論電子商務(wù)中網(wǎng)絡(luò )隱私安全的保護

[摘 要] 隨著(zhù)商務(wù)技術(shù)的,交易安全成為了電子商務(wù)發(fā)展的核心和關(guān)鍵,對網(wǎng)絡(luò )隱私數據(網(wǎng)絡(luò )隱私權)安 全的有效保護,成為電子商務(wù)順利發(fā)展的重要市場(chǎng)環(huán)境條件。網(wǎng)絡(luò )信息安全技術(shù)、信息安全協(xié)議、P2P技術(shù)成為網(wǎng)絡(luò ) 隱私安全保護的有效手段。
[關(guān)鍵詞] 電子商務(wù);網(wǎng)絡(luò )隱私權;信息安全技術(shù);安全協(xié)議;P2P技術(shù);安全對策
隨著(zhù)電子商務(wù)技術(shù)的發(fā)展,網(wǎng)絡(luò )交易安全成為了電子商務(wù)發(fā)展的核心和關(guān)鍵題目。在利益驅使下,有些商家在網(wǎng)絡(luò )者不知情或不情愿的情況下,采取各種技術(shù)手段取得和利用其信息,侵犯了上網(wǎng)者的隱私權。對網(wǎng)絡(luò )隱私權的有效保護,成為電子商務(wù)順利發(fā)展的重要市場(chǎng)環(huán)境條件。

一、網(wǎng)絡(luò )隱私權侵權現象

1.個(gè)人的侵權行為。個(gè)人未經(jīng)授權在網(wǎng)絡(luò )上宣揚、公然、傳播或轉讓他人、自己和他人之間的隱私;個(gè)人未經(jīng)授權而進(jìn)進(jìn)他人機系統收集、獲得信息或騷擾他人;未經(jīng)授權截取、復制他人正在傳遞的電子信息;未經(jīng)授權打開(kāi)他人的電子郵箱或進(jìn)進(jìn)私人網(wǎng)上信息領(lǐng)域收集、竊取他人信息資料。
2.貿易組織的侵權行為。專(zhuān)門(mén)從事網(wǎng)上調查業(yè)務(wù)的貿易組織進(jìn)行窺探業(yè)務(wù),非法獲取他人信息,利用他人隱私。大量網(wǎng)站為廣告商濫發(fā)垃圾郵件。利用收集用戶(hù)個(gè)人信息資料,建立用戶(hù)信息資料庫,并將用戶(hù)的個(gè)人信息資料轉讓、出賣(mài)給其他公司以謀利,或是用于其他貿易目的。根據紐約時(shí)報報道,BOO.com、Toysmart和CraftShop.com等網(wǎng)站,都曾將客戶(hù)姓名、住址、電子郵件甚至信用卡號碼等統計結果標價(jià)出售,以換取更多的資金。
3.部分軟硬件設備供給商的蓄意侵權行為。某些軟件和硬件生產(chǎn)商在自己銷(xiāo)售的產(chǎn)品中做下手腳,專(zhuān)門(mén)從事收集消費者的個(gè)人信息的行為。例如,某公司就曾經(jīng)在其生產(chǎn)的某代處理器內設置“安全序號”,每個(gè)使用該處理器的計算性能在網(wǎng)絡(luò )中被識別,生產(chǎn)廠(chǎng)商可以輕易地收到用戶(hù)接、發(fā)的信息,并跟蹤計算機用戶(hù)活動(dòng),大量復制、存儲用戶(hù)信息。
4.網(wǎng)絡(luò )提供商的侵權行為
(1)互聯(lián)網(wǎng)服務(wù)提供商(ISP Internet Service Provider)的侵權行為:①I(mǎi)SP具有主觀(guān)故意(直接故意或間接故意),直接侵害用戶(hù)的隱私權。例:ISP把其客戶(hù)的郵件轉移或封閉,造成客戶(hù)郵件丟失、個(gè)人隱私、貿易秘密泄露。②ISP對他人在網(wǎng)站上發(fā)表侵權信息應承擔責任。
(2)互聯(lián)網(wǎng)提供商(ICP Internet Content Provider)的侵權行為。ICP是通過(guò)建立網(wǎng)站向廣大用戶(hù)提供信息,假如ICP發(fā)現明顯的公然宣揚他人隱私的言論,采取放縱的態(tài)度任其擴散,ICP構成侵害用戶(hù)隱私權,應當承擔過(guò)錯責任。
5.網(wǎng)絡(luò )所有者或治理者的監視及***。對于局域網(wǎng)內的電腦使用者,某些網(wǎng)絡(luò )的所有者或治理者會(huì )通過(guò)網(wǎng)絡(luò )中心監視使用者的活動(dòng),***個(gè)人信息,尤其是監控使用人的電子郵件,這種行為嚴重地侵犯了用戶(hù)的隱私權。

二、網(wǎng)絡(luò )隱私權題目產(chǎn)生的原因

網(wǎng)絡(luò )隱私權遭受侵犯主要是由于互聯(lián)網(wǎng)固有的結構特性和電子商務(wù)發(fā)展導致的利益驅動(dòng)這兩個(gè)方面的原因。
1.互聯(lián)網(wǎng)的開(kāi)放性。從網(wǎng)絡(luò )本身來(lái)看,網(wǎng)絡(luò )是一個(gè)自由、開(kāi)放的世界,它使全球連成一個(gè)整體,它一方面使得搜集個(gè)人隱私極為方便,另一方面也為非法散布隱私提供了一個(gè)大平臺。由于互聯(lián)網(wǎng)成員的多樣和位置的分散,其安全性并不好�；ヂ�(lián)網(wǎng)上的信息傳送是通過(guò)路由器來(lái)傳送的,而用戶(hù)是不可能知道是通過(guò)哪些路由進(jìn)行的,這樣,有些人或組織就可以通過(guò)對某個(gè)關(guān)鍵節點(diǎn)的掃描跟蹤來(lái)竊取用戶(hù)信息。也就是說(shuō)從技術(shù)層面上截取用戶(hù)信息的可能性是顯然存在的。
2.網(wǎng)絡(luò )小甜餅cookie。某些Web站點(diǎn)會(huì )在用戶(hù)的硬盤(pán)上用文本文件存儲一些信息,這些文件被稱(chēng)為Cookie,包含的信息與用戶(hù)和用戶(hù)的愛(ài)好有關(guān)�，F在的很多網(wǎng)站在每個(gè)訪(fǎng)客進(jìn)進(jìn)網(wǎng)站時(shí)將cookie放進(jìn)訪(fǎng)客電腦,不僅能知道用戶(hù)在網(wǎng)站上買(mǎi)了些什么,還能把握該用戶(hù)在網(wǎng)站上看過(guò)哪些內容,總共逗留了多長(cháng)時(shí)間等,以便了解網(wǎng)站的流量和頁(yè)面瀏覽數目。另外,網(wǎng)絡(luò )廣告商也經(jīng)常用cookie來(lái)統計廣告條幅的點(diǎn)擊率和點(diǎn)擊量,從而分析訪(fǎng)客的上網(wǎng)習慣,并由此調整廣告策略。一些廣告公司還進(jìn)一步將所收集到的這類(lèi)信息與用戶(hù)在其他很多網(wǎng)站的瀏覽活動(dòng)聯(lián)系起來(lái)。這顯然侵犯了他人的隱私。
3.網(wǎng)絡(luò )服務(wù)提供商(ISP)在網(wǎng)絡(luò )隱私權保護中的責任。ISP對電子商務(wù)中隱私權保護的責任,包括:在用戶(hù)申請或開(kāi)始使用服務(wù)時(shí)告知使用因特網(wǎng)可能帶來(lái)的對個(gè)人權利的危害;告知用戶(hù)可以正當使用的降低風(fēng)險的技術(shù);采取適當的步驟和技術(shù)保護個(gè)人的權利,特別是保證數據的同一性和秘密性,以及網(wǎng)絡(luò )和基于網(wǎng)絡(luò )提供的服務(wù)的物理和邏輯上的安全;告知用戶(hù)匿名訪(fǎng)問(wèn)因特網(wǎng)及參加一些活動(dòng)的權利;不為促銷(xiāo)目的而使用數據,除非得到用戶(hù)的許可;對適當使用數據負有責任,必須向用戶(hù)明確個(gè)人權利保護措施;在用戶(hù)開(kāi)始使用服務(wù)或訪(fǎng)問(wèn)ISP站點(diǎn)時(shí)告知其所采集、處理、存儲的信息內容、方式、目的和使用期限;在網(wǎng)上公布數據應謹慎。
,網(wǎng)上的很多服務(wù)都是免費的,如免費電子郵箱、免費下載軟件、免費登錄為用戶(hù)或會(huì )員以接收一些信息以及一些免費的咨詢(xún)服務(wù)等,然而人們發(fā)現在接受這些免費服務(wù)時(shí),必經(jīng)的一道程序就是登錄個(gè)人的一些資料,如姓名、地址、工作、愛(ài)好愛(ài)好等,服務(wù)提供商會(huì )聲稱(chēng)這是為了方便治理,但是,也存在著(zhù)服務(wù)商將這些信息挪作他用甚至出賣(mài)的可能。

三、安全技術(shù)對網(wǎng)絡(luò )隱私權保護

1.電子商務(wù)中的信息安全技術(shù)
電子商務(wù)的信息安全在很大程度上依靠于安全技術(shù)的完善,這些技術(shù)包括:密碼技術(shù)、鑒別技術(shù)、訪(fǎng)問(wèn)控制技術(shù)、信息流控制技術(shù)、數據保護技術(shù)、軟件保護技術(shù)、病毒檢測及清除技術(shù)、內容分類(lèi)識別和過(guò)濾技術(shù)、系統安全監測報警技術(shù)等。
(1)防火墻技術(shù)。防火墻(Firewall)是近年來(lái)發(fā)展的最重要的安全技術(shù),它的主要功能是加強網(wǎng)絡(luò )之間的訪(fǎng)問(wèn)控制,防止外部網(wǎng)絡(luò )用戶(hù)以非法手段通過(guò)外部網(wǎng)絡(luò )進(jìn)進(jìn)內部網(wǎng)絡(luò )(被保護網(wǎng)絡(luò ))。
(2)加密技術(shù)。數據加密被以為是最可靠的安全保障形式,它可以從根本上滿(mǎn)足信息完整性的要求,是一種主動(dòng)安全防范策略。數據加密原理是利用一定的加密算法,將明文轉換成為無(wú)意義的密文,阻止非法用戶(hù)理解原始數據,從而確保數據的保密性。
(3)數字簽名技術(shù)。數字簽名(Digital??Signature)技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務(wù)安全保密系統中,數字簽名技術(shù)有著(zhù)特別重要的地位,在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認服務(wù)中都要用到數字簽名技術(shù)。
(4)數字時(shí)間戳技術(shù)。在電子商務(wù)交易的文件中,時(shí)間是十分重要的信息,是證實(shí)文件有效性的主要內容。在簽名時(shí)加上一個(gè)時(shí)間標記,即有數字時(shí)間戳(Digita Time-stamp)的數字簽名方案:驗證簽名的人或以確認簽名是來(lái)自該小組,卻不知道是小組中的哪一個(gè)人簽署的。指定批準人簽名的真實(shí)性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。



2.商務(wù)信息安全協(xié)議
(1)安全套接層協(xié)議(Secure Sockets Layer,SSL)。SSL是由Netscape Communication公司1994年設計開(kāi)發(fā)的,主要用于進(jìn)步程序之間的數據的安全系數。SSL的整個(gè)概念可以被為:一個(gè)保證任何安裝了安全套接層的客戶(hù)和服務(wù)器之間事務(wù)安全的協(xié)議,該協(xié)議向基于TCP/IP的客戶(hù)、服務(wù)器應用程序提供了客戶(hù)端與服務(wù)的鑒別、數據完整性及信息機密性等安全措施。
(2)安全電子交易公告(Secure Electronic Transactions,SET)。SET是為在線(xiàn)交易設立的一個(gè)開(kāi)放的、以電子貨幣為基礎的電子付款系統規范。SET在保存對客戶(hù)信用卡認證的條件下,又增加了對商家身份的認證。SET已成為全球的標準。
(3)安全超文本傳輸協(xié)議(S-HTTP)。依靠密鑰的加密,保證Web站點(diǎn)間的交換信息傳輸的安全性。SHTTP對HT-TP的安全性進(jìn)行了擴充,增加了報文的安全性,是基于SSL技術(shù)上的。該協(xié)議向互聯(lián)網(wǎng)的應用提供完整性、可鑒別性、不可抵賴(lài)性及機密性等安全措施。
(4)安全交易技術(shù)協(xié)議(STT)。STT將認證與解密在瀏覽器中分離開(kāi),以進(jìn)步安全控制能力。
(5)UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務(wù)標準。
3.P2P技術(shù)與網(wǎng)絡(luò )信息安全。P2P(Peer-to-Peer,即對等網(wǎng)絡(luò ))是近年來(lái)廣受IT業(yè)界關(guān)注的一個(gè)概念。P2P是一種分布式網(wǎng)絡(luò ),最根本的思想,同時(shí)它與C/S最明顯的區別在于網(wǎng)絡(luò )中的節點(diǎn)(peer)既可以獲取其它節點(diǎn)的資源或服務(wù),同時(shí),又是資源或服務(wù)的提供者,即兼具Client和Server的雙重身份。一般P2P網(wǎng)絡(luò )中每一個(gè)節點(diǎn)所擁有的權利和義務(wù)都是對等的,包括通訊、服務(wù)和資源消費。
(1)隱私安全性
①的Internet通用協(xié)議不支持隱躲通訊端地址的功能。攻擊者可以監控用戶(hù)的流量特征,獲得IP地址。甚至可以使用一些跟蹤軟件直接從IP地址追蹤到個(gè)人用戶(hù)。SSL之類(lèi)的加密機制能夠防止其他人獲得通訊的,但是這些機制并不能隱躲是誰(shuí)發(fā)送了這些信息。而在P2P中,系統要求每個(gè)匿名用戶(hù)同時(shí)也是服務(wù)器,為其他用戶(hù)提供匿名服務(wù)。由于信息的傳輸分散在各節點(diǎn)之間進(jìn)行而無(wú)需經(jīng)過(guò)某個(gè)集中環(huán)節,用戶(hù)的隱私信息被***和泄漏的可能性大大縮小。P2P系統的另一個(gè)特點(diǎn)是攻擊者不易找到明確的攻擊目標,在一個(gè)大規模的環(huán)境中,任何一次通訊都可能包含很多潛伏的用戶(hù)。
②目前解決Internet隱私主要采用中繼轉發(fā)的技術(shù),從而將通訊的參與者隱躲在眾多的網(wǎng)絡(luò )實(shí)體之中。而在P2P中,所有參與者都可以提供中繼轉發(fā)的功能,因而大大進(jìn)步了匿名通訊的靈活性和可靠性,能夠為用戶(hù)提供更好的隱私保護。
(2)對等誠信
為使得P2P技術(shù)在更多的電子商務(wù)中發(fā)揮作用,必須考慮到網(wǎng)絡(luò )節點(diǎn)之間的信任題目。實(shí)際上,對等誠信由于具有靈活性、針對性并且不需要復雜的集中治理,可能是未來(lái)各種網(wǎng)絡(luò )加強信任治理的必然選擇。
對等誠信的一個(gè)關(guān)鍵是量化節點(diǎn)的信譽(yù)度�；蛘哒f(shuō)需要建立一個(gè)基于P2P的信譽(yù)度模型。信譽(yù)度模型通過(guò)猜測網(wǎng)絡(luò )的狀態(tài)來(lái)進(jìn)步分布式系統的可靠性。一個(gè)比較成功的信譽(yù)度應用例子是在線(xiàn)拍賣(mài)系統eBay。在eBay的信譽(yù)度模型中,買(mǎi)賣(mài)雙方在每次交易以后可以相互提升信譽(yù)度,一名用戶(hù)的總的信譽(yù)度為過(guò)往6個(gè)月中這些信譽(yù)度的總和。eBay依靠一個(gè)中心來(lái)治理和存儲信譽(yù)度。同樣,在一個(gè)分布式系統中,對等點(diǎn)也可以在每次交易以后相互提升信譽(yù)度,就象在eBay中一樣。例如,對等點(diǎn)i每次從j下載文件時(shí),它的信譽(yù)度就提升( 1)或降低(-1)。假如被下載的文件是不可信的,或是被篡改過(guò)的,或者下載被中斷等,則對等點(diǎn)i會(huì )把本次交易的信譽(yù)度記為負值(-1)。就象在eBay中一樣,我們可以把局部信譽(yù)度定義為對等點(diǎn)i從對等點(diǎn)j下載文件的所有交易的信譽(yù)度之和。
每個(gè)對等點(diǎn)i可以存貯它自身與對等點(diǎn)j的滿(mǎn)足的交易數,以及不滿(mǎn)足的交易數,則可定義為:
S_ij=sat(i,j)-unsat(i,j)

四、電子商務(wù)中的隱私安全對策

1.加強網(wǎng)絡(luò )隱私安全治理。我國網(wǎng)絡(luò )隱私安全治理除現有的部分分工外,要建立一個(gè)具有高度權威的信息安全領(lǐng)導機構,才能有效地同一、協(xié)調各部分的職能,未來(lái)趨勢,制定宏觀(guān)政策,實(shí)施重大決定。
2.加快網(wǎng)絡(luò )隱私安全專(zhuān)業(yè)人才的培養。在人才培養中,要注重加強與國外的經(jīng)驗技術(shù)交流,及時(shí)把握國際上最先進(jìn)的安全防范手段和技術(shù)措施,確保在較高層次上處于主動(dòng)。
3.開(kāi)展網(wǎng)絡(luò )隱私安全立法和執法。加快立法進(jìn)程,健全體系。結合我國實(shí)際,吸取和鑒戒國外網(wǎng)絡(luò )信息安全立法的先進(jìn)經(jīng)驗,對現行法律體系進(jìn)行修改與補充,使法律體系更加和完善。
4.抓緊網(wǎng)絡(luò )隱私安全基礎設施建設。國民要害部分的基礎設施要通過(guò)建設一系列的信息安全基礎設施來(lái)實(shí)現。為此,需要建立的公然密鑰基礎設施、信息安全產(chǎn)品檢測評估基礎設施、應急響應處理基礎設施等。
5.建立網(wǎng)絡(luò )風(fēng)險防范機制。在網(wǎng)絡(luò )建設與經(jīng)營(yíng)中,由于安全技術(shù)滯后、道德規范蒼白、法律疲軟等原因,往往會(huì )使電子商務(wù)陷于困境,這就必須建立網(wǎng)絡(luò )風(fēng)險防范機制。建議網(wǎng)絡(luò )經(jīng)營(yíng)者可以在保險標的范圍內答應標保的財產(chǎn)進(jìn)行標保,并在脫險后進(jìn)行理賠。
6.強化網(wǎng)絡(luò )技術(shù)創(chuàng )新,重點(diǎn)研究關(guān)鍵芯片與內核編程技術(shù)和安全基礎。同一組織進(jìn)行信息安全關(guān)鍵技術(shù)攻關(guān),以創(chuàng )新的思想,超越固有的約束,構筑具有中國特色的信息安全體系。
7.注重網(wǎng)絡(luò )建設的規范化。沒(méi)有同一的技術(shù)規范,局部性的網(wǎng)絡(luò )就不能互連、互通、互動(dòng),沒(méi)有技術(shù)規范也難以形成網(wǎng)絡(luò )安全產(chǎn)業(yè)規模。目前,國際上出現很多關(guān)于網(wǎng)絡(luò )隱私安全的技術(shù)規范、技術(shù)標準,目的就是要在同一的網(wǎng)絡(luò )環(huán)境中保證隱私信息的盡對安全。我們應從這種趨勢中得到啟示,在同國際接軌的同時(shí),拿出既符合國情又順應國際潮流的技術(shù)規范。

:
[1]屈云波.電子商務(wù)[M].北京:治理出版社,1999.
[2]趙立平.電子商務(wù)概論[M].上海:復旦大學(xué)出版社,2000.
[3]趙戰生.我國信息安全及其技術(shù)研究[J].中國信息導報,1999,(8).
[4]曹亦萍.信息化與隱私權保護[J].政***壇,1998,(1).
[5]林聰榕.世界主要***安全的發(fā)展動(dòng)向[J].中國信息導報,2001,(1).

【論電子商務(wù)中網(wǎng)絡(luò )隱私安全的保護】相關(guān)文章：

電子商務(wù)與隱私權保護03-22

論信息安全技術(shù)在電子商務(wù)中的應用03-13

論網(wǎng)絡(luò )營(yíng)銷(xiāo)在現代電子商務(wù)中的實(shí)現03-22

論網(wǎng)絡(luò )運營(yíng)商對用戶(hù)隱私權的侵害03-21

論電子商務(wù)時(shí)代的網(wǎng)絡(luò )審計12-09

談電子商務(wù)中的網(wǎng)絡(luò )安全治理03-06

大數據時(shí)代信息安全與隱私保護論文06-26

論電子商務(wù)市場(chǎng)中的欺詐行為03-07

論版權保護中的利益平衡05-27