肖自碧,楊 波

(武漢科技大學(xué)理學(xué)院,湖北武漢430081)

電子商務(wù)中的個人隱私保護(hù)問題及技術(shù)研究

肖自碧,楊 波

(武漢科技大學(xué)理學(xué)院,湖北武漢430081)

安全是當(dāng)前全球電子商務(wù)環(huán)境中至關(guān)重要的需求,是未來電子商務(wù)成功與否的關(guān)鍵因素。在電子商務(wù)過程中如何保護(hù)個人隱私是亟待解決的問題。目前,可采用的隱私保護(hù)措施主要有行業(yè)自律、政府立法、提高消費者的防范意識以及利用各種安全技術(shù)。

電子商務(wù)安全;隱私保護(hù);安全技術(shù)

Internet的飛速發(fā)展,帶動了電子商務(wù)的迅猛發(fā)展。電子商務(wù)作為新興的商務(wù)模式,給人們帶來方便、快捷、廉價、高效的商務(wù)活動,是未來商務(wù)發(fā)展的一個必然趨勢。然而,由于Internet的開放性和其他各種因素的影響,網(wǎng)絡(luò)的強大功能在給人們帶來便利的同時,也使得用戶的大量個人信息在未經(jīng)許可的情況下被收集和利用。在網(wǎng)絡(luò)傳播中,個人隱私權(quán)受到了嚴(yán)重的挑戰(zhàn)。調(diào)查表明消費者對電子商務(wù)的安全擔(dān)憂造成零售商的巨大損失,而消費者不接受網(wǎng)上購物的主要原因是擔(dān)心通過網(wǎng)絡(luò)會泄露個人隱私數(shù)據(jù)。因此,如何保護(hù)網(wǎng)上個人隱私信息安全是電子商務(wù)成功與否的關(guān)鍵因素。

一、隱私保護(hù)問題

美國互聯(lián)網(wǎng)犯罪投訴中心(IC3)的統(tǒng)計數(shù)據(jù)表明消費者的安全擔(dān)憂主要有:拍賣欺騙、商品未交付、信用卡欺騙、計算機入侵、垃圾郵件等網(wǎng)絡(luò)犯罪。除此之外,消費者還擔(dān)心個人信息的安全。造成用戶隱私受到威脅的原因很多,其中Internet的結(jié)構(gòu)特性和各種網(wǎng)絡(luò)技術(shù)成為網(wǎng)絡(luò)隱私泄露的主要原因。

Internet的開放與共享,為人們搜集個人隱私、非法散布隱私提供了平臺。在電子商務(wù)市場中,為了有效實施數(shù)據(jù)開發(fā)、一對一營銷、客戶關(guān)系管理和個性化服務(wù)等發(fā)展策略,電子商務(wù)企業(yè)不得不要求用戶注冊并且提供相關(guān)個人信息,包括身份、年齡、出生年月、身份證號、收入、職業(yè)、個人愛好、電話號碼、電子郵件地址、上網(wǎng)卡號、認(rèn)證密碼等。這些信息可能在未經(jīng)消費者允許的情況下被收集和保存。由于消費者不知道網(wǎng)站會如何處理他們的這些個人信息,因此會引發(fā)消費者對于身份可能被盜用和隱私權(quán)可能受到侵犯的憂慮。最可怕的隱私威脅是用戶信息可能被商家非法利用,如:故意傳播、泄漏、擅自篡改個人信息或出售給第三方。消費者身份信息被盜用可能導(dǎo)致信用卡失竊等后果。

造成電子商務(wù)隱私信息泄露的原因還有Cookies和網(wǎng)站bugs。Cookies是一種由服務(wù)器創(chuàng)建并存儲在客戶端的數(shù)據(jù)結(jié)構(gòu),記錄了用戶賬戶、密碼信息、訪問的網(wǎng)頁、訪問時間等信息。利用Cookies可以跟蹤每個上網(wǎng)者在網(wǎng)絡(luò)上的各種活動,如所瀏覽過的網(wǎng)頁和商品。Cookies通常是以隱蔽的方式接入用戶的行為,用戶的信息被讀走了,他根本感覺不到。網(wǎng)站bugs是第三方站點為了解用戶的行為而在網(wǎng)頁中嵌入的無法看見的小圖像,多為1個像素大小。訪問該網(wǎng)頁的用戶在毫無知覺的情況下就會受到監(jiān)視,用戶的IP地址、域名、所屬組織等詳細(xì)信息,以及瀏覽的內(nèi)容、購物習(xí)慣、收發(fā)電子郵件的行為等都可能被第三方掌握。

二、保護(hù)隱私的手段

1.行業(yè)自律和法律保障

政府立法是加強在線隱私保護(hù)的極其必要和有效的手段。通過法律的具體規(guī)定對電子商務(wù)企業(yè)在網(wǎng)上搜集用戶數(shù)據(jù)和隱私的行為提出一定的限制,使其在網(wǎng)上搜集用戶隱私材料的行為更規(guī)范,相對于用戶來講更透明,對網(wǎng)上貿(mào)易涉及的敏感性資料和個人數(shù)據(jù)給予法律保護(hù)。

但是網(wǎng)絡(luò)信息空間廣、容量大、傳輸快,單純依靠政府通過立法或司法監(jiān)督來切實保護(hù)網(wǎng)上隱私權(quán)不大可能。因此,很多網(wǎng)絡(luò)業(yè)發(fā)達(dá)的國家在加強立法的同時鼓勵行業(yè)自律,依照法律和行業(yè)慣例制定個人資料使用政策和隱私權(quán)保護(hù)政策。例如,在行業(yè)內(nèi)部組建獨立的非營利性的組織,對申請認(rèn)證的網(wǎng)絡(luò)運營商的隱私政策和實施情況進(jìn)行調(diào)查,凡是符合隱私行業(yè)指引的網(wǎng)絡(luò)運營商可以通過認(rèn)證,并可以在其網(wǎng)站或網(wǎng)頁上張貼認(rèn)證標(biāo)志;網(wǎng)絡(luò)運營商在網(wǎng)站的醒目位置設(shè)置隱私政策聲明欄目,發(fā)布隱私政策聲明以表明對用戶隱私權(quán)的充分重視。這既有利于提高網(wǎng)絡(luò)運營商的商業(yè)信譽,也可以增添用戶使用互聯(lián)網(wǎng)的信心,掃除消費商對個人隱私保護(hù)的憂慮。從促進(jìn)電子商務(wù)產(chǎn)業(yè)發(fā)展的角度來說,行業(yè)自律是隱私保護(hù)模式的首選。

2.提高消費者防范意識

消費者上網(wǎng)時應(yīng)隨時注意,不向網(wǎng)站泄露自己的真實情況,不把重要的信息存放在電腦中,不隨便使用網(wǎng)上下載的軟件,養(yǎng)成良好的瀏覽習(xí)慣,定期清除歷史記錄,訪問完網(wǎng)站之后通過瀏覽器的Internet選項,刪除過時的Cookies文件。對于部分被保存在內(nèi)存中的Cookies,可借助注冊表編輯器來修改系統(tǒng)設(shè)置,使得關(guān)閉IE瀏覽器時自動把Cookies文件刪除。消費者還可以安裝Cookies管理工具,如Limit Software公司的Cookie Crusher,有效地防止Cookies泄露隱私。Web Bugs是一種比Cookies更厲害的網(wǎng)絡(luò)跟蹤方式,使用IDcide公司制作的軟件IDcide Privacy Companion,能避免被Web Bugs追蹤,從而避免個人資料泄密,保護(hù)消費者的隱私。

3.主要技術(shù)手段

保護(hù)個人隱私的技術(shù)方法通常分為兩類,一類是通過匿名通信信道,另一類是在在線交易中盡量減少提交給電子商務(wù)網(wǎng)站的個人信息。

(1)P3P。P3P(Platform for Privacy Preferences)是萬維網(wǎng)聯(lián)盟(W3C)公布的隱私保護(hù)推薦標(biāo)準(zhǔn),旨在為網(wǎng)上沖浪的用戶提供個人信息保護(hù),減輕消費者因網(wǎng)站收集個人信息所引發(fā)的對于隱私權(quán)可能受到侵犯的憂慮,使消費者和企業(yè)用戶能夠?qū)﹄娮由虅?wù)的應(yīng)用樹立起更多的信心。P3P向用戶提供了保護(hù)個人隱私信息的可操作性,用戶在P3P提供的個人隱私保護(hù)策略下,能夠清楚地明白網(wǎng)站對自己的隱私信息做何種處理。

P3P的工作過程如下:用戶將他的個人隱私偏好設(shè)定在P3P軟件的選項中,可設(shè)定為當(dāng)任何網(wǎng)站收集或販賣個人網(wǎng)上信息的時候禁止進(jìn)入該站點或者提醒用戶。一旦設(shè)定,該軟件將同用戶的瀏覽器程序一同運行,每一個受訪的站點都會發(fā)送某種形式的機器語言的提議到用戶的電腦中。如果該站點的信息收集行為同P3P中設(shè)定的標(biāo)準(zhǔn)相符,則關(guān)于隱私的協(xié)定就可以自動的締結(jié),而用戶亦可毫無阻礙地瀏覽該站點。但是如果不符,用戶必須迅速地決定是否進(jìn)入該網(wǎng)站,這通常會以對話框的形式出現(xiàn),以便于消費者做出選擇。

(2)密碼技術(shù)。電子商務(wù)建立在開放的網(wǎng)絡(luò)環(huán)境中,利用密碼技術(shù)不僅可以保證通信及存儲數(shù)據(jù)的安全,還可以有效地用于報文認(rèn)證、數(shù)字簽名等,使脆弱的網(wǎng)絡(luò)變得相對安全。

通過對在公開網(wǎng)絡(luò)上傳輸?shù)慕灰仔畔⑦M(jìn)行加密處理,能預(yù)防信息在傳輸過程中被非法竊取。通過數(shù)字摘要和數(shù)字簽名等密碼技術(shù)可以直接滿足身份認(rèn)證、信息完整性、不可否認(rèn)和不可修改等多項網(wǎng)上交易的安全需求,從而較好地避免了網(wǎng)上交易面臨的假冒、篡改、抵賴、偽造等種種威脅。

(3)密碼協(xié)議。安全套接層SSL(Secure Sockets Layer)協(xié)議是1994年網(wǎng)景公司為其產(chǎn)品Netscape Navigator設(shè)計的數(shù)據(jù)傳輸安全標(biāo)準(zhǔn),主要是在因特網(wǎng)環(huán)境下為交易雙方在交易的過程中提供最基本的點對點通信安全協(xié)議,以避免交易信息在通信的過程中被攔截、竊取、偽造及破壞。也就是說,該協(xié)議僅是為因特網(wǎng)環(huán)境下的通信雙方提供的安全通信協(xié)議,而不是一個完整的安全交易協(xié)議。SSL定位于傳輸層與應(yīng)用層之間,因此可以很好地封裝應(yīng)用層數(shù)據(jù),不用改變位于應(yīng)用層的應(yīng)用程序,對用戶是透明的。當(dāng)SSL客戶和服務(wù)器首次開始通信時,通過一次“握手”過程,就協(xié)議版本、加密算法的選擇、是否驗證對方及公鑰加密技術(shù)的應(yīng)用進(jìn)行協(xié)商,從而產(chǎn)生共享的秘密,建立客戶和服務(wù)器之間的一條安全通信通道,保證傳輸數(shù)據(jù)的安全。SSL被廣泛應(yīng)用于保護(hù)消費者傳輸?shù)南?如信用卡號等敏感數(shù)據(jù)。

(4)安全電子支付協(xié)議。安全電子交易SET (Secure Electronic Transaction)協(xié)議,是美國Visa和MasterCard兩大信用卡組織聯(lián)合其他一些業(yè)界廠商制定的,能保證在開放網(wǎng)絡(luò)(包括Internet)上進(jìn)行安全支付的技術(shù)標(biāo)準(zhǔn)。SET主要針對開放網(wǎng)絡(luò)環(huán)境下用戶、商家和銀行之間通過信用卡支付的交易,確保支付信息的保密性、支付過程的完整性、商家及持卡人身份的合法性以及可操作性。

(5)VPN。虛擬專用網(wǎng)VPN(Virtual Private Network)是以身份認(rèn)證、數(shù)據(jù)加密和密鑰交換技術(shù)為基礎(chǔ),在開放的公共網(wǎng)絡(luò)上建立安全專用隧道的網(wǎng)絡(luò)。它通過對網(wǎng)絡(luò)數(shù)據(jù)的封裝和加密傳輸,依靠網(wǎng)絡(luò)服務(wù)提供者(ISP)和其他網(wǎng)絡(luò)服務(wù)提供者(NSP),在不安全、不可信任的公共互聯(lián)網(wǎng)絡(luò)上建立一個臨時的、安全的連接,實現(xiàn)在公網(wǎng)上傳輸私有數(shù)據(jù),卻能給用戶提供一種私人專用的效果,達(dá)到私有網(wǎng)絡(luò)的安全級別。VPN通常是對企業(yè)內(nèi)部網(wǎng)的擴展,通過它可以幫助遠(yuǎn)程用戶、公司分支機構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸。

(6)PKI。PKI是在公鑰密碼理論和技術(shù)的基礎(chǔ)上發(fā)展起來的一種綜合性安全平臺,能夠透明地為所有的網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理,從而保證網(wǎng)上傳遞信息的安全、真實、完整和不可抵賴性。利用PKI可以方便地建立和維護(hù)一個可信的網(wǎng)絡(luò)環(huán)境,使人們在這個無法直接相互面對的環(huán)境里,能夠確認(rèn)彼此的身份和所交換的信息,從而安全地從事商務(wù)活動。PKI包括證書機構(gòu)CA、注冊機構(gòu)RA,證書目錄和管理系統(tǒng)。CA通過對一個包含身份信息和相應(yīng)公鑰的數(shù)據(jù)結(jié)構(gòu)進(jìn)行數(shù)字簽名來捆綁用戶的公鑰和身份,這個數(shù)據(jù)結(jié)構(gòu)稱為公鑰證書。

三、結(jié)論

隱私方面的擔(dān)憂讓消費者對上網(wǎng)感到顧慮重重,網(wǎng)絡(luò)隱私問題成為制約電子商務(wù)發(fā)展的最大障礙。如果在線個人隱私能夠真正得到切實有效的保護(hù),則有望使更多的消費者對基于Internet的電子商務(wù)充滿信心并參與其中,從而為電子商務(wù)的長遠(yuǎn)發(fā)展奠定基石。能夠為消費者帶來充足安全感的理想的隱私保護(hù)解決方法是將各種方法組合起來,包括立法保護(hù)、行業(yè)自律、消費者自我保護(hù)、以及各種技術(shù)手段。將以上方法整合在一起將為消費者帶來他們所期望的高級別的隱私保障。

[1]Kraft,TA and R Kakar.E-Commerce Security[C].Proceedingsof the Conference on Information Systems Applied Research,2009: 3364.

[2]畢婭,胡勝紅.淺探電子商務(wù)中個人隱私安全及P3P技術(shù)[J].計算機安全,2003(6):54-55.

[3]管有慶,王曉軍,董小燕.電子商務(wù)安全技術(shù)[M].北京郵電大學(xué)出版社,2005.

責(zé)任編輯:周小梅

F713.36

A

1009-1890(2010)03-0010-03

2010-08-13

肖自碧(1974-),女,漢族,湖北武漢人,武漢科技大學(xué)理學(xué)院講師,碩士,主要研究方向:信息安全。