社交网络隐私安全

社交网络隐私安全（共8篇）

1.社交网络隐私安全 篇一

一、什么是网络隐私权

网络隐私权是传统隐私权在网络空间环境下的延伸和体现，它主要是指“公民在网络中享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵犯、知悉、搜集、复制、公开和利用的一种人格权;也指禁止在网上泄漏某些与个人有关的敏感信息，包括事实、图像、以及毁损的意见等。”

二、网络隐私权主要包括哪些内容

1、选择权：网站收集个人资料前须征得用户的同意，用户有权选择是否提供个人资料以及提供哪些个人资料。

2、知情权：当网站搜集的是用户的个人信息资料时，用户有权知道网站收集了他的哪些信息、信息的内容是什么、信息将用于什么目的、这些信息会不会与他人共享等。如果用户无法得知上述情况，知情权就是不完整的，也就无法充分正确地行使其他权利。

3、控制权：用户有权控制其个人信息的使用，包括通过合理的途径访问其个人资料，对错误的个人信息进行修改和补充等，并在利用个人资料的特定目的消失后享有永久删除其个人资料的权利。

4、赔偿请求权：用户有权要求网站保护其个人信息资料的安全，当网站或其他侵权者利用用户信息资料侵犯其隐私权时，用户有权要求网站经营者或其他侵权者承担相应责任并赔偿损失。

三、主要表现

追究网络隐私权被侵犯的因素，主要是由网络的特性所决定的，Internet作为全球媒介不分国界，具有开放的属性，在相应的软件开发出来以后，就能够很容易地收集和储存相关信息，从行为上来看，侵犯网络隐私权主要表现在以下几个方面：

1、通过网络宣扬、公开或转让他人隐私即未经授权在网络上宣扬、公开或转让他人或自己和他人之间的隐私。网上个人隐私权受到侵犯最令人震惊的事件是1月法国总统密特朗解雇的私人医生推出了纪实作品《大秘密》一书，披露密特朗的健康档案。

2、未经授权收集、截获、复制、修改他人信息

1.黑客(hacker)的攻击。他们通过非授网络隐私权权的登录(如让“特洛伊木马”程序打着后门程序的幌子进入你的电脑)等各种技术手段攻击他人计算机系统，窃取和篡改网络用户的私人信息，而被侵权者很少能发现黑客身份，从而引发了个人数据隐私权保护的法律问题。

2.专门的网络窥探业务。大批专门从事网上调查业务的公司进行窥探业务非法获取、利用他人隐私。3.垃圾邮件泛滥。网络公司为获取广告和经济效益，通过各种途径得到用户个人信息，后将用户资料大量泄露给广告商，而后者则通过跟踪程序或发放电子邮件广告的形式来“关注”用户行踪。

四、中国立法保护是什么

从目前我国隐私权保护的立法来看，隐私权并未成为我国法律体系中一项独立的人格权。我国法律对隐私权的保护也没有形成一个完整的体系，其依据仅是《宪法》所确立的保护公民人身权的基本原则和《民法通则》中所规定的个别条款。最高人民法院于1988年颁布的《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》第140条以及1993年颁布的《关于审理名誉权案件若干问题的解答》虽然在一定程度上弥补了《民法通则》未直接规定隐私权的不足，但其所采用间接保护的方式明显不能全面保护个人隐私。，最高人民法院在颁布的《关于确定民事侵权精神损害赔偿责任若干问题的解释》 中隐含关于隐私权保护的内容，这不失为一种立法的进步，但仍未从法律上明确隐私权作为一项独立民事权利的地位，这又不能不说是一种遗憾。关于我国网络隐私权的法律保护，12月8日国务院信息化工作领导小组审定通过的《计算机信息网络国际联网管理暂行规定实施办法》第18条规定：“不得在网络上散发恶意信息，冒用他人名义发出信息，侵犯他人隐私。”1912月30日公安部发布施行的《计算机信息网络国际联网安全保护管理办法》第7条规定：“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。”10月8日信息产业部第4次部务会议通过的《互联网电子公告服务管理办法》

第12条规定：“电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，但法律另有规定的除外。”可见，在我国现阶段还没有关于网络隐私权比较成形的法律，仅是在一些部门规章中有所涉及。因此，目前我国对网络隐私权的法律保护基本处于一种无法可依的状态。

对于网络隐私权的内容，我们很多网友都不知。我们常见的无非就是那些为了生活而努力所谓明星们，感情纠纷、离婚**等各种明星们的隐私都会被狗仔队拿出来说一通，网友们的各种谩骂。因此，患上抑郁症的明星不占少数。希望大家别再进行网络攻击，还明星们一个私人的生活。

 

2.社交网络隐私安全 篇二

一、社交网络对个人隐私保护的冲击

(一)社交媒体的用户数持续上升

社交网络媒体(Social Networking Services)是一种交互式的社区网络应用服务类型,它结合了电子公告牌(BBS)和新闻组网络系统(USENET)的特点,可以让用户在社交网络平台上发布各类信息,包括个人的活动、国内外的大事、图片等。不同的国家有不同的社交网络媒体,如美洲的Facebook、Twitter,非洲的Mxit, 瑞士的Glocals,加拿大的Nexopia,中国的新浪微博、人人等。调查显示,最大的社交网络服务使用群体来自于亚太地区,有超过615亿人次,其中亚洲月活跃用户约3.6亿,日活跃用户约2亿。2014年7月发布的《中国社交类应用用户行为研究报告》显示,在我国网民中,社交网站(包含QQ空间)覆盖率为61.7% ,微博覆盖率为43.6% ,57.9% 的用户每天都会使用社交网站。[1]

在全世界范围内,社交网络由于其独特的优势而吸引了广大的用户,用户的使用率也一直上升。使用者可以在社交网络的系统上建立公开或半公开的个人档案,同时可以建立其他使用者的名单,并与这些使用者建立“关系”。用户双方建立好友关系是网络交往的基础,一旦建立了“好友关系”,社交网络就会向用户提供信息流,从而满足用户记录、发表、分享、评论的需求,使用户和网上好友保持联系。除此之外,用户还可以在网络上与好友分享文章、照片、视频等。以Facebook、新浪微博为例,一旦一位用户在这样的社交网络平台上加另一位用户为好友,那么双方就可以查看对方的地点、工作、教育背景、兴趣爱好、照片、状态、事件等,这两位用户在享受交流的便捷的同时,也存在着隐私被广泛传播的风险。

在美国,早期的研究显示社交网络的使用者并不关心他们的隐私,但最近的研究发现,这些使用者开始关心他们的隐私,但是由于某些原因,用户不能有效地采取行动保护自己的隐私,其中社交媒体鼓励人们暴露个人信息、并过低地评价暴露信息的风险是其中的一个原因。[2]

(二)社交网络对传统隐私保护制度的冲击

传统对隐私的界定采用的是二分法,即敏感的和不敏感的信息、私人信息和公共信息、政府信息和个人信息、公共领域与私人领域等。从传统的隐私界定来看,只要不干涉他人的私生活、暴露他人的私人信息,就可以称得上是对隐私的保护。

通过对二十世纪关于隐私的公共政策、法律法规、法院判断以及商业惯例等的分析,可以发现决策者、普通公众对于隐私的界定有三个原则,其一是限制政府监控与使用公民的个人信息;其二是不得公开、获取敏感的、个人的信息;其三是不得侵犯个人或私人的领域。[3]以上原则体现了私人领域的神圣性:处在私人领域中的信息等受到保护,即使是国家机构也不可以非法侵犯。沃伦和布伦代斯 (Warren and Brande is) 对该种隐私界定方法持强烈的支持:“普通法一直认为一个人的家是他的城堡,即使是对执行命令的官员来说,一个人的家也应该是固若金汤的。”[4]这样的划分方法更多的是基于政策和法律控制的考量,即未经许可侵扰、搜集、公开敏感的或个人的信息被视为是对隐私权的侵犯。在传统社会,对隐私进行二分法界定在一定程度上可以解决商业机构、权力机构非法侵犯个人隐私的问题。因为个人的信息更多地是被一些组织机构收集,我们需要通过一定的制度性规定对这些组织机构进行规范,从而控制这些机构对隐私的侵犯。

传统隐私的界定法中含有一个明显的特征,即它假定了“公共和私人”之间有一个清晰可见、泾渭分明的界线。然而, 随着互联网的出现、社交媒体的盛行,这一隐私的判断标准受到了挑战,公共信息与私人信息之间的界线正在变得模糊。每一个社交媒体构成了一个虚拟的人际沟通网络,用户不仅记录个人的生活,也会对其他用户倾诉,如会选择让自己的好友看到状态更新。个体在社交媒体上发布的信息多是个人的私人信息,当这些信息发布之后,发布者已经失去了控制的能力,这些私人信息可能会在更大的范围内进行传播。此时,这样的信息还可以被视为是私人信息吗?如果个体发布的信息中有他人不愿意公开的内容,是否可以视为是侵犯了他人的隐私,判断的标准是什么呢?传统的隐私界定,已经无法对这些问题进行回答。

(三)2013 年前后社交网络中的隐私困境案例介绍

阿伦·维斯汀(Alan Westin)在《隐私和自由》一书中写道,隐私权应被定义为人们控制有关自己的信息的传播的权利,因此,隐私权的核心是隐私控制权。[5]社交网络带来的一个巨大的挑战是用户对信息控制权的部分丧失,由于用户只是信息链条上的一个节点,信息一旦发布将不再受发布者的控制。在信息的传播过程中,是否会引起他人的不快,是否会侵犯他人的隐私?个人信息经过大规模的传播,是否具有公共性?在现实中,类似的问题、此类的案例一次次地发生,但并没有引起我们对隐私伦理困境问题的反思。

早在2011年,中国政法大学法学院副院长何兵因为自己发了一条抗议保安的微博而引起了诸多网友的抗议,这一事件也成为各大媒体报道的焦点。当年的12月2日,何兵教授受邀赴中国传媒大学授课,乘车到该校南门时,因无校方保卫部签发的车证,被值班门卫拒之门外。随后,何兵将此事发到实名认证的微博上:“传媒大学的保安好牛啊,学校请给博士生讲课,联系的学生忘了办手续,一再解释不行,学生出示讲课安排单不行,给看名片不行,大雪天就是不让车进,传媒大学保安,以为在保卫中南海啊?”微博发出后,当日就有数千转发几百评论,有人批评他作为一个法学教授没有规则意识。当晚7时许,名为“传媒保安”微博用户回应此事,称“学校有规定确实不让进,校长都不例外”。随后,中国传媒大学党委副书记田维义发微博“力挺”“传媒保安”:“在这件事上保安没有错,感谢保安尽心尽职,也感谢保安队员们平日对同学们的热情相助!”何兵教授与传媒保安的冲突进一步“升级”为网络热门事件,并引发了一场论战。[6]

在2014年发生的“王牧笛要砍人事件”也是由于私人信息的公共化传播而引发了争议。2014年2月21日下午,广东卫视主持人王牧笛因女友看病被护士连扎四针,在其认证的微博上称:“小兔皮肤过敏,陪她去打点滴,竟然连打四针才找准血管,我也想拿刀砍人,操!”该微博发布之后,引来众多网友的热议,认为其作为公众人物,在微博上发表这样的言论,非常不恰当。虽然当晚王牧笛就删除微博、进行公开道歉,但这并没有平息这场风波。在22日中午,中国医师协会发出公开信,谴责王牧笛的言论。协会称:“王牧笛的言论和素养不适宜担任节目主持人,广东卫视应当责令其下课!”在23日晚上10点多,广东卫视在其官方微博发布声明称,王牧笛作为主流媒体的节目主持人,在其个人微博上公开发表不理智的过激言论,十分错误。频道已责令其深刻反省,并将按照电视台的有关规定对其进行严肃处理。当晚,王牧笛再度发微博道歉。他表示,事发时,自己“用错误的方式表达愤怒,气时口不择言,尽管当晚冷静后删除微博并道歉,但已经造成了不良影响……追悔莫及”。在当事人两度道歉后,该事件才终告平息。

在此,需要我们思考的是,个人在微博上发表的供朋友阅读的私人信息,为何能够演变成一个公共事件?以“公共私人”两分法对社交网络中的信息进行区分,是否可以解决隐私保护的困境问题?为什么社交网络中的个人呈现在一定环境下会对当事人造成极大的困扰?如果要理解并回答这些问题,就需要介绍“情境脉络完整性理论”。

二、基于“情境脉络完整性理论”的网络中的隐私分析

“情境脉络完整性理论(Contextual Integrity Theory)”是由纽约大学媒介、文化与传播研究所的海伦·尼森鲍姆(Hele n Nis s e nbaum)教授在《作为脉络完整性的隐私》中提出的。该理论主要探讨在社交网络环境下,个体的信息在传播过程中所面临的隐私问题,并回答了此类隐私问题出现的原因。个体有可能传播一些个体并不是特别在意、特别敏感的信息,但这一信息通过社交网络传播之后,个体往往会觉得自己的隐私被侵犯了,即使是没有达到被侵犯的程度,但也会产生一定的情感上的不适。“情境脉络完整性理论”提供了一个视角来理解与评价这种隐私问题。“情境脉络完整性”理论主要包含两个内容:[7]

其一是,我们生活的情境并不是都可以简单地区分为公共领域和私人领域,而是处于“多重个别场域”(plurality of dis tinctive re alm s)之中。与亲人在家、去工作、去看病、与律师交谈、去银行等这些日常的生活情境中的信息分享,需要遵循一定的规范,如果把信息从特定的情境之中抽离,放在另一个情境之中,就会破坏信息的脉络完整性。

其二是,在每个特定的情境之下,都有明显可见的或者隐约可见的规范(norms)与之相适应。有很多因素影响与塑造着情境中的规范,如历史、文化、法律、惯例等。同时,这套规范既塑造也限制着个人所扮演的角色、所采取的行动和所持的期望。如果改变了情境脉络,信息无法符合新的情境脉络中的规范,就会产生信息传播中的不当。在Nissenbaum的隐私解释中,有两种类型的信息规范性,一旦侵犯了任何一种信息规范,那就意味着隐私被侵犯。

第一种是规范的适当性(norms of appropriateness)。无论是在公共领域,还是在私人领域,只要个人处在一个情境之中,都需要依据该情境中的规范而行事。一旦违背了该情境之中的规范,就会有侵犯隐私的风险。这一观点与“角色”理论有异曲同工之处,即每个人在不同的场景中,有不同的角色扮演,需要遵循那时那地的角色规范。在现实生活中,个人往往出现在单一的场景之中,如会议现场、约会的酒吧等, 个人可以根据这些具体的情境调整自己的言语、行动,如在会议现场个人往往以庄重严肃的面貌出现,在约会的酒吧则会显得轻松欢愉。个人可以很好地控制自己的言语、行为,从而做出适合这一情境规范的举动,满足“规范的适当性”原则。

然而,在社交媒体环境下,信息出现的情境变得极为复杂。上述案件中的王牧笛在道歉信中写道“我基本是把微博当日记来写,记录我的生活、我的情绪。当天下午我一时冲动,在平时当作自己日志的微博上写下一句出格的话。”在此我们可以看到,对于这位社交媒体的用户来说,他那“充满对医护人员愤怒和对女友关爱的话语”只是在那时那地产生的,并且是希望传达到自己的亲人朋友那里。可以想象,这样的话语如果出现在“朋友家人”这样的情境之中,不会引起任何的争议。然而,当这样的话语通过社交媒体不可避免地传达到“医护工作者”那里时,整个话语的情境变了,这样的言语显得完全不合情境规范了,于是中国医师协会发布声明, 认为“王牧笛的言论和素养不适宜担任节目主持人,广东卫视应当责令其下课”。

我们也可以用该准则分析“何兵与保安事件”。如果何兵教授抱怨时的情境是在那天的课堂上,他可以得到授课对象足够的谅解。但当他把这样的话语发布在自己的微博上时, 在传递的过程中,话语出现的情境复杂多样,每一个情境规范都是不一样的,所以这样一句话无法在每一个情境中与每一个情境的规范相适应,于是困境便产生了。这一句“原来只限于一定范围内的人在一定时间内知悉的事件”在微博上被不同身份、地位的人获知,从而使一个并不敏感的信息变成了热门话题。

第二种是规范的传递原则(norms of distribution)。传递原则是限定信息的传递渠道和方向,从而使一定的信息只传递到合适的信息接受对象那里。并非所有的信息都适合传递到所有的对象那里。信息在不同的情境之中,有不同的含义, 如果某一信息传递的流向、传播的对象不同,那便呈现出不同的意义。如朋友之间可以分享自己的隐私信息,这是符合传递原则,但是如果一方将其信息公开传播到第三方那里, 就不符合信息“合理流动”的要求。

Face book曾在2006年推出了“Ne w s Fe e d”功能,即如果你的好友更新状态,你不必去他的主页,因为这些更新的状态会直接显示在你的主页上。当这一功能推出时,受到了用户的欢迎,但也受到了一些用户的强烈抵制。抵制的原因在于,信息的传递路径改变了,使一个用户很容易地、即时地得到了其他好友的信息。正如Nissenbaum所说,隐私其实就是信息的扩散范围问题。虽然你的好友有很多信息在社交网络中,但这些信息并不是很便捷地获取,当这些信息可以很容易地、即时地获取时,个人的隐私实际上就被极大地暴露了。

在上述的案例中,无论是王牧笛还是何兵,当他们发布那条有着愤怒语气的信息时,其实只是希望传递给自己的好友,而并没希望传递到中国医师协会、电视台那里。然而,社交媒体时代,信息传递一个最大的特点是传播者实际上无法控制信息的流向,即使是自己将所发布的内容删除,也无济于事。在发布信息的当晚,王牧笛删除了这则微博,并发表公开道歉称:“……冷静之后,悔恨万分,作为媒体人,我不应将私人情绪在公众平台宣泄,更不应口出恶言,现向所有医务工作者及网友们诚恳致歉。”即使如此,他也无法阻止该信息被他所工作的单位看到。可以说,在这过程中,个人无法控制信息的传递过程、传递方向,信息的传播违背了传递的适宜性原则,从而带来了隐私上的困境。

在社交网络环境下,判断某一信息是否属于隐私,并不是看该信息是属于公共信息还是私人信息,是发生在私人领域中,还是发生在公共领域中,而是需要将该信息放置于一定的情境脉络中,看其是否符合该脉络中的“规范”,是否符合规范的“适宜性”、“传递性”原则。脱离情境脉络而孤立地审视信息,无法判定该信息是否侵犯隐私。所以说,隐私权不是一种保护个人信息的权利,也不是一种控制个人信息的权利,而是一种“个人信息合乎适宜地进行传递”(appropriate flow of pe rs onal inform ation)的权利。当信息在传播过程中, 一旦违背“情境脉络完整性”理论的两个原则,那么就会发生侵犯隐私现象。“情境脉络”抽象地泛指每个人在日常生活中可能经历的各种社会结构,而“情境脉络”的性质,则是深受特定社会时空里面的文化历史、自然环境、政治结构、政治制度、宗教体制等因素的影响。[8]

三、社交网络环境下个人隐私困境的理论分析

社交网络发展的初衷是为现实中的个体在互联网上构建“关系”,从而促进个体之间的互动与交流,所以,用户总是基于自我呈现或是扩大自己社会资本的目的,进行个人信息的自我暴露,这些信息在传播的过程中,面临着隐私保护的伦理困境。产生这种现象的原因,我们可以利用“情境脉络完整性”理论进行解读。

首先,用户在更新自己的状态、公布自己的位置等时,其所期待的情境脉络与网络上实际的情境脉络之间存在着巨大的差别。如一学生用户更新自己的状态为“老师上课讲的笑话一点也不好笑,很枯燥”时,他所期待的情境脉络只是学校环境、他的传播对象只是他同学,所以这一行为只是一种情感的表达。然而,通过社交网络的传播,他的这位任课老师会看到,于是这成为一件对于师生来说都比较尴尬的事。

其次,用户发布的信息由于在传播的过程中,逐渐会脱离原来的情境脉络,而进入新的情境脉络之中,这样就会使这一信息有可能并不适合于新的情境脉络中的规范,从而对信息的发布者或相关人造成困扰。网络是一个所有人都可以参与的全球化的公共媒体,用户自以为发在“好友圈”的信息可以被任何人看到,因为人人都可以参与到这道信息流的传播过程中。对于大多数人而言,这种在网络上的信息传播范围,与他现实中发布的信息传播范围,是完全不同的。因为在网络上发布的信息有可能被广泛传播,被你熟悉或不熟悉、相关或不相关的人获知。而通过社交网络获知你的个人信息的人,实际上已脱离你发布信息时的情境脉络,所以会做出各种你所无法预知的解读。这些隐私被暴露的困扰就在于, 这一信息在传播的过程中,破坏了社会“情境脉络的完整性”。

可以说,大多数人在社交网络媒体上的朋友的数量,都可能包括但远远多于现实中生活的朋友的数量,用户在加入社交网络经营社交活动时,不免会揭露相当程度的个人资料,这便成为社交网络显见的隐私疑虑。“情境脉络完整性理论”提供了规范的适当性和传递的适当性原则,可以分析哪些信息分享行为是可以接受的,哪些信息分享行为是违背隐私保护的。

本研究主要是说明个人主动在社交网络中发布信息所带来的潜在隐私伦理风险及其风险产生的原因。规避此种隐私伦理风险其实并非容易,因为网络用户隐私保护意识比较淡薄,甚至于有些用户觉得在社交网络上个人信息就应该处于完全透明、易获得的状态,更多的社交网络媒体用户并没有意识到社交网络中的个人隐私也需要得到保护;同时,社交媒体运营商有意识地宣扬“用户信息传播的便捷性与安全性”,从而鼓励用户无所顾忌地分享信息。这种个人信息的分享与传播,对于社交媒体运营商来说,是可以带来巨大利益的,所以更多的运营商回避了网络隐私保护中的伦理问题。

在这种情况之下,规避隐私伦理风险,除了需要用户提高自己的警惕性外,更需要社交网络媒体运营商承担起一定的责任,如社交媒体运营商通过程序设定,在每一次发表之前提醒“您所发表的信息会被您的朋友、亲人、同事看到,您确定要发吗”之类的信息,从而引起受众的注意。社交网络媒体Facebook将使用者的社会关系区分为“朋友”与“非朋友”,从而设计出“仅朋友可见”的限制,虽然该设计过于简化现实生活中的互动类型,但可以看到它考虑了不同的情境脉络的影响。网站运营商要确保隐私权政策清楚且诚实,用户事先被告知充分的信息及隐私被用的风险,从而发挥“善良”运营者的作用,这些都不失为是较好的办法。另一方面,国家的相关法律、政策也可以从保护消息费的权益入手,要求社交网络媒体在一定条件下承担一定的法律责任,即使不是最完美的解决之道,但多少也能缓解网络使用者的隐私疑虑。

摘要：用户使用社交媒体不断地主动发布自己的信息,时常会带来隐私问题上的困扰。过去对隐私的概念界定受到冲击。本文基于“情境脉络完整性理论”分析我国微博上的两个隐私困境的案例,探讨在社交媒体环境下隐私伦理问题出现的原因,其原因是由于用户发布的信息冲破了原有的信息情境脉络,从而破坏了“适宜性”、“传递性”原则。

3.浅析社交网络隐私权的保护 篇三

关键词：网络；网络隐私权；保护；对策

一、网络隐私权概述

网络隐私权是隐私权在网络环境下的体现，与一般隐私权相比，主客体以及权利义务没有实质性的差异，仅仅是体现出了若干的新特征，该定义也得到了不少学者的认可。笔者同意这种观点，这种观点更科学，更符合社会发展需要。具体来说，网络隐私权是指自然人在网络环境下未经合法授权，个人信息和数据以及私人领域不受侵害的，与社会利益无关的一种人格权利。

在网络的盛行使得许多新兴的个人数据成为了隐私保护的内容，所有的信息都是以数据的形式呈现的，这正是传统社会进入信息化社会的变迁的标志。

网络是一个虚拟的空间，只不过是现实世界的延伸，所以我们规范的仍然是人类的行为，侵权的后果当然由自然人来承担。

传统的隐私权是人格权，不具有财产性，网络环境下载的隐私权却兼具了人格性和财产性的特征，在信息化社会，承载个人隐私的数据是一种宝贵的商业资源，个人信息在市场定向、预测等方面具有重要价值，其经济功能在慢慢凸显，已然发展成了典型的复合型权利。

二、国外网络隐私权保护现状及对我国的启示

美国作为网络最发达的国家，对公民隐私权进行保护所采取的是行业自律措施告知和许可是美国总结出保护个人隐私的基本原则.通过建设性的行业指引，网络隐私认证组织的设立，技术保护的加强，以及业内的自律规范等手段，为隐私权益保护加强了保障。这种模式具有很大灵活性，可以为网络发展提供宽松的外部环境，并且可以为法律提供有效的补充，从另一方面来看，这种行业模式的的不足之处在于，缺乏法律约束力，各种协议和认证缺乏强制力，各组织之间没有形成统一的保护规则，并且技术保护在一定程度上限制了公众的选择权。

欧盟法律规制模式是指国家通过立法的方式对于公众的隐私权加以规定，并制定具体的措施和方法保证其实施，当发生侵权时国家对于公民提供相应的救济，即通过国家建立完善的法律规范体系来保障公民隐私权，这种模式极具强制性，足以为技术保护提供法律支撑，推动网络隐私保护朝着统一化以及全球化的方向发展。同时，也应该认识到其弊端，它的规定过于复杂，其滞后性不利于实际应用，而且欧盟内部国家协调有一定难度，不利于创新和进步。

综合来讲，简单的以行业自律或法律规制来保护网络隐私，均是不完备的。完善我国网络隐私权保护制度的模式，应该以美国和欧盟为借鉴的对象，扬长避短，结合我国实际国情，建立一个以法律保护为主，以行业自律为辅的网络隐私保护制度。

三、我国网络隐私权保护现状及存在问题

我国在公民隐私权保护方面尚无专门法律来保护网络中的个人信息隐私安全，这在网络环境下难以满足人们的需要，但我国已经在为此努力，在现行法律文件中涉及该问题的法律条款主要有《中华人民共和国侵权责任法》第36条，《刑法修正案（七）》第七条，《计算机信息网络国际互联网安全保护管理办法》第七条，《全国人大常委会关于维护互联网安全的决定》第四条，《互联网电子公告服务管理规定》第十二条。

由此可以看出，我国立法保护不成系统，保护模式有待于进一步明确，并且保护的具体内容不具备良好的可操作性和有效性，同时也缺乏一定的权威性。

在法律缺失的情况下，通过行业自身的规范和自律来对公众的隐私进行保护，是一个有效的补充手段，与法律规制的手段相互作用，相辅相成。由2002年发布的《中国互联网行业自律公约》开始，一直到《加强行业自律工作倡议书》《软件产品行为安全自律公约》等文件，再到现在的各个网站在各自的主页上张贴隐私政策以及相关安全保证，足以体现出网络服务商渐渐自觉遵守国家有关网络服务管理规定，这是一个很好的开端。

但是这些声明的整体水平良莠不齐，没有按照一个固有标准有机统一。缺少权威的专门的认证机构和相应的监督机构，无法为行业自律的发展提供一个良好的保障。并且我们注意到，这些声明均是倡议性文件，是整个互联网产业宽泛的职业道德阐述，用户直接参与度低，只能一味地接受。因此，行业自律整体水平较低，主动性规范性相对较弱。

四、我国网络隐私权保护对策

1. 网络服务主体加强行业自律。网络服务行业应该加强自我规定，完善自律机制，实现自我约束，自我控制。网络界应该成立认证机构以及保护协会，进行规划，审计，监督和检查，同时，鼓励和发展网络信息中介机构，各个网站应该就自身情况提出跟详尽具体的政策和解释。

2. 加快专门立法保护的进程。我国目前的隐私权保护缺乏系统化的制度，应该加快有关隐私权立法的进程，准确界定其含义和内容，明确规范网络行为，加强法律规定的准确性，系统性，可操作性，同时借鉴国外立法，顺应国际趋势，及时为权利主体提供法律上的有效救济。

3. 加强网络监管力度。国家应运用各种手段对网络使用予以监控和管理，对种类技术的使用，政府对监控管理人员的职责，对侵权行为的处罚等作出明确规定，不断发现自身缺陷，对于网络隐私侵权行为及时纠正和制止。

4. 加强保护网络隐私的宣传力度。我们应充分利用新闻媒体等广泛宣传，为网络服务商，政府机关部门，企业和公民敲响警钟，全面提高保护意识，从而建立一个安定有序的网络环境。

5. 权利主体应加强自我保护意识。网络用户应该提高防范意识，及时采取必要措施保护自己的信息资料，不给侵害者以可乘之机。

五、结语

由此可见，社交网络的发展为我们提供了全新的网络环境，但同时也面临着保护用户信息隐私方面的新挑战，社交网络用户安全信息安全是当下中国发展互联网应用面临的重大问题，这不仅关系到每个公民的切身利益，更关系到未来网络社会的发展，我国在此方面尚存在诸多不足，唯有国家、社会、网络服务者与公民共同努力，方可开创网络隐私保护的新局面。

参考文献：

[1] 高锡荣，杨康.网络隐私保护行为：概念、分类及其影响因素[J].重庆邮电大学学报（社会科学版）.2012.24（4）：18-24.

[2] 胡冰.网络隐私与保护策略[J].现代情报.2003（7）：69-71.

[3] 熊楓.网络隐私保护探讨[J].吉林省经济管理干部学院学报.2008.22（4）：85-89.

作者简介：兰钰（1995-5-22），女，汉族，籍贯吉林省，本科在读，就读于天津商业大学法学院法学专业。

4.社交网络隐私安全 篇四

大数据时代下，要想解决网络安全问题需要对网络系统中存在的.各种漏洞以及各种风险进行综合研究，以便有效针对这些漏洞和风险采取行之有效的应对策略。具体而言，行之有效的应对策略主要有以下几种。第一种是设置访问控制。通过这种方法，可以把网络用户划分为有权访问网络用户和无权访问用户。保证了部分网络用户能够以合法身份对网站内各种资源进行访问，同时规避了一些不法的网络用户对网站的访问，从而有效保障了网站内资源的安全。第二种是对重要数据进行加密处理。为了能够有效达到网络安全控制，就必须将重要数据进行加密处理，使之成为一种密文，以便保证这些重要数据在使用过程中以及传播过程中能够得到有效保护。并且即使这些加密的重要数据被他人窃取，也会因为他们不知道正确密码而南音查看和使用。第三种是防治网络病毒。网络病毒是网络安全问题一个重要隐患，一旦电脑或手机等工具收到网络病毒等攻击，其中的数据很有可能被相关的不法分子所窃取，从而极大地影响人们的正常生活与正当利益。为此，网络用户应该提高自己的网络安全意识，在自己的电脑和手机等相关工具上安装较好的杀毒软件，并且定期对电脑和手机等相关工具内的数据进行深入扫描，一旦发现病毒立即进行杀毒处理。同时为了保证杀毒软件的正常使用，要及时对杀毒软件进行及时更新。

3.2隐私保护问题应对策略

5.网络个人隐私渗透实例 篇五

目标:知道一个人的姓名(此处假定为张三)，现在要查出他的网络常用身份!前提:此人(张三)名字不是太普通，不能太多重名，否则还需要知道另外信息!

具体步骤如下:

收集信息

由于只是知道其名字，所以需要了解其在网上的活动!首先登陆www.google.com和www.baidu.com，输入其名字进行搜索，但是均没有搜索结果，

这个很在我的意料之中，因为毕竟一般的人在搜索引擎上都搜索不到的，那么在哪里去知道更多信息了?

打开www.chinaren.com，登陆之后，校友录提供一个很好的功能那就是同学大搜捕，输入姓名，点搜索，但是提示非手机绑定用户，无法使用此同学大搜捕功能，没有办法，只好用手机绑定，再重新搜索，结果出来了，如下图所示:

6.网络隐私权保护模式探析 篇六

?? 摘要：网络时代电子商务的飞速发展对个人隐私权安全性产生了巨大冲击。网络隐私权有其特定的含义和内容,需要加以明确界定。美国和欧盟对网络隐私权的保护是两种不同的模式,各有所长,值得借鉴。我国对网络隐私权的保护基础薄弱,有待于发展和完善。

??关键词：网络隐私权 行业自律 立法规制 民法典

??在信息时代,随着计算机的广泛使用和网络技术在全球范围内的普及,网络的飞速发展带来了商业模式的根本性变革,而网络交易过程中通过互联网对个人数据的收集、利用、传输、公开和出售也由此达到了前所未有的程度。网络隐私权的保护问题已经成了互联网的社会信息化带来的最大困扰之一。诸如政府的电子侦察侵犯公民隐私权,需要对现有司法审查制度进行考察;“网络神探”引发侵犯隐私权的问题;网上公布病历的隐私问题;网上人才介绍,网上婚姻介绍所掌握的个人资料如何保护等等。鉴于此,如何既恰当地保护隐私权,又不妨碍网络的正常发展,已经成为各国制定隐私权保护的法律法规的重点和难点。当前世界各国越来越重视在理论上对隐私权进行研究,在立法、司法上对隐私权进行保护,而且这一趋势呈现出不断加强的势头。在我国,学者们对隐私权的研究起步较晚,立法不够完备。对网络隐私权的保护作进一步的研究,显然在理论上、立法上以及对将来的实务工作都具有重要意义。

 

??1.网络隐私权之界定

??隐私这个词源于英文Privacy ,其原意为“隐退、静居、独处而不受干扰”。隐私,又称私人生活秘密或私生活秘密,是指私人生活安宁不受他人非法干扰,私人信息保密不受他人非法搜集和公开等。而隐私权就是关于隐私的权利,这一权利延伸到网络及网络环境中,便产生了网络隐私权。而网络隐私权中的主要内容与网上个人资料有关。根据中国互联网信息中心(CNNIC) 的规定,所谓个人资料,即指姓名、年龄、通讯地址、血型、种族等,还应包括个人的背景资料如个人文化程度、爱好、职业等。这一界定被大多数学者和网站普遍采用。一般情况下,这些个人资料收集的根本目的是为了识别,所以又称为个人识别资料。

??目前尚没有明确的网络隐私权的概念,学界对此是各有各的说法。我们认为,网络隐私权是指在网络交易过程中,公民享有私人生活安宁和私人信息依法受到保护,不被他人非法侵犯、知悉、搜集、利用或公开的一种人格权。根据这个定义,网络隐私权包括两个方面的意义:一是在积极意义上,用户依法享有保持个人的生活安宁,保护个人信息秘密不被他人非法侵扰、知悉、搜集利用和公开,即不受侵扰;二是在消极意义上,用户能够自由决定个人生活和个人信息的状况和范围,并能够对其进行利用,即个人对于其个人隐私应有主动积极控制支配的权利。具体而言,公民的网络隐私权应包括如下内容:

??1.1 知悉权 知悉权是网络隐私权的基本权利,是指用户不仅有权知道网站收集了哪些信息,以及这些信息的内容是什么,而且用户还有权知道这些信息将用于什么目的。当网络服务提供者搜集的是用户的个人信息资料时,用户就有权知道上述事项,否则这种知情权是不完整的,当然也就无法充分、正确地行使其他的隐私权利。

??1.2 选择权 用户的选择权主要体现在个人信息资料的收集和使用。在目前情况下,绝大多数网站所提供的服务都与用户付出的信息资料直接相连。如果用户不提供个人信息,或者不完全提供网站所需的全部个人资料,就无法获得网站的绝大部分服务,甚至拒绝访问。这样不利于用户选择权的充分实现,所以选择权的真正实现尚待时日,尚需各方的共同努力。

??1.3 控制权 也称为支配权,是隐私权的核心。这一权利包括通过合理的途径访问个人资料,并针对错误的个人信息进行修改、补充、删除,以保证个人信息资料的准确、完整。网站向用户收集资料,其目的是要对该信息的利用。网站对个人信息资料合法、合理地利用,有利于网络环境的安定、有序以及公共利益的.维护。

??1.4 安全请求权 用户有权要求网站采取必要的、合理的措施,保护用户个人资料信息的安全。不论网站所收集的是何种个人信息,只要涉及到网络隐私权,就必然与信息资料的安全问题有密切关系。不论是人为的信息泄露或被窃取,还是技术上的缺陷,操作上的失误致使信息资料或者数据丢失,都将严重地影响个人信息资料的正常使用和用户网络隐私权的保护,所以个人信息资料的安全是网络隐私权制度的基础。

 

??2.网络隐私权保护的比较分析

??目前,针对网络隐私权的保护,由于各国政府对产业利益和个人隐私利益的权衡取舍的不同,存在两种完全不同的政策倾向:一为行业自律模式,另一为立法规制模式。美国由于注重维护网络信息产业发展,明显倾向于主张行业自律模式;而欧盟注重对于个人隐私权益的充分保护和尊重,自然主张立法规制模式。由于美国和欧盟对网络隐私权的保护是比较完善的,为了借鉴他们的立法成果,我们认为有必要对以上两种模式进行介绍和比较。

??2.1 美国行业自律模式 在对待网络以及有关产业方面,美国为了鼓励和促进网络产业的发展,一直对网络服务提供商实行比较宽松的政策。行业自律模式,即依靠网络服务者的自我约束和行业协会的监督来实现,制定法律和法规时力图寻找一个平衡点以协调保障用户隐私权与促进网络信息业发展和保证网络秩序安全稳定之间的关系。美国不主张通过严格的立法,为网络服务提供商施加过多的压力和义务,因为美国担心这样做会使整个网络和与之有关的产业遭受巨大的损失,从而对网络和与网络有关的产业带来一定的负面效果。如美国《公正信用报告法》( Fair Credit Act ,简称FCRA) 规定金融业作为信息使用者收集与获取消费者的个人信息均不需要经信息主体授权。

??美国倾向于通过网络行业自律的模式来实现对网上非法搜集个人隐私

材料的控制。这种模式最具特色也是最普遍的形式,是网络隐私认证计划,该计划要求那些被许可在网站上张贴其隐私认证标志的网站必须遵守在线资料收集的行为规则,并且服从多种形式的监督管理。目前,美国国内存在多种形式的网络隐私认证标志,其中最有名的应该是TRUSTe 和BBBonline 。该计划的目的是唤起商家和消费者对隐私的注意,并且鼓励网站张贴隐私政策申明。其它的网络服务提供商可以申请加入这一计划,其前提是遵守该计划的有关规定,履行该计划中为网络服务提供商在保护个人隐私权方面所规定的义务。

??2.2 欧盟立法规制模式 这是由国家和政府主导的模式,其基本做法是由政府通过制定法律的方式,从法律上确立网络隐私权保护的各项基本原则与各项具体的法律规定、制度,并在此基础上建立相应的司法或者行政救济措施。欧盟在这方面的做法最具有代表性。1995 年欧盟就制定了“有关个人数据处理与自由流通隐私权保护的一般指令”,即《欧盟数据保护指令》。 年夏天,欧盟委员会把各国专家召集到总部开会协商,提出了发展互联网的基本原则,以“制定有关法律,既要能给予公民使用公共信息的权利,又要能够保证他们的隐私权”。 年10 月,欧盟制定的《网络私人资料保护办法》开始生效。这项法规实际上是1995 年的相关法规的延续,它十分严格地限定在传递和使用个人数据时必须遵守的规则。

??欧盟主张立法规制模式,注重对于个人隐私权益的充分保护和尊重。在这种模式之下,通常是通过法律的具体规定对网络服务提供商在网上的各种各样的搜集用户数据和隐私的行为提出一定的限制,使网络服务提供商在网上搜集用户隐私材料的行为更规范,相对于用户来讲更透明,使网上用户的个人隐私更容易得到保护。然而,这一模式也有其不可避免的负面影响。欧盟采用立法规制模式无疑使增加了网络服务提供商的法定义务,无疑增加了以网络服务提供商为代表的整个信息产业的成本,甚至会损害信息产业的利益并阻碍网络的发展。

2. 3 两种模式的比较及协调 对美国而言,其采用行业自律模式明显有利于网络信息产业的快速发展,从而促进社会经济的增长,但是,这一模式也存在不少的缺陷:a. 对网络服务商的义务规定过于宽松,扩张了网络服务商的权利而降低了网络用户隐私权的保护程度,这就容易引发网络隐私权的侵权行为问题。b. 这种模式缺乏保证规定实施的机制,而且对大量的没有加入这一模式中的公司来讲,起不到任何的约束和规范作用。因为这种模式完全建立在行业自律的基础之上,依靠网络服务提供商和与之有关的其它产业的自觉行动来保证这些规定的执行。

??欧盟采取立法规制模式虽然有利于个人隐私权益的充分保护和尊重,但其中存在的问题也不能忽视。关于这一点前文已有阐述,在此就不再重复。

??由于这两种隐私权保护模式的利益侧重点不同,必然导致美国与欧盟在隐私权保护上价值观的冲突。为了协调他们相互之间的矛盾,促进各国之间的信息交流,双方最后决定建立“安全港机制”。在经过框架谈判和具体协商之后,欧盟与美国谈判代表在布鲁塞尔宣称,双方已就如何保护网络交易中的隐私在原则上达成协议。上述协议的达成意味着欧盟与美国双方可以在不考虑欧盟隐私条令的情况下从事网络活动。该条令使得欧盟当局有权终止那些没有向相关部门提出申请的企业的网上数据传输。根据目前已达成的总体协议,网上交易公司在收集个人信息时必须就相关信息的用途向用户发出通知,在该信息被用于除最初收集目的以外的其它目的时也须通知用户。

 

??3.我国隐私权保护的立法现状

??相比较而言,我国对隐私权的研究和重视都起步较晚,对公民隐私权的规定散见于宪法、民法、刑法、民事诉讼法、刑事诉讼法和最高人民法院就此所作的司法解释之中。最高人民法院在《关于贯彻执行< 中华人民共和国民法通则>若干问题的意见》中,第140 条规定:“以书面、口头等形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”按照该条文的解释,侵害他人隐私权的,造成他人名誉权损害的,认定为侵害名誉权,追究民事责任,这是一个对隐私权保护的重要的司法解释。

??可见,我国目前没有明确规定隐私权为一项具体的人格权,而是采用了间接的保护方式。隐私权与名誉权二者有密切关系,个人的隐私一旦被他人非法披露,不但会造成受害人的精神痛苦,而且也往往会招致社会评价的降低,从而损毁受害人的名誉。但是,名誉权与隐私权的区别是明显的:a. 两者的权利客体不同。隐私权的客体是隐私,而名誉权的客体是名誉。名誉与隐私是两个完全不同的概念。b. 两者的权利主体不同。隐私权只有公民才能享有,而名誉权不仅公民享有,法人等其他民事主体也可以享有。c. 两者的侵害方式不同。侵害隐私权的方式多为非法获取、传播有关他人的私生活的事实,干涉他人私生活等。而侵害名誉权的方式是无中生有,侮辱、诽谤等贬损他人的人格,从而使其名誉受到损害。d. 两者的侵害结果。侵害他人的名誉权,肯定造成他人人格的贬损,从而降低他人的名誉;而侵害隐私权的结果,未必会造成他人的名誉的降低,甚至有些时候会提高他人的声誉。

??由此可见,虽然隐私权与名誉权存在着以上不同点,而我国法律对隐私权却未做出明确规定,说明我国隐私权保护处于较低的标准,法律基础与环境是相当薄弱的,有待于进一步的完善。

??4.建立我国网络隐私权法律制度的构想

??在世界各国纷纷承认隐私权的今天,我国立法不规定网络隐私权,这是一个严重的立法疏漏。加强立法,用法律手段保护网络隐私权不受侵犯,在立法方面应该重点着手以下工作:

??4.1 在未来的民法典中明确隐私权法律地位 上文已经提到我国法律以间接方式来保护公民的隐私权是具有很大缺陷的,所以应该改用直接保护方式,更有利于加大对隐私权侵害的救济程度。我

国立法机关应对隐私权在法律上明确规定隐私权的内涵、外延及侵权的责任形式,这样保护隐私权才在法律上有明确的依据。

??备受关注的新中国第一部民法典草案中引人注目的一个亮点就是增加规定了隐私权并单列为一章,草案第七章第二十五条至二十六条规定: 自然人享有隐私权。隐私的范围包括私人信息、私人活动和私人空间。禁止以窥视、窃听、刺探、披露等方式侵害他人的隐私。我们认为,明确规定隐私权为一项独立的人格权,有利于完善对公民人身权利的保护,对进一步完善中国的民事法律制度,保护自然人、法人的民事权益是非常具有意义的。

??4.2 制定专门网络隐私权法律制度 当然,仅有隐私权保护的一般性规定是不够的,还应制定专门法律来保护公民的网络隐私权。其中,应该详细规定公民网络隐私权的内容,具体应包括知悉权、选择权、控制权、安全请求权等;规定权利主体和义务主体,尤其义务主体应包括政府、企业、事业单位、社会团体组织、个人等;规定侵害网络隐私权行为的种类以及侵权行为的认定;规定隐私权侵权责任的承担以及各种补救措施,包括停止侵害、消除影响、赔礼道歉、赔偿损失,对于造成受害人精神损害的,还应包括精神损害赔偿。

??在立法过程中,应当注意增加常规法律的技术性,即与高科技的网络技术相接轨。“立法者不懂技术, 技术人员又无权立法”,这就使得现行的一些网络法规与网络实际相脱节,根本没有可操作性可言,法律也就很难见到实效。所以,应该加强立法者与技术人员的相互沟通,以便制定出更加合理有效的网络法规。另外,需要完善其他与公民隐私权保护相关的法律、法规,使之与一般性规定和专门法律规定相配套,能够更好地起到保护作用。因为我国的其它法律里面也有许多与隐私权有关的权利的具体内容和与之有关的权利的规定。这些规定散见于《中华人民共和国刑法》、《中华人民共和国刑事诉讼法》、《中华人民共和国民事诉讼法》等。对于这些法律规定,我们应根据当前的实际情况,对其中不适时的规定加以修正,使它们符合实际需要。

参考文献

1 牛津现代高级英汉双解词典. 北京:商务印书馆,1995

2 张新宝. 隐私权的法律保护. 北京:群众出版社,

3 杨立新. 关于隐私权及其法律保护的几个问题. 人民检察, ; (3)

4 曹亦萍. 社会信息化与隐私权保护. 政法论坛,1998 ; (1)

7.社交网络隐私安全 篇七

近年来, 社交网站 (SNS) 在我国得到了飞速的发展。据统计, 截至2009年2月, 中国社交网站月度覆盖用户规模达1.632亿人次, 比2008年1月份的1.188亿网民覆盖规模增长了41.7%[1]。同其他互联网业务相比, 社交网站业务对用户的吸引度和黏度优势更加明显。随着业务的不断增长, 社交网站所带来的安全问题也在不断显现。个人隐私泄露, 遭受病毒、木马攻击等问题层出不穷。

1 社交网站带来的网络安全问题

随着社交网站的兴起, 网络犯罪分子也将目光投向了这一领域。之所以对社交网站进行攻击, 主要是因为这类网站具有极高的人气和访问量, 但同时都或多或少地存在一些安全方面的隐患, 可以帮助他们大规模传播恶意软件。

1.1 社交网站本身存在安全漏洞

社交网站容易遭到的安全风险主要有两类:

一类是因为采用Ajax技术而导致的蠕虫攻击, 如Myspace、国内的51.com, 校内网都曾经出现过各自的网站蠕虫, 这些蠕虫通过利用个人空间、模板上的bug, 可以自动向用户的好友发送带毒链接, 用户浏览后就会中毒。

另一类是由于社交网站对cookie的不恰当使用, 而导致黑客可以轻易发动CSRF (cross-site request forgery, 跨站请求伪造) 攻击。CSRF攻击也被称成为one click attack或者session riding, 是一种对网站的恶意利用。有的社交网站为了让用户经常登陆, 利用一个永久有效的cookie, 让用户永久保持在登陆状态。这样, 用户只要输入网站的网址, 不用填写自己的账号和密码, 就可以登陆, 使用社交网站的各种功能。只要黑客拿到机器上储存的这个cookie, 就可以以用户的身份做任何事情。

举例:开心网漏洞解读[2]。

在2009年9月初, 开心网发现多个安全漏洞, 这些漏洞大多是因为网站过滤不严而导致。使得黑客可以借此漏洞进行“挂马”和跨站攻击, 同时通过和cookie截获配合制造出能够引起严重后果的网站蠕虫。下面列举的漏洞出在群相册组件处, 主要问题是iframe过滤不严。

漏洞利用:首先, 制作一个网页木马。例如下载一款Flash漏洞生成器, 在“生成”中输入木马的地址 (该木马已经上传到指定的网站空间中) , 再将生成的网页木马上传到指定的网站空间中。然后, 注册一个开心网账号, 用账号登录后进入群相册, 创建一个群相册专辑。在群相册专辑名称处输入代码, 见图1, 点击“确定”按钮, 百度就被嵌入到开心网中了, 见图2。

接着, 将上述代码中的www.baidu.com替换为木马地址, 将width (嵌入框架的宽) 和height (嵌入框架的高) 的值都设为0, 就可以挂马了。最后等用户浏览相册或者四处宣传引诱用户浏览相册就可以了。

1.2 用户手机、无线上网等存在安全隐患

手机通话内容被监听、收发短信电话簿就被盗取、下载音乐却让手机中了病毒……这些在手机使用过程中的问题, 可能有不少人碰到过。目前, 手机安全问题正面临严峻的挑战, 而且随着手机上网的普及, 这一现象还将日趋严重。

随着3G的普及, 越来越多的市民喜欢用手机聊QQ、查看邮件、上网, 手机或将成为今后病毒传播的最大媒介, 成为数量最大的“肉鸡” (在Internet上被“黑客”任意摆布的电脑) 。病毒除了通过网络传播到手机外, 也有可能通过手机程序传播。如购买的“水货手机”, 在出售前就被写入了追踪、窃听等程序, 这与用户使用的电话卡无关, 只要开机, 就可能被人窃听到通话内容。或者在手机维修时被感染病毒, 普通用户难以察觉。有的人喜欢将手机当成MP3或者U盘使用, 这样也容易给手机带来染毒的风险。

现在, 运营商又开始试水Wi Fi手机上网业务, 更是让无线生活给人们提供了无限遐想。但是目前被广泛采用的热点 (hot-point, 即Wi Fi接入技术) 无线接入技术存在技术漏洞, 可以被人轻易地破解, 从而让电脑或手机里面的信息被窃取。类似这样的工具网络上非常方便就可以下载到, 加在Google上输入“Wi Fi破解工具”等关键词, 很快便能找到多款破解工具。这些工具中, 最常见的是Win Air Crack Pack工具包, 还有Omnipeek软件。网上甚至有如何利用这些工具包破解无线网络, 获取他人信息的详细教程。

1.3 给企业的网络和系统带来安全隐患

事实上, 当社交网站遭受攻击, 给用户带来安全风险的同时, 对企业的网络和办公系统也带来一定的安全隐患。例如大量消耗网络带宽、网络中出现ARP (address resolution protocol) 欺骗等, 都会影响企业的运作效率。

2 社交网站的信息安全问题

对于社交网站而言, 用户填写的个人资料越详细, 就越有商业价值。因此, 几乎所有的社交网站都在鼓励用户填写真实资料, 但提供的安全保护却并不充足, 容易造成个人隐私泄露。另外用户在同网友的交流中, 也会不经意地透露或者被别有用心的人窃取个人信息, 甚至会造成其家庭、单位等私密信息的泄露。

在使用网络的过程中, 网民遇到的泄密问题主要有个人资料的泄露, 包括手机号泄露、MSN账号密码 (QQ账号密码) 泄露、邮件账号泄露 (邮件通讯录泄露) 、个人真实信息泄露等。在遭遇这些信息泄露后, 往往会频繁受到各种商业广告、垃圾信息的骚扰, 收到各种挂马、钓鱼网站的链接, 甚至是收到诈骗、勒索的电话和短信等。

上述这些泄密问题, 往往存在于博客、社交网站、论坛上, 由于社交网站兼具博客和论坛功能, 造成泄密的可能性和危害性也较一般的网站严重许多。根据瑞星公司的《社交网站与网民隐私报告 (2009) 》显示, 社交网站已成为诱导网民泄露隐私、记录隐私、利用网民隐私牟利的巨大商业集团[3]。

2.1 社交网站给个人用户带来的安全风险

社交网站给个人用户带来的安全风险主要是造成个人隐私的泄露, 形式一般有:

1) 诱导用户填写MSN和QQ的账号、密码, 易造成私密信息泄露;

2) 通过提供奖励、优惠等方式, 鼓励用户填写自己的真实情况;

3) 鼓励用户将提供手机等个人信息, 建立个人信息资料库, 存在隐私泄露风险。

2.2 社交网站对企业信息保密带来安全隐患

社交网站建设的其中一个理念就是和别人去共享你的信息。但是对于企业而言, 大多数情况下并不希望这么做, 因为竞争对手也正期望从它的员工处获取商业机密。当某位员工为他们公司从事的业务或取得的成果感到自豪, 而去告诉其他人的时候, 很可能在无意中充当了泄密者的角色。

3 病毒式营销带来的垃圾信息问题

开心网、校内网等社交网站的兴起是这两年互联网最热门的话题, 而社交网站用户规模快速膨胀的过程, 可以说, 与其疯狂的病毒式营销密不可分。权威网络流量调查公司Alexa数据显示, 直到2008年6月底之前, 开心网流量还较小, 7月就出现爆发式增长。有研究表明, 这与开心网展开病毒式营销密切相关。很多注册了开心网的人都是这样被“诓”进来的———收到好友邮件, 声称自己与朋友发现一个好玩的网站, 邀请其加入;或者就是MSN上也有骚扰链接。

在这一过程中, MSN成为社交网站进行病毒式营销的重要工具, 用户在相关社交网站上注册之后, MSN就会自动发送邀请链接给其MSN好友。有时候, MSN用户会在一天之内收到好几十个链接, 邀请其进驻相关的社交网站, 直到MSN用户最终注册———一旦注册, 就会自动成为下一个传播节点, 这就是爆炸式的病毒传播。

病毒营销在带来不可思议的传播速度的同时, 也带来了一系列烦恼, 不少网民已将在MSN上传播的社交网站信息当作病毒对待, 恨不能除之而后快。用户的投诉主要来自两方面:一方面是经常在MSN和邮件里收到社交网站的相关邀请和广告信息, 另一方面是登录相应的社交网站后会经常收到大量的通知和应用程序邀请, 开放平台成了骚扰用户的根源。

4 应对策略

4.1 社交网站需加强自身的网站安全建设

社交网站的自身安全建设总体来说与其他网站类似, 但由于社交网站大量使用了Ajax技术, 因此必须对XSS (跨站脚本攻击) 和CSRF攻击以及相关的蠕虫病毒进行关注。

为尽可能地避免网站出现此类漏洞, 首先在网站建设初期加强对用户输入内容可靠性的限制管理, 同时还要做深入细致的检测, 最基本的就是对有输入框的页面进行代码测试, 在测试过程中如页面有任何框架变形或脚本错误提示, 即预示着此页面可能存在XSS跨站攻击漏洞。

在具体做法方面, 除了手动对输入框逐一查找外, 其实还有大量的XSS漏洞检测工具可供我们使用, 如著名的XSS LFI File Disclosure-Scanner、Paros等, 对全站页面结构进行扫描, 有可能发现新的安全漏洞。

此外, 对带参数的链接也要进行参数替换测试。同时, 最好在网站开发的部分阶段, 引入专业的黑盒与白盒测试工具, 建立完善的文本过滤层。只有在建设阶段做到尽可能细致的考虑和测试, 才能保证系统上线后, 避免出现大的漏洞和问题。

4.2 用户自身如何做好防护

对于用户自身如何做好防护, 网络安全专家们也给了很多建议, 归纳起来, 主要有如下几点:

1) 严密防范社交网站的蠕虫攻击。安装最新的杀毒软件和系统补丁。尽量不要点击他人转载的信息。

2) 尽量不要填写过于详细的个人资料。尤其是收入水平、婚姻状况, 是否买股票等, 很容易被有心人利用, 进行商业推广和诈骗。

3) 不要轻易加MSN好友、QQ好友、社交网站好友。一旦加某人为MSN好友, 他在很多社交网站会自动成为你的好友。这样, 即使是一个十分陌生的人, 也可能了解到你最隐私的个人资料。

4) 使用社交网站时要充分利用其安全机制。如邀请好友时, 如果输入了MSN账号密码、邮箱账号密码, 在使用完后要马上修改密码。

4.3 企业如何做好社交网站安全防护

企业可以使用制度或者技术手段来限制员工访问社交网站。如果这些都不奏效, 企业可能需要采取更加灵活和深入的方法。例如在安全检查方面, 采用对所有Web流量进行扫描以查找恶意软件或者病毒, 使用数据泄漏防御 (DLP) 解决方案来检测所有内容以防止企业机密泄露。同时可以将对社交网站访问的时间限制到某些时间段, 如午饭时间等, 这也正是2009年7月Sophos安全威胁报告所建议的方式。

由于来自社交网站的威胁存在很多形式, 链接到其他网站的链接、直接的邮件消息、钓鱼电子邮件等, 所有的Web流量都应该进行恶意内容扫描, 而不只是对来自社交网站的内容进行扫描。对于第二层保护, DLP可以防止员工在不适当的位置张贴敏感信息。虽然DLP不能够阻止某些内部威胁, 但是它可以很有效的阻止和检测意外的病毒感染和数据泄漏。

4.4 管理部门应如何加强监管

4.4.1 按法律法规或条例制定相应管理要求和细则

对于传统的涉及BBS、新闻、出版、药品等形式或内容的网站, 在国务院的电信条例和工信部的部门规章中已经做了相应的备案或者前置审批的要求。而对于社交网站这个新生事物, 在制度和管理方面依然是空白。因此亟须建立相应的管理制度和要求。对于社交网站, 可以参考BBS的专项备案, 在市场准入标准、功能规范、信息安全等方面进行明确的规定。

4.4.2 对网站要有内容审查和分析过滤的技术手段

对于社交网站的内容监管, 主要考虑的是社交网站提供的两大功能:一个是用户可以像在BBS和博客一样发布帖子并被别人转载;另一个是能够自由的创建和使用“群”, 从而以各种主题把用户进行细分和重新聚集。社交网站已经完 (下转第51页) (上接第47页) 全实现了博客或者BBS的功能。以开心网为例, 用户可以写日记 (类似博客) , 可以转载别人的日记和照片, 对别人的发帖可以进行评论和回帖, 等等。对于“群”, 则类似于QQ等即时通信中的群组或者是BBS中的版块, 用户可以建立某个特定主题的群, 在其中进行讨论。

而这些都是用户个人在进行管理, 没有BBS中的版主或者审核员进行信息发布前的审查, 其风险不言而喻。因此有必要从社交网站本身和监管部门两个角度出发, 进行内容审查和分析过滤手段建设。

4.4.3 重视交互行为所带来的信息爆发式传播

目前, 国外的一些社交网站, 特别是微博客如Twitter等, 已实现了网站本身和用户手机之间的信息交互。即一方面用户可以将信息通过手机公布到社交网站上, 另一方面网站也可以将这些信息“推送”到用户的手机上。这样的设计提高了网站和用户之间的交互性, 但也带来了信息安全方面的问题。特别是对于敏感时期或者某个事件引发众人关注时, 社交网站的这一功能会引发相关信息在用户之间, 以极短的时间进行散播。

因为政策或者技术的限制, 目前国内的社交网站大多没有开通此类功能。少部分的微博客, 如新浪微博等, 具有单向的短信上传功能, 即用户可以通过编写手机短信将信息发送到微博客上, 但无法通过手机来获取他人微博上的信息。

相对于双向发送, 短信上传功能对信息安全的影响较小, 但也应当引起重视并进行约束和规范管理。虽然目前没有开通双向发送, 但其主要原因并不是因为技术上不好实现, 而是政策上把握相对较严, 不排除今后会允许开展此类业务。而在开通双向业务之前, 这方面的监管手段必须能跟得上, 这样才能保证风险可控、监管有力。

4.4.4 开展针对性的防木马和攻击行为监控

社交网站最常见的安全隐患就是网站过滤不严, 导致易被挂马和进行XSS以及CSRF。针对这样的情况, 监管部门平时在发现和处理网络安全事件时, 应当特别关注这些类别的攻击行为。一方面可以通过对社交网站进行重点监控, 以发现针对网站的各种攻击手段和行为;另一方面可以对攻击行为进行监控, 了解哪些社交网站已成为或即将成为上述类别攻击的目标。

参考文献

[1]王亮.SNS社交网络发展现状及趋势[J].现代电信科技, 2009 (6) :9-13.

8.社交网络隐私安全 篇八

【摘要】针对目前大部分应用程序和可穿戴设备采集到的数据长期由电信运营商控制，以及各种途径个人隐私数据泄露，保护个人资料的隐私是众所周知的一个难题，也是计算机网络安全课程授课过程中的重点和难点之一。通过OpenPDS系统的设计实现，使学生充分掌握个人隐私保护理论并且动手实践设计搭建自己的平台，同时利用本软件智能地评估学生的手机使用健康状况，最终起到良好的教学效果。

【关键词】网络安全 ； OpenPDS ； 数据隐私 ； 服务器 ； 隐私安全

【中图分类号】G434 【文献标识码】B 【文章编号】2095-3089（2015）35-0283-01

1.简介

计算机网络课程有关网络安全隐私是一个重要的问题。为了能让学生更好地理解相关概念并动手实践，利用OpenPDS将实现一个个人私密数据存储服务。解决大数据的隐私性问题，需要解决数据的控制权，而这也同时需要一个可靠的平台能解决用户管理个人信息的能力。基于OpenPDS的智能移动手机应用系统是实现一个通过手机传感器收集个人隐私数据经过安全处理后来确保用户有一个安全的数据体验。OpenPDS和SafeAnswers机制为动态保护个人的元数据提供了一种新方式，从而为支持创建智能数据驱动服务和数据科学的研究提供了新途径[1][2]。

2.系统搭建设计

首先设计基于OpenPDS现实分析应用程序，称作“RealityAnalisis”。在OpenPDS系统中，使用了分布式存储的数据库mongodb，OpenPDS注册服务器，可支持的数据源Funf，以及包括了OpenPDS模块的应用程序。在以上几大部分中，通过数据源收集手机数据并且通过处理可以安全发送到个人数据存储数据库，使用具有safeanswer模块的应用程序时，会请求到个人数据库里获取经过safeanswer处理过的低维度数据，这样经过两重安全保障的数据被恶意获取时就会大大降低个人隐私，OpenPDS系统原理参见图1所示。在此应用中，Funf传感数据来自多个传感器的数据收集后来被分析和映射到三个数值，分别为社会、活动和聚焦关注。使用该应用不会有任何原始数据需要被传输到OpenPDS之外，仅暴露以上三种数据，而不泄露当前的时间、位置和身份等重要信息[3][4]。

（1）OpenPDS的主要原理。不分享原始数据信息，OpenPDS不是简单地保护敏感的和可识别的数据集，原始数据是不允许离开PDS ，而OpenPDS可以回答一系列的問题。这使得高维度数据被映射到更少空间的答案。OpenPDS具有一种机制来管理细粒度权限共享数据。审计功能，可以查看应用程序如何使用自己的数据。不同的管理方式，这是一个高度安全的私有网络，由一套多边合约绑定所有参与者到一个共同的合作框架。

（2）系统的主要构成组件分析。包括数据源和数据库的选择和使用，在此基础上还增加了SafeAnswers机制来对数据进一步匿名化，降低数据维度进而使数据得到有效保护。基于OpenPDS系统的智能手机应用程序的设计使用了Django和python进行Web开发。开源项目代码在Unbutu上进行环境的安装和测试PDS。并且实现基于现实的OpenPDS移动应用程序RealityAnalisis的开发，在这里需要学习基于python的Android应用GUI的开发进行把应用程序代码移植到Android平台上。

在OpenPDS系统的体系结构内，健康分析三角移动应用程序将发送一个请求到OpenPDS。该请求被传递到健康分析三角SA模块，其请求访问该数据库，以便检索计算的答案所需要的元数据。该SA模块计算的答案，然后通过在PDS的前端验证，并发送回到移动应用程序。在该应用程序中，我们将会看到通过处理后的效果参见图2所示，在该图中给出了个人在社交，活动，聚焦中的一个数据参考值，通过和正常数值比较能够及时反映出目前学生的健康状况。

3.分析

OpenPDS通过其分布式性质引入了一个性能开销，增加了安全性和隐私机制和组计算机制。该OpenPDS框架提出几种机制提高个人元数据的私密性和安全性：安全答案、访问控制、沙箱和网络加密。OpenPDS采用了分布式方式由个人控制这些数据，管理授权及分享。基于动态隐私的概念，OpenPDS系统将演算法上不可能解决的匿名化问题，转化为一个较容易处理的安全问题，其做法是回答问题，而非允许服务业者存取原始资料。另外，OpenPDS在其与现行政治和法律思维一致，以及其保护隐私的动态机制这两方面均是独特的。用户有了自己的安全空间，以个人数据存储（PDS）作为一个集中的位置。拥有一个PDS会允许用户对数据进行安全掌控，比如当应用程序请求使用数据时，用户可以有选择性的授权和查看请求数据的审计日志，实现用户真正控制数据流和进行细粒度的授权。

4.总结

通过OpenPDS系统的设计实现，达到保护个人数据隐私安全的目的，通过PDS的移动应用程序系统，能够为用户提供安全方便的使用环境，特别是对一些会造成用户隐私泄露的应用领域。通过OpenPDS系统对个人隐私数据保护方面的一个探索实现，使学生充分理解个人隐私保护理论并且能够动手实践搭建自己的平台，同时进一步利用本软件智能地实时地评估学生的手机使用健康状况。

参考文献

[1]李鹏.Android手机终端隐私保护[D].北京：北京师范大学，2013年.33-34.

[2]de Montjoye，Michel Verleysen，and Vincent D.Blondel.Unique in the Crowd：The privacy bounds of human mobility[J]. Scientific reports，2013年，第3期.55-58.

[3]de Montjoye，Yves.Alexandre1，Shmueli.openPDS：Protecting the Privacy of Metadata through SafeAnswers[J].PLoS ONE，2014年，第9期.7-9.