有限實名網(wǎng)絡(luò)中的個人信息安全風險*

李亞平1,2，周偉良2

(1.合肥工業(yè)大學管理學院，安徽 合肥 230009；2.安徽行政學院，安徽 合肥 230059)

摘要：有限實名網(wǎng)絡(luò)作為一種普遍存在的網(wǎng)絡(luò)環(huán)境類型，個人信息不斷累積其中，隨之而來的是不斷凸顯的個人信息安全風險.對有限實名網(wǎng)絡(luò)環(huán)境中關(guān)鍵的個人信息風險因素進行識別，同時結(jié)合2011—2014年典型的個人信息風險事件進行實證分析，從多個維度對具體的風險因素及其風險程度進行研究.研究結(jié)果表明，技術(shù)風險、管理風險、法律風險、信用風險是個人信息安全風險的重要來源，且在重要性上存在顯著差異.針對各風險因素的風險程度在風險案例、民眾觀念2個方面存在的差異進行分析，并提出相應(yīng)的建議.

關(guān)鍵詞：實名；個人信息；風險；網(wǎng)絡(luò)；安全

文章編號：1007-2985(2015)06-0030-05

中圖分類號：TP393.08文獻標志碼：A

DOI:10.3969/j.cnki.jdxb.2015.06.008

收稿日期：*2015-05-26

基金項目：國家社會科學基金資助項目(13BTQ048);安徽省2013年高校省級優(yōu)秀人才基金重點項目(2013SQRW115ZD)

作者簡介：李亞平(1982—)，男，安徽長豐人，安徽行政學院講師，合肥工業(yè)大學管理學院博士研究生，主要從事信息管理與信息系統(tǒng)研究.

基金項目依托國家社會科學的問卷調(diào)研，針對個人信息風險的3個利益關(guān)系方(互聯(lián)網(wǎng)企業(yè)、監(jiān)管部門、網(wǎng)絡(luò)個體)，覆蓋論壇、微博平臺的5家互聯(lián)網(wǎng)企業(yè)，包含政府職能部門、電子商務(wù)協(xié)會的2家互聯(lián)網(wǎng)信息監(jiān)管部門和500名網(wǎng)絡(luò)個體進行問卷調(diào)查.將從3個群體采集到的風險因素重要程度信息進行量化處理，并采用判斷矩陣的方式表示如下，其中A1，A2，A3分別表示監(jiān)管機構(gòu)、互聯(lián)網(wǎng)企業(yè)、網(wǎng)絡(luò)個體的判斷信息:

2002年，李希光教授提出“禁止任何人網(wǎng)上匿名”之后，網(wǎng)絡(luò)實名制一直飽受爭議.雖然爭議不斷，但是網(wǎng)絡(luò)實名仍以微博實名制、論壇實名制、校園網(wǎng)認證實名制等不同形式應(yīng)用在國內(nèi)網(wǎng)絡(luò)環(huán)境中.隨著電子商務(wù)的快速發(fā)展、社交網(wǎng)絡(luò)的日益繁榮，以及大數(shù)據(jù)的不斷應(yīng)用，有限的網(wǎng)絡(luò)實名作為一種典型的網(wǎng)絡(luò)類型普遍存在于互聯(lián)網(wǎng)環(huán)境中，這使得有限實名網(wǎng)絡(luò)成為國內(nèi)互聯(lián)網(wǎng)發(fā)展、治理的一個重要階段.由于網(wǎng)絡(luò)實名不可避免地致使個人信息在網(wǎng)絡(luò)平臺累積，因此其安全風險成為網(wǎng)絡(luò)安全的重要內(nèi)容.個人信息安全不僅關(guān)系到個人利益也關(guān)系到國家安全，因此，2012年12月全國人民代表大會常務(wù)委員會通過了《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，這使得如何做好實名網(wǎng)絡(luò)中個人信息的安全保護成為當前互聯(lián)網(wǎng)治理的關(guān)鍵和熱點.

在當前的國內(nèi)互聯(lián)網(wǎng)環(huán)境下，全面的網(wǎng)絡(luò)實名制，面臨著政策法規(guī)、技術(shù)應(yīng)用、市場監(jiān)管等多方面障礙.與此同時，局部的網(wǎng)絡(luò)實名迅速發(fā)展.有限實名網(wǎng)絡(luò)作為介于匿名網(wǎng)絡(luò)和實名網(wǎng)絡(luò)之間的中間網(wǎng)絡(luò)形態(tài)，主要表現(xiàn)在“前臺匿名、后臺實名”和“部分匿名、部分實名”2種類型.源于有限實名網(wǎng)絡(luò)個人信息的“實名有限性”，其安全保護也未能得到如實名網(wǎng)絡(luò)環(huán)境同樣的重視，因此，加強對有限實名網(wǎng)絡(luò)環(huán)境的個人信息保護具有十分現(xiàn)實的意義.

在網(wǎng)絡(luò)個人信息保護研究方面，國內(nèi)外研究主要集中在技術(shù)改進、風險評估和立法保護3個方面.在風險因素研究方面，文獻中研究了個人信息利用中的風險因素，文獻中重點研究了個人信息安全中的法律風險，文獻中從傳播的角度研究了社交網(wǎng)絡(luò)里個人信息面臨的監(jiān)控風險、泄露風險和聲譽風險，文獻中從信息再利用的角度研究了個人信息面臨的完整性、可靠性、保密性與可控性等方面的風險，文獻中對個人信息風險中的主體意識、立法規(guī)范等因素進行了研究.還有一些文獻[8-9]對具體應(yīng)用領(lǐng)域的個人信息風險進行了研究.結(jié)合上述研究結(jié)論，筆者針對有限實名網(wǎng)絡(luò)的個人信息保護，重點研究其在技術(shù)、法律、管理、信用等方面的風險因素及其相關(guān)關(guān)系.

1風險因素識別

1.1 一級風險因素的假設(shè)

以1995—2015年中國知網(wǎng)的學術(shù)論文為對象，以“個人信息”為篇名的文獻資料超過1 800篇，其中截至2015年2月，以“風險”為主題的文獻有65篇.65篇文獻中，關(guān)注于法律研究的有37篇，其他多為綜合研究；涉及信息安全技術(shù)研究的文獻6篇，涉及管理方案設(shè)計的文獻9篇，涉及信用體系建設(shè)的文獻4篇，還有部分現(xiàn)狀評論性文獻.據(jù)此，結(jié)合文獻中的研究結(jié)論，從技術(shù)、法律、管理、信用4個維度對有限實名網(wǎng)絡(luò)中的個人信息風險展開分析，并提出相應(yīng)假設(shè).

假設(shè)1技術(shù)風險是個人信息風險的重要來源.

在有限實名網(wǎng)絡(luò)環(huán)境中，源于技術(shù)成本的考慮，以及實名信息與非實名信息共存的現(xiàn)實情況，使得互聯(lián)網(wǎng)企業(yè)在個人信息安全方面的技術(shù)研發(fā)、應(yīng)用、投入?yún)⒉畈积R.即使大型的互聯(lián)網(wǎng)企業(yè)因技術(shù)因素發(fā)生個人信息泄露的情況也屢見不鮮.個人信息風險的技術(shù)因素主要表現(xiàn)為技術(shù)漏洞、技術(shù)應(yīng)用不完整等，技術(shù)漏洞通常表現(xiàn)為服務(wù)器、網(wǎng)站、數(shù)據(jù)庫等信息技術(shù)產(chǎn)品的安全性能上的缺陷，這些缺陷通常并不為企業(yè)所知.技術(shù)應(yīng)用不完整則是指未能對信息安全對象實施應(yīng)有的保護，例如加密技術(shù)的應(yīng)用等.

假設(shè)2管理風險是個人信息風險的重要來源.

管理風險主要表現(xiàn)為企業(yè)內(nèi)部風險.在個人信息安全保護中，內(nèi)部人員的泄露風險甚至要比外部攻擊更具危害性.在管理方面，很多國內(nèi)互聯(lián)網(wǎng)企業(yè)對有限實名網(wǎng)絡(luò)環(huán)境中個人實名信息保護缺乏應(yīng)有的重視，在安全制度設(shè)計、人員培訓、制度落實方面存在諸多風險.一是制度完善程度，主要表現(xiàn)為有無信息安全管理制度，管理制度是否合理、可行；二是管理制度履行程度，主要表現(xiàn)為在已有制度條件下，人員、部門貫徹執(zhí)行水平及獎懲落實情況等.

假設(shè)3信用風險是個人信息風險的重要來源.

互聯(lián)網(wǎng)企業(yè)源于自身能力和利益，即使制定了相應(yīng)的管理制度，仍然容易出現(xiàn)不能有效履行信息保護承諾的情形，這種風險主要表現(xiàn)為企業(yè)濫用個人信息于商業(yè)目的，以及在用戶不知情的情況下與第三方共享信息等情形，從而增加個人信息安全風險.

假設(shè)4法律風險是個人信息風險的重要來源.

眾多學者呼吁應(yīng)加快針對個人信息保護的立法，并給出了一些具體的立法建議.從個人信息保護的法律維度看，法律因素不僅包括有法可依，同樣包括執(zhí)法必嚴.即使在個人信息保護立法得以實現(xiàn)的前提下，如何實現(xiàn)法律條文的落地仍舊對個人信息保護有直接的影響.

根據(jù)上述分析，將有限實名網(wǎng)絡(luò)中的一級風險因素進行細分，形成二級風險因素，主要包括：技術(shù)漏洞(F1)、加密措施缺失(F2)、管理漏洞(F3)、監(jiān)管不力(F4)、濫用信息(F5)、信息管理外包(F6)、立法滯后(F7)、追責不力(F8).

1.2 風險因素來源的實證

以2011—2014年典型的個人信息安全事件為對象，篩選出11個以網(wǎng)絡(luò)有限實名信息為主要內(nèi)容的個人信息風險案例[10]，分析其中的個人信息風險因素.具體案例篩選如表1所示.

表1　有限實名網(wǎng)絡(luò)環(huán)境中的典型個人信息安全事件

令P(i,j)表示二級風險因素中第i個事件的第j個風險的發(fā)生概率.其中：P(i,j)=1，表示第j個風險因素在第i個風險事件中確定發(fā)生；P(i,j)=1/2，表示第j個風險因素在第i個風險事件中不確定是否發(fā)生；P(i,j)=0，表示第j個風險因素在第i個風險事件中確定未發(fā)生.對上述風險事件進行分析并結(jié)合專家調(diào)查,得到11個風險事件及其對應(yīng)風險因素的發(fā)生情況，如表2所示.

表2　二級風險因素的發(fā)生概率情況

根據(jù)表2數(shù)據(jù)，得知在11個典型案例中風險因素F1共計發(fā)生8次，即在風險案例集中，風險因素F1的發(fā)生概率為72.7%.同理得知各個風險要素在風險案例集中發(fā)生的概率，具體數(shù)據(jù)如表3所示.

表3　二級風險因素在風險案例集中的發(fā)生概率　%

由表3數(shù)據(jù)可知，在個人信息安全事件中，技術(shù)漏洞、加密措施缺失、管理漏洞、立法滯后、追責不力等風險因素均具有較高的發(fā)生概率，濫用信息和信息管理外包作為個人信息安全事件誘因的概率相對較低.因此可以認為，在現(xiàn)行網(wǎng)絡(luò)環(huán)境下，技術(shù)風險、管理風險、法律風險是信息安全風險的重要來源，而信用風險作為個人信息風險的重要來源不具顯著性.即假設(shè)1，2，4是成立的，假設(shè)3作為來源在重要性上不具顯著性.

2個人信息風險的風險程度分析

2.1 研究思路與假設(shè)

首先，依據(jù)上文對個人信息安全事件集的分析結(jié)論，提出二級風險因素風險程度的假設(shè)；其次，通過從企業(yè)、監(jiān)管部門、個人等維度的重要性數(shù)據(jù)采集，得到不同群體對各個風險因素重要性的判斷矩陣，并通過矩陣集結(jié)和最小二乘法獲得各個風險要素的重要性排序；最后，與表3中的風險因素發(fā)生概率進行對比分析，驗證假設(shè).

令二級風險因素F1,F2,F3,F4,F5,F6,F7,F8的風險程度分別表示為w1,w2,w3,w4,w5,w6,w7,w8.

根據(jù)表2概率數(shù)據(jù)，提出如下假設(shè)：

假設(shè)5有限實名網(wǎng)絡(luò)的個人信息風險中，二級風險因素的風險程度排序Ⅰ:w1=w8>w2=w3>w7>w4>w6>w5.

2.2 風險程度分析

采用Hardmard乘性凸組合方式對判斷矩陣進行集結(jié)，并對3個群體的判斷矩陣賦予同樣重要性.即

采用最小二乘法，求得W=(w1,w2,w3,w4,w5,w6,w7,w8)=(0.178，0.035，0.198，0.080，0.033，0.023，0.309，0.144).即得到重要性排序Ⅱ：w7> w3>w1>w8>w4>w2>w5>w6.

對比分析重要性排序Ⅰ和Ⅱ可知，假設(shè)5并不成立.將排序Ⅰ理解為風險事件集中的風險重要程度，排序Ⅱ理解為民眾觀念上的風險重要程度，可以得到：

(1)排序Ⅰ和Ⅱ中w2(加密措施缺失)在2次排序中存在較大差異，體現(xiàn)出在信息安全事件中缺乏加密措施較為普遍，而在觀念上這一風險卻并未得到充分重視.

(2)排序Ⅰ和Ⅱ中w7(立法滯后)和w8(追責不力)的排序存在顯著差異，體現(xiàn)出在風險事件中的執(zhí)法風險更為突出，而在觀念上則更關(guān)注于立法的重要性.

(3)排序Ⅰ和Ⅱ中，w1(技術(shù)漏洞)和w3(管理漏洞)的排序存在顯著差異，體現(xiàn)出在風險事件中的技術(shù)漏洞風險更為突出，而在觀念上則更關(guān)注管理的重要性，缺乏對技術(shù)漏洞的風險認識.

3結(jié)論

(1)風險識別方面，無論是文獻統(tǒng)計還是案例分析，技術(shù)風險、管理風險、信用風險、法律風險及相應(yīng)的二級風險細分，都會誘發(fā)有限實名網(wǎng)絡(luò)中個人信息風險事件的發(fā)生.其中技術(shù)風險、管理風險、法律風險相對于信用風險在信息風險事件有更為顯著的存在.從研究上看，學者更多地關(guān)注于立法保護的研究，對技術(shù)風險、管理風險、信用風險的研究明顯薄弱.從風險事件中技術(shù)漏洞和追責不力發(fā)生概率超過70%的角度看，研究建立合理的技術(shù)風險預防、規(guī)避機制，倡導互聯(lián)網(wǎng)企業(yè)新的個人信息安全保護觀念，加大追逐力度與立法保護同樣重要.

(2)風險因素分析方面，通過具體信息安全事件的實證研究，首先，二級風險因素技術(shù)漏洞(F1)、追責不力(F8)具有較高的發(fā)生概率，體現(xiàn)出信息安全風險是當前網(wǎng)絡(luò)個人信息安全事件主要風險來源；其次，二級風險因素濫用信息(F5)、信息管理外包(F6)具有相對較低的發(fā)生概率，體現(xiàn)出當前以信用風險為主要誘因?qū)е碌膫€人信息安全事件并不普遍，需要說明的是，這并不意味著互聯(lián)網(wǎng)企業(yè)的信用問題很少，因為通過具體信息安全事件的實證研究，同時發(fā)現(xiàn)信息濫用風險在風險案例集中具有較高的不確定性，即難以識別其是否存在及其嚴重程度，主要原因是目前的監(jiān)管措施仍舊缺乏有效的識別手段.因此，信息濫用因素在個人信息保護中具有較高的潛在風險，應(yīng)給予更多的重視.

(3)重要性排序方面，通過問卷調(diào)查，對比分析在事件和觀念2方面的風險因素重要性排序可以發(fā)現(xiàn)，在高發(fā)的實際風險因素中，技術(shù)漏洞、加密措施缺失、追責不力等因素并未能在觀念上得到更多的重視.因此，在未來的網(wǎng)絡(luò)個人信息安全風險防范中，在加快立法的同時，還應(yīng)進一步加強互聯(lián)網(wǎng)企業(yè)、個人的安全教育和安全監(jiān)管.

4結(jié)語

有限實名網(wǎng)絡(luò)中的個人信息安全問題作為信息安全領(lǐng)域的一個重要組成部分，有其自身的特點.因此，針對有限實名網(wǎng)絡(luò)中個人信息風險的研究，與傳統(tǒng)的信息安全研究在風險因素和重要程度方面既有相關(guān)性，也有差異性.通過風險識別與相關(guān)性分析，獲取有限實名網(wǎng)絡(luò)中個人信息安全在技術(shù)、管理、立法、信用等多個維度的風險來源及其重要程度，這將有助于有限實名網(wǎng)絡(luò)這一典型網(wǎng)絡(luò)形態(tài)下的個人信息保護.在此基礎(chǔ)上，研究不同維度風險因素的量化評價方法，將可以為互聯(lián)網(wǎng)企業(yè)個人信息狀況的評價與改進提供必要支持，這也是需要進一步研究的方向.

參考文獻：

[1]冉繼軍.從網(wǎng)絡(luò)實名制看中國的互聯(lián)網(wǎng)博弈.當代傳播,2013(1)：43-47.

[2]周永坤.網(wǎng)絡(luò)實名制立法評析.暨南學報：哲學社會科學版,2013，35(2):1-7.

[3]PORTERCC.De-IdentifiedDataandThirdPartyDataMining:TheRiskofRe-IdentificationofPersonalInformation.ShidlerJournalofLaw,Commerce&Technology,2008(5):1-8.

[4]DOUGLASJSYLVESTER,SHARONLOHR.TheSecurityofourSecrets:AHistoryofPrivacyandConfidentialityinLawandStatisticalPractice.SocialScienceElectronicPublishing,2005,83(1):147-207.

[5]王秦.社交網(wǎng)站個人信息傳播風險與規(guī)制分析.前沿,2014(5):77-79.

[6]李儀.網(wǎng)絡(luò)環(huán)境下個人信息再利用的風險及立法應(yīng)對——主要以信息安全維護為視角.情報理論與實踐,2013,36(12):26-29.

[7]劉小霞，陳秋月.大數(shù)據(jù)時代的網(wǎng)絡(luò)搜索與個人信息保護.現(xiàn)代傳播,2014,36(5):125-128.

[8]何培育.電子商務(wù)環(huán)境下個人信息安全危機與法律保護對策探析.河北法學,2014,32(8)：34-41.

[9]梁恒.風險·規(guī)制·完善：刑法視域下的個人信息保護.重慶郵電大學學報：社會科學版,2009,21(6):29-33.

[10] 常磊.情況很嚴重：盤點2014年網(wǎng)上個人信息泄露事件[EB/OL].[2014-12-26].http://www.cssn.cn/xwcbx/xwcbx_rdjj/201412/t20141226_1458490.shtml.

RiskofPersonalInformationSecurityintheLimitedReal-NameNetwork

LIYaping1，2，ZHOUWeiliang2

(1.SchoolofManagement,HefeiUniversityofTechnology,Hefei230009,China;

2.AnhuiSchoolofAdministration,Hefei230059,China)

Abstract：In the limited real-name network,a common type of network environment,increasingly accumulation of personal information makes the problem of personal information security risk prominent.This study identifies the key risky factors and conducts a multi-dimensional research on the degree of risk through an empirical analysis of the representative personal information risk events from 2011 to 2014. The results show that the major sources of personal information security risk include technical risk,management risk,legal risk,and credit risk which are significantly different in the degree of importance.The corresponding suggestions for the protection of personal information in the environment of limited real-name network are given based on the analysis of the differences of risk degree in risk events and the public concept.

Keywords：real-name;personalinformation;risk;network;security

(責任編輯向陽潔)