論電子商務中網絡隱私安全的保護

[摘 要] 隨著商務技術的,交易安全成為了電子商務發(fā)展的核心和關鍵,對網絡隱私數據(網絡隱私權)安 全的有效保護,成為電子商務順利發(fā)展的重要市場環(huán)境條件。網絡信息安全技術、信息安全協議、P2P技術成為網絡 隱私安全保護的有效手段。
[關鍵詞] 電子商務;網絡隱私權;信息安全技術;安全協議;P2P技術;安全對策
隨著電子商務技術的發(fā)展,網絡交易安全成為了電子商務發(fā)展的核心和關鍵題目。在利益驅使下,有些商家在網絡者不知情或不情愿的情況下,采取各種技術手段取得和利用其信息,侵犯了上網者的隱私權。對網絡隱私權的有效保護,成為電子商務順利發(fā)展的重要市場環(huán)境條件。

一、網絡隱私權侵權現象

1.個人的侵權行為。個人未經授權在網絡上宣揚、公然、傳播或轉讓他人、自己和他人之間的隱私;個人未經授權而進進他人機系統收集、獲得信息或騷擾他人;未經授權截取、復制他人正在傳遞的電子信息;未經授權打開他人的電子郵箱或進進私人網上信息領域收集、竊取他人信息資料。
2.貿易組織的侵權行為。專門從事網上調查業(yè)務的貿易組織進行窺探業(yè)務,非法獲取他人信息,利用他人隱私。大量網站為廣告商濫發(fā)垃圾郵件。利用收集用戶個人信息資料,建立用戶信息資料庫,并將用戶的個人信息資料轉讓、出賣給其他公司以謀利,或是用于其他貿易目的。根據紐約時報報道,BOO.com、Toysmart和CraftShop.com等網站,都曾將客戶姓名、住址、電子郵件甚至信用卡號碼等統計結果標價出售,以換取更多的資金。
3.部分軟硬件設備供給商的蓄意侵權行為。某些軟件和硬件生產商在自己銷售的產品中做下手腳,專門從事收集消費者的個人信息的行為。例如,某公司就曾經在其生產的某代處理器內設置“安全序號”,每個使用該處理器的計算性能在網絡中被識別,生產廠商可以輕易地收到用戶接、發(fā)的信息,并跟蹤計算機用戶活動,大量復制、存儲用戶信息。
4.網絡提供商的侵權行為
(1)互聯網服務提供商(ISP Internet Service Provider)的侵權行為:①ISP具有主觀故意(直接故意或間接故意),直接侵害用戶的隱私權。例:ISP把其客戶的郵件轉移或封閉,造成客戶郵件丟失、個人隱私、貿易秘密泄露。②ISP對他人在網站上發(fā)表侵權信息應承擔責任。
(2)互聯網提供商(ICP Internet Content Provider)的侵權行為。ICP是通過建立網站向廣大用戶提供信息,假如ICP發(fā)現明顯的公然宣揚他人隱私的言論,采取放縱的態(tài)度任其擴散,ICP構成侵害用戶隱私權,應當承擔過錯責任。
5.網絡所有者或治理者的監(jiān)視及***。對于局域網內的電腦使用者,某些網絡的所有者或治理者會通過網絡中心監(jiān)視使用者的活動,***個人信息,尤其是監(jiān)控使用人的電子郵件,這種行為嚴重地侵犯了用戶的隱私權。

二、網絡隱私權題目產生的原因

網絡隱私權遭受侵犯主要是由于互聯網固有的結構特性和電子商務發(fā)展導致的利益驅動這兩個方面的原因。
1.互聯網的開放性。從網絡本身來看,網絡是一個自由、開放的世界,它使全球連成一個整體,它一方面使得搜集個人隱私極為方便,另一方面也為非法散布隱私提供了一個大平臺。由于互聯網成員的多樣和位置的分散,其安全性并不好�；ヂ摼W上的信息傳送是通過路由器來傳送的,而用戶是不可能知道是通過哪些路由進行的,這樣,有些人或組織就可以通過對某個關鍵節(jié)點的掃描跟蹤來竊取用戶信息。也就是說從技術層面上截取用戶信息的可能性是顯然存在的。
2.網絡小甜餅cookie。某些Web站點會在用戶的硬盤上用文本文件存儲一些信息,這些文件被稱為Cookie,包含的信息與用戶和用戶的愛好有關�，F在的很多網站在每個訪客進進網站時將cookie放進訪客電腦,不僅能知道用戶在網站上買了些什么,還能把握該用戶在網站上看過哪些內容,總共逗留了多長時間等,以便了解網站的流量和頁面瀏覽數目。另外,網絡廣告商也經常用cookie來統計廣告條幅的點擊率和點擊量,從而分析訪客的上網習慣,并由此調整廣告策略。一些廣告公司還進一步將所收集到的這類信息與用戶在其他很多網站的瀏覽活動聯系起來。這顯然侵犯了他人的隱私。
3.網絡服務提供商(ISP)在網絡隱私權保護中的責任。ISP對電子商務中隱私權保護的責任,包括:在用戶申請或開始使用服務時告知使用因特網可能帶來的對個人權利的危害;告知用戶可以正當使用的降低風險的技術;采取適當的步驟和技術保護個人的權利,特別是保證數據的同一性和秘密性,以及網絡和基于網絡提供的服務的物理和邏輯上的安全;告知用戶匿名訪問因特網及參加一些活動的權利;不為促銷目的而使用數據,除非得到用戶的許可;對適當使用數據負有責任,必須向用戶明確個人權利保護措施;在用戶開始使用服務或訪問ISP站點時告知其所采集、處理、存儲的信息內容、方式、目的和使用期限;在網上公布數據應謹慎。
,網上的很多服務都是免費的,如免費電子郵箱、免費下載軟件、免費登錄為用戶或會員以接收一些信息以及一些免費的咨詢服務等,然而人們發(fā)現在接受這些免費服務時,必經的一道程序就是登錄個人的一些資料,如姓名、地址、工作、愛好愛好等,服務提供商會聲稱這是為了方便治理,但是,也存在著服務商將這些信息挪作他用甚至出賣的可能。

三、安全技術對網絡隱私權保護

1.電子商務中的信息安全技術
電子商務的信息安全在很大程度上依靠于安全技術的完善,這些技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數據保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、系統安全監(jiān)測報警技術等。
(1)防火墻技術。防火墻(Firewall)是近年來發(fā)展的最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進進內部網絡(被保護網絡)。
(2)加密技術。數據加密被以為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數據加密原理是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,從而確保數據的保密性。
(3)數字簽名技術。數字簽名(Digital??Signature)技術是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。
(4)數字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證實文件有效性的主要內容。在簽名時加上一個時間標記,即有數字時間戳(Digita Time-stamp)的數字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。



2.商務信息安全協議
(1)安全套接層協議(Secure Sockets Layer,SSL)。SSL是由Netscape Communication公司1994年設計開發(fā)的,主要用于進步程序之間的數據的安全系數。SSL的整個概念可以被為:一個保證任何安裝了安全套接層的客戶和服務器之間事務安全的協議,該協議向基于TCP/IP的客戶、服務器應用程序提供了客戶端與服務的鑒別、數據完整性及信息機密性等安全措施。
(2)安全電子交易公告(Secure Electronic Transactions,SET)。SET是為在線交易設立的一個開放的、以電子貨幣為基礎的電子付款系統規(guī)范。SET在保存對客戶信用卡認證的條件下,又增加了對商家身份的認證。SET已成為全球的標準。
(3)安全超文本傳輸協議(S-HTTP)。依靠密鑰的加密,保證Web站點間的交換信息傳輸的安全性。SHTTP對HT-TP的安全性進行了擴充,增加了報文的安全性,是基于SSL技術上的。該協議向互聯網的應用提供完整性、可鑒別性、不可抵賴性及機密性等安全措施。
(4)安全交易技術協議(STT)。STT將認證與解密在瀏覽器中分離開,以進步安全控制能力。
(5)UN/EDIFACT標準。UN/EDIFACT報文是唯一的國際通用的電子商務標準。
3.P2P技術與網絡信息安全。P2P(Peer-to-Peer,即對等網絡)是近年來廣受IT業(yè)界關注的一個概念。P2P是一種分布式網絡,最根本的思想,同時它與C/S最明顯的區(qū)別在于網絡中的節(jié)點(peer)既可以獲取其它節(jié)點的資源或服務,同時,又是資源或服務的提供者,即兼具Client和Server的雙重身份。一般P2P網絡中每一個節(jié)點所擁有的權利和義務都是對等的,包括通訊、服務和資源消費。
(1)隱私安全性
①的Internet通用協議不支持隱躲通訊端地址的功能。攻擊者可以監(jiān)控用戶的流量特征,獲得IP地址。甚至可以使用一些跟蹤軟件直接從IP地址追蹤到個人用戶。SSL之類的加密機制能夠防止其他人獲得通訊的,但是這些機制并不能隱躲是誰發(fā)送了這些信息。而在P2P中,系統要求每個匿名用戶同時也是服務器,為其他用戶提供匿名服務。由于信息的傳輸分散在各節(jié)點之間進行而無需經過某個集中環(huán)節(jié),用戶的隱私信息被***和泄漏的可能性大大縮小。P2P系統的另一個特點是攻擊者不易找到明確的攻擊目標,在一個大規(guī)模的環(huán)境中,任何一次通訊都可能包含很多潛伏的用戶。
②目前解決Internet隱私主要采用中繼轉發(fā)的技術,從而將通訊的參與者隱躲在眾多的網絡實體之中。而在P2P中,所有參與者都可以提供中繼轉發(fā)的功能,因而大大進步了匿名通訊的靈活性和可靠性,能夠為用戶提供更好的隱私保護。
(2)對等誠信
為使得P2P技術在更多的電子商務中發(fā)揮作用,必須考慮到網絡節(jié)點之間的信任題目。實際上,對等誠信由于具有靈活性、針對性并且不需要復雜的集中治理,可能是未來各種網絡加強信任治理的必然選擇。
對等誠信的一個關鍵是量化節(jié)點的信譽度。或者說需要建立一個基于P2P的信譽度模型。信譽度模型通過猜測網絡的狀態(tài)來進步分布式系統的可靠性。一個比較成功的信譽度應用例子是在線拍賣系統eBay。在eBay的信譽度模型中,買賣雙方在每次交易以后可以相互提升信譽度,一名用戶的總的信譽度為過往6個月中這些信譽度的總和。eBay依靠一個中心來治理和存儲信譽度。同樣,在一個分布式系統中,對等點也可以在每次交易以后相互提升信譽度,就象在eBay中一樣。例如,對等點i每次從j下載文件時,它的信譽度就提升( 1)或降低(-1)。假如被下載的文件是不可信的,或是被篡改過的,或者下載被中斷等,則對等點i會把本次交易的信譽度記為負值(-1)。就象在eBay中一樣,我們可以把局部信譽度定義為對等點i從對等點j下載文件的所有交易的信譽度之和。
每個對等點i可以存貯它自身與對等點j的滿足的交易數,以及不滿足的交易數,則可定義為:
S_ij=sat(i,j)-unsat(i,j)

四、電子商務中的隱私安全對策

1.加強網絡隱私安全治理。我國網絡隱私安全治理除現有的部分分工外,要建立一個具有高度權威的信息安全領導機構,才能有效地同一、協調各部分的職能,未來趨勢,制定宏觀政策,實施重大決定。
2.加快網絡隱私安全專業(yè)人才的培養(yǎng)。在人才培養(yǎng)中,要注重加強與國外的經驗技術交流,及時把握國際上最先進的安全防范手段和技術措施,確保在較高層次上處于主動。
3.開展網絡隱私安全立法和執(zhí)法。加快立法進程,健全體系。結合我國實際,吸取和鑒戒國外網絡信息安全立法的先進經驗,對現行法律體系進行修改與補充,使法律體系更加和完善。
4.抓緊網絡隱私安全基礎設施建設。國民要害部分的基礎設施要通過建設一系列的信息安全基礎設施來實現。為此,需要建立的公然密鑰基礎設施、信息安全產品檢測評估基礎設施、應急響應處理基礎設施等。
5.建立網絡風險防范機制。在網絡建設與經營中,由于安全技術滯后、道德規(guī)范蒼白、法律疲軟等原因,往往會使電子商務陷于困境,這就必須建立網絡風險防范機制。建議網絡經營者可以在保險標的范圍內答應標保的財產進行標保,并在脫險后進行理賠。
6.強化網絡技術創(chuàng)新,重點研究關鍵芯片與內核編程技術和安全基礎。同一組織進行信息安全關鍵技術攻關,以創(chuàng)新的思想,超越固有的約束,構筑具有中國特色的信息安全體系。
7.注重網絡建設的規(guī)范化。沒有同一的技術規(guī)范,局部性的網絡就不能互連、互通、互動,沒有技術規(guī)范也難以形成網絡安全產業(yè)規(guī)模。目前,國際上出現很多關于網絡隱私安全的技術規(guī)范、技術標準,目的就是要在同一的網絡環(huán)境中保證隱私信息的盡對安全。我們應從這種趨勢中得到啟示,在同國際接軌的同時,拿出既符合國情又順應國際潮流的技術規(guī)范。

:
[1]屈云波.電子商務[M].北京:治理出版社,1999.
[2]趙立平.電子商務概論[M].上海:復旦大學出版社,2000.
[3]趙戰(zhàn)生.我國信息安全及其技術研究[J].中國信息導報,1999,(8).
[4]曹亦萍.信息化與隱私權保護[J].政***壇,1998,(1).
[5]林聰榕.世界主要***安全的發(fā)展動向[J].中國信息導報,2001,(1).

【論電子商務中網絡隱私安全的保護】相關文章：

電子商務與隱私權保護03-22

論信息安全技術在電子商務中的應用03-13

論網絡營銷在現代電子商務中的實現03-22

論網絡運營商對用戶隱私權的侵害03-21

論電子商務時代的網絡審計12-09

談電子商務中的網絡安全治理03-06

大數據時代信息安全與隱私保護論文06-26

論電子商務市場中的欺詐行為03-07

論版權保護中的利益平衡05-27