◆賀金蘭 羅一民 滕麗萍

（江蘇警官學(xué)院 江蘇 210012）

社交網(wǎng)絡(luò)用戶隱私安全問題及其保護(hù)

◆賀金蘭 羅一民 滕麗萍

（江蘇警官學(xué)院 江蘇 210012）

社交網(wǎng)絡(luò)的蓬勃發(fā)展，為信息的傳播與分享提供了平臺(tái)，深刻地改變了每一位網(wǎng)民的生活。但當(dāng)用戶在享受社交網(wǎng)絡(luò)帶來的個(gè)性化服務(wù)的同時(shí)，利用網(wǎng)絡(luò)侵犯用戶個(gè)人隱私的事件也是屢見不鮮，給用戶帶來了極大困擾，也阻礙了社交網(wǎng)絡(luò)的進(jìn)一步發(fā)展。因此，用戶隱私保護(hù)問題亟待解決。本文通過分析社交網(wǎng)絡(luò)用戶隱私安全問題產(chǎn)生的原因，介紹了社交網(wǎng)絡(luò)安全問題的種類，重點(diǎn)提出了對(duì)于隱私數(shù)據(jù)安全保護(hù)措施與建議。

社交網(wǎng)絡(luò)；隱私安全；技術(shù)方案；法律法規(guī)

1 社交網(wǎng)絡(luò)用戶隱私安全產(chǎn)生原因

1.1 用戶自身的行為意識(shí)與隱私保護(hù)之間的矛盾

在社交網(wǎng)絡(luò)中，一方面，用戶對(duì)于自身的信息安全感知度低，隱私容易泄露，商業(yè)推廣及網(wǎng)絡(luò)詐騙極易發(fā)生，在此情況下，用戶迫切地希望自身的信息能夠被保護(hù)；另一方面，為了提高用戶體驗(yàn)，用戶又樂此不疲地在各類社交網(wǎng)站上注冊(cè)并填寫個(gè)人資料。雖然用戶也擔(dān)心著各式各樣的個(gè)人隱私安全問題，但卻并沒有因此而節(jié)制自己的個(gè)人信息披露行為，這種現(xiàn)象被有些學(xué)者稱作“隱私悖論”?？▋?nèi)基·梅隆大學(xué)曾對(duì)其在校本科生做過調(diào)查研究，發(fā)現(xiàn)大多數(shù)學(xué)生在其 Facebook上提供的個(gè)人信息非常全面，其中還包括自己的感情狀況及政治主張，然而，只有相當(dāng)少的一部分學(xué)生進(jìn)行了隱私設(shè)置。同樣，據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《2015 年中國手機(jī)網(wǎng)民網(wǎng)絡(luò)安全狀況報(bào)告》顯示，截至2015年底，手機(jī)網(wǎng)民中會(huì)主動(dòng)查看手機(jī)軟件隱私權(quán)限的用戶僅占35.8%，只有8%的用戶會(huì)通過手機(jī)安全軟件的提示留意手機(jī)應(yīng)用的隱私權(quán)限，高達(dá) 56.2%的用戶完全沒有注意過手機(jī)應(yīng)用的隱私權(quán)限問題。[1]可見，“隱私悖論”現(xiàn)象普遍存在，網(wǎng)民缺乏基本的個(gè)人信息保護(hù)意識(shí)，對(duì)于社交網(wǎng)站采取何種措施保護(hù)其隱私數(shù)據(jù)漠不關(guān)心，這無疑增加了用戶隱私泄露的風(fēng)險(xiǎn)。

1.2 網(wǎng)絡(luò)服務(wù)提供商的盈利需求與隱私保護(hù)之間的沖突

社交網(wǎng)絡(luò)服務(wù)提供商的盈利需求與用戶隱私安全的矛盾關(guān)系是與生俱來的。社交網(wǎng)站服務(wù)提供商為了擴(kuò)大經(jīng)濟(jì)效益，加強(qiáng)各網(wǎng)站間的合作，就勢(shì)必要收集大量的用戶個(gè)人信息。目前，安卓生態(tài)環(huán)境令人擔(dān)憂，據(jù)中國互聯(lián)網(wǎng)數(shù)據(jù)中心數(shù)據(jù)顯示，在國內(nèi)各類Android市場(chǎng)下載量前1400位的APP內(nèi)，有66.9%的智能手機(jī)移動(dòng)應(yīng)用在抓取用戶隱私數(shù)據(jù)。[2]社交應(yīng)用打著各式各樣的旗號(hào)讀取用戶手機(jī)相冊(cè)、通訊錄，并美其名曰提高用戶體驗(yàn)。社交網(wǎng)絡(luò)服務(wù)商讀取采集到的用戶信息越詳細(xì)，其所蘊(yùn)含的商業(yè)價(jià)值也就越高。

1.3 我國網(wǎng)絡(luò)隱私權(quán)立法不完善

我國是世界上社交網(wǎng)絡(luò)發(fā)展最快的國家，然而，截止到目前，我國關(guān)于網(wǎng)絡(luò)隱私權(quán)保護(hù)的規(guī)范性文件只有一部人大常委會(huì)通過的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》及7個(gè)部委規(guī)章。在此之前，2013年實(shí)行的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》充其量是一部數(shù)據(jù)信息保護(hù)總則，并沒有起到實(shí)質(zhì)性的保護(hù)作用。[3]較之網(wǎng)絡(luò)隱私權(quán)保護(hù)的相對(duì)完善的美國來說，不管是規(guī)范性文件的數(shù)量還是此類文件的效力，都遠(yuǎn)遠(yuǎn)超過了我國。另外，我國對(duì)于隱私權(quán)的立法方面還比較分散，相關(guān)立法只是將隱私權(quán)歸于人格權(quán)當(dāng)中的名譽(yù)權(quán)進(jìn)行保護(hù)，網(wǎng)絡(luò)隱私權(quán)更是無法可依，對(duì)于侵犯他人網(wǎng)絡(luò)隱私權(quán)所應(yīng)承擔(dān)的法律責(zé)任更是無章可循。

2 社交網(wǎng)絡(luò)用戶隱私安全問題種類

2.1 用戶自身的疏忽導(dǎo)致隱私的泄露

（1）社交網(wǎng)站注冊(cè)賬號(hào)時(shí)，用戶填寫個(gè)人資料信息時(shí)總是用真實(shí)信息，無意識(shí)地增加了社交網(wǎng)絡(luò)賬號(hào)間的關(guān)聯(lián)度。

（2）登錄密碼設(shè)置簡單，部分用戶總是采用較短并簡單的數(shù)字密碼，還有用戶為了方便記憶，將自己的大部分社交網(wǎng)站密碼設(shè)置為同一個(gè)，這樣加大了密碼泄露的風(fēng)險(xiǎn)。

（3）用戶將重要的個(gè)人隱私數(shù)據(jù)與生活記錄存儲(chǔ)在社交空間。如今，幾乎所有的社交網(wǎng)站都有個(gè)人信息訪問權(quán)限設(shè)置，但是很多用戶根本不關(guān)心甚至不去設(shè)置，使得不法分子只要借助站內(nèi)的搜索引擎，就可以登錄用戶個(gè)人主頁，獲取其個(gè)人隱私。

（4）用戶在使用移動(dòng)終端或者個(gè)人電腦時(shí)，隨意安裝不明插件，有時(shí)，登錄終端并未安裝防火墻等安防設(shè)備，使得賬號(hào)被盜取的風(fēng)險(xiǎn)加大。

（5）手機(jī)等便攜式終端的普及，使得有相當(dāng)大比例的用戶總是長時(shí)間登錄各大社交網(wǎng)站，這也給不法分子留下了大量的作案時(shí)間[4]。

2.2 社交網(wǎng)站自身原因?qū)е掠脩綦[私的泄露

隨著社交網(wǎng)站的快速發(fā)展，社交網(wǎng)站掌握了海量的用戶信息，因此社交網(wǎng)站本身的安全性對(duì)于用戶隱私安全保護(hù)具有極其重要的意義。

（1）網(wǎng)站之間共享用戶隱私數(shù)據(jù)

不同的社交網(wǎng)站之間，出于對(duì)營銷、宣傳等方面的考量，都會(huì)產(chǎn)生用戶互補(bǔ)的需求，這就導(dǎo)致了在用戶不知情的情況下用戶隱私被泄露，共享用戶隱私信息的情況是普遍存在的。

（2）社交網(wǎng)站售賣用戶隱私數(shù)據(jù)

一些社交網(wǎng)站出于某些利益，在違背用戶本意的情況下，故意泄露用戶隱私，將用戶郵箱，QQ號(hào)，手機(jī)號(hào)等隱私信息出售，造成隱私信息泄露。例如，MySpace就曾將其用戶信息包括用戶的各項(xiàng)活動(dòng)內(nèi)容出售給第三方，該信息甚至由專門的網(wǎng)絡(luò)數(shù)據(jù)公司進(jìn)行出賣。也就是說，這種用戶信息的出售或者公開或者暗地的出賣是非常見的。

（3）社交網(wǎng)站自身漏洞造成用戶隱私泄露

與其他網(wǎng)站服務(wù)器一樣，社交網(wǎng)站在建設(shè)的過程中難免會(huì)存在各種漏洞。一些不法分子通過檢測(cè)技術(shù)搜尋相關(guān)漏洞，進(jìn)而利用其竊取用戶隱私。近幾年，利用社交網(wǎng)站漏洞造成造成的隱私泄露案件頻頻發(fā)生。2011年12月CSDN用戶數(shù)據(jù)庫被攻擊，導(dǎo)致600多萬用戶郵箱賬號(hào)和對(duì)應(yīng)明文密碼泄露；2012年6月美國職業(yè)社交網(wǎng)站Linked In同樣造成650多萬用戶賬號(hào)泄露；而在國內(nèi)的一些大型社交網(wǎng)站如人人網(wǎng)、天涯論壇、新浪微博等均有被黑客攻擊導(dǎo)致用戶密碼泄露甚至篡改的情況。不法分子為了尋求用戶個(gè)人隱私數(shù)據(jù)信息，加大了對(duì)社交網(wǎng)站的攻擊力度[5]。

2.3 第三方應(yīng)用造成的隱私泄露

在社交網(wǎng)絡(luò)中，用戶不可避免地要安裝、使用各種類型的第三方應(yīng)用。一般在使用前，用戶需要簽署一份隱私協(xié)議書，表明用戶同意該應(yīng)用使用其個(gè)人信息，然而，大多數(shù)隱私說明都是類似的，只要用戶希望使用此第三方應(yīng)用，總是會(huì)簽署同意，這樣，該應(yīng)用就輕易地獲取到了用戶的信息。然而，目前大多數(shù)的第三方應(yīng)用使用的都是自己的服務(wù)器，其在運(yùn)行時(shí)缺乏權(quán)威部門的監(jiān)管審查，難以保證數(shù)據(jù)流向，給用戶隱私帶來極大的安全隱患。

3 社交網(wǎng)絡(luò)用戶隱私安全保護(hù)措施

3.1 提高用戶隱私保護(hù)意識(shí)，節(jié)制自身數(shù)字化行為

（1）用戶在注冊(cè)社交網(wǎng)站并填寫個(gè)人資料前，要分析其存在的安全風(fēng)險(xiǎn)。盡量不要填寫過于詳細(xì)的個(gè)人資料，尤其是家庭及收入情況，這些信息容易在不經(jīng)意間被不法分子收集，進(jìn)而發(fā)生商業(yè)推廣和網(wǎng)絡(luò)詐騙。

（2）用戶在使用各類社交網(wǎng)站時(shí)，應(yīng)盡可能的設(shè)置復(fù)雜密碼，最好是既包含數(shù)字和字母，又包含符號(hào)的密碼，這樣做可以增強(qiáng)密碼的安全級(jí)別，抵御窮舉攻擊的能力也將增強(qiáng)。同時(shí)，用戶不要為了記憶方便，在多家社交網(wǎng)站上使用同一密碼組合，應(yīng)當(dāng)對(duì)于不同的賬號(hào)設(shè)置不同的密碼，減小賬號(hào)間的關(guān)聯(lián)度。

（3）謹(jǐn)慎添加好友?；诓煌缃痪W(wǎng)站之間的用戶互補(bǔ)性，網(wǎng)站之間會(huì)共享其擁有的用戶的隱私數(shù)據(jù)。當(dāng)你無意間添加了某個(gè)陌生人為好友之后，你可能會(huì)發(fā)現(xiàn)他在你的另一個(gè)社交網(wǎng)站上也成為了你的好友，甚至更多關(guān)聯(lián)的社交網(wǎng)站，這樣，即使是一個(gè)你從未謀面的陌生人，都有可能知道你最隱私的信息。

3.2 完善網(wǎng)站建設(shè)與防范技術(shù)，規(guī)范第三方應(yīng)用

（1）目前社交網(wǎng)站多采用Ajax技術(shù)，使得其更易成為被攻擊的對(duì)象。因此，程序員在進(jìn)行社交網(wǎng)站的設(shè)計(jì)時(shí)，首先要滿足其安全性需求，同時(shí)要對(duì)跨站腳本攻擊進(jìn)行多次檢測(cè)，將漏洞隱患降至最低。具體可以進(jìn)行如下操作：第一，檢測(cè)用戶輸入內(nèi)容的可靠性，將代碼輸入到測(cè)試頁面中，檢查是否存在系統(tǒng)漏洞；第二，全面檢測(cè)網(wǎng)站的安全性，此方法需要使用漏洞檢測(cè)工具；第三，采用自動(dòng)化檢測(cè)工具，對(duì)網(wǎng)站實(shí)時(shí)監(jiān)測(cè)，過濾其文本信息，消除潛在漏洞[6]。

（2）積極開發(fā)研究網(wǎng)絡(luò)安全防范技術(shù)。例如，采用分布式存儲(chǔ)與轉(zhuǎn)發(fā)模式分散用戶數(shù)據(jù)信息的儲(chǔ)存，降低用戶信息儲(chǔ)存過于集中引發(fā)的安全性問題。同時(shí)，可以設(shè)計(jì)一種群組化的信息共享方式，采取用戶自定義的訪問控制策略，對(duì)用戶信息采取群組化管理，授予用戶可訪問權(quán)限及訪問范圍，保障信息安全。此外，還可以結(jié)合新型的身份認(rèn)證方式，如使用二維碼掃描進(jìn)行身份認(rèn)證，在信息的傳遞過程中用以確認(rèn)用戶的合法身份。

（3）加強(qiáng)對(duì)第三方應(yīng)用監(jiān)查管理。針對(duì)第三方應(yīng)用的防護(hù)，我們可以采用應(yīng)用隱私控制平臺(tái)XBook。XBook保證了在第三方應(yīng)用實(shí)現(xiàn)其所需功能的前提下，嚴(yán)格監(jiān)控信息流。在安裝應(yīng)用程序時(shí)，用戶通過XBook獲取該程序所需的用戶信息以及信息流向，進(jìn)而決定是否安裝此應(yīng)用。通過XBook這一方式嚴(yán)格控制信息流，相比于從前直接將用戶信息交給第三方應(yīng)用要可靠得多。XBook通過將應(yīng)用程序的結(jié)構(gòu)分解，并對(duì)其各個(gè)部分進(jìn)行安全性分析，限制客戶端與服務(wù)器端的功能，根據(jù)用戶自定義的要求加強(qiáng)信息監(jiān)控，對(duì)數(shù)據(jù)采取匿名化操作，實(shí)時(shí)監(jiān)控對(duì)外通信，解決了潛在的數(shù)據(jù)泄露問題，使得第三方應(yīng)用只能按照既定的規(guī)矩操作，進(jìn)而避免了數(shù)據(jù)泄露。然而，XBook只是一個(gè)信息安全研究小組自己研發(fā)的系統(tǒng)，將其轉(zhuǎn)換整合到到社交網(wǎng)絡(luò)系統(tǒng)的工作量及其巨大，因此，將這一系統(tǒng)運(yùn)用到所有的第三方應(yīng)用上，真正地實(shí)現(xiàn)用戶隱私數(shù)據(jù)的保護(hù)依然是艱巨的[7]。

3.3 完善隱私保護(hù)法律體系，強(qiáng)化國家監(jiān)督

針對(duì)關(guān)于網(wǎng)絡(luò)隱私權(quán)法律的不完善現(xiàn)狀，國家需要將隱私權(quán)作為獨(dú)立的民事權(quán)利，并對(duì)隱私權(quán)、網(wǎng)絡(luò)隱私權(quán)劃定內(nèi)容及范圍，做出明確規(guī)定。針對(duì)隱私權(quán)的特點(diǎn)做出相應(yīng)立法，詳細(xì)劃分執(zhí)法部門法律職能，并增強(qiáng)法律的可操作性。

在十八屆四中全會(huì)上決定完善網(wǎng)絡(luò)安全保護(hù)方面的法律法規(guī)后，第十二屆全國人大常委會(huì)第十五次會(huì)議初審?fù)ㄟ^了《中華人民共和國網(wǎng)絡(luò)安全法（草案）》，針對(duì)網(wǎng)絡(luò)主權(quán)、網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)數(shù)據(jù)安全、網(wǎng)絡(luò)信息安全等方面都進(jìn)行了具體的制度設(shè)計(jì)，同時(shí)建立了網(wǎng)絡(luò)安全監(jiān)督管理體制和監(jiān)測(cè)預(yù)警與應(yīng)急處理機(jī)制。此外，《中華人民共和國國家安全法》頒布并實(shí)行，將“建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全保護(hù)能力”作為維護(hù)國家安全的重要職責(zé)。未來完善互聯(lián)網(wǎng)絡(luò)法律法規(guī)、加強(qiáng)各部門協(xié)作必將是我國未來網(wǎng)絡(luò)安全保護(hù)的大勢(shì)所趨。

4 結(jié)語

要想真正地改善社交網(wǎng)絡(luò)環(huán)境中存在的信息安全隱患，不僅需要依靠國家制定與完善相關(guān)的法律法規(guī)和監(jiān)管策略，明確職責(zé)，還需要相關(guān)執(zhí)法部門嚴(yán)格執(zhí)法，加強(qiáng)合作，嚴(yán)厲打擊信息安全相關(guān)的違法犯罪。同時(shí)，在技術(shù)層面，社交網(wǎng)站需要對(duì)其服務(wù)器安全性予以改進(jìn)，程序員也要加強(qiáng)網(wǎng)站的安全性建設(shè)，研究開發(fā)先進(jìn)的安全防范技術(shù)。除此之外，提升用戶安全防范意識(shí)、積極反饋社交網(wǎng)站安全問題也是信息安全保護(hù)不可缺少的一環(huán)，為用戶提供信息安全保護(hù)將會(huì)是未來網(wǎng)絡(luò)安全的主要方向。

[1] 2015年中國手機(jī)網(wǎng)民網(wǎng)絡(luò)安全狀況報(bào)告．

[2] 徐曉露．移動(dòng)社交網(wǎng)絡(luò)用戶隱私安全問題及保護(hù)研究[D]．重慶大學(xué)，2014．

[3] 馬璇．大數(shù)據(jù)時(shí)代網(wǎng)絡(luò)隱私權(quán)的法律保護(hù)[J]．法制與社會(huì)，2017．

[4] 孟曉明，賀敏偉．社交網(wǎng)絡(luò)大數(shù)據(jù)商業(yè)化開發(fā)利用中的個(gè)人隱私保護(hù)[J]．圖書館論壇，2015．

[5] 趙振宇，騰林池，陳強(qiáng)，王浩宇．大數(shù)據(jù)時(shí)代社交網(wǎng)絡(luò)個(gè)人信息安全問題研究[J]．電腦知識(shí)與技術(shù)，2016．

[6] 馮文明．社交網(wǎng)絡(luò)安全問題及其解決方案[J]．電子技術(shù)與軟件工程，2016．

[7] 胡啟平，陳震．試析社交網(wǎng)絡(luò)環(huán)境中個(gè)人隱私保護(hù)[J]． 信息網(wǎng)絡(luò)安全，2010．

江蘇警官學(xué)院科學(xué)研究重點(diǎn)項(xiàng)目（2015SJYSZ03）；江蘇省教育廳高校哲學(xué)社會(huì)科學(xué)基金項(xiàng)目（大數(shù)據(jù)時(shí)代社交網(wǎng)絡(luò)用戶隱私保護(hù)問題研究2017SJB0471）；江蘇蘇警官學(xué)院科研創(chuàng)新團(tuán)隊(duì)建設(shè)項(xiàng)目資助（2015SJYTZ03）。