社會網絡應用中數據遷移的隱私風險模式研究

〔摘 要〕由于在社會網絡應用程序站點上自愿添加個人身份信息的人數不斷增加，站點服務商可以從中獲益，但是同時數據誤用的風險會威脅個人用戶的隱私信息以及服務商的商業模式。本文根據最近的調查，分析了開發隱私保護社會網絡應用的主要需求，在此基礎上提出了隱私風險模式，以增強數據或社會網絡遷移過程中的信息隱私保護。通過確定與個人身份信息遷移過程中重要的問題設計出了該隱私風險模式。

〔關鍵詞〕隱私；社會網絡應用；數據遷移；社會網絡遷移

ＤＯＩ：１０．３９６９／ｊ．ｉｓｓｎ．１００８－０８２１．２０．０１．００６

〔中圖分類號〕Ｇ２５０.７ 〔文獻標識碼〕Ａ 〔文章編號〕１００８－０８２１（２０）０１－００２４－０５

The Research of Privacy Threat Model for Data

Portability in Social Network ApplicationsMa Zhenping１，２

（１．School of Continuting Education，Central University of Finance and Economics，Beijing 100081，China；

２．School of Information，Central University of Finance and Economics，Beijing 100081，China）

〔Ａｂｓｔｒａｃｔ〕Social network application providers benefit from the increasing amount of personally identifiable information willingly displayed on their sites，at the same time，risks of data misuse threaten the information privacy of individual users as well as the providers business model.From recent research，this paper reported the major requirements for developing privacy-preserving social network applications and proposed a privacy threat model that can be used to enhance the information privacy in data or social network portability initiatives by determining the issues at stake related to the processing of personally identifiable information.

〔Ｋｅｙｗｏｒｄｓ〕privacy;social network applications;data portability;social network portability

隱私問題已經以各種形式和主題被律師、哲學家、社會學家、心理學家、經濟學者、技術人員和其他相關人員討論了超過100年。1980年Harvard Law Review主張，隱私權的定義是“不受干擾的權利（the right to be let alone）”，該定義為今天現有的大多數隱私法指定了方向。1967年Alan Westin對隱私的定義是“被要求提供信息的個人、團體或者機構自己決定與其他人交流的時間、方式和信息范圍”，該定義給隱私概念和構成中添加了個人自己決定，這是隱私法的基礎（例如EU Directive）。40年后，隨著參與式Web和社會網絡應用程序（Social Network Application，SNA）的出現，個人自我決定再一次成為Web應用中增強隱私的手段。最新統計表明，MySpace和Facebook的注冊用戶數都超過2億，開心網的注冊用戶數也已經超過4 000萬(2009年8月初數據)。

網絡上社會網絡應用程序中用戶提供的大量個人身份信息（PII）已經引起了隱私保護提倡者的關注。此外，社會網絡應用中越來越多的隱私濫用現象廣泛存在，比如不必要的信息披露、信息失真、不文明信息、身份盜用、網霸行為或者聲譽損毀。因此需要嚴格控制隱私，使個人用戶不會因為自己注冊信息而遭受損害。同時，SAN是使用頂級技術建立的，這種技術還沒有多少內部控制方法。構建網絡最初目的是在一組相互信任的人之間進行開放式交流，而相互信任的人之間不存在隱私問題。

本文指出了SNA技術的復雜性和數據概念、社會網絡遷移，以及社會網絡遷移的相關隱私風險。然后提出社會網絡應用中數據遷移的隱私風險模式。該模式可用于增強數據或者社會網絡遷移過程中的信息隱私，具體方法是確定與個人身份信息處理過程相關的重要問題。

１ 社會網絡應用中隱私保護的需求分析

網絡上SNA使用的不斷增加使很多隱私保護提倡者感到迷惑。個人身份數據必定是任何隱私增強技術需要保護的核心，如今這些數據是由社會網絡站點上的用戶自愿提供的，這些數據必須經過加密、隱藏或者匿名(Kolbitsch Maurer，2006)。但是，最近關于在線社區的隱私研究顯示大部分用戶沒有意識到隱私侵害活動的具體風險，并且不清楚他們的在線個人檔案和PII中有多少信息是可見的并且是顯示給其他人的(Acquisti Gross，2006)。很多事實也顯示用戶總是聲稱他們很重視自己的隱私，接著就泄露有關自己的PII數據，這種做法和他們關心自己的隱私相矛盾(Flinn Lumsden，2005)。Acquisti and Grossklags(2004)已經詳細說明隱私態度和行為的矛盾，推論出個人處理敏感隱私信息時，既不能計算出風險的概率和數量，也不能察覺到長遠的風險和損失。

有趣的是，當詢問隱私保護的有效解決方案時，大多數網絡中推薦使用的隱私保護解決方案與SAN中推薦使用的隱私保護解決方案完全不同。首先，傳統隱私增強技術（privacy-enhancing technologies，PET）優先考慮使用假名、匿名技術和數據訪問權限管理。對于社會網絡應用程序，可能的解決方法集中于透明、自動接受功能和主動通信技術，其中主動通信技術能構建察覺潛在風險的警告功能。

分析社會網絡中隱私保護需求的框架由Preibusch等于2007年提出。但是他們的研究集中于從數據保護意義上進行隱私保護，也就是數據訪問和數據處理方面的限制，沒有關于數據透明度和控制機制的研發。在應用程序開發階段隱私設計變得更加重要。由于需要數據更加透明、更加結構化以及個人用戶更加可控，所以對于開發者和服務商來說就可能有更大的挑戰。大部分人對服務商用目前的工具和程序從技術上控制用戶的所有PII沒有信心。

由于從SNA程序提取數據用到其他應用程序的實際狀況越來越多，所以就需要增加一個維度來表示隱私信息的潛在風險。復雜的活動（比如注冊大量新社會網絡服務、輸入個人資料信息的重復性工作和在這些站點中添加朋友）已經導致用戶產生了社會網絡疲勞問題。由于用戶需要在各種應用程序和社會網絡中一遍又一遍地輸入同樣的信息，這給社會網路用戶造成了沉重的負擔，所以形成了集成更多的應用程序和社會網絡的需求。此外，SNA服務商不得不面對新的商業模式，在該模式中服務商們可以利用組合數據并從組合數據中獲得商業價值。

數據遷移的缺點是逐漸增加的復雜性和不能控制涉及PII的數據流程。OpenSocial和Data Portability Workgroup等已經將隱私問題放在了議事日程上，但是集中于提供簡單的隱私設置功能，該功能不能有效防護潛在的隱私風險。

Facebook的首席隱私官Chris Kelly在2008年接受IDG News Service采訪時說，伴隨數據遷移產生的問題開始越來越多，因為有各種隱私和安全困擾與數據遷移有關，如果能找到進入網絡的一個點的話，一大群網絡系統外的人很愿意嘗試挖掘其他人的個人信息，比如試圖導出盡可能多的數據。即使是與許多第三方應用程序連接的Facebook系統本身也被發現存在嚴重的隱私風險。例如，弗吉尼亞大學最近分析了150個頂級Facebook應用程序，確認其中90%的應用程序獲取過他們無權訪問的私人用戶數據（Felt Evans，2007）。

當問及哪種技術被認為是網絡用戶隱私信息保護的最大挑戰，大部分人首先想到的是應用程序的“mashing up”，以及使用不成熟且脆弱的技術組合底層數據。此外還缺少可解釋的數據管理系統和可審計的流程。

即使沒有最近的社會網路數據遷移發生，社會網絡中的信息也已被數據挖掘和屏幕抓取應用程序使用，這些應用程序能自動推斷現實世界的關系并且發現、標注和分類群體和個人（Adamic Adar，2003）。Adamic和Adar強調可遷移和導出到其他應用程序環境的數據越多，信息的副作用越可能發生。他們把這些信息副作用描述為數據的副產品——“用于一個用途的數據能被挖掘用于另一個用途，目的是為了理解有點離題并且范圍可能更大的問題”。

保護SNA用戶信息隱私的另一個問題是，大多數增加到SNA中的mash-up應用程序是用開源軟件開發的，因此沒有清晰的隱私設計原則和已定義的隱私需求。在沒有設置隱私配置標準的應用程序環境中如何實現更加透明化、結構化和可控制的需求，以及在這樣的應用程序中沒有清楚地明確誰有權訪問，以及訪問哪部分數據，以上這些都是未解決的問題。

Google宣布在他們的OpenSocial中將采用friend-of-a-friend（FOAF）和XHTML Friends Network（XFN）標準，使開發者有權訪問他們渴望獲得的社會網絡圖表（朋友關系地圖）和相關數據（Techcrunch，2008）。這將允許開發者以及第三方服務商隨意使用PII，并且在他們的應用程序中整合PII。但是起碼，Google在基本的數據遷移過程中使用了已知的標準。Facebook等其他服務商僅僅通過把所有責任轉移給用戶自己的方式來解決這個問題。Facebook目前的隱私策略是和應用程序開發者簽訂合同達成協議，合同中規定應用程序開發者必須保證尊重用戶的隱私設置，但是同時Facebook聲明他們不擔保所有開發者將遵守該協議。

為了理解在前面介紹的環境中生成數據中涉及的信息隱私含義，以及SNA中具體的PII遷移的信息隱私含義，本文根據如下3個假設提出了隱私風險模式：①信息隱私需要被控制在數據（PII）級；②用戶必須能確定所提供的PII的敏感度和環境；③如果用戶能用個人隱私參數標記所提供的PII，隱私保護數據遷移才能起作用。

該隱私風險模式描述了對應于各種類型的PII，用戶可設置的隱私參數，如圖１所示。其中，實線箭頭表示用戶的控制，通過用特殊屬性標記應用程序中的PII來設置一個參數。相反，虛線箭頭表示不存在用戶甚至應用程序服務商的完全控制，圖１中用小方塊表示一個mash-up應用程序。也許存在一種情形，由一個應用程序開發者提供和開發一個mash-up應用程序集。圖１ 設置隱私參數選項

用戶可以設置的隱私參數選項如下所示：

①用戶的PII敏感度級別（例如，“婚姻狀況”也許對某些用戶非常敏感，然而對一些正在找男女朋友的人來說對“婚姻狀況”根本不敏感）。

②期望使用PII的環境（例如，只在提供注冊私人服務的環境中，比如音樂會入場券提示服務而不是商業網絡環境，使用“流行音樂粉絲”群組關系）。

③PII需要被處理的特殊用途（例如，收集出生日期只是為了身份確認而不是為了在SNA個人資料中展示，除非經過授權）。

④特定類型的PII的過期時間（例如，重新確認與特定朋友的關系或者特定時間段后的聯系）。

⑤為具體的個人和群組設置PII訪問和查看權限（例如，允許用戶的SNA網絡上的所有成員查看“婚姻狀況”和“出生日期”，但不允許“流行音樂粉絲”群組聯盟查看）。

圖１中，用戶的數據可以在應用程序X和應用程序Y之間遷移。一些數據處理發生在應用程序X和一些mash-up應用程序之間。那些數據交換關系中的一些是被應用程序控制的（實線箭頭表示的），另外一些不受應用程序的控制（虛線箭頭表示的）。但是即使應用程序X控制所有數據流，一旦數據導出到應用程序Y就會立刻產生新數據流，在這個過程不存在控制系統。這個例子中雖然應用程序Z好像不能實現和其他應用程序的數據遷移，但是一些第三方mash-up應用程序也許能夠通過數據挖掘或者屏幕抓取技術訪問用戶的PII。

為了強調在這種數據遷移情形中存在的潛在固有風險，本文提出了隱私風險模式，試圖構想最重要的隱私保護需求，使其成為任何數據遷移項目的組成部分。

３ 社會網絡遷移的隱私風險模式

無論用戶是否提供了PII給其他人，個人的隱私都存在潛在威脅。即使像隱居者一樣生活，與網絡和電話沒有連接，個人隱私也存在潛在的威脅。比如，其他人會因為某些原因侵入隱居者的生活空間。為了保護隱居者的隱私，認識到構成入侵隱居者隱私的因素（他自己的隱私偏好）是很重要的。有多大可能是其他人無意中發現這個隱居者的空間，甚至都沒有察覺到它的存在（公眾可達性），以及隱居者為自己建立了什么程度的自我防護（自我控制）機制。當然這個例子與社會網絡遷移比起來是微不足道的，但是它給我們評估風險提供了基礎。

為了讓隱私保護機制在社會網絡應用程序中發揮有效的作用，隱私保護機制中涉及到的所有成員（其中最重要的是應用程序開發者）都需要理解已存在的潛在風險。那些風險不僅威脅個人用戶和相關的PII，而且也威脅社會網絡應用服務商的商業模式。社會網絡站點中的隱私風險種類和嚴重性已經于2007年在Weiss學術文獻中進行了說明，該文獻尤其解釋了社會網絡應用程序的開放性本質。

隱私風險應該包括三維：個人隱私參數、公眾訪問方便性、用戶控制PII的程度。

３.１ 個人隱私參數

處理信息隱私時能想到的最顯而易見的方面就是設置隱私參數。隱私參數總是直接并且主觀地與用戶鏈接，用隱私參數屬性來標記（圖１中的a、b、c）隱私參數。隱私參數取決于很多因素，這些因素創建了用戶對提供的PII的相應關注級別，用戶是在規定的環境中使用特殊的技術提供自己的PII。用戶的個人隱私部署取決于自己對所使用的技術的理解、社會背景、所提供的數據的敏感度、過去的經歷和社會心理因素。大多數SNA提供允許用戶設置隱私參數的各種選項。典型的選項是，允許單個人或者一群人訪問社會網絡個人資料。但是，SNA用戶應該有比訪問和查看個人資料更高的權限。此外，用戶應該能設定數據期望被使用的環境、在特定用途中數據應該做相應處理和數據也許需要的過期日期。

個人隱私參數的焦點是每個自己提供的PII。允許訪問整個社會網絡個人資料不能達到人們關于隱私參數設置的期望。我也許允許我的一位朋友查看我的個人資料，但是如果這個朋友又與其他人是朋友，那么我不想讓第二級朋友或者第三級朋友也瀏覽我的個人資料。我認為特定環境中數據集越敏感或者越機密，我的信息隱私潛在風險就越高。

３.２ 公眾訪問方便性

公眾訪問方便性是隱私風險模式中的一維，大多數SNA用戶在確保自己的信息隱私受保護時沒有把公眾訪問作為基本考慮因素，用戶關于公眾訪問或者PII可見性的意識非常低。然而，提高用戶意識和使PII數據流更加透明是SNA服務商的主要責任。

PII已經在SNA應用程序中，因此社交圖表或者數據遷移功能只要集成已有的內容就行了。但是信息隱私是自我決策的。在Facebook或者Xing站點上發布PII的用戶不認為PII是公共的。Wang and Kobsa提出了如何處理社會網絡站點上PII公眾訪問的解決方法。這個方案包括根據之前規定的環境實施更加透明的分組訪問權限。此時，在這樣的環境中被顯示的數據透明度越高，用戶自己的隱私意識也就被自動提升了。

３.３ 用戶控制PII的程度

第三維是用戶控制PII的程度，這是歐洲主要隱私法的基礎部分。需要確定用戶能實施控制的每個PII部分，但是存在一個困難的先決條件，即如果數據遷移意味著數據能廣泛傳播并且不需要進行任何控制。這個協議對水平非常低的自我控制顯示了清楚的信號，就像前面提到的Facebook隱私策略。圖２描述了社會網絡遷移的隱私風險模式。圖２ 隱私風險模式

為了在基于數據遷移原理的SNA中設計有效的隱私保護機制，需要根據隱私風險模式的3個維度評估每個數據集。

維度1：如果用戶設置自己的隱私選項，例如把特定的相片標記為“機密”（在圖２的模式中是最高的隱私選項級別），那么必須有特定的保護措施保證照片是保密的。也許用戶希望照片只在一段時間給一個人或者一些人展示（例如醫師的診斷）。也需要保證照片不被其他應用程序訪問，以及不會和社會網絡個人資料一起被導入到其他社會網絡應用程序中。

維度2：如果標記為“機密”的照片由于未知的原因被普通公眾訪問，比如，用戶沒有意識到如果照片上傳到普通屬性照片集中，其他人都能查看到這張照片，那么隱私風險將非常高。這種情況需要采取的保護措施是自動警告打算上傳照片的用戶，假定用戶對照片要上傳到哪里和誰會訪問照片完全是透明的（也包括照片在網上是如何檢索和顯示的）。用戶也許認為數據上傳過程發生在私有的受限制的區域，然而實際上照片是被上傳到普通照片集數據庫中，其他人都可以通過用戶輸入的照片標志使用特定的mash-up應用程序搜索這張照片。

維度3：最后，如果用戶對上傳的照片沒有采取任何控制，原因是應用程序在數據級沒有預知任何控制機制，用戶的隱私風險也是非常高的。用戶已經把自己的照片的隱私選項設置為“機密”，但是因為應用程序服務商有各種第三方應用程序管理相片集和上傳功能，或者因為用戶沒有確保用任何技術方法來加強和轉移個人的隱私選項設置，那么用戶的信息隱私也處于險境。

４ 進一步的研究和挑戰

本文提出的隱私風險模式只是一個開始，用于支持設計和開發SNA隱私保護。這個模式能夠幫助敏感隱私情形中的應用案例研究。將來的研究是建立控制和保護機制，這些機制要超越社會網絡應用程序當前的數據保護和隱私查看設置的解決機制。

還要在社會網絡應用程序中應用一系列的技術概念。以下的技術解決方法是相關的下一步研究：①語義技術（根據環境、用途和處理時間給數據加標簽）；②增強的透明技術；③使用DRM技術開發個人數據權限管理解決方案。

采用語義技術使PII成為隱私敏感的數據并且應用隱私設置，這個方法可能是SNA系統環境中最有效的方法。在這種解決方案中，開發一種功能使系統幫助用戶自動確定選擇（比如隱私設置）是很重要的。2007年Berkovsky et al已經做了使用語義方法設置隱私選項的相關工作。目前的方法中，用戶使用額外的大量環境數據添加過去的經驗，隨環境而變的個性化已經獲得了成功。這種方法也許能應用到根據環境設置隱私選項規則中，并且能幫助用戶減少在每個操作過程中的輸入。

研究者將來要面對的主要挑戰是開發隱私保護SNA，不扼殺社會網絡服務商的商業模式。社會網絡用戶的PII是社會網絡服務商最有價值的資產，并且社會網絡服務商也有興趣通過有效方法找到保護這些資產的解決方案。關于“誰應該擁有這些數據”的討論將可能被“誰能夠最好地保護這些數據”所代替，而且在這種環境中用戶將從事建造他們的社會網絡個人資料。

此外，能夠預期隨著更多的隱私侵入發生，立法者也將繼續建立客戶和隱私保護條例，使社會網絡應用程序的服務商對保護方案負責。至少在歐洲最新發展顯示，隱私權不會消失而會作為基本人權尤其在信息系統領域被進一步加強。例如，German Constitutional Court于2008年2月出版了里程碑式的法規，把新的“關于信息科技系統的保密性和完整性的基本權限”作為德國憲法普通個人隱私權的一部分。這個法規解釋了使用信息科技系統顯示用戶的關聯性，并且補充了早期憲法法院裁定的里程碑式的隱私權“信息自我決定的權利”（1983年）以及“絕對保護生活核心領域的隱私行為”的權利（2004年）。這個法規定義了在新的基本權利之下被保護的信息科技系統——單獨的或者使用技術手段互聯的系統在一定范圍內用多種方式控制受影響的用戶的PII，以致其他人訪問系統后能了解到與此人生活行為相關的部分甚至收集到有意義的個性化圖片。這個定義能夠很容易地應用到社會網絡個人資料數據中。

５ 結 論

本文提出的SNA中數據遷移的隱私風險模式概述了開發隱私保護SNA中的最重要因素，包括社會圖表和應用程序中PII的遷移。用戶的自我控制、對正在處理的PII有更高的透明度，以及應用程序開發者清晰的最佳隱私設計方案將幫助解決不斷增加的保護SNA用戶信息隱私的需求。

參考文獻

［１］Kolbitsch，J.， Maurer，H..The transformation of the Web:How emerging communities shape the information we consume［Ｊ］.Journal of Universal Computer Science，2006，12(2)：187－213.

［２］Acquisti，A.， Gross，R.(2006).Imagined communities:Awareness，information sharing，and privacy on the facebook.In Privacy-Enhancing Technologies，LNCS vol.4258，6th Workshop on Privacy Enhancing Technologies(pp.36－58)，Berlin/Heidel berg:Springer．

［３］Flinn，S.， Lumsden，J.(2005).User perceptions of privacy and security on the Web［ＥＢ］.http:∥www.lib.unb.ca/Texts/PST/2005/pdf/flinn.pdf，retrieved 2008-02-27．

［４］Acquisti，A.， Grossklags，J.(2004).Privacy attitudes and privacy behaviour.In J.Camp， R.Lewis(Eds.)，Economics of Information Security，2004，12（13）：165－178，New York，NY:Springer.

［５］Felt，A.， Evans，D.(2007).Privacy protection for social networking APIs［ＥＢ］.http:∥www.cs.virginia.edu/felt/privacy/，retrieved 2008-02-27．

［６］Adamic，L.A.， Adar，E..Friends and Neighbors on the Web，in First Monday，2003，8(6).

［７］Techcrunch(2008).Data is the new links.Tim berners-lee says sites that dont give users their data back are boring［ＥＢ］.In:Techcrunch，http:∥www.techcrunch.com/2008/02/28/data-is-the-new-links-tim-berners-lee-sayssites-that-dont-give-users-their-data-back-are-boring/，retrieved 2008-02-28．

［８］Weiss，S.(2007).The need for a paradigm shift in addressing privacy risks in socialnetworking applications.In:Post-Proceedings:The Future of Identity in the Informati on Society; Third International Summer School organized by IFIP WG 9.2，9.6/.7，.6 in cooperation with FIDIS Network of Excellence (pp.161－171)，Sweden:Karlstad.

［９］張國榮.社會網絡數據的隱私保護［Ｊ］.網絡安全技術與應用，2009，（7）:42-44.

［１０］羅亦軍，劉強，王宇.社會網絡的隱私保護研究綜述［Ｊ］.計算機應用研究，2010，27（10）：3601-3604.