張美婷 張玉清
在互聯網浪潮的推動下,網購作為電子商務的主要形式,越來越滲透到消費者的生活之中。根據CNNIC最新發(fā)布的“2014年中國網絡購物市場研究報告”可知,截止于2014年12月,我國網購的用戶規(guī)模達到3.61億,較2013年底增加5953萬人,增長率為19.7%。網絡零售交易額占到同期社會消費品零售總額 (26.2萬億元)的10.6%,高達2.79萬億元,同比增長49.7%。全年交易總次數173億次,年度人均交易次數48次。在網購繁榮發(fā)展的背景下,個人隱私泄露的風險也大大提升。
據360互聯網安全中心發(fā)布的“2014年上半年中國網購安全報告”,調查期間360網購先賠服務收到來自用戶的有效理賠申請共22664例,包括交易糾紛類理賠申請9863例和網絡欺詐類理賠申請12801例。前者報案金額556萬元,人均損失563元,后者報案金額高達2545萬余元,人均損失較2013年增長37.2%,達到1988元。目前中國網購正面臨較高的安全風險,網購過程中個人信息泄露導致的一系列后果,不僅危害消費者的權益,更影響了網購行業(yè)的健康發(fā)展。因此,對網絡購物環(huán)境中個人信息安全問題的研究十分必要,提出網購安全的防護措施非常有意義。
1、威脅個人信息的渠道分析
筆者在總結前人經驗的基礎上,對威脅個人信息的渠道進行擴充和分類。分類依據的是消費者自身主動無意識的造成個人信息的泄露,主要體現在網絡購物的流程中,和被動不可控的造成個人信息泄露,體現在新增的兩個渠道,分別是物流和大數據技術 (如圖1所示)。
圖1 威脅個人信息的渠道分析圖
2、個人信息面臨的具體威脅分析
第一,注冊與登錄過程。網購平臺是網購的載體,網購前必須在網購平臺上注冊賬號,所以消費者在這個過程主動提供了個人信息如姓名、性別、年齡、郵箱、手機號碼等。而商家和網站輕易的獲得了消費者的信息。此時不能確保商家和網站會不會將這些信息泄露,所以就埋下安全隱患。一旦信息被泄露用于不合理甚至違法的活動,可能會導致用戶身份被盜用,以及造成消費者財產的損失等。
第二,購物瀏覽頁面過程。消費者在網上商城瀏覽商品時,瀏覽器會相應在網絡服務器上留下日志文件,消費者的網絡地址、傳遞查詢的URL等信息都會遺留。這個過程還會產生自動標識用戶經常使用到的賬號、密碼及瀏覽器組合的Cookie文件。商家可以運用Cookie跟蹤技術,得到消費者經常瀏覽的頁面,購買的商品,以及消費的金額和次數等信息。
第三,填寫訂單過程。為了進行貨物的郵寄,訂單上面必須填寫消費者真實的聯系方式和收貨地址。送貨者和商家從訂單信息上就可了解消費者的信息,導致信息泄露。并且根據訂單上消費者購買的商品信息,也可以反映出消費者的購物傾向和購買能力。
第四,網絡支付過程。網絡支付過程就是賬戶資金轉移的過程。在此過程中,不法分子往往通過釣魚網站、盜號木馬、交易劫持木馬三種方式來盜取用戶的賬號和密碼,從而轉移消費者的賬戶 (如支付寶、網銀)資金。
第五,物流信息流流動過程。消費者確認購買商品之后,貨物通過物流渠道送達至消費者手中。填寫了消費者個人信息的快遞面單直接暴露在外包裝上面,并且收貨單在事后往往不會進行撕毀處理,使個人信息安全受到威脅。物流中信息的保護成為當前網購中個人信息保護的短板。
第六,利用大數據技術對個人信息進行非法開發(fā)利用的過程。大數據的價值不僅僅來源于它的基本用途,更多的是源于對其進行的二次開發(fā)利用?,F有的大數據技術能夠依據大量復雜無序的信息得出巨大價值的商業(yè)信息,那必然也可以發(fā)現個人的隱私信息,加劇了個人信息泄露的風險。
個人信息面臨威脅的原因可以分為主觀原因和客觀原因。從主觀原因來看,是消費者自身缺乏維護個人信息安全的意識。而客觀方面就有以下幾個原因。
1、購物網站的安全性差
購物網站作為消費者購物的平臺,強制搭載了消費者許多的個人信息。但是隨著互聯網技術的普及和快速發(fā)展,購物網站的規(guī)模越來越大,復雜性也越來越強,同時安全漏洞也越來越多。目前針對購物網站的漏洞進行惡意攻擊的現象也是不斷發(fā)生,例如有些不法分子通過攻擊正在進行網上消費的消費者的計算機,從而使得黑客通過消費者的網上銀行進人銀行數據庫盜取消費者信息,給消費者造成經濟損失。
2、數據所有權問題導致個人信息安全保護的邊界模糊
大數據時代下,全社會信息資源被開放分享和開發(fā)利用,導致了國家、企業(yè)、個人之間的數據所有權不明晰的問題。個人信息既是社會經濟資源也是單獨的人格利益,因此信息保護的邊界劃分也是個難題。所以,當前個人數據的所有權和開發(fā)權的歸屬問題仍在商討之中,我國個人信息安全保護的邊界仍然模糊。
3、經濟利益催生個人信息系統(tǒng)性風險
隨著大數據時代的到來,個人信息的收集變得便捷和全面。通過對公民身份類、交易類、互動類、關系類等各類數據關聯聚合,不僅可以還原和預測個體的社會生活全貌,還可以從中挖掘出巨大的經濟效益。經濟利益催生出圍繞個人信息采集、加工、開發(fā)、銷售的龐大的數據產業(yè)鏈。
4、立法不全,執(zhí)法困難
我國法律體系中,《行政法》、《刑法》、《憲法》等法律都不同程度的涉及個人信息保護,但總體而言過于零散。2013年《消費者權益法》中新增入個人信息保護的內容,但具體可操作性不強,當前我國并沒有建立起專門的個人隱私保護法。如果個人信息被泄露,消費者如何取證、維權,相關經營者將獲怎樣的處罰,都有待進一步規(guī)定。
注重網購環(huán)境中的個人信息安全防范,不僅僅是為了維護消費者的合法權益,更是為了維護網購的健康發(fā)展。
從主觀層面出發(fā),主要是提高網購消費者維護個人信息的安全意識,并且掌握一些保護個人信息安全的基本方法。具體建議如下:
1、仔細處理網購貨品的包裝。處理包裝盒前,應將快遞信息標簽上收件人姓名、電話和地址等敏感信息涂黑或剪掉。
2、養(yǎng)成良好的上網習慣,謹防網購低價陷阱。當前存在一些打著“秒殺價”口號的商家,他們是為了收集消費者的個人信息,所以往往不發(fā)貨、發(fā)假貨,甚至收款后“關門大吉”。
3、維護電腦、手機安全。網購者應時刻做好電腦的安全保護工作,安裝殺毒軟件并及時升級。同時,智能手機也要安裝能夠進行安全防護的軟件,謹慎使用免費的Wi-Fi,慎重安裝甚至放棄安裝獲取權限較多的應用軟件。
4、加強密碼保護。密碼不僅是最基本最常用的自我保護措施,更是網絡確權的第一道屏障,所以消費者一定要保管好自己的密碼,并且經常性的在使用一段時間后采取字母、數字和符號組合的形式進行修改,增強破解的難度,提高密碼的安全性。
5、密切關注銀行和其他資金賬戶。銀行、信用卡公司、網上第三方支付平臺都會形成消費記錄單,查看非常方便,網購者要養(yǎng)成經常性核對賬單的習慣。此外,要密切關注大宗消費、異常消費以及在某一個商家重復多次消費等反常消費的通知,尤其要留意陌生賬號產生的費用。
從客觀層面出發(fā),政府和行業(yè)協會是保護交易打擊違法行為的裁判員,政府通過加強立法和出臺相應的行政法規(guī),行業(yè)通過規(guī)范業(yè)務流程和加強自律等形式來保障電子商務下的個人信息安全。而電子商務網站作為網購的平臺要不斷的提高其網站的安全性,從源頭防范消費者的個人信息安全問題。具體建議如下:
1、健全法律法規(guī),明確執(zhí)法流程
我國法律體系中,涉及個人信息保護的法律過于零散。建議通過建立個人隱私保護法,整合已有的法律條例,明確個人隱私數據保護的范圍。規(guī)定對個人數據收集、使用、發(fā)布、共享的合理權限,對違反規(guī)定的企業(yè)組織以及所有參與方,以對個人生活或財產造成后果的嚴重程度為評判標準,予與嚴厲的刑事處罰,承擔相應的刑事責任。
2、提高行業(yè)自律和加強行業(yè)的監(jiān)管
為了提高行業(yè)的自律性,應建立責任承擔的隱私保護模式,該模式強調數據使用者應該承擔責任。通過制定相關的行業(yè)規(guī)定對侵權行為以及違法行為進行約束,同時制定相關行業(yè)從業(yè)人員的社會責任、信息安全技術以及信息交流等方面的道德規(guī)范,從各方面來加強互聯網的行業(yè)自律性,保證公民信息的安全性。提高行業(yè)自律的同時也要加強行業(yè)監(jiān)管,建議政府主管部門依法加強涉及個人信息的產品和服務的檢測和認證,鼓勵建立第三方安全評估與監(jiān)測機制,加強對個人信息接觸界面、流轉環(huán)節(jié)和傳播渠道的監(jiān)測和管理。
3、電子商務網站建立安全管理體系
保護網絡用戶的信息安全與隱私是電子商務網站應盡的責任與義務,因此電子商務網站要建立完善的安全管理體系來保障個人信息安全。首先,建立專門對客戶信息進行監(jiān)控和管理的敏感崗位,防止操作人員監(jiān)守自盜,杜絕客戶信息從網站內部被盜取、倒賣以及其他直接損害客戶利益的行為。同時,加強技術手段保護信息安全水平。技術是個人信息保護與反保護的核心,正是因為網站自身監(jiān)控不足,不法分子才能通過各種手段獲取客戶信息。網站應及時更新技術防范水平,快速堵塞程序漏洞和泄露渠道。
4、大數據下個人信息保護技術
通過閱讀大量文獻,提出采用分級分類保護技術結合在數據層、應用層和數據展示層對個人信息進行保護的技術防護手段,具體內容如下:
分級分類保護技術是依據四個劃分要素,按照保護級別的高低對個人信息進行分類分級管理 (如表2所示)。
表2 個人隱私保護范圍及其分類依據
數據層的信息保護主要是指對數據的存儲和管理的保護。采取數據加密和訪問控制的雙重機制,防止入侵者竊取和篡改重要數據,對用戶行為進行審計,將用戶的行為記錄在審計日志中,作為重要事件的追蹤依據。同時引入第三方審計,也稱隱私保護公共審計,在不對用戶新增數據威脅的前提下檢測數據的安全性。應用層的信息保護體現在數據傳輸前進行匿名,同時使用差分隱私保護技術,在數據集中加入滿足特定分布的隨機噪聲,使得接受者對收到數據無法作關聯推斷,形成高級別的隱私保護。數據展示層的信息保護通過采用細粒度的訪問控制機制。在這種機制下,用戶可以控制自己的敏感信息是否對外發(fā)布或者對哪些人發(fā)布,或者通過編輯許可約束限制權或指定條件進行限定,從而在保護個人信息時掌握更加主動的控制權。同時企業(yè)也可以依據用戶的設置來確定信息的保護范圍和保護級別,并對他們的信息進行更為合理的存儲、管理、使用和發(fā)布,在提供更人性化的服務的同時保護個人隱私。
圖2 個人隱私保護技術圖
本文是在閱讀大量文獻的基礎上,基于最新的網絡市場和網絡安全現狀為背景,對我國網購環(huán)境中的個人信息安全問題進行研究。本文的創(chuàng)新之處有兩點,一是提出從消費者自身主動無意識和被動不可控兩個角度對威脅個人信息的渠道進行了區(qū)分和擴充,增加了物流和大數據技術兩個渠道,構建了威脅個人信息的渠道分析圖。二是構建了大數據下個人隱私保護技術圖。本文的局限性在于對大數據的研究還處于較淺的層面,提出的個人隱私保護技術還可繼續(xù)完善,所以針對大數據時代下個人信息安全問題的研究在今后還可繼續(xù)深入。
[1]中國互聯網絡信息中心.2014年中國網絡購物市場研究報告[EB/OL]. http://www. cnnic. net. cn/hlwfzyj/hlwxzbg/dzswbg/201509/P020150909354828731159.pdf.
[2]360互聯網安全中心.2014年上半年中國網購安全報告[EB/OL].http://wenku.baidu.com/linkurl=QBxKSNA79HbeeaSwsbkcPEdBK eyrrc7i3SqGLKXjfiDlL8Inq9DZ_9jV4LEy6omzvPkslwkkHGTmmGf7aOsQ zJr_n4HFHk9E4Tw5MprHrTS.
[3]林祥星.網絡購物過程中關于個人信息安全問題的剖析 [J].信息安全與技術,2013,(3),3-5.
[4]商曉陽.網購中個人信息安全面臨的威脅及其主動防范對策[J].科技信息.2013(9):159.
[5]唐雅雯,王魯一,呂文清,李柯瀅.以網絡購物個人信息安全現狀為角度對隱私權保護的研究[J].新經濟,2015:17-18.
[6]劉雅輝,張鐵贏,靳小龍,程學旗.大數據時代的個人隱私保護[J].計算機研究與發(fā)展.2014.52(1):229-243.