電子商務中的個人隱私保護問題及技術研究

肖自碧,楊 波

(武漢科技大學理學院,湖北武漢430081)

電子商務中的個人隱私保護問題及技術研究

肖自碧,楊 波

(武漢科技大學理學院,湖北武漢430081)

安全是當前全球電子商務環境中至關重要的需求,是未來電子商務成功與否的關鍵因素。在電子商務過程中如何保護個人隱私是亟待解決的問題。目前,可采用的隱私保護措施主要有行業自律、政府立法、提高消費者的防范意識以及利用各種安全技術。

電子商務安全;隱私保護;安全技術

Internet的飛速發展,帶動了電子商務的迅猛發展。電子商務作為新興的商務模式,給人們帶來方便、快捷、廉價、高效的商務活動,是未來商務發展的一個必然趨勢。然而,由于Internet的開放性和其他各種因素的影響,網絡的強大功能在給人們帶來便利的同時,也使得用戶的大量個人信息在未經許可的情況下被收集和利用。在網絡傳播中,個人隱私權受到了嚴重的挑戰。調查表明消費者對電子商務的安全擔憂造成零售商的巨大損失,而消費者不接受網上購物的主要原因是擔心通過網絡會泄露個人隱私數據。因此,如何保護網上個人隱私信息安全是電子商務成功與否的關鍵因素。

一、隱私保護問題

美國互聯網犯罪投訴中心(IC3)的統計數據表明消費者的安全擔憂主要有:拍賣欺騙、商品未交付、信用卡欺騙、計算機入侵、垃圾郵件等網絡犯罪。除此之外,消費者還擔心個人信息的安全。造成用戶隱私受到威脅的原因很多,其中Internet的結構特性和各種網絡技術成為網絡隱私泄露的主要原因。

Internet的開放與共享,為人們搜集個人隱私、非法散布隱私提供了平臺。在電子商務市場中,為了有效實施數據開發、一對一營銷、客戶關系管理和個性化服務等發展策略,電子商務企業不得不要求用戶注冊并且提供相關個人信息,包括身份、年齡、出生年月、身份證號、收入、職業、個人愛好、電話號碼、電子郵件地址、上網卡號、認證密碼等。這些信息可能在未經消費者允許的情況下被收集和保存。由于消費者不知道網站會如何處理他們的這些個人信息,因此會引發消費者對于身份可能被盜用和隱私權可能受到侵犯的憂慮。最可怕的隱私威脅是用戶信息可能被商家非法利用,如:故意傳播、泄漏、擅自篡改個人信息或出售給第三方。消費者身份信息被盜用可能導致信用卡失竊等后果。

造成電子商務隱私信息泄露的原因還有Cookies和網站bugs。Cookies是一種由服務器創建并存儲在客戶端的數據結構,記錄了用戶賬戶、密碼信息、訪問的網頁、訪問時間等信息。利用Cookies可以跟蹤每個上網者在網絡上的各種活動,如所瀏覽過的網頁和商品。Cookies通常是以隱蔽的方式接入用戶的行為,用戶的信息被讀走了,他根本感覺不到。網站bugs是第三方站點為了解用戶的行為而在網頁中嵌入的無法看見的小圖像,多為1個像素大小。訪問該網頁的用戶在毫無知覺的情況下就會受到監視,用戶的IP地址、域名、所屬組織等詳細信息,以及瀏覽的內容、購物習慣、收發電子郵件的行為等都可能被第三方掌握。

二、保護隱私的手段

1.行業自律和法律保障

政府立法是加強在線隱私保護的極其必要和有效的手段。通過法律的具體規定對電子商務企業在網上搜集用戶數據和隱私的行為提出一定的限制,使其在網上搜集用戶隱私材料的行為更規范,相對于用戶來講更透明,對網上貿易涉及的敏感性資料和個人數據給予法律保護。

但是網絡信息空間廣、容量大、傳輸快,單純依靠政府通過立法或司法監督來切實保護網上隱私權不大可能。因此,很多網絡業發達的國家在加強立法的同時鼓勵行業自律,依照法律和行業慣例制定個人資料使用政策和隱私權保護政策。例如,在行業內部組建獨立的非營利性的組織,對申請認證的網絡運營商的隱私政策和實施情況進行調查,凡是符合隱私行業指引的網絡運營商可以通過認證,并可以在其網站或網頁上張貼認證標志;網絡運營商在網站的醒目位置設置隱私政策聲明欄目,發布隱私政策聲明以表明對用戶隱私權的充分重視。這既有利于提高網絡運營商的商業信譽,也可以增添用戶使用互聯網的信心,掃除消費商對個人隱私保護的憂慮。從促進電子商務產業發展的角度來說,行業自律是隱私保護模式的首選。

2.提高消費者防范意識

消費者上網時應隨時注意,不向網站泄露自己的真實情況,不把重要的信息存放在電腦中,不隨便使用網上下載的軟件,養成良好的瀏覽習慣,定期清除歷史記錄,訪問完網站之后通過瀏覽器的Internet選項,刪除過時的Cookies文件。對于部分被保存在內存中的Cookies,可借助注冊表編輯器來修改系統設置,使得關閉IE瀏覽器時自動把Cookies文件刪除。消費者還可以安裝Cookies管理工具,如Limit Software公司的Cookie Crusher,有效地防止Cookies泄露隱私。Web Bugs是一種比Cookies更厲害的網絡跟蹤方式,使用IDcide公司制作的軟件IDcide Privacy Companion,能避免被Web Bugs追蹤,從而避免個人資料泄密,保護消費者的隱私。

3.主要技術手段

保護個人隱私的技術方法通常分為兩類,一類是通過匿名通信信道,另一類是在在線交易中盡量減少提交給電子商務網站的個人信息。

(1)P3P。P3P(Platform for Privacy Preferences)是萬維網聯盟(W3C)公布的隱私保護推薦標準,旨在為網上沖浪的用戶提供個人信息保護,減輕消費者因網站收集個人信息所引發的對于隱私權可能受到侵犯的憂慮,使消費者和企業用戶能夠對電子商務的應用樹立起更多的信心。P3P向用戶提供了保護個人隱私信息的可操作性,用戶在P3P提供的個人隱私保護策略下,能夠清楚地明白網站對自己的隱私信息做何種處理。

P3P的工作過程如下:用戶將他的個人隱私偏好設定在P3P軟件的選項中,可設定為當任何網站收集或販賣個人網上信息的時候禁止進入該站點或者提醒用戶。一旦設定,該軟件將同用戶的瀏覽器程序一同運行,每一個受訪的站點都會發送某種形式的機器語言的提議到用戶的電腦中。如果該站點的信息收集行為同P3P中設定的標準相符,則關于隱私的協定就可以自動的締結,而用戶亦可毫無阻礙地瀏覽該站點。但是如果不符,用戶必須迅速地決定是否進入該網站,這通常會以對話框的形式出現,以便于消費者做出選擇。

(2)密碼技術。電子商務建立在開放的網絡環境中,利用密碼技術不僅可以保證通信及存儲數據的安全,還可以有效地用于報文認證、數字簽名等,使脆弱的網絡變得相對安全。

通過對在公開網絡上傳輸的交易信息進行加密處理,能預防信息在傳輸過程中被非法竊取。通過數字摘要和數字簽名等密碼技術可以直接滿足身份認證、信息完整性、不可否認和不可修改等多項網上交易的安全需求,從而較好地避免了網上交易面臨的假冒、篡改、抵賴、偽造等種種威脅。

(3)密碼協議。安全套接層SSL(Secure Sockets Layer)協議是1994年網景公司為其產品Netscape Navigator設計的數據傳輸安全標準,主要是在因特網環境下為交易雙方在交易的過程中提供最基本的點對點通信安全協議,以避免交易信息在通信的過程中被攔截、竊取、偽造及破壞。也就是說,該協議僅是為因特網環境下的通信雙方提供的安全通信協議,而不是一個完整的安全交易協議。SSL定位于傳輸層與應用層之間,因此可以很好地封裝應用層數據,不用改變位于應用層的應用程序,對用戶是透明的。當SSL客戶和服務器首次開始通信時,通過一次“握手”過程,就協議版本、加密算法的選擇、是否驗證對方及公鑰加密技術的應用進行協商,從而產生共享的秘密,建立客戶和服務器之間的一條安全通信通道,保證傳輸數據的安全。SSL被廣泛應用于保護消費者傳輸的消息,如信用卡號等敏感數據。

(4)安全電子支付協議。安全電子交易SET (Secure Electronic Transaction)協議,是美國Visa和MasterCard兩大信用卡組織聯合其他一些業界廠商制定的,能保證在開放網絡(包括Internet)上進行安全支付的技術標準。SET主要針對開放網絡環境下用戶、商家和銀行之間通過信用卡支付的交易,確保支付信息的保密性、支付過程的完整性、商家及持卡人身份的合法性以及可操作性。

(5)VPN。虛擬專用網VPN(Virtual Private Network)是以身份認證、數據加密和密鑰交換技術為基礎,在開放的公共網絡上建立安全專用隧道的網絡。它通過對網絡數據的封裝和加密傳輸,依靠網絡服務提供者(ISP)和其他網絡服務提供者(NSP),在不安全、不可信任的公共互聯網絡上建立一個臨時的、安全的連接,實現在公網上傳輸私有數據,卻能給用戶提供一種私人專用的效果,達到私有網絡的安全級別。VPN通常是對企業內部網的擴展,通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商與公司的內部網建立可信的安全連接,并保證數據的安全傳輸。

(6)PKI。PKI是在公鑰密碼理論和技術的基礎上發展起來的一種綜合性安全平臺,能夠透明地為所有的網絡應用提供加密和數字簽名等密碼服務所必需的密鑰和證書管理,從而保證網上傳遞信息的安全、真實、完整和不可抵賴性。利用PKI可以方便地建立和維護一個可信的網絡環境,使人們在這個無法直接相互面對的環境里,能夠確認彼此的身份和所交換的信息,從而安全地從事商務活動。PKI包括證書機構CA、注冊機構RA,證書目錄和管理系統。CA通過對一個包含身份信息和相應公鑰的數據結構進行數字簽名來捆綁用戶的公鑰和身份,這個數據結構稱為公鑰證書。

三、結論

隱私方面的擔憂讓消費者對上網感到顧慮重重,網絡隱私問題成為制約電子商務發展的最大障礙。如果在線個人隱私能夠真正得到切實有效的保護,則有望使更多的消費者對基于Internet的電子商務充滿信心并參與其中,從而為電子商務的長遠發展奠定基石。能夠為消費者帶來充足安全感的理想的隱私保護解決方法是將各種方法組合起來,包括立法保護、行業自律、消費者自我保護、以及各種技術手段。將以上方法整合在一起將為消費者帶來他們所期望的高級別的隱私保障。

[1]Kraft,TA and R Kakar.E-Commerce Security[C].Proceedingsof the Conference on Information Systems Applied Research,2009: 3364.

[2]畢婭,胡勝紅.淺探電子商務中個人隱私安全及P3P技術[J].計算機安全,2003(6):54-55.

[3]管有慶,王曉軍,董小燕.電子商務安全技術[M].北京郵電大學出版社,2005.

責任編輯:周小梅

F713.36

A

1009-1890(2010)03-0010-03

2010-08-13

肖自碧(1974-),女,漢族,湖北武漢人,武漢科技大學理學院講師,碩士,主要研究方向:信息安全。