基于电子商务的个人隐私信息安全与对策

PAGE基于电子商务的个人隐私信息安全与对策内容摘要电子商务时代已经来临，互联网已经网住了人类，网住了我们的工作和生活，也网住了我们的个人隐私。在这个时代，一方面，社会的进步与发展离不开对包括个人隐私在内的数据的搜集、开发与利用，另一方面，社会的进步与发展的要求尊重人的人格独立和尊严。然而，就是因为在电子商务中个人信息有着重要的作用以及在信息采集技术如此发达的情况下，每个人都可能成为隐私偷窥的受害者。而制约电子商务发展的最重要的一个原因就是个人隐私的保护问题，在这种情况下，关注和维护公民个人的隐私权已经成为一个迫在眉睫的社会问题。本文中就电子商务中个人隐私问题产生的原因及问题的现状做了简单的介绍，并介绍了个人隐私侵害常见的几种方式，针对中国目前的状况重点介绍了电子商务中个人隐私安全的保护方法，如：加快网络立法进程；实行网络操作规范；深入网络安全研究；提高安全意识等。关键词：电子商务信息安全网络隐私个人隐私个人数据目录TOC\o"1-2"\h\z\u一、引言 3二、目前电子商务中个人隐私的安全现状与问题 3（一）来自网络服务提供商的侵害 4（二）来自电子商务服务提供商的侵害 4（三）来自企业及个人的侵害 4三、电子商务中个人隐私问题产生的原因 4（一）互联网的开放性 4（二）相关法律法规不够健全 5（三）在电子商务的操作过程中缺乏有效的安全措施及规程 5（四）网络中安全保护的研究力度不够，安全技术不强。 5（五）多数个人保护隐私的意识不够 5四、电子商务中的网络安全对策 5(一)建立和健全相应的法律法规 5(二)采取安全措施并遵循安全操作规程 6(三)深入开展网络隐私保护技术研究 7(四)教育网络消费者，切实提高公民的网络隐私信息安全意识。 8五、小结 8参考文献 9基于电子商务的个人隐私信息安全和对策一、引言个人信息保护是电子商务中早已受到关注的话题，不过到目前为止，电子商务网站对消费者个人因素保护仍存在种种问题，这种状况已经成为电子商务发展的制约因素之一。新竞争力网络营销管理顾问综合各相关调查结果认为：个人隐私安全问题将继续影响电子商务发展，电子商务网站对用户个人信息的保护是一个长期而艰巨的任务。同时，调查还发现，消费者在应对网络安全问题时主要采用以下方式进行防范：使用防病毒软件(81%),防间谍软件spyware(67%),垃圾邮件过滤程序(65%)及防火墙(63%)。调查还显示，3/4的网上购物者对于那些具有明确隐私声明和安全保护的网站感觉心理上更有保障，因而购物更加放心。在电子商务/网络营销中，收集适量的个人信息是开展个性化服务的基础，但收集过多用户关心的个人信息显然会影响用户的积极性，甚至造成恐慌心理，因此应处理好个人信息收集与个人信息保护之间的关系。二、目前电子商务中个人隐私的安全现状与问题美国人最担心其财务资料：调查表明，美国网络用户普遍担忧透过网络而进行的隐私获取与扩散，其中个人财务资料的扩散引发的担忧最突出，分别有84％的受访者感到太多人接触其个人信用报告，79％感到太多人接触其个人财务记录，62％和61％感到接触其驾驶和医疗记录的人太多。中国人认为保护个人隐私变得越来越难：超过55%的人认为，在互联网时代，保护个人隐私正变得越来越难。调查中，29.3%的人表示，自己的“个人信息曾被随意公开泄露”；12.3%的人认为，在互联网上注册(如电子邮箱)时，“当然不能填”自己的真实信息；15.1%的人在工作场所的行为被监视。图1是使用互联网容易暴露隐私观点的看法调查显示，3.9%的网民非常赞成“使用互联网容易暴露隐私”的观点，21.8%比较赞成，9.8%一半赞成一半反对，48.7%不太赞成，15.8%很不赞成。电子商务中个人隐私的问题存在如下几方面：（一）来自网络服务提供商的侵害网络服务提供商是指向广大用户综合提供互联网接入业务、信息业务、和增值业务的电信运营商。网络服务提供商可以使用Cookies技术收集用户的浏览访问信息、追踪用户的上网记录来对用户的隐私造成侵害，对这些收集到的个人信息推断用户的网络偏，并且由于Cookies的特性，服务商可以在服务器不清楚访问者信息是条件下，对访问者的位置进行实时追踪，这可以说是让每一个用户都暴露在网络之下；并且网络服务提供商通过网络中心对用户的活动进行监视和监控，非法收集用户的个人信息并出售给第三方进行获利，擅自侵入个人网络空间造成个人隐私的侵害以及重要信息的丢失等。（二）来自电子商务服务提供商的侵害电子商务服务提供商向用户与企业之间提供了一个安全、高效、信息及时对接的服务平台，使得双方之间的交易更加的便捷与多样化。但是用户要利用这个网络平台进行交易，在交易之前企业与用户都要进行注册。而其中的一些电子商务服务提供商利用自己的职能非法的收集、储存、传播用户的个人信息来达到使自己获利的目的，对用户的隐私造成了一定的侵害。（三）来自企业及个人的侵害在电子商务交易的过程中，如果双方要进行交易往来，那么用户必须向企业提供自己的个人信息，以方便企业对用户的真实有效性进行检验，然而企业往往在没有让用户知道以及得到用户的许可下擅自收集用户的个人信息，并且大部分的企业将自己在交易过程中收集到的用户数据建立成一个数据库，然后将自己所取得、记录的用户信息进行出售、转卖给其他的个人或组织来进行牟利，或者是将这些信息来用作其他的用途和目的。并且随着网络技术的发展，一些网站没能有效的建立起一套完善的安全措施，这时候这些网站很容易受到来自黑客的攻击入侵，攫取用户的个人信息。有时候黑客甚至会私自改动用户的个人信息或是邮件内容等造成对用户的隐私权侵害。三、电子商务中个人隐私问题产生的原因对于普通消费者而言，传统商业模式与现代商业模式的最显著差别直接体现在购物活动由现实的物理空间接触转至虚拟的网络空间在线对话。线上购物、线上支付及个性化配送服务使普通消费者成为数字化革命的实际受益人；而对于商家来说，采用电子商务模式开展的商业活动，较之过去传统模式经营的最大得益之处在于，“顾客数据化”有可能为电子商务企业带来无法估计的商业价值与盈利增长点。换言之，当“在线化”的消费者群体成为商家拥有的“数据化”顾客的商业资源时，电子商务活动对个人信息资源的需求与价值发掘的目的经营才真正凸显出现代商业的英雄本色。简言之，客户的个人信息、资料对于任何从事电子商务活动的商业、企业或非赢利组织来说，都是一笔显性或潜在的、具有商业利用价值的无形财富。“客户成为数据”既可能成为推动新经济发展的积极因素，也可能成为引发各种不良隐患、并可能伤及电子商务消费者合法权益如隐私权的负面问题。（一）互联网的开放性从网络本身来看。网络是一个自由、开放的世界，它使全球连成一个整体，它一方面使得搜集个人隐私极为方便，另一方面也为非法散布隐私提供了一个大平台。由于互联网的成员的多样和位置的分散，其安全性并不好，由其是对隐私权的保护，因为互联网上的信息传送是通过路由器来传送的，而用户是不可能知道是通过哪些路由进行的，这样有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。即任何一个上网者的任何一个网络隐私数据，都有被窥探的可能。（二）相关法律法规不够健全由于现行的保护公民隐私信息的相关法律法规不健全或滞后于电子商务尤其是网络技术的快速发展，导致一些非法的个人、商家、组织在利益的驱动下，钻法律的漏洞，采取一切技术和手段，搜集、截获、监听、窃取、肆意散步公民的隐私信息。（三）在电子商务的操作过程中缺乏有效的安全措施及规程由于一些电子商务网站或电子商务中心对公民隐私信息的安全保护措施不力、安全操作规程不够健全，如系统漏洞没有得到修补、防火墙系统没有足够的抵御入侵的能力，安全保护形同虚设，致使公民隐私信息被非法窃取。（四）网络中安全保护的研究力度不够，安全技术不强。从技术层面看，因为互联网上的信息传送是通过路由器来传送的，一些非法的人或组织就通过对某个关键节点的扫描跟踪来窃取用户隐私信息；因此网络隐私安全保护技术的研究滞后于网络及其应用技术的发展，造成一些新的安全问题得不到技术解决，致使公民的网络隐私信息得不到安全保障。从利益驱动面看，随着数据仓库、数据挖掘技术的兴起，致使某些集团对个人数据无限制的加工利用，最终导致公民隐私信息的泄露。（五）多数个人保护隐私的意识不够计算机网络是一个自由、开放的世界，它使全球连成一个整体，给人类社会带来了极大方便。但是，网络固有的结构上的开放性特点也为搜集个人隐私、非法散布公民隐私信息提供了一个大平台。因此，在电子商务活动中缺乏足够的安全意识，随心所欲，毫无戒备的不安全操作是导致公民网络隐私信息泄露的主要原因，严重制约着电子商务的快速发展。四、电子商务中的网络安全对策如何预防在电子商务活动中暴露自己的隐私信息。调查显示：在网民中，有50%认为最关键是提高自己的防范意识，29.17%认为关键要安装防火墙和防病毒软件，11.96%认为重要资料不联网是个好办法，还有6.88%认为定期下载安全补丁很重要。而法律界人士认为，要保护电子商务隐私，应加快相关法律和法规的建设。我认为，解决电子商务时代公民隐私信息的安全问题，一要建立和健全相应的法律法规，二要采取安全措施并遵循安全操作规程；三要深入开展网络隐私保护技术研究，四要切实提高公民的网络隐私信息安全意识。其中的第四个方面是重中之重，也是难点。(一)建立和健全相应的法律法规网络隐私虽然属于隐私的范畴,可因为网络的技术性、数据性和虚拟性等原因,一旦遭到侵害,用户个人想追究侵权责任十分困难，而且没有足够的技术作为支持,对侵权人身份的辨识也非常的困难，这时立法对网络隐私遭受侵害只能采取间接保护方式,那么普通的被侵权人想通过法律保护自身权益便相当困难，因此在当今的信息网络时代,单独构建我国的网络隐私权法律保护体系是十分必要和迫切的。以法律方式保护网络中个人的隐私权，如:(1)明定资料收集人的权利与义务，如在何种情况下可以收集个人资料、收集过程中的告知义务、资料使用目的的限制等等；(2)明定资料提供人的权利，如知悉权、自主控制权、修改权、侵害赔偿请求权等；(2)明定救济之途径等等。(二)采取安全措施并遵循安全操作规程在电子商务活动中采取有效的安全操作策略，遵循规范的安全操作规程，对于保护公民隐私信息安全是必须的，实践表明效果良好。具体如下：1.不轻易运行不明真相的程序如果你收到一封带有附件的电子邮件，且附件是扩展名为.EXE一类的文件，这时千万不能贸然运行它，因为这个不明真相的程序，就有可能是一个系统破坏程序。攻击者常把系统破坏程序换一个名字用电子邮件发给你，并带有一些欺骗性主题，骗你说一些：“这是个好东东，你一定要试试”，“帮我测试一下程序”之类的话。你一定要警惕了！对待这些表面上很友好、跟善意的邮件附件，我们应该做的是立即删除这些来历不明的文件。2.屏蔽小甜饼信息小甜饼就是Cookie，它是Web服务器发送到电脑里的数据文件，它记录了诸如用户名、口令和关于用户兴趣取向的信息。实际上，它使你访问同一站点时感到方便，比如，不用重新输入口令。但Cookies收集到的个人信息可能会被一些喜欢搞“恶作剧”的人利用，它可能造成安全隐患，因此，我们可以在浏览器中做一些必要的设置，要求浏览器在接受Cookie之前提醒您，或者干脆拒绝它们。通常来说，Cookie会在浏览器被关闭时自动从计算机中删除，可是，有许多Cookie会一反常态，始终存储在硬盘中收集用户的相关信息，其实这些Cookie就是被设计成能够驻留在我们的计算机上的。随着时间的推移，Cookie信息可能越来越多，当然我们的心境也因此变得越来越不踏实。为了确保万无一失，对待这些已有的Cookie信息应该从硬盘中立即清除，并在浏览器中调整Cookie设置，让浏览器拒绝接受Cookie信息。3.不同的地方用不同的口令对于经常上网的用户，可能会发现在网上需要设置密码的情况有很多。有很多用户图方便记忆，不论在什么地方，都使用同一个口令，殊不知他们已不知不觉地留下了一个安全隐患。因为攻击者一般在破获到用户的一个密码后，会用这个密码去尝试用户每一个需要通道口令的地方。所以强烈建议各位用户，每个不同的地方用不同的密码，同时要把各个对应的密码记下来，以备日后查用。另外，我们在设定密码时，不应该使用字典中可以查到的单词，也不要使用个人的生日，最好是字母、符号和数字混用，多用特殊字符，诸如%、&、#、和$,并且在允许的范围内，越长越好，以保证你的密码不易被人猜中。4.屏蔽ActiveX控件由于ActiveX控件可以被嵌入到HTML页面中，并下载到浏览器端加以执行，因此会给浏览器端造成一定程度的安全威胁。目前已有证据表明，在客户端的浏览器中，如IE中插入某些ActiveX控件，也将直接对服务器端造成意想不到的安全威胁。同时，一些其他技术，如内嵌于IE的VBScript语言，用这种语言生成的客户端可执行的程序模块，也同Java小程序一样，有可能给客户端带来安全性能上的漏洞。此外，还有一些新技术，如ASP(ActiveserverPages)技术，由于用户可以为ASP的输出随意增加客户脚本、ActiveX控件和动态HTML，因此在ASP脚本中同样也都存在着一定的安全隐患。所以，用户如果要保证自己在因特网上的信息绝对安全，可以屏蔽掉这些可能对计算机安全构成威胁的ActiveX控件。5.定期清除缓存、历史记录以及临时文件夹中的内容我们在上网浏览信息时，浏览器会把我们在上网过程中浏览的信息保存在浏览器的相关设置中，这样下次再访问同样信息时可以很快地达到目的地，从而提高了我们的浏览效率。但是浏览器的缓存、历史记录以及临时文件夹中的内容保留了我们太多的上网的记录，这些记录一旦被那些无聊的人得到，他们就有可能从这些记录中寻找到有关个人信息的蛛丝马迹。为了确保个人信息资料的绝对安全，我们应该定期清理缓存、历史记录以及临时文件夹中的内容。6.不随意透露任何个人信息在网上浏览信息时，经常会发现需要用户注册自己个人信息资料的表单。这些站点通过程序设计达到一种不填写表单就不能获取自己需要的信息的目的。面对这种强迫用户注册个人信息的情况，我们最好的办法是不要轻易把自己真实的信息提交给他们，特别是不要向任何人透露你的密码。还有，在使用ICQ、OICQ等网络软件以及注册免费E-mail信息的时候，我们都需要填写一些个人资料。某些资料是必须填写的，自然无法略过。但是对于可填可不填但又涉及自己隐私的资料，还是能免就免，您有权利保持沉默，否则您所说的一切，有可能在网络上被黑客利用。7.突遇莫名其妙的故障时要及时检查系统信息上网过程中，突然觉得计算机工作不对劲时，仿佛感觉有人在遥远的地方遥控你。这时，你必须及时停止手中的工作，立即按Ctrl+Alt+Del复合键来查看一下系统是否运行了什么其他的程序，一旦发现有莫名其妙的程序在运行，你马上停止它，以免对整个计算机系统有更大的威胁。(三)深入开展网络隐私保护技术研究在网络界中有许多可保护隐私的技术，值得参考的有:1.隐私权选择平台方案由全球资讯网联合会(WorldWideWebConsortium，简称W3C)所开发。隐私权选择平台可以提供网络业者一个共通的隐私权保护措施和技术通讯协定，以使经营者在进行使用者个人资料收集的同时，提供使用者在资料收集程序上的选择。P3P技术赋予了使用者是否同意提供个人资料的选择权。一旦使用者与网络经营者一致同意一项个人隐私协定，资料的收集将在一个比较安全的环境下进行，而使用者仍可以随时掌握自己的资料应用情况。2.匿名的使用匿名是保护个人资料免受他人任意取得并加以不法利用的有效方法之一。通过匿名可以防止他人知晓使用者访问过那些网站，发送过那些电子邮。只要使用者没有从事违法活动，这些信息都是“和他人无关”的，但是匿名也带来一系列的问题，如匿名从事商业欺诈行为。因此，需要在匿名的使用与规范之间寻求平衡。匿名只能在一定的限度内允许。3.加密技术的作用加密(Encryption)是由数学公式之运用以保护资讯机密性的过程，是一直到最近才不再只是政府单位的专利。加密技术可以保障个人资料网络中传播时的安全，以防止未经授权者取得或散布个人资料。加密的方式可分为两种:秘密钥匙(secret-key)加密和公开钥匙(public-key)加密。另外还有数位签名，文件加密等技术在不断改进中。目前加密技术尚不普及的原因之一在它的使用比较复杂。必须进一步简化加密技术的使用界面，使一般的消费者感觉到容易使用。4.数字签名数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等安全问题。数字签名采用一种数据交换协议，使得收发数据的双方能够满足两个条件:接受方能够鉴别发送方所宣称的身份；发送方以后不能否认他发送过数据这一事实。数据签名一般采用不对称加密技术，发送方对整个明文进行加密变换，得到一个值，将其作为签名。接收者使用发送者的公开密钥对签名进行解密运算，如其结果为明文，则签名有效，证明对方身份是真实的。5.鉴别鉴别的目的是验明用户或信息的正身。对用户声称的身份进行唯一地识别，以便验证其访问请求、或保证信息来自或到达指定的源和目的。鉴别技术可以验证消息的完整性，有效地对抗冒充、非法访问、重演等威胁。按照鉴别对象的不同，鉴别技术可以分为消息源鉴别和通信双方相互鉴别；按照鉴别内容的不同，鉴别技术可以分为用户身份鉴别和消息内容鉴别。鉴别的方法很多:利用鉴别码验证消息的完整性；利用通行字、密钥、访问控制机制等鉴别用户身份，防治冒充、非法访问；当今最佳的鉴别方法是数字签名。利用单方数字签名，可实现消息源鉴别，访问身份鉴别、消息完整性鉴别。利用收发双方数字签名，可同时实现收发双方身份鉴别、消息完整性鉴别。6.访问控制访问控制的目的是防止非法访问。访问控制是采取各种措施保证系统资源不被非法访问和使用。一般采用基于资源的集中式控制、基于源和目的地址的过滤管理、以及网络签证技术等技术来实现。(四)提高公民的网络隐私信息安全意识在电子商务活动中保护隐私信息的安全，最有效与最直接的保护效果，则是教育网络使用者能注重个人隐私的保护，养成良好的安全意识和安全操作习惯，这比技术上的安全实现更为重要。实例分析表明，很多隐私信息的泄露都是在“不知不觉”之中造成，公民担心的网络安全问题，多数都还是因为自身的安全防范意