关于电子商务中的个人隐私保护问题及技术研究的调查

  随着电子商务在全球范围内的迅猛发展，电子商务中的各种网络安全问题和隐私保护日渐突出。大量的事实表明，安全是电子商务的关键问题。安全得不到保障，即使使用Internet再方便，电子商务也无法得到广大用户的认可。
  一、电子商务存在的主要安全问题
 电子商务就是指利用电子网络进行的商务活动。但是因为电子商务交易的不断增多，电子商务的安全问题也经常会出现，主要是在没有经过保护的网络环境中如何确保电子信息传递中的完整性、可靠性、真实性以及预防未经受权的非法入侵者这几个方面的问题上。
（一）数据被非法截获、读取或者修改
 在电子商务中，很多信息和资金都是以数据的形式在计算机网络中传输，很多传输还是远距离的。在这一过程当中，数据可能被别有用心者截获、读取，从而造成商业机密和个人隐私的泄密。更为严重的是，别有用心者还可能修改截获的信息数据，如：把资金的数量、货物的数量、交货方式等进行修改，这会非常严重地影响到电子商务的正常进行。
（二）冒名顶替和否认行为
 在电子商务运行中，由于各种交易不一定是面对面进行，如果在交易过中安全措施不完善，那么无法对电子信息发送者或者接收者的身份进行验证，那么很有可能别有用心者就有可能冒充合法用户发送或者是接收信息，从而这样会给合法用户造成一定的商务损失。另外，如果没有对交易者的身份进行验证，还可能会有否认行为的发生，即别有用心者会否认自己在网络上进行过的操作，也就是赖帐。
（三）一个网络的用户未经授权访问了另一个网络
 目前许多国内外企业的内部网（Intranet）通常与Internet相互连接在一起的，但是如果没有经过该企业的认证许可，外面的用户是不能够进入企业网进行访问。但是，在安全措施不得力的情况下，有的未经授权的非法用户会想办法窜入企业内部网，这就是所谓的“黑客”侵扰。有的“黑客”甚至会登录企业内部的核心服务器，给企业的信息系统安全造成极大的危害。
（四）计算机病毒
 计算机技术发展至今，新的计算机病毒层出不穷，千奇百样。Internet的出现，更是刺激了计算机病毒的不断传播。而且，计算机病毒的危害性也越来越严重。电子商务是一种依赖于计算机和计算机网络的新型的商务运作模式，危害计算机和计算机网络的计算机病毒自然对对电子商务造成了相当大的危害。
 二、电子商务中侵犯隐私权的表现形式
 在当今信息社会中，商务经营者对信息资源的渴求比任何时代都要强烈，对个人隐私的追逐方面也就越发无孔而不入。因此，在如今的电子商务的环境下，个人隐私权显得更加的脆弱，更加的容易受到侵犯。当我们随意浏览网页的时候，浏览的记录可能会被保留在某个服务器上；当我们通过E－mail发送个人邮件的时候，又怎能想到存在被偷窥的危险。电子商务中侵犯隐私权的表现形式主要表现在三个非常重要的领域，即：个人数据的收集，个人数据的利用和个人数据的交易。
（一）个人数据的收集
 1．侵犯通讯内容
 电子邮件因为其又便宜又快速的优点越来越为人们所接受，成为一种相当重要的通讯方式。无论是公务、商务还是私人性质的电子邮件在传输的过程中，都存在被拦截的可能。E－mail信箱也被认为是个人隐私最容易被侵犯的地方之一。
 2．要求消费者填写过于详细的个人数据
 目前的电子商务中有一种普遍的运作模式，就是在消费者上网浏览或者购物的时候，总被要求填写含有大量的个人数据的各式各样的表格，而这些表格中的个人数据因为过于详尽，而且所收集的个人数据是不是已经超过了需要的范围，收集这么多的个人数据为的是什么，对收集到的个人数据采用何种安全保障，都是消费者难以知悉和控制。这种貌似合理的诱使消费者主动透露个人数据的行为背后往往隐藏着经营者欺诈的恶意。
 3．恶意跟踪分析
 网络小甜饼Cookie导致电子商务隐私的泄露。上网时，某些Web站点会在用户的硬盘上用文本文件存储了一些信息，这些文件被称为Cookie。从技术层面看，若在访客进入网站时将Cookie放入访客电脑，就可以知道用户在网站上做了些什么、看过哪些内容、逗留多长时间等，以便了解网站的流量和页面浏览数量。从利益驱动面看，随着互联网巨大商机的出现，部分站点利用Cookie收集大量用户信息，并将这些信息转手卖给其他有商业目的的站点或组织（如网络广告商等），从中牟利。这显然侵犯了他人的隐私。
 4．侵入计算机系统获取个人数据
 从计算机网络诞生以来，网络的安全问题就一直是困扰各方的难题。虽然各种安全措施大量使用，侵入计算机系统的事件仍然层出不穷。删除、修改、窃取个人数据不但针对网络用户的个人电脑，而且以储存在政府、企业或者私人资料库中的个人数据为主要目标。
（二）个人数据的利用
 1．不当泄露
 经营者在向消费者收集个人数据的时候，往往会保证对个人数据的安全负责。但是，网络环境下存在太多的未知的客观因素，一旦经营者将消费者的个人数据不当泄露，就可能导致各种意想不到的后果。
 2．恶意传播
 恶意传播无论是对于传统的个人隐私，还是网络环境下的个人数据都是最为常见、最为原始的侵害方式。只不过现代科学技术为恶意传播提供了更加通畅的渠道和更为有效的武器。利用传播个人隐私，吸引人们的关注，提高网站点击率，是一些网站增加经济效益的惯用方式。
 3．为商业目的而使用
 商家把网上收集到的个人数据，存放在专门的数据库中，然后经过特殊的数据加工、数据挖掘等方法中得到其想要的商业价值的信息，经营者希望通过对消费者的个人数据分析，有针对性地为消费者提供服务，进一步开拓市场，是没有可以挑剔的。但关键在于消费者是否愿意接受这种服务，是否会有个人隐私被剥夺了的不好的感觉。因为在现实生活中，人们对洞察自己内心世界的行为，总是有一种本能的回避和排斥。
（三）个人数据的交易
 电子商务中的个人数据不但具有价值，更有可能有价值的商品。个人数据的私下买卖是在消费者完全不知情的情况下进行的，个人数据的买方付出金钱的代价购得个人数据，目的就是为了换取其中更大的收益。因此，一旦个人数据的交易完成，消费者的隐私权以及其他相关利益都将受到更严重的侵犯。
三、保护隐私的手段1.行业自律和法律保障
 政府立法是加强在线隐私保护的极其必要和有效的手段。通过法律的具体规定对电子商务企业在网上搜集用户数据和隐私的行为提出一定的限制,使其在网上搜集用户隐私材料的行为更规范,相对于用户来讲更透明,对网上贸易涉及的敏感性资料和个人数据给予法律保护。但是网络信息空间广、容量大、传输快,单纯依靠政府通过立法或司法监督来切实保护网上隐私权不大可能。因此,很多网络业发达的国家在加强立法的同时鼓励行业自律,依照法律和行业惯例制定个人资料使用政策和隐私权保护政策。例如,在行业内部组建独立的非营利性的组织,对申请认证的网络运营商的隐私政策和实施情况进行调查,凡是符合隐私行业指引的网络运营商可以通过认证,并可以在其网站或网页上张贴认证标志;网络运营商在网站的醒目位置设置隐私政策声明栏目,发布隐私政策声明以表明对用户隐私权的充分重视。这既有利于提高网络运营商的商业信誉,也可以增添用户使用互联网的信心,扫除消费商对个人隐私保护的忧虑。从促进电子商务产业发展的角度来说,行业自律是隐私保护模式的首选。  2.提高消费者防范意识  消费者上网时应随时注意,不向网站泄露自己的真实情况,不把重要的信息存放在电脑中,不随便使用网上下载的软件,养成良好的浏览习惯,定期清除历史记录,访问完网站之后通过浏览器的Internet选项,删除过时的Cookies文件。对于部分被保存在内存中的Cookies,可借助注册表编辑器来修改系统设置,使得关闭IE浏览器时自动把Cookies文件删除。消费者还可以安装Cookie管理工具,如Limit Software公司的Cookie Crusher,有效地防止Cookies泄露隐私。Web Bugs是一种比Cookies更厉害的网络跟踪方式,使用IDcide公司制作的软件IDcide Privacy Companion,能避免被Web Bugs追踪,从而避免个人资料泄密,保护消费者的隐私。  3.主要技术手段  保护个人隐私的技术方法通常分为两类,一类是通过匿名通信信道,另一类是在在线交易中尽量减少提交给电子商务网站的个人信息。(1)P3P。P3P(Platform for Privacy Preferences是万维网联盟(W3C)公布的隐私保护推荐标准旨在为网上冲浪的用户提供个人信息保护,减轻消费者因网站收集个人信息所引发的对于隐私权可能受到侵犯的忧虑,使消费者和企业用户能够对电子商务的应用树立起更多的信心。P3P向用户提供了保护个人隐私信息的可操作性,用户在P3P提供的个人隐私保护策略下,能够清楚地明白网站对自己的隐私信息做何种处理。P3P的工作过程如下:用户将他的个人隐私偏好设定在P3P软件的选项中,可设定为当任何网站收集或贩卖个人网上信息的时候禁止进入该站点或者提醒用户。一旦设定,该软件将同用户的浏览器程序一同运行,每一个受访的站点都会发送某种形式的机器语言的提议到用户的电脑中。如果该站点的信息收集行为同P3P中设定的标准相符,则关于隐私的协定就可以自动的缔结而用户亦可毫无阻碍地浏览该站点。但是如果不符,用户必须迅速地决定是否进入该网站,这通常会以对话框的形式出现,以便于消费者做出选择(2)密码技术。电子商务建立在开放的网络环境中,利用密码技术不仅可以保证通信及存储数据的安全,还可以有效地用于报文认证、数字签名等,使脆弱的网络变得相对安全。通过对在公开网络上传输的交易信息进行加密处理,能预防信息在传输过程中被非法窃取通过数字摘要和数字签名等密码技术可以直接满足身份认证、信息完整性、不可否认和不可修改等多项网上交易的安全需求,从而较好地避免了网上交易面临的假冒、篡改、抵赖、伪造等种种威胁(3)密码协议。安全套接层SSL(Secure Sockets Layer)协议是1994年网景公司为其产品Netscape Navigator设计的数据传输安全标准,主要是在因特网环境下为交易双方在交易的过程中提供最基本的点对点通信安全协议,以避免交易信息在通信的过程中被拦截、窃取、伪造及破坏。也就是说,该协议仅是为因特网环境下的通信双方提供的安全通信协议,而不是一个完整的安全交易协议。SSL定位于传输层与应用层之间,因此可以很好地封装应用层数据,不用改变位于应用层的应用程序,对用户是透明的。当SSL客户和服务器首次开始通信时,通过一次“握手”过程,就协议版本、加密算法的选择、是否验证对方及公钥加密技术的应用进行协商,从而产生共享的秘密,建立客户和服务器之间的一条安全通信通道,保证传输数据的安全。SSL被广泛应用于保护消费者传输的消息,如信用卡号等敏感数据。  (4)安全电子支付协议。安全电子交易SET(Secure Electronic Transaction)协议,是美国Visa和MasterCard两大信用卡组织联合其他一些业界厂商制定的,能保证在开放网络(包括Internet)上进行安全支付的技术标准。SET主要针对开放网络环境下用户、商家和银行之间通过信用卡支付的交易,确保支付信息的保密性、支付过程的完整性、商家及持卡人身份的合法性以及可操作性。  (5)VPN。虚拟专用网VPN (Virtual PrivateNetwork)是以身份认证、数据加密和密钥交换技术为基础,在开放的公共网络上建立安全专用隧道的网络。它通过对网络数据的封装和加密传输,依靠网络服务提供者(ISP)和其他网络服务提供者(NSP),在不安全、不可信任的公共互联网络上建立一个临时的、安全的连接,实现在公网上传输私有数据,却能给用户提供一种私人专用的效果,达到私有网络的安全级别。VPN通常是对企业内部网的扩展,通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接,并保证数据的安全传输。  (6)PKI。PKI是在公钥密码理论和技术的基础上发展起来的一种综合性安全平台,能够透明地为所有的网络应用提供加密和数字签名等密码服务所必需的密钥和证书管理,从而保证网上传递信息的安全、真实、完整和不可抵赖性。利用PKI可以方便地建立和维护一个可信的网络环境,使人们在这个无法直接相互面对的环境里,能够确认彼此的身份和所交换的信息,从而安全地从事商务活动。PKI包括证书机构CA、注册机构RA,证书目录和管理系统。CA通过对一个包含身份信息和相应公钥的数据结构进行数字签名来捆绑用户的公钥和身份,这个数据结构称为公钥证书。
 四、针对现有问题的解决对策
（一）保障电子商务系统安全的对策
 1.用户识别文件和口令。许多互联网研究机构都将私有性和保密性列为电子商务的首要问题。用户识别文件和口令在Internet之前的大型主机时代，就已经是安全的有效实现方法。在电子商务中，可以采用限制错误登录的次数、跟踪错误访问的办法，保护用户识别文件和口令的安全。
 2.数据加密。开放的Internet本身并不提供安全的传输路径，所以在电子商务中必须采用数据加密，保证帐户和交易数据的安全。超文本安全传输协议S－HTTP和安全套接层协议SSL是在Web端与浏览器端实现加密的应用技术，这两种技术使得数据对于没有密钥的人是毫无用处的，并且易于在商业领域应用。
 3.认证授权和数字认证CA是认证授权中心(CertficateAuthority)的简称，它和数字认证(DigitalCertificate)一起在电子商务的身份认证、不可否认性、数据私有加密钥管理方面起着主要的作用。CA是交易双方都信任的第三方机构，由它来证明参加交易各方的身份。在交易过程中CA将自己的数字签名附在所有的传送消息和公共密钥上。数字认证指的是附有CA签名的消息。参加交易方都必须信任CA，CA在交易前确认所有各方的身份，可见CA的主要任务在于管理而不是技术。CA在电子商务中，起着法律仲裁的作用，其工作相当于确定用户的数字签名能否得到法律的认可。但是只有在CA拥有了仲裁权以后，这种认证才有法律效应。在电子商务的发展过程中，CA的重要作用正在日益显现。
 4.虚拟专用网(VPN)虚拟专用网是利用Internet公用网络，通过隧道协议和安全方法传输企业专用数据的技术。虚拟专用网在传送数据前将其加密，在接收端进行解密，它的特点是不仅加密数据，而且加密接收双方的网络地址。同时VPN的用户验证方法也提供了更高一级的远程访问安全性。
 5.路由器和防火墙。路由器是在Internet上确定数据包下一个网络传输地址的网络设备，可能是专用的硬件设备，也可能是一个软件。防火墙是企业专用网和Internet公共网的连接点，控制来往的数据流，对受到的攻击进行登录、报告、报警。如果路由器和防火墙配置得当，可以有效防范非法用户。
 6.实施规划和方法。实施规划是在整个企业范围内，对内、外部用户访问数据文件进行限制，确定企业计算机系统的拓朴结构及关键数据的放置。在企业级的系统中，从硬件到软件，从操作系统到数据库，涉及各种各样的系统。应用的复杂性也在不断增加，问题也越来越多。如不同操作系统之间的资源共享，公共密钥的集中管理等。对于这种情况可以采取管理器/代理器的结构对系统安全进行统一管理。在这种模式下，只要更改系统的配置要求就可以适应系统结构、规模的变化，从而实现了系统安全的统一管理。
 五、总结
 近些年来，国际互联网发展速度之快，远远超出了人们的想象。互连网使人们的生活发生了巨大的变化。电子信息技术的发展是非常迅速的，我国对互联网时代到来后如何保护人们的权利做出了很大的努力，采取了很多措施，颁布了一些有关的法律法规，发布了一些司法解释等。但我国由于网络的广泛应用才几年的时间，因此指望在短时期内使网络中的安全和隐私权问题得到解决还是不太可能的，但是随着网络的成熟和技术的进步这些都将在不久后得到解决。隐私方面的担忧让消费者对上网感到顾虑重重,网络隐私问题成为制约电子商务发展的最大障碍。如果在线个人隐私能够真正得到切实有效的保护,则有望使更多的消费者对基于Internet的电子商务充满信心并参与其中,从而为电子商务的长远发展奠定基石。能够为消费者带来充足安全感的理想的隐私保护解决方法是将各种方法组合起来,包括立法保护、行业自律、消费者自我保护、以及各种技术手段。将以上方法整合在一起将为消费者带来他们所期望的高级别的隐私保障。
 

相关论文