網絡隱私泄露容忍度與運營商的隱私保護實踐

中國聯通研究院 北京 100032

1 網絡隱私與隱私泄露

在“互聯網+”時代，隱私泄露事件層出不窮，用戶的信息安全問題日益凸顯。網絡環境下的用戶隱私，即網絡隱私(Internet privacy)，是指以互聯網系統為傳播載體，用戶私人的、不愿被公知的信息[1]。網絡隱私包括：1)網絡接入者的身份信息，如網絡用戶的開戶信息、個人照片等；2)個人的信用和財產狀況，如銀行卡信息、交易賬號和密碼等；3)網絡交流記錄，如用戶的電子郵件、QQ聊天記錄等。4)網絡活動蹤跡，如網頁瀏覽記錄等。

網絡隱私具備如下特征[2]：1)保護維權困難，網絡隱私的傳播載體是虛擬的互聯網環境，侵權容易，維權困難；2)泄露后果嚴重，網絡信息易分享且傳播迅速、散布范圍廣，短時間內便可給被侵權人造成重大名譽損害和物質損失；3)泄露具備隱蔽性，侵權者利用先進網絡技術，可不留痕跡的獲取被侵權人的網絡隱私，被侵權人對自己的網絡隱私泄露往往渾然不覺或后知后覺。

網絡通信、云計算、大數據技術的發展成熟，給企業收集用戶數據、分析消費者偏好提供了有利條件。從企業角度出發，獲取用戶信息有助于市場分析和消費者研究，能夠幫助企業快速鎖定目標客戶，提高銷售量并且降低營銷成本，同時更好的滿足細分市場需求，帶來更高的用戶滿意度和客戶黏性；但過量收集用戶數據會導致成本和風險的增加，有可能涉及用戶的敏感信息而侵犯用戶隱私權，造成大量的客戶流失和經濟損失，亦給企業聲譽和形象造成不良影響。因此，如何在不侵犯用戶網絡隱私權的情況下，以適當的方式挖掘用戶信息成了企業需解決的問題之一。

2 網絡隱私泄露容忍度及其度量

從用戶角度出發，向企業提供個人數據有利有弊。用戶向企業提供個人數據后，能夠享受到更佳的使用體驗，更好的滿足自身個性化的消費需求，但同時也要承擔隱私泄露的風險。目前，已有研究證實，企業并不需要對所有網絡隱私嚴格保護，在一定條件下，用戶愿意泄露部分網絡隱私以換取更好的服務或其他回報[3-8]，如經濟利益的增加和服務便捷性的提高可顯著激勵用戶泄露網絡隱私并接受企業服務[5,7]。在信息經濟學領域，網絡隱私被定義為一組有價值的個人數據，常被看作是一種商品，符合以物易物和成本效益分析等經濟學原則[4,6]，消費者愿意用自己的網絡隱私來換取等價值、等效用的其他商品或服務。研究證實用戶能夠接受一定程度的網絡隱私泄露，同時，合理的獲取用戶網絡隱私有利于企業的發展和用戶消費體驗的提升[8]。然而，用戶愿意接受的網絡隱私泄露程度尚未被明確。

借鑒風險容忍度的概念與度量方法，本文提出了網絡隱私泄露容忍度的概念，用來描述用戶愿意接受的網絡隱私泄露程度。風險容忍度起源于金融投資領域的研究，是評估個人對誘惑或風險承受能力的重要指標，后被引入行為學研究。Barsky et al. (1997)指出，在面對像吸煙帶來的健康風險、選擇高危職業帶來的安全風險等非金融風險時，個人也往往會表現出一定的容忍反應[9]。類似的，網絡隱私泄露會威脅到用戶的信息、甚至人身和財產安全，屬于一種非金融風險，在面對網絡隱私泄露時，用戶可能會存在一定的容忍態度。在此基礎上，本文提出網絡隱私泄露容忍度的概念來描述用戶對網絡隱私泄露的接受程度，并將其定義為“理想的網絡隱私保護狀態(網絡隱私完全不被泄露)與個體能承受的網絡隱私泄露狀態之間的最大差值”。

本文依據Adams等人提出的理論框架開發設計了測量量表[10-11]，從信息敏感性(IS)、接收者敏感性(RS)和使用敏感性(US)三個維度構建了測量模型并對網絡隱私泄露容忍度進行了測量。在信息敏感性維度，選取了身體隱私(BP)、信息隱私(IP)、交流隱私(CP)、位置隱私(TP)四個因子；在接收者敏感性維度，選取了應用服務提供商(SPR)、電信運營商(TOR)、平臺開發商(PDR)、終端生產商(TMR)四個因子；在使用敏感性維度，選取了收集(CB)、訪問(AB)、利用(UB)和失誤(EB)四個因子[1]。調查采用網絡問卷法，主要測量題項共計37個，共回收有效問卷396份。Nunnally和Bernstein等人建議，為保證調查結果的可靠性和高效性，樣本量應大于或等于測量題項數量的5倍[12]，本次問卷調查的樣本量約為測量題項數量的10倍，樣本量符合要求，能夠有效測量出用戶的網絡隱私泄露容忍度。統計結果如圖1、表1所示。

圖1 網絡隱私泄露容忍度測量結果

圖1中橫軸、縱軸和豎軸分別代表被調查者對于網絡隱私泄露信息的敏感程度、對于網絡隱私接收者的敏感程度和對于接受者如何使用網絡隱私的敏感程度，采集來的樣本數據對應于坐標系中的一個點，某用戶的網絡隱私泄露容忍度可以認為是坐標點到原點的距離，距離越大，則該用戶的網絡隱私泄露容忍度越高。如圖1所示，通過隨機抽取的用戶大多數呈現風險厭惡傾向，網絡隱私泄露容忍度不高。

表1中因子的均值越高，代表用戶的網絡隱私泄露容忍度越低；方差越大，代表個體間的網絡隱私泄露容忍度差異越大。本文將各因子兩兩分組并進行了獨立樣本T檢驗(95%置信區間)。在信息敏感性維度，身體隱私、位置隱私因子的均值顯著小于信息隱私、交流隱私因子的均值，身體隱私、位置隱私因子的方差顯著大于信息隱私、交流隱私因子的方差。由此可見，不同用戶的身體隱私和位置隱私泄露容忍度有較大差異，且大多數用戶不能容忍信息隱私和交流隱私的泄露。在接收者敏感性維度，應用服務提供商、電信運營商因子的方差、均值無顯著差異，與平臺開發商、終端生產商因子存在顯著差異，應用服務提供商和電信運營商因子的均值較低、方差較大，表明有部分用戶較能容忍應用服務提供商和電信運營商作為其網絡隱私泄露的接收者。在使用敏感性維度，訪問因子的均值最小、方差最大，表明有部分用戶較能容忍企業對其網絡隱私的訪問行為，失職因子的均值最大、方差最小，表明絕大多數用戶均不能容忍企業對其網絡隱私保護不當的失職行為。

表1 各因子分布情況

3 網絡隱私保護現狀

在網絡時代，每個人都是信息的產生者和傳播者，個人隱私安全受到了嚴重威脅。中國互聯網協會發布的《中國網民權益保護調查報告2016》顯示，約54%的網民認為個人信息泄露嚴重，其中21%的網民認為個人信息泄露非常嚴重；約84%的網民親身感受到了由于個人信息泄露帶來的不良影響。據中國互聯網協會統計，從2015年下半年到2016年上半年的一年間，我國網民因個人信息泄露等問題遭受到的經濟損失高達915億元。層出不窮的網絡隱私泄露事件造成了惡劣的社會影響，引起了社會各方的高度關注，政府和企事業單位采取了一系列的措施來保護網民的隱私安全。

目前，國內外對于網絡隱私的保護措施主要有立法規范、行業自律、技術手段、用戶宣導四種方式。

1)立法規范。

歐盟國家主張將隱私權作為一項基本人權加以保護。早在上世紀九十年代，歐盟通過了《個人數據保護指令》，成為立法保護隱私權的典型代表。隨后，歐盟等國相繼推出了《歐盟電子通訊數據保護指令》、《關于電子通信領域個人數據處理和隱私保護的指令》等法律法規來保護居民的網絡隱私權。

目前，我國尚未出臺全面的、規范的網民隱私權保護法律，但有許多法律法規對保護個人網絡隱私作了間接的、原則性的規定。例如，《全國人大常委會關于維護互聯網安全的決定》規定：非法截獲、篡改、刪除他人電子郵件或者其他數據資料，侵犯公民通信自由和通信秘密，構成犯罪的，依照刑法有關規定追究刑事責任。再如，《互聯網電子公告服務管理規定》規定，除法律另有規定外，服務提供者應當對上網用戶的個人信息保密，未經上網用戶同意不得向他人泄露。

2)行業自律。

以美國、日本為代表的信息產業較為發達的國家普遍主張采取行業自律模式來保護網絡隱私安全。行業自律主要通過建議性的行業指引、網絡隱私管理機構認證來進行。建設性的行業指引是由保護網絡隱私權的自律機構制訂的、該機構成員都必須嚴格遵守的行為指導原則。例如，由美國百余家知名公司加盟的業界組織“在線隱私聯盟”公布了它的在線隱私指引，該指引規定參加聯盟的企業應詳細告知用戶企業對其信息的操作行為，包括收集何種信息、信息何時將被如何使用、是否會向其他機構披露等，并對用戶網絡隱私的安全做出承諾。網絡隱私管理機構認證是指由公正、權威的第三方機構審核企業的資質與行為，并向合格的企業頒發認證證書，同時向用戶承諾獲得認證證書的企業將嚴格保護其網絡隱私的安全。例如，日本情報處理開發協會對工作中涉及用戶個人信息的企事業單位進行資質的審核和認證，對能夠合理使用用戶個人信息、兩年內未造成用戶隱私泄露的企業進行評價認證并頒發P-mark標志，P-mark標志已成為日本居民心中的標桿之一，能夠有效證明企業對用戶隱私的保護力度。

目前，我國有關網絡隱私保護的行業自律，主要有整個互聯網行業的自律、各個網站及其從業者的自律兩種形式。2002年3月，包括中國三家主流電信運營商在內的130多家企業共同簽署了《中國互聯網行業自律公約》，明確表示將嚴格保守用戶的信息秘密、不利用用戶提供的個人信息從事任何與承諾不符的活動。2004年12月，中國電子商務協會正式成立了“中國電子商務誠信聯盟”，明確要求各參與企業加強對消費者隱私權的保護，確保消費者的各種信息和資料安全。此外，許多互聯網公司公開聲明對用戶的網絡隱私進行保護，例如騰訊、新浪等網站主動在其首頁鏈接了隱私聲明，表明其對用戶網絡隱私權的尊重和保護。

3)技術手段。

技術手段是指通過新技術的開發及應用，不斷進行迭代與更新，及時修復系統漏洞，構建安全的信息傳輸環境，以保證用戶網絡隱私的安全。目前，國內外采用的隱私保護技術手段主要有基于數據失真(Distorting)的技術、基于數據加密的技術和基于限制發布的技術三類。例如，采用添加噪聲(Adding Noise)等技術對原始數據進行擾動處理，采用安全多方計算(Secure Multiparty Computation)等加密技術在數據挖掘過程中隱藏敏感數據，不發布數據的某些域值等。

4)用戶宣導。

用戶宣導手段是指從用戶側入手，提高用戶對于網絡隱私的自我保護意識和維權意識，建議用戶使用安全的硬件設施和網絡系統，建議用戶安裝病毒防護軟件，采用正確的網絡操作方式，避免網絡隱私被盜用。目前，國內外采用的宣導渠道主要有電視廣告、互聯網廣告、宣傳條幅、電信運營商短信提醒等。

上述四種網絡隱私保護措施各有利弊。通過立法，能夠嚴格規范企業搜集用戶數據和隱私的行為，明確網絡活動各參與者的責權，也能夠對于侵犯用戶網絡隱私權的企業采取相應的司法或者行政措施，便于用戶維權，但也增加了電信運營商、互聯網公司等企業的法定義務和過多的責任，增加了信息產業的整體成本，不利于信息產業的快速發展。另一方面，法律的制定往往落后于社會實踐的發展，保護用戶的網絡隱私權不能僅通過立法手段。行業自律的隱私保護方式摒棄了冗長煩瑣的立法程序，有利于信息的正常傳遞和信息產業的快速發展，但也存在權責不分明、難以追償等問題，一旦發生用戶的網絡隱私泄露糾紛，很難快速解決，缺乏有力的執行措施和保障手段。通過技術手段可以有效避免黑客入侵、降低網絡隱私被竊的可能性，但會降低信息傳輸速率，提高信息傳輸成本。進行用戶宣導可以避免用戶在網絡使用過程中的不安全行為，減少網絡隱私泄露的人為因素，但宣導的受眾面有限，并不能杜絕網絡隱私泄露的發生。因此，為更好地保護用戶的網絡隱私，應當同時采取多種網絡隱私保護措施，堅持立法主導與行業自律并行，同時不斷完善網絡安全技術，積極進行用戶宣導，全方面、多角度的維護網絡隱私，在保護用戶網絡隱私權與促進信息產業發展之間取得平衡。

4 電信運營商的隱私保護策略與實踐

對電信運營商而言，適當適量的分析用戶信息、消費行為等數據，有助于提高市場營銷效率，更好的滿足細分市場需求，可以為消費者提供更優質、更具個性化的服務。通過網絡隱私泄露容忍度的研究與度量，發現用戶在一定條件下，愿意向電信運營商提供自己的部分網絡隱私以換取更好的服務或其他福利。電信運營商應該有的放矢的保護用戶的網絡隱私，了解用戶的網絡隱私泄露底線，適當、合理的利用好用戶數據。

網絡隱私泄露容忍度測量結果表明，大部分用戶呈現風險厭惡傾向，網絡隱私泄露容忍度不高。因此，電信運營商應在尊重用戶網絡隱私權的基礎上，適當、節制的收集用戶網絡隱私，避免觸及用戶的容忍底線；另外，可以從影響用戶網絡隱私泄露容忍度變化因素的角度出發，積極研究提高用戶網絡隱私泄露容忍度的策略。

在信息敏感性維度，身體隱私和位置隱私的泄露容忍度較高，電信運營商可考慮適當利用這兩類用戶較不敏感的網絡隱私，根據數據分析結果不斷提升和豐富產品功能，例如增設智慧醫療、車聯網等相關產品，進一步為用戶提供更具個性化的服務；信息隱私和交流隱私的泄露容忍度較低，電信運營商應重點考慮如何保護這兩類網絡隱私，例如增設網絡隱私保護功能、在查看信息隱私和交流隱私前增設驗證碼和密碼的輸入，盡力使用戶感知到的網絡隱私安全最大化。

在接收者敏感性維度，用戶較能容忍將網絡隱私泄露給電信運營商。刁塑指出，用戶對熟悉的企業更信任，更愿意披露自己的網絡隱私[13]。電信運營商直接向用戶提供服務，擁有大量線上、線下渠道，在各地均設有實體營業廳，與用戶接觸頻繁，因此用戶對其更熟悉、更能主動披露自己的網絡隱私，同時，運營商擁有強大的數據分析能力，對于消費群體和市場有著豐富的理解；因此，運營商應該主動承擔起保護用戶網絡隱私安全、合理整合信息資源的職責，在不侵犯用戶網絡隱私權的前提下，幫助信息產業鏈上的其他企業更好理解客戶需求，實現信息資源的高效利用。而對其他企業，精準營銷而節省的費用、由于個性化服務而增加的收入，應進行合理分配，最終實現信息及資金更合理高效的分配。

在使用敏感性維度，用戶對企業的收集、訪問、利用行為的容忍度均很低，最不能容忍企業不當失職的發生。因此，電信運營商在試圖操作用戶網絡隱私前，應首先詢問用戶是否同意，同時說明對用戶網絡隱私操作的具體情況，盡力降低用戶對信息使用的關注。另一方面，電信運營商應大力做好用戶信息數據庫的管理工作，堅決杜絕在保護用戶網絡隱私安全過程中失職行為的發生，以提高用戶的網絡隱私保護感知和網絡隱私泄露容忍度。

研究同時表明，信息敏感性、接收者敏感性、使用敏感性三個維度共同測量出用戶的網絡隱私泄露容忍度；因此，電信運營商在用戶網絡隱私的行為實踐過程中，應多角度思考，既要顧及可以利用的網絡隱私種類，又要考慮到處理用戶數據的行為規范，并且注意自身聲譽，全方面提升用戶的網絡隱私安全感知。

電信運營商為企業和個人提供了網絡通信服務，同時擁有海量的用戶數據，合理、高效的網絡隱私保護體系必不可少。借鑒國外經驗，立足于我國的網絡隱私保護現狀，電信運營商應嚴格遵守法律規定，采取企業自律、多種安全技術手段、廣泛的用戶宣導等多種措施來保護用戶的隱私安全。首先，電信運營商應從制度、技術等多角度建立起自身的信息安全管理體系。在人員管理方面，電信運營商應加強制度建設，嚴格規范用戶信息的使用流程，加強對企業內部員工、渠道代理商和合作伙伴的監督管理，對于泄露用戶網絡隱私的行為嚴加懲處。在網絡技術方面，電信運營商應不斷提升自身的網絡隱私保護技術，構建安全的網絡使用環境，避免因漏洞、病毒、黑客等因素造成的網絡隱私安全隱患。其次，電信運營商應充分利用對終端的把控能力，嚴格審核智能終端上的第三方應用，避免其在應用中內置竊取用戶網絡隱私的程序，同時電信運營商可考慮研發與網絡隱私安全相關的保護系統與軟件，并提供相應的增值服務，進一步為用戶創造出安全的軟硬件使用環境。電信運營商還應充分利用通信網絡資源，積極、廣泛的向用戶宣導隱私安全的重要性，宣傳安全的網絡使用行為，避免用戶誤點不安全鏈接或誤信詐騙信息而造成網絡隱私泄露甚至財產損失。

5 小結

本文以網絡隱私泄露容忍度的研究與度量為基礎，結合國內外的網絡隱私保護舉措與現狀，為電信運營商有的放矢的保護用戶網絡隱私、合理安全的使用用戶數據提供了實踐建議。本文能夠幫助電信運營商更好的理解用戶的網絡隱私泄露態度，對于電信運營商的信息挖掘和網絡隱私保護實踐具有借鑒意義。今后應對網絡隱私泄露容忍度的前因變量和結果變量做進一步研究，以便于電信運營商構建更安全、更高效的信息傳輸體系與運營機制。

參考文獻

[1] 李睿,張銳劍,李文立,等.移動互聯網環境下的隱私泄露容忍度測度方法[J].管理評論,2016,28(7):102-111

[2] 張國棟.山東移動用戶隱私保護問題的研究[D].大連理工大學,2013

[3] Hann I., Hui K. L., Lee S. T., et al. Overcoming Online Information Privacy Concerns: An Information-Processing Theory Approach[J]. Journal of Management Information Systems, 2007, 24(2):13-42

[4] Kehr F., Kowatsch T., Wentzel D., et al. Blissfully Ignorant: The Effects of General Privacy Concerns,General Institutional Trust, and Affect in the Privacy Calculus[J]. Information Systems Journal, 2015,25(6):607-635

[5] Chen R., Sharma S. K. Learning and Self-disclosure Behavior on Social Networking Sites: The Case of Facebook Users[J]. European Journal of Information Systems, 2015, 24(1):93-106

[6] Xu H., Teo H., Tan B. C., et al. The Role of Push-Pull Technology in Privacy Calculus: The Case of Locationbased Services[J]. Journal of Management Information Systems, 2009, 26(3):135-174

[7] Xu F., Michael K., Chen X. Factors Affecting Privacy Disclosure on Social Network Sites: An Integrated Model[J]. Electronic Commerce Research, 2013,13(2):151-168

[8] Bélanger F., Crossler R. E. Privacy in the Digital Age: A Review of Information Privacy Research in Information Systems[J]. MIS Quarterly, 2011, 35(4):1017-1042

[9] Barsky R. B., Juster F. T., Kimball M. S., et al.Preference Parameters and Behavioral Heterogeneity:An Experimental Approach in the Health and Retirement Study[J]. The Quarterly Journal of Economics, 1997,112(2):537-579

[10] Adams A. Users' perception of privacy in multimedia communication[C]. ACM, 1999

[11] Adams A, Sasse M A. Privacy in multimedia communications: Protecting users, not just data[M].People and Computers XV—Interaction without Frontiers, Springer, 2001:49-64

[12] Nunnally J C, Bernstein I H. Psychometric Theory (3rd ed.)[M]. New York: McGraw-Hill, 1994

[13] 刁塑.新興電子商務消費者隱私關注與采納行為研究[D].北京郵電大學,2010