◆賀金蘭 羅一民 滕麗萍

（江蘇警官學(xué)院 江蘇 210012）

社交網(wǎng)絡(luò)用戶隱私安全問題及其保護

◆賀金蘭 羅一民 滕麗萍

（江蘇警官學(xué)院 江蘇 210012）

社交網(wǎng)絡(luò)的蓬勃發(fā)展，為信息的傳播與分享提供了平臺，深刻地改變了每一位網(wǎng)民的生活。但當(dāng)用戶在享受社交網(wǎng)絡(luò)帶來的個性化服務(wù)的同時，利用網(wǎng)絡(luò)侵犯用戶個人隱私的事件也是屢見不鮮，給用戶帶來了極大困擾，也阻礙了社交網(wǎng)絡(luò)的進一步發(fā)展。因此，用戶隱私保護問題亟待解決。本文通過分析社交網(wǎng)絡(luò)用戶隱私安全問題產(chǎn)生的原因，介紹了社交網(wǎng)絡(luò)安全問題的種類，重點提出了對于隱私數(shù)據(jù)安全保護措施與建議。

社交網(wǎng)絡(luò)；隱私安全；技術(shù)方案；法律法規(guī)

1 社交網(wǎng)絡(luò)用戶隱私安全產(chǎn)生原因

1.1 用戶自身的行為意識與隱私保護之間的矛盾

在社交網(wǎng)絡(luò)中，一方面，用戶對于自身的信息安全感知度低，隱私容易泄露，商業(yè)推廣及網(wǎng)絡(luò)詐騙極易發(fā)生，在此情況下，用戶迫切地希望自身的信息能夠被保護；另一方面，為了提高用戶體驗，用戶又樂此不疲地在各類社交網(wǎng)站上注冊并填寫個人資料。雖然用戶也擔(dān)心著各式各樣的個人隱私安全問題，但卻并沒有因此而節(jié)制自己的個人信息披露行為，這種現(xiàn)象被有些學(xué)者稱作“隱私悖論”?？▋?nèi)基·梅隆大學(xué)曾對其在校本科生做過調(diào)查研究，發(fā)現(xiàn)大多數(shù)學(xué)生在其 Facebook上提供的個人信息非常全面，其中還包括自己的感情狀況及政治主張，然而，只有相當(dāng)少的一部分學(xué)生進行了隱私設(shè)置。同樣，據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的《2015 年中國手機網(wǎng)民網(wǎng)絡(luò)安全狀況報告》顯示，截至2015年底，手機網(wǎng)民中會主動查看手機軟件隱私權(quán)限的用戶僅占35.8%，只有8%的用戶會通過手機安全軟件的提示留意手機應(yīng)用的隱私權(quán)限，高達 56.2%的用戶完全沒有注意過手機應(yīng)用的隱私權(quán)限問題。[1]可見，“隱私悖論”現(xiàn)象普遍存在，網(wǎng)民缺乏基本的個人信息保護意識，對于社交網(wǎng)站采取何種措施保護其隱私數(shù)據(jù)漠不關(guān)心，這無疑增加了用戶隱私泄露的風(fēng)險。

1.2 網(wǎng)絡(luò)服務(wù)提供商的盈利需求與隱私保護之間的沖突

社交網(wǎng)絡(luò)服務(wù)提供商的盈利需求與用戶隱私安全的矛盾關(guān)系是與生俱來的。社交網(wǎng)站服務(wù)提供商為了擴大經(jīng)濟效益，加強各網(wǎng)站間的合作，就勢必要收集大量的用戶個人信息。目前，安卓生態(tài)環(huán)境令人擔(dān)憂，據(jù)中國互聯(lián)網(wǎng)數(shù)據(jù)中心數(shù)據(jù)顯示，在國內(nèi)各類Android市場下載量前1400位的APP內(nèi)，有66.9%的智能手機移動應(yīng)用在抓取用戶隱私數(shù)據(jù)。[2]社交應(yīng)用打著各式各樣的旗號讀取用戶手機相冊、通訊錄，并美其名曰提高用戶體驗。社交網(wǎng)絡(luò)服務(wù)商讀取采集到的用戶信息越詳細，其所蘊含的商業(yè)價值也就越高。

1.3 我國網(wǎng)絡(luò)隱私權(quán)立法不完善

我國是世界上社交網(wǎng)絡(luò)發(fā)展最快的國家，然而，截止到目前，我國關(guān)于網(wǎng)絡(luò)隱私權(quán)保護的規(guī)范性文件只有一部人大常委會通過的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》及7個部委規(guī)章。在此之前，2013年實行的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》充其量是一部數(shù)據(jù)信息保護總則，并沒有起到實質(zhì)性的保護作用。[3]較之網(wǎng)絡(luò)隱私權(quán)保護的相對完善的美國來說，不管是規(guī)范性文件的數(shù)量還是此類文件的效力，都遠遠超過了我國。另外，我國對于隱私權(quán)的立法方面還比較分散，相關(guān)立法只是將隱私權(quán)歸于人格權(quán)當(dāng)中的名譽權(quán)進行保護，網(wǎng)絡(luò)隱私權(quán)更是無法可依，對于侵犯他人網(wǎng)絡(luò)隱私權(quán)所應(yīng)承擔(dān)的法律責(zé)任更是無章可循。

2 社交網(wǎng)絡(luò)用戶隱私安全問題種類

2.1 用戶自身的疏忽導(dǎo)致隱私的泄露

（1）社交網(wǎng)站注冊賬號時，用戶填寫個人資料信息時總是用真實信息，無意識地增加了社交網(wǎng)絡(luò)賬號間的關(guān)聯(lián)度。

（2）登錄密碼設(shè)置簡單，部分用戶總是采用較短并簡單的數(shù)字密碼，還有用戶為了方便記憶，將自己的大部分社交網(wǎng)站密碼設(shè)置為同一個，這樣加大了密碼泄露的風(fēng)險。

（3）用戶將重要的個人隱私數(shù)據(jù)與生活記錄存儲在社交空間。如今，幾乎所有的社交網(wǎng)站都有個人信息訪問權(quán)限設(shè)置，但是很多用戶根本不關(guān)心甚至不去設(shè)置，使得不法分子只要借助站內(nèi)的搜索引擎，就可以登錄用戶個人主頁，獲取其個人隱私。

（4）用戶在使用移動終端或者個人電腦時，隨意安裝不明插件，有時，登錄終端并未安裝防火墻等安防設(shè)備，使得賬號被盜取的風(fēng)險加大。

（5）手機等便攜式終端的普及，使得有相當(dāng)大比例的用戶總是長時間登錄各大社交網(wǎng)站，這也給不法分子留下了大量的作案時間[4]。

2.2 社交網(wǎng)站自身原因?qū)е掠脩綦[私的泄露

隨著社交網(wǎng)站的快速發(fā)展，社交網(wǎng)站掌握了海量的用戶信息，因此社交網(wǎng)站本身的安全性對于用戶隱私安全保護具有極其重要的意義。

（1）網(wǎng)站之間共享用戶隱私數(shù)據(jù)

不同的社交網(wǎng)站之間，出于對營銷、宣傳等方面的考量，都會產(chǎn)生用戶互補的需求，這就導(dǎo)致了在用戶不知情的情況下用戶隱私被泄露，共享用戶隱私信息的情況是普遍存在的。

（2）社交網(wǎng)站售賣用戶隱私數(shù)據(jù)

一些社交網(wǎng)站出于某些利益，在違背用戶本意的情況下，故意泄露用戶隱私，將用戶郵箱，QQ號，手機號等隱私信息出售，造成隱私信息泄露。例如，MySpace就曾將其用戶信息包括用戶的各項活動內(nèi)容出售給第三方，該信息甚至由專門的網(wǎng)絡(luò)數(shù)據(jù)公司進行出賣。也就是說，這種用戶信息的出售或者公開或者暗地的出賣是非常見的。

（3）社交網(wǎng)站自身漏洞造成用戶隱私泄露

與其他網(wǎng)站服務(wù)器一樣，社交網(wǎng)站在建設(shè)的過程中難免會存在各種漏洞。一些不法分子通過檢測技術(shù)搜尋相關(guān)漏洞，進而利用其竊取用戶隱私。近幾年，利用社交網(wǎng)站漏洞造成造成的隱私泄露案件頻頻發(fā)生。2011年12月CSDN用戶數(shù)據(jù)庫被攻擊，導(dǎo)致600多萬用戶郵箱賬號和對應(yīng)明文密碼泄露；2012年6月美國職業(yè)社交網(wǎng)站Linked In同樣造成650多萬用戶賬號泄露；而在國內(nèi)的一些大型社交網(wǎng)站如人人網(wǎng)、天涯論壇、新浪微博等均有被黑客攻擊導(dǎo)致用戶密碼泄露甚至篡改的情況。不法分子為了尋求用戶個人隱私數(shù)據(jù)信息，加大了對社交網(wǎng)站的攻擊力度[5]。

2.3 第三方應(yīng)用造成的隱私泄露

在社交網(wǎng)絡(luò)中，用戶不可避免地要安裝、使用各種類型的第三方應(yīng)用。一般在使用前，用戶需要簽署一份隱私協(xié)議書，表明用戶同意該應(yīng)用使用其個人信息，然而，大多數(shù)隱私說明都是類似的，只要用戶希望使用此第三方應(yīng)用，總是會簽署同意，這樣，該應(yīng)用就輕易地獲取到了用戶的信息。然而，目前大多數(shù)的第三方應(yīng)用使用的都是自己的服務(wù)器，其在運行時缺乏權(quán)威部門的監(jiān)管審查，難以保證數(shù)據(jù)流向，給用戶隱私帶來極大的安全隱患。

3 社交網(wǎng)絡(luò)用戶隱私安全保護措施

3.1 提高用戶隱私保護意識，節(jié)制自身數(shù)字化行為

（1）用戶在注冊社交網(wǎng)站并填寫個人資料前，要分析其存在的安全風(fēng)險。盡量不要填寫過于詳細的個人資料，尤其是家庭及收入情況，這些信息容易在不經(jīng)意間被不法分子收集，進而發(fā)生商業(yè)推廣和網(wǎng)絡(luò)詐騙。

（2）用戶在使用各類社交網(wǎng)站時，應(yīng)盡可能的設(shè)置復(fù)雜密碼，最好是既包含數(shù)字和字母，又包含符號的密碼，這樣做可以增強密碼的安全級別，抵御窮舉攻擊的能力也將增強。同時，用戶不要為了記憶方便，在多家社交網(wǎng)站上使用同一密碼組合，應(yīng)當(dāng)對于不同的賬號設(shè)置不同的密碼，減小賬號間的關(guān)聯(lián)度。

（3）謹(jǐn)慎添加好友?；诓煌缃痪W(wǎng)站之間的用戶互補性，網(wǎng)站之間會共享其擁有的用戶的隱私數(shù)據(jù)。當(dāng)你無意間添加了某個陌生人為好友之后，你可能會發(fā)現(xiàn)他在你的另一個社交網(wǎng)站上也成為了你的好友，甚至更多關(guān)聯(lián)的社交網(wǎng)站，這樣，即使是一個你從未謀面的陌生人，都有可能知道你最隱私的信息。

3.2 完善網(wǎng)站建設(shè)與防范技術(shù)，規(guī)范第三方應(yīng)用

（1）目前社交網(wǎng)站多采用Ajax技術(shù)，使得其更易成為被攻擊的對象。因此，程序員在進行社交網(wǎng)站的設(shè)計時，首先要滿足其安全性需求，同時要對跨站腳本攻擊進行多次檢測，將漏洞隱患降至最低。具體可以進行如下操作：第一，檢測用戶輸入內(nèi)容的可靠性，將代碼輸入到測試頁面中，檢查是否存在系統(tǒng)漏洞；第二，全面檢測網(wǎng)站的安全性，此方法需要使用漏洞檢測工具；第三，采用自動化檢測工具，對網(wǎng)站實時監(jiān)測，過濾其文本信息，消除潛在漏洞[6]。

（2）積極開發(fā)研究網(wǎng)絡(luò)安全防范技術(shù)。例如，采用分布式存儲與轉(zhuǎn)發(fā)模式分散用戶數(shù)據(jù)信息的儲存，降低用戶信息儲存過于集中引發(fā)的安全性問題。同時，可以設(shè)計一種群組化的信息共享方式，采取用戶自定義的訪問控制策略，對用戶信息采取群組化管理，授予用戶可訪問權(quán)限及訪問范圍，保障信息安全。此外，還可以結(jié)合新型的身份認(rèn)證方式，如使用二維碼掃描進行身份認(rèn)證，在信息的傳遞過程中用以確認(rèn)用戶的合法身份。

（3）加強對第三方應(yīng)用監(jiān)查管理。針對第三方應(yīng)用的防護，我們可以采用應(yīng)用隱私控制平臺XBook。XBook保證了在第三方應(yīng)用實現(xiàn)其所需功能的前提下，嚴(yán)格監(jiān)控信息流。在安裝應(yīng)用程序時，用戶通過XBook獲取該程序所需的用戶信息以及信息流向，進而決定是否安裝此應(yīng)用。通過XBook這一方式嚴(yán)格控制信息流，相比于從前直接將用戶信息交給第三方應(yīng)用要可靠得多。XBook通過將應(yīng)用程序的結(jié)構(gòu)分解，并對其各個部分進行安全性分析，限制客戶端與服務(wù)器端的功能，根據(jù)用戶自定義的要求加強信息監(jiān)控，對數(shù)據(jù)采取匿名化操作，實時監(jiān)控對外通信，解決了潛在的數(shù)據(jù)泄露問題，使得第三方應(yīng)用只能按照既定的規(guī)矩操作，進而避免了數(shù)據(jù)泄露。然而，XBook只是一個信息安全研究小組自己研發(fā)的系統(tǒng)，將其轉(zhuǎn)換整合到到社交網(wǎng)絡(luò)系統(tǒng)的工作量及其巨大，因此，將這一系統(tǒng)運用到所有的第三方應(yīng)用上，真正地實現(xiàn)用戶隱私數(shù)據(jù)的保護依然是艱巨的[7]。

3.3 完善隱私保護法律體系，強化國家監(jiān)督

針對關(guān)于網(wǎng)絡(luò)隱私權(quán)法律的不完善現(xiàn)狀，國家需要將隱私權(quán)作為獨立的民事權(quán)利，并對隱私權(quán)、網(wǎng)絡(luò)隱私權(quán)劃定內(nèi)容及范圍，做出明確規(guī)定。針對隱私權(quán)的特點做出相應(yīng)立法，詳細劃分執(zhí)法部門法律職能，并增強法律的可操作性。

在十八屆四中全會上決定完善網(wǎng)絡(luò)安全保護方面的法律法規(guī)后，第十二屆全國人大常委會第十五次會議初審?fù)ㄟ^了《中華人民共和國網(wǎng)絡(luò)安全法（草案）》，針對網(wǎng)絡(luò)主權(quán)、網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全、網(wǎng)絡(luò)運行安全、網(wǎng)絡(luò)數(shù)據(jù)安全、網(wǎng)絡(luò)信息安全等方面都進行了具體的制度設(shè)計，同時建立了網(wǎng)絡(luò)安全監(jiān)督管理體制和監(jiān)測預(yù)警與應(yīng)急處理機制。此外，《中華人民共和國國家安全法》頒布并實行，將“建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全保護能力”作為維護國家安全的重要職責(zé)。未來完善互聯(lián)網(wǎng)絡(luò)法律法規(guī)、加強各部門協(xié)作必將是我國未來網(wǎng)絡(luò)安全保護的大勢所趨。

4 結(jié)語

要想真正地改善社交網(wǎng)絡(luò)環(huán)境中存在的信息安全隱患，不僅需要依靠國家制定與完善相關(guān)的法律法規(guī)和監(jiān)管策略，明確職責(zé)，還需要相關(guān)執(zhí)法部門嚴(yán)格執(zhí)法，加強合作，嚴(yán)厲打擊信息安全相關(guān)的違法犯罪。同時，在技術(shù)層面，社交網(wǎng)站需要對其服務(wù)器安全性予以改進，程序員也要加強網(wǎng)站的安全性建設(shè)，研究開發(fā)先進的安全防范技術(shù)。除此之外，提升用戶安全防范意識、積極反饋社交網(wǎng)站安全問題也是信息安全保護不可缺少的一環(huán)，為用戶提供信息安全保護將會是未來網(wǎng)絡(luò)安全的主要方向。

[1] 2015年中國手機網(wǎng)民網(wǎng)絡(luò)安全狀況報告．

[2] 徐曉露．移動社交網(wǎng)絡(luò)用戶隱私安全問題及保護研究[D]．重慶大學(xué)，2014．

[3] 馬璇．大數(shù)據(jù)時代網(wǎng)絡(luò)隱私權(quán)的法律保護[J]．法制與社會，2017．

[4] 孟曉明，賀敏偉．社交網(wǎng)絡(luò)大數(shù)據(jù)商業(yè)化開發(fā)利用中的個人隱私保護[J]．圖書館論壇，2015．

[5] 趙振宇，騰林池，陳強，王浩宇．大數(shù)據(jù)時代社交網(wǎng)絡(luò)個人信息安全問題研究[J]．電腦知識與技術(shù)，2016．

[6] 馮文明．社交網(wǎng)絡(luò)安全問題及其解決方案[J]．電子技術(shù)與軟件工程，2016．

[7] 胡啟平，陳震．試析社交網(wǎng)絡(luò)環(huán)境中個人隱私保護[J]． 信息網(wǎng)絡(luò)安全，2010．

江蘇警官學(xué)院科學(xué)研究重點項目（2015SJYSZ03）；江蘇省教育廳高校哲學(xué)社會科學(xué)基金項目（大數(shù)據(jù)時代社交網(wǎng)絡(luò)用戶隱私保護問題研究2017SJB0471）；江蘇蘇警官學(xué)院科研創(chuàng)新團隊建設(shè)項目資助（2015SJYTZ03）。