社交網絡用戶隱私安全問題及其保護

◆賀金蘭 羅一民 滕麗萍

（江蘇警官學院 江蘇 210012）

社交網絡用戶隱私安全問題及其保護

◆賀金蘭 羅一民 滕麗萍

（江蘇警官學院 江蘇 210012）

社交網絡的蓬勃發展，為信息的傳播與分享提供了平臺，深刻地改變了每一位網民的生活。但當用戶在享受社交網絡帶來的個性化服務的同時，利用網絡侵犯用戶個人隱私的事件也是屢見不鮮，給用戶帶來了極大困擾，也阻礙了社交網絡的進一步發展。因此，用戶隱私保護問題亟待解決。本文通過分析社交網絡用戶隱私安全問題產生的原因，介紹了社交網絡安全問題的種類，重點提出了對于隱私數據安全保護措施與建議。

社交網絡；隱私安全；技術方案；法律法規

1 社交網絡用戶隱私安全產生原因

1.1 用戶自身的行為意識與隱私保護之間的矛盾

在社交網絡中，一方面，用戶對于自身的信息安全感知度低，隱私容易泄露，商業推廣及網絡詐騙極易發生，在此情況下，用戶迫切地希望自身的信息能夠被保護；另一方面，為了提高用戶體驗，用戶又樂此不疲地在各類社交網站上注冊并填寫個人資料。雖然用戶也擔心著各式各樣的個人隱私安全問題，但卻并沒有因此而節制自己的個人信息披露行為，這種現象被有些學者稱作“隱私悖論”。卡內基·梅隆大學曾對其在校本科生做過調查研究，發現大多數學生在其 Facebook上提供的個人信息非常全面，其中還包括自己的感情狀況及政治主張，然而，只有相當少的一部分學生進行了隱私設置。同樣，據中國互聯網絡信息中心發布的《2015 年中國手機網民網絡安全狀況報告》顯示，截至2015年底，手機網民中會主動查看手機軟件隱私權限的用戶僅占35.8%，只有8%的用戶會通過手機安全軟件的提示留意手機應用的隱私權限，高達 56.2%的用戶完全沒有注意過手機應用的隱私權限問題。[1]可見，“隱私悖論”現象普遍存在，網民缺乏基本的個人信息保護意識，對于社交網站采取何種措施保護其隱私數據漠不關心，這無疑增加了用戶隱私泄露的風險。

1.2 網絡服務提供商的盈利需求與隱私保護之間的沖突

社交網絡服務提供商的盈利需求與用戶隱私安全的矛盾關系是與生俱來的。社交網站服務提供商為了擴大經濟效益，加強各網站間的合作，就勢必要收集大量的用戶個人信息。目前，安卓生態環境令人擔憂，據中國互聯網數據中心數據顯示，在國內各類Android市場下載量前1400位的APP內，有66.9%的智能手機移動應用在抓取用戶隱私數據。[2]社交應用打著各式各樣的旗號讀取用戶手機相冊、通訊錄，并美其名曰提高用戶體驗。社交網絡服務商讀取采集到的用戶信息越詳細，其所蘊含的商業價值也就越高。

1.3 我國網絡隱私權立法不完善

我國是世界上社交網絡發展最快的國家，然而，截止到目前，我國關于網絡隱私權保護的規范性文件只有一部人大常委會通過的《關于加強網絡信息保護的決定》及7個部委規章。在此之前，2013年實行的《信息安全技術公共及商用服務信息系統個人信息保護指南》充其量是一部數據信息保護總則，并沒有起到實質性的保護作用。[3]較之網絡隱私權保護的相對完善的美國來說，不管是規范性文件的數量還是此類文件的效力，都遠遠超過了我國。另外，我國對于隱私權的立法方面還比較分散，相關立法只是將隱私權歸于人格權當中的名譽權進行保護，網絡隱私權更是無法可依，對于侵犯他人網絡隱私權所應承擔的法律責任更是無章可循。

2 社交網絡用戶隱私安全問題種類

2.1 用戶自身的疏忽導致隱私的泄露

（1）社交網站注冊賬號時，用戶填寫個人資料信息時總是用真實信息，無意識地增加了社交網絡賬號間的關聯度。

（2）登錄密碼設置簡單，部分用戶總是采用較短并簡單的數字密碼，還有用戶為了方便記憶，將自己的大部分社交網站密碼設置為同一個，這樣加大了密碼泄露的風險。

（3）用戶將重要的個人隱私數據與生活記錄存儲在社交空間。如今，幾乎所有的社交網站都有個人信息訪問權限設置，但是很多用戶根本不關心甚至不去設置，使得不法分子只要借助站內的搜索引擎，就可以登錄用戶個人主頁，獲取其個人隱私。

（4）用戶在使用移動終端或者個人電腦時，隨意安裝不明插件，有時，登錄終端并未安裝防火墻等安防設備，使得賬號被盜取的風險加大。

（5）手機等便攜式終端的普及，使得有相當大比例的用戶總是長時間登錄各大社交網站，這也給不法分子留下了大量的作案時間[4]。

2.2 社交網站自身原因導致用戶隱私的泄露

隨著社交網站的快速發展，社交網站掌握了海量的用戶信息，因此社交網站本身的安全性對于用戶隱私安全保護具有極其重要的意義。

（1）網站之間共享用戶隱私數據

不同的社交網站之間，出于對營銷、宣傳等方面的考量，都會產生用戶互補的需求，這就導致了在用戶不知情的情況下用戶隱私被泄露，共享用戶隱私信息的情況是普遍存在的。

（2）社交網站售賣用戶隱私數據

一些社交網站出于某些利益，在違背用戶本意的情況下，故意泄露用戶隱私，將用戶郵箱，QQ號，手機號等隱私信息出售，造成隱私信息泄露。例如，MySpace就曾將其用戶信息包括用戶的各項活動內容出售給第三方，該信息甚至由專門的網絡數據公司進行出賣。也就是說，這種用戶信息的出售或者公開或者暗地的出賣是非常見的。

（3）社交網站自身漏洞造成用戶隱私泄露

與其他網站服務器一樣，社交網站在建設的過程中難免會存在各種漏洞。一些不法分子通過檢測技術搜尋相關漏洞，進而利用其竊取用戶隱私。近幾年，利用社交網站漏洞造成造成的隱私泄露案件頻頻發生。2011年12月CSDN用戶數據庫被攻擊，導致600多萬用戶郵箱賬號和對應明文密碼泄露；2012年6月美國職業社交網站Linked In同樣造成650多萬用戶賬號泄露；而在國內的一些大型社交網站如人人網、天涯論壇、新浪微博等均有被黑客攻擊導致用戶密碼泄露甚至篡改的情況。不法分子為了尋求用戶個人隱私數據信息，加大了對社交網站的攻擊力度[5]。

2.3 第三方應用造成的隱私泄露

在社交網絡中，用戶不可避免地要安裝、使用各種類型的第三方應用。一般在使用前，用戶需要簽署一份隱私協議書，表明用戶同意該應用使用其個人信息，然而，大多數隱私說明都是類似的，只要用戶希望使用此第三方應用，總是會簽署同意，這樣，該應用就輕易地獲取到了用戶的信息。然而，目前大多數的第三方應用使用的都是自己的服務器，其在運行時缺乏權威部門的監管審查，難以保證數據流向，給用戶隱私帶來極大的安全隱患。

3 社交網絡用戶隱私安全保護措施

3.1 提高用戶隱私保護意識，節制自身數字化行為

（1）用戶在注冊社交網站并填寫個人資料前，要分析其存在的安全風險。盡量不要填寫過于詳細的個人資料，尤其是家庭及收入情況，這些信息容易在不經意間被不法分子收集，進而發生商業推廣和網絡詐騙。

（2）用戶在使用各類社交網站時，應盡可能的設置復雜密碼，最好是既包含數字和字母，又包含符號的密碼，這樣做可以增強密碼的安全級別，抵御窮舉攻擊的能力也將增強。同時，用戶不要為了記憶方便，在多家社交網站上使用同一密碼組合，應當對于不同的賬號設置不同的密碼，減小賬號間的關聯度。

（3）謹慎添加好友。基于不同社交網站之間的用戶互補性，網站之間會共享其擁有的用戶的隱私數據。當你無意間添加了某個陌生人為好友之后，你可能會發現他在你的另一個社交網站上也成為了你的好友，甚至更多關聯的社交網站，這樣，即使是一個你從未謀面的陌生人，都有可能知道你最隱私的信息。

3.2 完善網站建設與防范技術，規范第三方應用

（1）目前社交網站多采用Ajax技術，使得其更易成為被攻擊的對象。因此，程序員在進行社交網站的設計時，首先要滿足其安全性需求，同時要對跨站腳本攻擊進行多次檢測，將漏洞隱患降至最低。具體可以進行如下操作：第一，檢測用戶輸入內容的可靠性，將代碼輸入到測試頁面中，檢查是否存在系統漏洞；第二，全面檢測網站的安全性，此方法需要使用漏洞檢測工具；第三，采用自動化檢測工具，對網站實時監測，過濾其文本信息，消除潛在漏洞[6]。

（2）積極開發研究網絡安全防范技術。例如，采用分布式存儲與轉發模式分散用戶數據信息的儲存，降低用戶信息儲存過于集中引發的安全性問題。同時，可以設計一種群組化的信息共享方式，采取用戶自定義的訪問控制策略，對用戶信息采取群組化管理，授予用戶可訪問權限及訪問范圍，保障信息安全。此外，還可以結合新型的身份認證方式，如使用二維碼掃描進行身份認證，在信息的傳遞過程中用以確認用戶的合法身份。

（3）加強對第三方應用監查管理。針對第三方應用的防護，我們可以采用應用隱私控制平臺XBook。XBook保證了在第三方應用實現其所需功能的前提下，嚴格監控信息流。在安裝應用程序時，用戶通過XBook獲取該程序所需的用戶信息以及信息流向，進而決定是否安裝此應用。通過XBook這一方式嚴格控制信息流，相比于從前直接將用戶信息交給第三方應用要可靠得多。XBook通過將應用程序的結構分解，并對其各個部分進行安全性分析，限制客戶端與服務器端的功能，根據用戶自定義的要求加強信息監控，對數據采取匿名化操作，實時監控對外通信，解決了潛在的數據泄露問題，使得第三方應用只能按照既定的規矩操作，進而避免了數據泄露。然而，XBook只是一個信息安全研究小組自己研發的系統，將其轉換整合到到社交網絡系統的工作量及其巨大，因此，將這一系統運用到所有的第三方應用上，真正地實現用戶隱私數據的保護依然是艱巨的[7]。

3.3 完善隱私保護法律體系，強化國家監督

針對關于網絡隱私權法律的不完善現狀，國家需要將隱私權作為獨立的民事權利，并對隱私權、網絡隱私權劃定內容及范圍，做出明確規定。針對隱私權的特點做出相應立法，詳細劃分執法部門法律職能，并增強法律的可操作性。

在十八屆四中全會上決定完善網絡安全保護方面的法律法規后，第十二屆全國人大常委會第十五次會議初審通過了《中華人民共和國網絡安全法（草案）》，針對網絡主權、網絡產品和服務安全、網絡運行安全、網絡數據安全、網絡信息安全等方面都進行了具體的制度設計，同時建立了網絡安全監督管理體制和監測預警與應急處理機制。此外，《中華人民共和國國家安全法》頒布并實行，將“建設網絡與信息安全保障體系，提升網絡與信息安全保護能力”作為維護國家安全的重要職責。未來完善互聯網絡法律法規、加強各部門協作必將是我國未來網絡安全保護的大勢所趨。

4 結語

要想真正地改善社交網絡環境中存在的信息安全隱患，不僅需要依靠國家制定與完善相關的法律法規和監管策略，明確職責，還需要相關執法部門嚴格執法，加強合作，嚴厲打擊信息安全相關的違法犯罪。同時，在技術層面，社交網站需要對其服務器安全性予以改進，程序員也要加強網站的安全性建設，研究開發先進的安全防范技術。除此之外，提升用戶安全防范意識、積極反饋社交網站安全問題也是信息安全保護不可缺少的一環，為用戶提供信息安全保護將會是未來網絡安全的主要方向。

[1] 2015年中國手機網民網絡安全狀況報告．

[2] 徐曉露．移動社交網絡用戶隱私安全問題及保護研究[D]．重慶大學，2014．

[3] 馬璇．大數據時代網絡隱私權的法律保護[J]．法制與社會，2017．

[4] 孟曉明，賀敏偉．社交網絡大數據商業化開發利用中的個人隱私保護[J]．圖書館論壇，2015．

[5] 趙振宇，騰林池，陳強，王浩宇．大數據時代社交網絡個人信息安全問題研究[J]．電腦知識與技術，2016．

[6] 馮文明．社交網絡安全問題及其解決方案[J]．電子技術與軟件工程，2016．

[7] 胡啟平，陳震．試析社交網絡環境中個人隱私保護[J]． 信息網絡安全，2010．

江蘇警官學院科學研究重點項目（2015SJYSZ03）；江蘇省教育廳高校哲學社會科學基金項目（大數據時代社交網絡用戶隱私保護問題研究2017SJB0471）；江蘇蘇警官學院科研創新團隊建設項目資助（2015SJYTZ03）。