基于我國網(wǎng)絡(luò)購物環(huán)境中的個人信息安全問題研究

張美婷 張玉清

一、引言

在互聯(lián)網(wǎng)浪潮的推動下，網(wǎng)購作為電子商務(wù)的主要形式，越來越滲透到消費者的生活之中。根據(jù)CNNIC最新發(fā)布的“2014年中國網(wǎng)絡(luò)購物市場研究報告”可知，截止于2014年12月，我國網(wǎng)購的用戶規(guī)模達(dá)到3.61億，較2013年底增加5953萬人，增長率為19.7%。網(wǎng)絡(luò)零售交易額占到同期社會消費品零售總額 (26.2萬億元)的10.6%，高達(dá)2.79萬億元，同比增長49.7%。全年交易總次數(shù)173億次，年度人均交易次數(shù)48次。在網(wǎng)購繁榮發(fā)展的背景下，個人隱私泄露的風(fēng)險也大大提升。

據(jù)360互聯(lián)網(wǎng)安全中心發(fā)布的“2014年上半年中國網(wǎng)購安全報告”，調(diào)查期間360網(wǎng)購先賠服務(wù)收到來自用戶的有效理賠申請共22664例，包括交易糾紛類理賠申請9863例和網(wǎng)絡(luò)欺詐類理賠申請12801例。前者報案金額556萬元，人均損失563元，后者報案金額高達(dá)2545萬余元，人均損失較2013年增長37.2%，達(dá)到1988元。目前中國網(wǎng)購正面臨較高的安全風(fēng)險，網(wǎng)購過程中個人信息泄露導(dǎo)致的一系列后果，不僅危害消費者的權(quán)益，更影響了網(wǎng)購行業(yè)的健康發(fā)展。因此，對網(wǎng)絡(luò)購物環(huán)境中個人信息安全問題的研究十分必要，提出網(wǎng)購安全的防護(hù)措施非常有意義。

二、我國網(wǎng)購環(huán)境中的個人信息安全問題

(一)網(wǎng)購導(dǎo)致個人信息面臨的威脅分析

1、威脅個人信息的渠道分析

筆者在總結(jié)前人經(jīng)驗的基礎(chǔ)上，對威脅個人信息的渠道進(jìn)行擴(kuò)充和分類。分類依據(jù)的是消費者自身主動無意識的造成個人信息的泄露，主要體現(xiàn)在網(wǎng)絡(luò)購物的流程中，和被動不可控的造成個人信息泄露，體現(xiàn)在新增的兩個渠道，分別是物流和大數(shù)據(jù)技術(shù) (如圖1所示)。

圖1 威脅個人信息的渠道分析圖

2、個人信息面臨的具體威脅分析

第一，注冊與登錄過程。網(wǎng)購平臺是網(wǎng)購的載體，網(wǎng)購前必須在網(wǎng)購平臺上注冊賬號，所以消費者在這個過程主動提供了個人信息如姓名、性別、年齡、郵箱、手機(jī)號碼等。而商家和網(wǎng)站輕易的獲得了消費者的信息。此時不能確保商家和網(wǎng)站會不會將這些信息泄露，所以就埋下安全隱患。一旦信息被泄露用于不合理甚至違法的活動，可能會導(dǎo)致用戶身份被盜用，以及造成消費者財產(chǎn)的損失等。

第二，購物瀏覽頁面過程。消費者在網(wǎng)上商城瀏覽商品時，瀏覽器會相應(yīng)在網(wǎng)絡(luò)服務(wù)器上留下日志文件，消費者的網(wǎng)絡(luò)地址、傳遞查詢的URL等信息都會遺留。這個過程還會產(chǎn)生自動標(biāo)識用戶經(jīng)常使用到的賬號、密碼及瀏覽器組合的Cookie文件。商家可以運用Cookie跟蹤技術(shù)，得到消費者經(jīng)常瀏覽的頁面，購買的商品，以及消費的金額和次數(shù)等信息。

第三，填寫訂單過程。為了進(jìn)行貨物的郵寄，訂單上面必須填寫消費者真實的聯(lián)系方式和收貨地址。送貨者和商家從訂單信息上就可了解消費者的信息，導(dǎo)致信息泄露。并且根據(jù)訂單上消費者購買的商品信息，也可以反映出消費者的購物傾向和購買能力。

第四，網(wǎng)絡(luò)支付過程。網(wǎng)絡(luò)支付過程就是賬戶資金轉(zhuǎn)移的過程。在此過程中，不法分子往往通過釣魚網(wǎng)站、盜號木馬、交易劫持木馬三種方式來盜取用戶的賬號和密碼，從而轉(zhuǎn)移消費者的賬戶 (如支付寶、網(wǎng)銀)資金。

第五，物流信息流流動過程。消費者確認(rèn)購買商品之后，貨物通過物流渠道送達(dá)至消費者手中。填寫了消費者個人信息的快遞面單直接暴露在外包裝上面，并且收貨單在事后往往不會進(jìn)行撕毀處理，使個人信息安全受到威脅。物流中信息的保護(hù)成為當(dāng)前網(wǎng)購中個人信息保護(hù)的短板。

第六，利用大數(shù)據(jù)技術(shù)對個人信息進(jìn)行非法開發(fā)利用的過程。大數(shù)據(jù)的價值不僅僅來源于它的基本用途，更多的是源于對其進(jìn)行的二次開發(fā)利用。現(xiàn)有的大數(shù)據(jù)技術(shù)能夠依據(jù)大量復(fù)雜無序的信息得出巨大價值的商業(yè)信息，那必然也可以發(fā)現(xiàn)個人的隱私信息，加劇了個人信息泄露的風(fēng)險。

(二)個人信息面臨威脅的原因分析

個人信息面臨威脅的原因可以分為主觀原因和客觀原因。從主觀原因來看，是消費者自身缺乏維護(hù)個人信息安全的意識。而客觀方面就有以下幾個原因。

1、購物網(wǎng)站的安全性差

購物網(wǎng)站作為消費者購物的平臺，強制搭載了消費者許多的個人信息。但是隨著互聯(lián)網(wǎng)技術(shù)的普及和快速發(fā)展，購物網(wǎng)站的規(guī)模越來越大，復(fù)雜性也越來越強，同時安全漏洞也越來越多。目前針對購物網(wǎng)站的漏洞進(jìn)行惡意攻擊的現(xiàn)象也是不斷發(fā)生，例如有些不法分子通過攻擊正在進(jìn)行網(wǎng)上消費的消費者的計算機(jī)，從而使得黑客通過消費者的網(wǎng)上銀行進(jìn)人銀行數(shù)據(jù)庫盜取消費者信息，給消費者造成經(jīng)濟(jì)損失。

2、數(shù)據(jù)所有權(quán)問題導(dǎo)致個人信息安全保護(hù)的邊界模糊

大數(shù)據(jù)時代下，全社會信息資源被開放分享和開發(fā)利用，導(dǎo)致了國家、企業(yè)、個人之間的數(shù)據(jù)所有權(quán)不明晰的問題。個人信息既是社會經(jīng)濟(jì)資源也是單獨的人格利益，因此信息保護(hù)的邊界劃分也是個難題。所以，當(dāng)前個人數(shù)據(jù)的所有權(quán)和開發(fā)權(quán)的歸屬問題仍在商討之中，我國個人信息安全保護(hù)的邊界仍然模糊。

3、經(jīng)濟(jì)利益催生個人信息系統(tǒng)性風(fēng)險

隨著大數(shù)據(jù)時代的到來，個人信息的收集變得便捷和全面。通過對公民身份類、交易類、互動類、關(guān)系類等各類數(shù)據(jù)關(guān)聯(lián)聚合，不僅可以還原和預(yù)測個體的社會生活全貌，還可以從中挖掘出巨大的經(jīng)濟(jì)效益。經(jīng)濟(jì)利益催生出圍繞個人信息采集、加工、開發(fā)、銷售的龐大的數(shù)據(jù)產(chǎn)業(yè)鏈。

4、立法不全，執(zhí)法困難

我國法律體系中，《行政法》、《刑法》、《憲法》等法律都不同程度的涉及個人信息保護(hù)，但總體而言過于零散。2013年《消費者權(quán)益法》中新增入個人信息保護(hù)的內(nèi)容，但具體可操作性不強，當(dāng)前我國并沒有建立起專門的個人隱私保護(hù)法。如果個人信息被泄露，消費者如何取證、維權(quán)，相關(guān)經(jīng)營者將獲怎樣的處罰，都有待進(jìn)一步規(guī)定。

三、我國網(wǎng)購環(huán)境中的個人信息安全防范對策分析

注重網(wǎng)購環(huán)境中的個人信息安全防范，不僅僅是為了維護(hù)消費者的合法權(quán)益，更是為了維護(hù)網(wǎng)購的健康發(fā)展。

(一)主觀層面的相關(guān)建議

從主觀層面出發(fā)，主要是提高網(wǎng)購消費者維護(hù)個人信息的安全意識，并且掌握一些保護(hù)個人信息安全的基本方法。具體建議如下:

1、仔細(xì)處理網(wǎng)購貨品的包裝。處理包裝盒前，應(yīng)將快遞信息標(biāo)簽上收件人姓名、電話和地址等敏感信息涂黑或剪掉。

2、養(yǎng)成良好的上網(wǎng)習(xí)慣，謹(jǐn)防網(wǎng)購低價陷阱。當(dāng)前存在一些打著“秒殺價”口號的商家，他們是為了收集消費者的個人信息，所以往往不發(fā)貨、發(fā)假貨，甚至收款后“關(guān)門大吉”。

3、維護(hù)電腦、手機(jī)安全。網(wǎng)購者應(yīng)時刻做好電腦的安全保護(hù)工作，安裝殺毒軟件并及時升級。同時，智能手機(jī)也要安裝能夠進(jìn)行安全防護(hù)的軟件，謹(jǐn)慎使用免費的Wi－Fi，慎重安裝甚至放棄安裝獲取權(quán)限較多的應(yīng)用軟件。

4、加強密碼保護(hù)。密碼不僅是最基本最常用的自我保護(hù)措施，更是網(wǎng)絡(luò)確權(quán)的第一道屏障，所以消費者一定要保管好自己的密碼，并且經(jīng)常性的在使用一段時間后采取字母、數(shù)字和符號組合的形式進(jìn)行修改，增強破解的難度，提高密碼的安全性。

5、密切關(guān)注銀行和其他資金賬戶。銀行、信用卡公司、網(wǎng)上第三方支付平臺都會形成消費記錄單，查看非常方便，網(wǎng)購者要養(yǎng)成經(jīng)常性核對賬單的習(xí)慣。此外，要密切關(guān)注大宗消費、異常消費以及在某一個商家重復(fù)多次消費等反常消費的通知，尤其要留意陌生賬號產(chǎn)生的費用。

(二)客觀層面的相關(guān)建議

從客觀層面出發(fā)，政府和行業(yè)協(xié)會是保護(hù)交易打擊違法行為的裁判員，政府通過加強立法和出臺相應(yīng)的行政法規(guī)，行業(yè)通過規(guī)范業(yè)務(wù)流程和加強自律等形式來保障電子商務(wù)下的個人信息安全。而電子商務(wù)網(wǎng)站作為網(wǎng)購的平臺要不斷的提高其網(wǎng)站的安全性，從源頭防范消費者的個人信息安全問題。具體建議如下:

1、健全法律法規(guī)，明確執(zhí)法流程

我國法律體系中，涉及個人信息保護(hù)的法律過于零散。建議通過建立個人隱私保護(hù)法，整合已有的法律條例，明確個人隱私數(shù)據(jù)保護(hù)的范圍。規(guī)定對個人數(shù)據(jù)收集、使用、發(fā)布、共享的合理權(quán)限，對違反規(guī)定的企業(yè)組織以及所有參與方，以對個人生活或財產(chǎn)造成后果的嚴(yán)重程度為評判標(biāo)準(zhǔn)，予與嚴(yán)厲的刑事處罰，承擔(dān)相應(yīng)的刑事責(zé)任。

2、提高行業(yè)自律和加強行業(yè)的監(jiān)管

為了提高行業(yè)的自律性，應(yīng)建立責(zé)任承擔(dān)的隱私保護(hù)模式，該模式強調(diào)數(shù)據(jù)使用者應(yīng)該承擔(dān)責(zé)任。通過制定相關(guān)的行業(yè)規(guī)定對侵權(quán)行為以及違法行為進(jìn)行約束，同時制定相關(guān)行業(yè)從業(yè)人員的社會責(zé)任、信息安全技術(shù)以及信息交流等方面的道德規(guī)范，從各方面來加強互聯(lián)網(wǎng)的行業(yè)自律性，保證公民信息的安全性。提高行業(yè)自律的同時也要加強行業(yè)監(jiān)管，建議政府主管部門依法加強涉及個人信息的產(chǎn)品和服務(wù)的檢測和認(rèn)證，鼓勵建立第三方安全評估與監(jiān)測機(jī)制，加強對個人信息接觸界面、流轉(zhuǎn)環(huán)節(jié)和傳播渠道的監(jiān)測和管理。

3、電子商務(wù)網(wǎng)站建立安全管理體系

保護(hù)網(wǎng)絡(luò)用戶的信息安全與隱私是電子商務(wù)網(wǎng)站應(yīng)盡的責(zé)任與義務(wù)，因此電子商務(wù)網(wǎng)站要建立完善的安全管理體系來保障個人信息安全。首先，建立專門對客戶信息進(jìn)行監(jiān)控和管理的敏感崗位，防止操作人員監(jiān)守自盜，杜絕客戶信息從網(wǎng)站內(nèi)部被盜取、倒賣以及其他直接損害客戶利益的行為。同時，加強技術(shù)手段保護(hù)信息安全水平。技術(shù)是個人信息保護(hù)與反保護(hù)的核心，正是因為網(wǎng)站自身監(jiān)控不足，不法分子才能通過各種手段獲取客戶信息。網(wǎng)站應(yīng)及時更新技術(shù)防范水平，快速堵塞程序漏洞和泄露渠道。

4、大數(shù)據(jù)下個人信息保護(hù)技術(shù)

通過閱讀大量文獻(xiàn)，提出采用分級分類保護(hù)技術(shù)結(jié)合在數(shù)據(jù)層、應(yīng)用層和數(shù)據(jù)展示層對個人信息進(jìn)行保護(hù)的技術(shù)防護(hù)手段，具體內(nèi)容如下:

分級分類保護(hù)技術(shù)是依據(jù)四個劃分要素，按照保護(hù)級別的高低對個人信息進(jìn)行分類分級管理 (如表2所示)。

表2 個人隱私保護(hù)范圍及其分類依據(jù)

數(shù)據(jù)層的信息保護(hù)主要是指對數(shù)據(jù)的存儲和管理的保護(hù)。采取數(shù)據(jù)加密和訪問控制的雙重機(jī)制，防止入侵者竊取和篡改重要數(shù)據(jù)，對用戶行為進(jìn)行審計，將用戶的行為記錄在審計日志中，作為重要事件的追蹤依據(jù)。同時引入第三方審計，也稱隱私保護(hù)公共審計，在不對用戶新增數(shù)據(jù)威脅的前提下檢測數(shù)據(jù)的安全性。應(yīng)用層的信息保護(hù)體現(xiàn)在數(shù)據(jù)傳輸前進(jìn)行匿名，同時使用差分隱私保護(hù)技術(shù)，在數(shù)據(jù)集中加入滿足特定分布的隨機(jī)噪聲，使得接受者對收到數(shù)據(jù)無法作關(guān)聯(lián)推斷，形成高級別的隱私保護(hù)。數(shù)據(jù)展示層的信息保護(hù)通過采用細(xì)粒度的訪問控制機(jī)制。在這種機(jī)制下，用戶可以控制自己的敏感信息是否對外發(fā)布或者對哪些人發(fā)布，或者通過編輯許可約束限制權(quán)或指定條件進(jìn)行限定，從而在保護(hù)個人信息時掌握更加主動的控制權(quán)。同時企業(yè)也可以依據(jù)用戶的設(shè)置來確定信息的保護(hù)范圍和保護(hù)級別，并對他們的信息進(jìn)行更為合理的存儲、管理、使用和發(fā)布，在提供更人性化的服務(wù)的同時保護(hù)個人隱私。

圖2 個人隱私保護(hù)技術(shù)圖

四、總結(jié)

本文是在閱讀大量文獻(xiàn)的基礎(chǔ)上，基于最新的網(wǎng)絡(luò)市場和網(wǎng)絡(luò)安全現(xiàn)狀為背景，對我國網(wǎng)購環(huán)境中的個人信息安全問題進(jìn)行研究。本文的創(chuàng)新之處有兩點，一是提出從消費者自身主動無意識和被動不可控兩個角度對威脅個人信息的渠道進(jìn)行了區(qū)分和擴(kuò)充，增加了物流和大數(shù)據(jù)技術(shù)兩個渠道，構(gòu)建了威脅個人信息的渠道分析圖。二是構(gòu)建了大數(shù)據(jù)下個人隱私保護(hù)技術(shù)圖。本文的局限性在于對大數(shù)據(jù)的研究還處于較淺的層面，提出的個人隱私保護(hù)技術(shù)還可繼續(xù)完善，所以針對大數(shù)據(jù)時代下個人信息安全問題的研究在今后還可繼續(xù)深入。

［1］中國互聯(lián)網(wǎng)絡(luò)信息中心.2014年中國網(wǎng)絡(luò)購物市場研究報告［EB/OL］. http://www. cnnic. net. cn/hlwfzyj/hlwxzbg/dzswbg/201509/P020150909354828731159.pdf.

［2］360互聯(lián)網(wǎng)安全中心.2014年上半年中國網(wǎng)購安全報告［EB/OL］.http://wenku.baidu.com/linkurl=QBxKSNA79HbeeaSwsbkcPEdBK eyrrc7i3SqGLKXjfiDlL8Inq9DZ_9jV4LEy6omzvPkslwkkHGTmmGf7aOsQ zJr_n4HFHk9E4Tw5MprHrTS.

［3］林祥星.網(wǎng)絡(luò)購物過程中關(guān)于個人信息安全問題的剖析 ［J］.信息安全與技術(shù)，2013，(3)，3－5.

［4］商曉陽.網(wǎng)購中個人信息安全面臨的威脅及其主動防范對策［J］.科技信息.2013(9):159.

［5］唐雅雯，王魯一，呂文清，李柯瀅.以網(wǎng)絡(luò)購物個人信息安全現(xiàn)狀為角度對隱私權(quán)保護(hù)的研究［J］.新經(jīng)濟(jì)，2015:17－18.

［6］劉雅輝，張鐵贏，靳小龍，程學(xué)旗.大數(shù)據(jù)時代的個人隱私保護(hù)［J］.計算機(jī)研究與發(fā)展.2014.52(1):229－243.