個性化信息服務中個人信息的安全保護

孫掌印

（南京鐵道職業技術學院蘇州校區圖書館，江蘇 蘇州 2 15137）

信息時代不同的用戶對信息的需求是千差萬別的，信息服務者應當依據用戶個性特征，主動收集用戶可能感興趣的信息，甚至預測用戶可能的發展，最后以個性化方式推送給用戶，更好地為用戶提供服務。然而，用戶要獲得個性化的信息，就必須讓信息服務者了解自己想要什么，這就需要用戶提供個人信息。在用戶提供個人信息過程中，自己的隱私也同時傳送給了信息服務提供者，由此產生了各種用戶信息安全問題。

1 個性化服務中個人信息交互模式分析

在個性化信息服務中，用戶個人與信息提供者之間需要進行交互，信息服務者與用戶之間的交互過程如圖1[1]。

①信息用戶與讀者個性化信息需求模式進行交互，用戶將自己的需求告訴信息服務者。

②通過交互之后，形成個人信息庫，信息庫里存有用戶的各種信息。

③外部數據信息庫主要由服務部門的信息資料庫形成，用于為用戶提供信息資料。

④用戶個人信息庫和外部數據信息庫在選擇合適的個性化服務方式的作用下，為用戶提供個性化的信息服務。

⑤同時用戶在選擇信息服務的過程中，將用戶反饋的信息需求形成新的用戶資料庫。

2 個性化服務中個人信息的獲取方式

2.1 注冊用戶主動提供的信息

用戶要獲取網絡信息服務機構的個性化信息服務，第一步就是要注冊，通過注冊，信息服務部門可以掌握用戶的性別、年齡、身份、職業、收入、喜好等個人資料，這是判斷用戶個性化需求的基礎，而用戶對信息的使用、對服務的申請以及所有的消費行為更是構成其個性化需求的重要依據。通過對用戶個人信息的分析，即利用系統記錄的用戶個人資料及行為記錄信息，對用戶進行研究和分析，為每個用戶建立行為模型并在不斷的應用中加以修正：系統提供個性化服務，為用戶提供更加具有主動性和針對性的各種服務；并通過了解用戶對服務的認識和使用程度，以發展重點服務和發掘潛在服務。

2.2 利用計算機技術對所需信息資源的分析來獲取用戶的個人信息

對于很多匿名的訪問者，網站將他們的信息用于統計，來分析多少用戶使用了網站的服務，通過此種方式改善對用戶的服務。網站會通過分析，將他們可能會感興趣的其他服務或產品信息告知用戶，同時通過cookie的使用來記錄匿名訪問者在哪些網頁停留過、訪問過，以確定用戶的個人身份信息，結合個人用戶信息庫來確定信息用戶，目的在于使用戶獲得更好的服務，在用戶登錄網站時可以自動識別用戶；在信息服務機構上做廣告的廣告商也會用cookie或其他小程序在匿名訪問的基礎上收集用戶點擊廣告的信息。

3 個性化服務中個人信息的安全問題

目前，對于網絡信息安全尚沒有統一的概念。一般認為，個人信息權是自然人出于使其個人信息不被他人非法知悉、收集、公開、利用而對這些信息開展保護與控制的法律狀況[2]。個人信息安全的內容隨著時代的發展不斷得到豐富，當代信息安全可以分成4種類型：一是個人資料安全，指對收集和處理個人資料或信息行為進行控制的權利；二是通訊資料安全，指郵件、電話、電子信箱和其他形式中的安全與隱私；三是個人身體信息，指保護個人的身體不受任何形式的不法侵犯，如非法醫療測試和非法搜查人身；四是領域信息安全，指對侵入家庭或其他生活、工作領域的行為進行限制所產生的隱私權利。

3.1 在用戶需求數據收集階段，強制性收集用戶的個人信息

很多信息服務機構在提供個性化信息服務之前，通過對服務資源的壟斷，強制要求用戶必須對自己的個人信息進行詳細注冊，如果不注冊就不給用戶提供信息服務。在提供信息服務的過程中通過客戶端或服務器端收集用戶信息，如果沒有事先征得用戶的同意，就對用戶的個人信息造成侵犯。

3.2 在用戶需求數據分析階段，系統分析的誤差

數據分析如果不能準確反映用戶的真實需求，特別是發生“張冠李戴”的情況，就對用戶的安寧造成干擾，據個性化信息服務接受程度的不完全調查統計表明，一半以上的用戶都認為垃圾郵件、個人信息泄露及將個人信息提供給第三方等問題是他們不愿意向信息服務者提供個人信息的主要原因，歸根到底，用戶還是認為這些做法侵犯了他們的個人隱私[3]。

3.3 在用戶需求數據使用過程中，保密措施不強就會造成用戶信息泄露、盜用等侵權行為

2009年3月15日，中國消費者網發布了一條消息，中國移動對其手機用戶信息進行出賣，造成了大量消費者權利受到侵害。現在只要是任何一個擁有手機的人，想必對“垃圾信息”的騷擾都不陌生。還有一些個人信息是在利用互聯網、手機進行電子交易過程中被竊取。而造成這些信息泄露的都是一些信息服務部門，這給用戶的日常生活帶來了一定影響。

4 保護個人信息安全的建議

4.1 國家立法支持個人信息的保護

由于缺乏法律保護，生活中個人信息泄露和濫用問題日趨嚴重，我國有九成公民擔心個人信息被泄露和利用。現今世界各國都制定了信息網絡化服務中保護個人信息安全的辦法，試圖從法律途徑對網站侵犯用戶隱私予以約束[5]。1998年10月，加拿大政府制定了《個人信息保護和電子文件法案》，該法案的主旨是在網絡信息的收集、整理和傳輸領域內，針對企業或機構收集、使用或披露個人信息，賦予加拿大公民對個人信息安全保護的權利。2000年4月，加拿大政府又通過了旨在保護電子商務的個人隱私法，要求電子商務網站在將用戶的個人信息提供給第三方時，必須獲得本人的明確同意。2000年4月，美國第一部網絡個人信息保護法《兒童在線保護法》正式生效，該法規定，網站在收集13歲以下兒童的個人信息前必須得到其父母的同意，并允許家長保留將來阻止其使用的權利，還必須說明所要收集的內容及將如何處理這些信息。1995年10月，歐盟通過的《個人數據保護指令》幾乎包括了所有關于個人信息處理方面的規定，根據該指令，信息收集者具有保證信息的品質、信息處理合法、敏感信息的禁止處理與告知信息所有者等義務。1996年9月，歐盟理事會通過了《電子通訊數據保護指令》，它是對《個人數據保護指令》的補充和特別條款，其中特別包括了隱私權的配合條款。1998年10月，歐盟制定的有關電子商務的《私有數據保密法》開始生效，其內容涉及到輸入網站、存儲于網站服務器上以及網上傳輸的私有數據的保護問題。1999年，歐盟委員會先后制定了《因特網上個人隱私權保護的一般原則》、《關于因特網上軟件、硬件進行的不可見的和自動化的個人數據處理的建議》、《信息高速公路上個人數據收集、處理過程中個人權利保護指南》等相關法規，為用戶和網絡服務提供商提供了清晰可見的個人信息安全保護原則[6]。我國政府也越來越意識到保護個人信息安全的重要性，已有很多人大代表建議為保護個人信息安全，保護個人隱私，治理目前個人信息被隨意泄漏的混亂狀況，要盡快制定并出臺《個人信息保護法》，明確國家法律保護的個人信息數據資料范圍、內容，明確掌握公民個人資料機構的責任義務，規定個人信息的采集、使用、公開、查詢條件和使用限制。同時，強化各種侵害個人信息行為的法律責任[7]。公安和司法部門要加大打擊力度，對泄漏個人信息造成嚴重后果的，要追究相關責任人的刑事責任。

4.2 機構自律保護用戶個人信息安全

網絡信息服務機構收集個人資料目的是通過對個人資料的分析與挖掘，更好地為信息用戶提供個性化的信息服務[7]。如果信息服務機構以松懈的態度對待個人信息的保護，濫用用戶的信任，就將面對可能的法律懲罰和絕對的用戶忠誠度的喪失；如果以嚴謹的態度對待隱私保護，放棄利用用戶信息來提供更好的個性化信息服務，就將失去競爭優勢和一部分愿意用用戶信息換取個性化服務的用戶。這就需要信息服務機構加強自律，信息服務網站收集個人資料應遵循“告知原則”。在信息用戶注冊過程中應告知用戶所注冊信息的安全性，并經過信息用戶的個人許可，采取非強制手段對信息用戶的個人信息進行收集。與此同時我們要對數據庫的訪問設定權限，只能讓少數的管理員擁有查看讀者信息的權利，把責任明確到個人。加強個人素質教育，提高管理員的思想道德水平，建立相關的規章制度，制訂較為詳細的讀者資料保密策略，承諾讀者個人信息不會被濫用，讀者的任何資料都不會被泄露。

4.3 采用先進的信息技術保護個人的信息安全

網絡信息服務機構的很多個人信息泄露有時是由于黑客等機構外部人員獲取和網絡傳輸過程中的問題造成的，這就需要我們通過各種計算機軟硬件技術來保障信息用戶的個人信息安全，在硬件上主要通過安裝防病毒卡、還原卡等硬件設施進行保護；在軟件上可以通過cookie軟件管理工具、個人隱私偏好平臺、加密軟件、自動刪除個人資料軟件等由用戶自己保護個人資料的技術。信息服務機構為了禁止未經授權的人截取或查閱個人資料，可以通過設置本網站運行的服務器，自動使電子郵件傳輸到一個預先指定的服務器目錄機密郵箱，只供獲得授權的人查閱。網絡信息服務的安全問題包括保密、身份認證、不可否認、完整性、安全規劃、風險管理、應急計劃、安全教育培訓、安全系統的評估、安全認證、安全通過等多方面的內容[8]。①數據加密：它作為網絡安全的基礎是指利用一定的加密算法將敏感數據加密后在網絡上傳輸，用戶解讀這些數據之前，再用相應的解密算法對數據進行解密，這樣就可以避免數據在傳輸過程中被非法竊取，從而可以保證個人信息的安全。②訪問控制：訪問控制技術是控制信息安全最常用的手段，它允許用戶對其常用的數據信息庫進行適當權利的訪問，限制其隨意刪除、修改或拷貝數據信息文件[9]，目前最常見的訪問控制技術的應用就是防火墻。防火墻技術是一種允許接入外部網絡，但同時又能識別和抵抗非授權訪問的網絡安全技術。③身份認證：認證技術采用可信的第三方，密匙分配中心保存與所有密匙持有者通信的主密匙，每次認證都要通過密匙分配中心認證。認證技術中有一次性口令、數字憑證、數字簽名等。數字簽名就像個人信用卡，由認證機構發放管理。一個數字簽名包括持有者名字、密匙、發行者的數字簽名等信息。數字簽名既是一種身份認證手段，也是一種反抵賴手段。④信息確認技術：它通過嚴格限定信息的共享范圍來達到防止個人信息被非法偽造、篡改。⑤檔案信息安全協議：整個網絡系統的安全強度實際上取決于所使用的個人信息安全協議的安全性。

5 結束語

現代社會的飛速發展要求信息機構提高服務質量，這就需要信息服務機構按照信息用戶的個人需求提供服務信息，但是信息服務機構服務質量的提高和個人信息的安全是兩個矛盾的共合體，這就需要信息服務機構在提高信息服務質量的同時采取各種有效的措施來提高個人信息的安全性，在個人信息安全性和個性化信息服務質量之間達到平衡。現代化網絡社會的信息冗余需要個性化的信息服務，但是個性化的信息服務更需要保護個人信息的安全。只有在保障個人信息安全的基礎上提高個性化的信息服務質量，才能使廣大的信息服務機構更好地發展。

[1] 陳鳳巖，宋穎.高校圖書館個性化信息服務的對策研究[J].情報雜志，2008（6）.

[2] 王茹.圖書館個性化信息服務體系構建研究[J].情報雜志，2005（3）.

[3] 唐振宇，陳鳳巖，馮玉強.基于個性化信息服務的大學圖書館信息資源整合[J].情報科學，2007（4）.

[4] 馬榮貴．論電子商務中消費者隱私權的保護[J]．圖書情報知識，2002（4）：58-60．

[5] 王維玉.信息服務及信息安全[J].信息技術，2002（11）.

[6] 楊福平.網絡環境下的檔案信息.安全應對方法的思考[J].檔案與建設，2005（5）.

[7] 劉維榮.檔案信息網絡化服務隱私保護在歐美[J].湖北檔案，2002（12）.

[8] 劉穎.論個性化信息服務中的隱私保護[J].情報科學，2007（12）.

[9] 楊福平.網絡環境下的檔案信息安全應對方法的思考[J].檔案與建設，2009（5）.