是設(shè)置隱私參數(shù)。隱私參數(shù)總是直接并且主觀地與用戶鏈接，用隱私參數(shù)屬性來(lái)標(biāo)記（圖１中的a、b、c）隱私參數(shù)。隱私參數(shù)取決于很多因素，這些因素創(chuàng)建了用戶對(duì)提供的PII的相應(yīng)關(guān)注級(jí)別，用戶是在規(guī)定的環(huán)境中使用特殊的技術(shù)提供自己的PII。用戶的個(gè)人隱私部署取決于自己對(duì)所使用的技術(shù)的理解、社會(huì)背景、所提供的數(shù)據(jù)的敏感度、過(guò)去的經(jīng)歷和社會(huì)心理因素。大多數(shù)SNA提供允許用戶設(shè)置隱私參數(shù)的各種選項(xiàng)。典型的選項(xiàng)是，允許單個(gè)人或者一群人訪問(wèn)社會(huì)網(wǎng)絡(luò)個(gè)人資料。但是，SNA用戶應(yīng)該有比訪問(wèn)和查看個(gè)人資料更高的權(quán)限。此外，用戶應(yīng)該能設(shè)定數(shù)據(jù)期望被使用的環(huán)境、在特定用途中數(shù)據(jù)應(yīng)該做相應(yīng)處理和數(shù)據(jù)也許需要的過(guò)期日期。

個(gè)人隱私參數(shù)的焦點(diǎn)是每個(gè)自己提供的PII。允許訪問(wèn)整個(gè)社會(huì)網(wǎng)絡(luò)個(gè)人資料不能達(dá)到人們關(guān)于隱私參數(shù)設(shè)置的期望。我也許允許我的一位朋友查看我的個(gè)人資料，但是如果這個(gè)朋友又與其他人是朋友，那么我不想讓第二級(jí)朋友或者第三級(jí)朋友也瀏覽我的個(gè)人資料。我認(rèn)為特定環(huán)境中數(shù)據(jù)集越敏感或者越機(jī)密，我的信息隱私潛在風(fēng)險(xiǎn)就越高。

３.２ 公眾訪問(wèn)方便性

公眾訪問(wèn)方便性是隱私風(fēng)險(xiǎn)模式中的一維，大多數(shù)SNA用戶在確保自己的信息隱私受保護(hù)時(shí)沒(méi)有把公眾訪問(wèn)作為基本考慮因素，用戶關(guān)于公眾訪問(wèn)或者PII可見(jiàn)性的意識(shí)非常低。然而，提高用戶意識(shí)和使PII數(shù)據(jù)流更加透明是SNA服務(wù)商的主要責(zé)任。

PII已經(jīng)在SNA應(yīng)用程序中，因此社交圖表或者數(shù)據(jù)遷移功能只要集成已有的內(nèi)容就行了。但是信息隱私是自我決策的。在Facebook或者Xing站點(diǎn)上發(fā)布PII的用戶不認(rèn)為PII是公共的。Wang and Kobsa提出了如何處理社會(huì)網(wǎng)絡(luò)站點(diǎn)上PII公眾訪問(wèn)的解決方法。這個(gè)方案包括根據(jù)之前規(guī)定的環(huán)境實(shí)施更加透明的分組訪問(wèn)權(quán)限。此時(shí)，在這樣的環(huán)境中被顯示的數(shù)據(jù)透明度越高，用戶自己的隱私意識(shí)也就被自動(dòng)提升了。

３.３ 用戶控制PII的程度

第三維是用戶控制PII的程度，這是歐洲主要隱私法的基礎(chǔ)部分。需要確定用戶能實(shí)施控制的每個(gè)PII部分，但是存在一個(gè)困難的先決條件，即如果數(shù)據(jù)遷移意味著數(shù)據(jù)能廣泛傳播并且不需要進(jìn)行任何控制。這個(gè)協(xié)議對(duì)水平非常低的自我控制顯示了清楚的信號(hào)，就像前面提到的Facebook隱私策略。圖２描述了社會(huì)網(wǎng)絡(luò)遷移的隱私風(fēng)險(xiǎn)模式。圖２ 隱私風(fēng)險(xiǎn)模式

為了在基于數(shù)據(jù)遷移原理的SNA中設(shè)計(jì)有效的隱私保護(hù)機(jī)制，需要根據(jù)隱私風(fēng)險(xiǎn)模式的3個(gè)維度評(píng)估每個(gè)數(shù)據(jù)集。

維度1：如果用戶設(shè)置自己的隱私選項(xiàng)，例如把特定的相片標(biāo)記為“機(jī)密”（在圖２的模式中是最高的隱私選項(xiàng)級(jí)別），那么必須有特定的保護(hù)措施保證照片是保密的。也許用戶希望照片只在一段時(shí)間給一個(gè)人或者一些人展示（例如醫(yī)師的診斷）。也需要保證照片不被其他應(yīng)用程序訪問(wèn)，以及不會(huì)和社會(huì)網(wǎng)絡(luò)個(gè)人資料一起被導(dǎo)入到其他社會(huì)網(wǎng)絡(luò)應(yīng)用程序中。

維度2：如果標(biāo)記為“機(jī)密”的照片由于未知的原因被普通公眾訪問(wèn)，比如，用戶沒(méi)有意識(shí)到如果照片上傳到普通屬性照片集中，其他人都能查看到這張照片，那么隱私風(fēng)險(xiǎn)將非常高。這種情況需要采取的保護(hù)措施是自動(dòng)警告打算上傳照片的用戶，假定用戶對(duì)照片要上傳到哪里和誰(shuí)會(huì)訪問(wèn)照片完全是透明的（也包括照片在網(wǎng)上是如何檢索和顯示的）。用戶也許認(rèn)為數(shù)據(jù)上傳過(guò)程發(fā)生在私有的受限制的區(qū)域，然而實(shí)際上照片是被上傳到普通照片集數(shù)據(jù)庫(kù)中，其他人都可以通過(guò)用戶輸入的照片標(biāo)志使用特定的mash-up應(yīng)用程序搜索這張照片。

維度3：最后，如果用戶對(duì)上傳的照片沒(méi)有采取任何控制，原因是應(yīng)用程序在數(shù)據(jù)級(jí)沒(méi)有預(yù)知任何控制機(jī)制，用戶的隱私風(fēng)險(xiǎn)也是非常高的。用戶已經(jīng)把自己的照片的隱私選項(xiàng)設(shè)置為“機(jī)密”，但是因?yàn)閼?yīng)用程序服務(wù)商有各種第三方應(yīng)用程序管理相片集和上傳功能，或者因?yàn)橛脩魶](méi)有確保用任何技術(shù)方法來(lái)加強(qiáng)和轉(zhuǎn)移個(gè)人的隱私選項(xiàng)設(shè)置，那么用戶的信息隱私也處于險(xiǎn)境。

４ 進(jìn)一步的研究和挑戰(zhàn)

本文提出的隱私風(fēng)險(xiǎn)模式只是一個(gè)開(kāi)始，用于支持設(shè)計(jì)和開(kāi)發(fā)SNA隱私保護(hù)。這個(gè)模式能夠幫助敏感隱私情形中的應(yīng)用案例研究。將來(lái)的研究是建立控制和保護(hù)機(jī)制，這些機(jī)制要超越社會(huì)網(wǎng)絡(luò)應(yīng)用程序當(dāng)前的數(shù)據(jù)保護(hù)和隱私查看設(shè)置的解決機(jī)制。

還要在社會(huì)網(wǎng)絡(luò)應(yīng)用程序中應(yīng)用一系列的技術(shù)概念。以下的技術(shù)解決方法是相關(guān)的下一步研究：①語(yǔ)義技術(shù)（根據(jù)環(huán)境、用途和處理時(shí)間給數(shù)據(jù)加標(biāo)簽）；②增強(qiáng)的透明技術(shù)；③使用DRM技術(shù)開(kāi)發(fā)個(gè)人數(shù)據(jù)權(quán)限管理解決方案。

采用語(yǔ)義技術(shù)使PII成為隱私敏感的數(shù)據(jù)并且應(yīng)用隱私設(shè)置，這個(gè)方法可能是SNA系統(tǒng)環(huán)境中最有效的方法。在這種解決方案中，開(kāi)發(fā)一種功能使系統(tǒng)幫助用戶自動(dòng)確定選擇（比如隱私設(shè)置）是很重要的。2007年Berkovsky et al已經(jīng)做了使用語(yǔ)義方法設(shè)置隱私選項(xiàng)的相關(guān)工作。目前的方法中，用戶使用額外的大量環(huán)境數(shù)據(jù)添加過(guò)去的經(jīng)驗(yàn)，隨環(huán)境而變的個(gè)性化已經(jīng)獲得了成功。這種方法也許能應(yīng)用到根據(jù)環(huán)境設(shè)置隱私選項(xiàng)規(guī)則中，并且能幫助用戶減少在每個(gè)操作過(guò)程中的輸入。

研究者將來(lái)要面對(duì)的主要挑戰(zhàn)是開(kāi)發(fā)隱私保護(hù)SNA，不扼殺社會(huì)網(wǎng)絡(luò)服務(wù)商的商業(yè)模式。社會(huì)網(wǎng)絡(luò)用戶的PII是社會(huì)網(wǎng)絡(luò)服務(wù)商最有價(jià)值的資產(chǎn)，并且社會(huì)網(wǎng)絡(luò)服務(wù)商也有興趣通過(guò)有效方法找到保護(hù)這些資產(chǎn)的解決方案。關(guān)于“誰(shuí)應(yīng)該擁有這些數(shù)據(jù)”的討論將可能被“誰(shuí)能夠最好地保護(hù)這些數(shù)據(jù)”所代替，而且在這種環(huán)境中用戶將從事建造他們的社會(huì)網(wǎng)絡(luò)個(gè)人資料。

此外，能夠預(yù)期隨著更多的隱私侵入發(fā)生，立法者也將繼續(xù)建立客戶和隱私保護(hù)條例，使社會(huì)網(wǎng)絡(luò)應(yīng)用程序的服務(wù)商對(duì)保護(hù)方案負(fù)責(zé)。至少在歐洲最新發(fā)展顯示，隱私權(quán)不會(huì)消失而會(huì)作為基本人權(quán)尤其在信息系統(tǒng)領(lǐng)域被進(jìn)一步加強(qiáng)。例如，German Constitutional Court于2008年2月出版了里程碑式的法規(guī)，把新的“關(guān)于信息科技系統(tǒng)的保密性和完整性的基本權(quán)限”作為德國(guó)憲法普通個(gè)人隱私權(quán)的一部分。這個(gè)法規(guī)解釋了使用信息科技系統(tǒng)顯示用戶的關(guān)聯(lián)性，并且補(bǔ)充了早期憲法法院裁定的里程碑式的隱私權(quán)“信息自我決定的權(quán)利”（1983年）以及“絕對(duì)保護(hù)生活核心領(lǐng)域的隱私行為”的權(quán)利（2004年）。這個(gè)法規(guī)定義了在新的基本權(quán)利之下被保護(hù)的信息科技系統(tǒng)——單獨(dú)的或者使用技術(shù)手段互聯(lián)的系統(tǒng)在一定范圍內(nèi)用多種方式控制受影響的用戶的PII，以致其他人訪問(wèn)系統(tǒng)后能了解到與此人生活行為相關(guān)的部分甚至收集到有意義的個(gè)性化圖片。這個(gè)定義能夠很容易地應(yīng)用到社會(huì)網(wǎng)絡(luò)個(gè)人資料數(shù)據(jù)中。

５ 結(jié) 論

本文提出的SNA中數(shù)據(jù)遷移的隱私風(fēng)險(xiǎn)模式概述了開(kāi)發(fā)隱私保護(hù)SNA中的最重要因素，包括社會(huì)圖表和應(yīng)用程序中PII的遷移。用戶的自我控制、對(duì)正在處理的PII有更高的透明度，以及應(yīng)用程序開(kāi)發(fā)者清晰的最佳隱私設(shè)計(jì)方案將幫助解決不斷增加的保護(hù)SNA用戶信息隱私的需求。

參考文獻(xiàn)

［１］Kolbitsch，J.， Maurer，H..The transformation of the Web:How emerging communities shape the information we consume［Ｊ］.Journal of Universal Computer Science，2006，12(2)：187－213.

［２］Acquisti，A.， Gross，R.(2006).Imagined communities:Awareness，information sharing，and privacy on the facebook.In Privacy-Enhancing Technologies，LNCS vol.4258，6th Workshop on Privacy Enhancing Technologies(pp.36－58)，Berlin/Heidel berg:Springer．

［３］Flinn，S.， Lumsden，J.(2005).User perceptions of privacy and security on the Web［ＥＢ］.http:∥www.lib.unb.ca/Texts/PST/2005/pdf/flinn.pdf，retrieved 2008-02-27．

［４］Acquisti，A.， Grossklags，J.(2004).Privacy attitudes and privacy behaviour.In J.Camp， R.Lewis(Eds.)，Economics of Information Security，2004，12（13）：165－178，New York，NY:Springer.

［５］Felt，A.， Evans，D.(2007).Privacy protection for social networking APIs［ＥＢ］.http:∥www.cs.virginia.edu/felt/privacy/，retrieved 2008-02-27．

［６］Adamic，L.A.， Adar，E..Friends and Neighbors on the Web，in First Monday，2003，8(6).

［７］Techcrunch(2008).Data is the new links.Tim berners-lee says sites that dont give users their data back are boring［ＥＢ］.In:Techcrunch，http:∥www.techcrunch.com/2008/02/28/data-is-the-new-links-tim-berners-lee-sayssites-that-dont-give-users-their-data-back-are-boring/，retrieved 2008-02-28．

［８］Weiss，S.(2007).The need for a paradigm shift in addressing privacy risks in socialnetworking applications.In:Post-Proceedings:The Future of Identity in the Informati on Society; Third International Summer School organized by IFIP WG 9.2，9.6/.7，.6 in cooperation with FIDIS Network of Excellence (pp.161－171)，Sweden:Karlstad.

［９］張國(guó)榮.社會(huì)網(wǎng)絡(luò)數(shù)據(jù)的隱私保護(hù)［Ｊ］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009，（7）:42-44.

［１０］羅亦軍，劉強(qiáng)，王宇.社會(huì)網(wǎng)絡(luò)的隱私保護(hù)研究綜述［Ｊ］.計(jì)算機(jī)應(yīng)用研究，2010，27（10）：3601-3604.