肖自碧,杨 波

(武汉科技大学理学院,湖北武汉430081)

电子商务中的个人隐私保护问题及技术研究

肖自碧,杨 波

(武汉科技大学理学院,湖北武汉430081)

安全是当前全球电子商务环境中至关重要的需求,是未来电子商务成功与否的关键因素。在电子商务过程中如何保护个人隐私是亟待解决的问题。目前,可采用的隐私保护措施主要有行业自律、政府立法、提高消费者的防范意识以及利用各种安全技术。

电子商务安全;隐私保护;安全技术

Internet的飞速发展,带动了电子商务的迅猛发展。电子商务作为新兴的商务模式,给人们带来方便、快捷、廉价、高效的商务活动,是未来商务发展的一个必然趋势。然而,由于Internet的开放性和其他各种因素的影响,网络的强大功能在给人们带来便利的同时,也使得用户的大量个人信息在未经许可的情况下被收集和利用。在网络传播中,个人隐私权受到了严重的挑战。调查表明消费者对电子商务的安全担忧造成零售商的巨大损失,而消费者不接受网上购物的主要原因是担心通过网络会泄露个人隐私数据。因此,如何保护网上个人隐私信息安全是电子商务成功与否的关键因素。

一、隐私保护问题

美国互联网犯罪投诉中心(IC3)的统计数据表明消费者的安全担忧主要有:拍卖欺骗、商品未交付、信用卡欺骗、计算机入侵、垃圾邮件等网络犯罪。除此之外,消费者还担心个人信息的安全。造成用户隐私受到威胁的原因很多,其中Internet的结构特性和各种网络技术成为网络隐私泄露的主要原因。

Internet的开放与共享,为人们搜集个人隐私、非法散布隐私提供了平台。在电子商务市场中,为了有效实施数据开发、一对一营销、客户关系管理和个性化服务等发展策略,电子商务企业不得不要求用户注册并且提供相关个人信息,包括身份、年龄、出生年月、身份证号、收入、职业、个人爱好、电话号码、电子邮件地址、上网卡号、认证密码等。这些信息可能在未经消费者允许的情况下被收集和保存。由于消费者不知道网站会如何处理他们的这些个人信息,因此会引发消费者对于身份可能被盗用和隐私权可能受到侵犯的忧虑。最可怕的隐私威胁是用户信息可能被商家非法利用,如:故意传播、泄漏、擅自篡改个人信息或出售给第三方。消费者身份信息被盗用可能导致信用卡失窃等后果。

造成电子商务隐私信息泄露的原因还有Cookies和网站bugs。Cookies是一种由服务器创建并存储在客户端的数据结构,记录了用户账户、密码信息、访问的网页、访问时间等信息。利用Cookies可以跟踪每个上网者在网络上的各种活动,如所浏览过的网页和商品。Cookies通常是以隐蔽的方式接入用户的行为,用户的信息被读走了,他根本感觉不到。网站bugs是第三方站点为了解用户的行为而在网页中嵌入的无法看见的小图像,多为1个像素大小。访问该网页的用户在毫无知觉的情况下就会受到监视,用户的IP地址、域名、所属组织等详细信息,以及浏览的内容、购物习惯、收发电子邮件的行为等都可能被第三方掌握。

二、保护隐私的手段

1.行业自律和法律保障

政府立法是加强在线隐私保护的极其必要和有效的手段。通过法律的具体规定对电子商务企业在网上搜集用户数据和隐私的行为提出一定的限制,使其在网上搜集用户隐私材料的行为更规范,相对于用户来讲更透明,对网上贸易涉及的敏感性资料和个人数据给予法律保护。

但是网络信息空间广、容量大、传输快,单纯依靠政府通过立法或司法监督来切实保护网上隐私权不大可能。因此,很多网络业发达的国家在加强立法的同时鼓励行业自律,依照法律和行业惯例制定个人资料使用政策和隐私权保护政策。例如,在行业内部组建独立的非营利性的组织,对申请认证的网络运营商的隐私政策和实施情况进行调查,凡是符合隐私行业指引的网络运营商可以通过认证,并可以在其网站或网页上张贴认证标志;网络运营商在网站的醒目位置设置隐私政策声明栏目,发布隐私政策声明以表明对用户隐私权的充分重视。这既有利于提高网络运营商的商业信誉,也可以增添用户使用互联网的信心,扫除消费商对个人隐私保护的忧虑。从促进电子商务产业发展的角度来说,行业自律是隐私保护模式的首选。

2.提高消费者防范意识

消费者上网时应随时注意,不向网站泄露自己的真实情况,不把重要的信息存放在电脑中,不随便使用网上下载的软件,养成良好的浏览习惯,定期清除历史记录,访问完网站之后通过浏览器的Internet选项,删除过时的Cookies文件。对于部分被保存在内存中的Cookies,可借助注册表编辑器来修改系统设置,使得关闭IE浏览器时自动把Cookies文件删除。消费者还可以安装Cookies管理工具,如Limit Software公司的Cookie Crusher,有效地防止Cookies泄露隐私。Web Bugs是一种比Cookies更厉害的网络跟踪方式,使用IDcide公司制作的软件IDcide Privacy Companion,能避免被Web Bugs追踪,从而避免个人资料泄密,保护消费者的隐私。

3.主要技术手段

保护个人隐私的技术方法通常分为两类,一类是通过匿名通信信道,另一类是在在线交易中尽量减少提交给电子商务网站的个人信息。

(1)P3P。P3P(Platform for Privacy Preferences)是万维网联盟(W3C)公布的隐私保护推荐标准,旨在为网上冲浪的用户提供个人信息保护,减轻消费者因网站收集个人信息所引发的对于隐私权可能受到侵犯的忧虑,使消费者和企业用户能够对电子商务的应用树立起更多的信心。P3P向用户提供了保护个人隐私信息的可操作性,用户在P3P提供的个人隐私保护策略下,能够清楚地明白网站对自己的隐私信息做何种处理。

P3P的工作过程如下:用户将他的个人隐私偏好设定在P3P软件的选项中,可设定为当任何网站收集或贩卖个人网上信息的时候禁止进入该站点或者提醒用户。一旦设定,该软件将同用户的浏览器程序一同运行,每一个受访的站点都会发送某种形式的机器语言的提议到用户的电脑中。如果该站点的信息收集行为同P3P中设定的标准相符,则关于隐私的协定就可以自动的缔结,而用户亦可毫无阻碍地浏览该站点。但是如果不符,用户必须迅速地决定是否进入该网站,这通常会以对话框的形式出现,以便于消费者做出选择。

(2)密码技术。电子商务建立在开放的网络环境中,利用密码技术不仅可以保证通信及存储数据的安全,还可以有效地用于报文认证、数字签名等,使脆弱的网络变得相对安全。

通过对在公开网络上传输的交易信息进行加密处理,能预防信息在传输过程中被非法窃取。通过数字摘要和数字签名等密码技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求,从而较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁。

(3)密码协议。安全套接层SSL(Secure Sockets Layer)协议是1994年网景公司为其产品Netscape Navigator设计的数据传输安全标准,主要是在因特网环境下为交易双方在交易的过程中提供最基本的点对点通信安全协议,以避免交易信息在通信的过程中被拦截、窃取、伪造及破坏。也就是说,该协议仅是为因特网环境下的通信双方提供的安全通信协议,而不是一个完整的安全交易协议。SSL定位于传输层与应用层之间,因此可以很好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。当SSL客户和服务器首次开始通信时,通过一次“握手”过程,就协议版本、加密算法的选择、是否验证对方及公钥加密技术的应用进行协商,从而产生共享的秘密,建立客户和服务器之间的一条安全通信通道,保证传输数据的安全。SSL被广泛应用于保护消费者传输的消息,如信用卡号等敏感数据。

(4)安全电子支付协议。安全电子交易SET (Secure Electronic Transaction)协议,是美国Visa和MasterCard两大信用卡组织联合其他一些业界厂商制定的,能保证在开放网络(包括Internet)上进行安全支付的技术标准。SET主要针对开放网络环境下用户、商家和银行之间通过信用卡支付的交易,确保支付信息的保密性、支付过程的完整性、商家及持卡人身份的合法性以及可操作性。

(5)VPN。虚拟专用网VPN(Virtual Private Network)是以身份认证、数据加密和密钥交换技术为基础,在开放的公共网络上建立安全专用隧道的网络。它通过对网络数据的封装和加密传输,依靠网络服务提供者(ISP)和其他网络服务提供者(NSP),在不安全、不可信任的公共互联网络上建立一个临时的、安全的连接,实现在公网上传输私有数据,却能给用户提供一种私人专用的效果,达到私有网络的安全级别。VPN通常是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接,并保证数据的安全传输。

(6)PKI。PKI是在公钥密码理论和技术的基础上发展起来的一种综合性安全平台,能够透明地为所有的网络应用提供加密和数字签名等密码服务所必需的密钥和证书管理,从而保证网上传递信息的安全、真实、完整和不可抵赖性。利用PKI可以方便地建立和维护一个可信的网络环境,使人们在这个无法直接相互面对的环境里,能够确认彼此的身份和所交换的信息,从而安全地从事商务活动。PKI包括证书机构CA、注册机构RA,证书目录和管理系统。CA通过对一个包含身份信息和相应公钥的数据结构进行数字签名来捆绑用户的公钥和身份,这个数据结构称为公钥证书。

三、结论

隐私方面的担忧让消费者对上网感到顾虑重重,网络隐私问题成为制约电子商务发展的最大障碍。如果在线个人隐私能够真正得到切实有效的保护,则有望使更多的消费者对基于Internet的电子商务充满信心并参与其中,从而为电子商务的长远发展奠定基石。能够为消费者带来充足安全感的理想的隐私保护解决方法是将各种方法组合起来,包括立法保护、行业自律、消费者自我保护、以及各种技术手段。将以上方法整合在一起将为消费者带来他们所期望的高级别的隐私保障。

[1]Kraft,TA and R Kakar.E-Commerce Security[C].Proceedingsof the Conference on Information Systems Applied Research,2009: 3364.

[2]毕娅,胡胜红.浅探电子商务中个人隐私安全及P3P技术[J].计算机安全,2003(6):54-55.

[3]管有庆,王晓军,董小燕.电子商务安全技术[M].北京邮电大学出版社,2005.

责任编辑:周小梅

F713.36

A

1009-1890(2010)03-0010-03

2010-08-13

肖自碧(1974-),女,汉族,湖北武汉人,武汉科技大学理学院讲师,硕士,主要研究方向:信息安全。