文 天津通信管理局高一骄
“泄密门”频发 电子商务“伤不起”
文 天津通信管理局高一骄
欲确保电子商务的隐私不被外泄,我们应采取综合治理的发展模式:以国家立法为主,以行业自律和强化技术为辅。只有这样,才能使电子商务蓬勃发展。
互联网是一个虚拟的世界,如果不发生电子商务交易过程,消费者与商家本互不相识。然而一旦发生电子商务交易,随着货币与商品的交换,消费者的信息就“赤裸裸”地呈现在商家面前。如果这些信息被不正当利用,就会给消费者带来许多困扰:账户被盗,帐内资金丢失,骚扰电话、垃圾短信、垃圾邮件等泛滥成灾,因此保护电子商务中用户的隐私安全刻不容缓。
近期,多家国内知名的电商企业被曝发生用户账户被盗、账户内资金丢失的事件,引起了网民的高度关注和强烈不满。有媒体称,数亿的用户消息遭泄露,凸显了中国互联网公司的安全机制好像一道纸糊的墙。
去年12月,国内知名技术社区CSDN(中国软件开发联盟)遭到攻击,600多万个注册邮箱账号和密码被泄露,天涯社区以及多个电商平台受
到影响,数据泄露直接损害了用户利益。据警方通告,目前这一案件已经告破,涉案5名嫌疑人均已落网。
然而,网络数据泄露并未就此销声匿迹。今年3月,当当网又曝出账户资金安全事件,一度冻结用户账户礼品卡及余额,并多次发出安全提示,要求用户修改账户密码,以防欺诈。
今年5月底,沃尔玛控股的网上超市“1号店”发布安全提示,确认其用户遭遇诈骗事件,涉及充值卡、会员卡等“线上资金”。
6月18日,在京东商城进行店庆的当天,关于京东商城用户数据遭泄露的消息在微博上传播开来。消息表示,黑客圈内正在兜售京东用户的账户密码,不法分子可登录账户使用其余额。近日,多名受害消费者在微博上表示将联合起诉京东商城。此前,京东商城承诺对受害人进行先行赔付,但这一承诺并未落实。
综观以上连续发生在电子商务中的侵犯用户隐私权事件,究其原因是多方面的。消费者的一些不良上网习惯及安全意识淡薄可能会导致个人隐私无意识地外泄;互联网固有的结构特性和电子商务发展导致的利益驱动更是重要原因。
众所周知,互联网的本质是开放与共享。它让不同地域的用户之间能够进行沟通和交流,它使全球连成一个整体的同时也为某些人搜集个人隐私、非法兜售隐私提供了一个大平台。因为消费者在进行网上购物时要将个人身份的相关信息传送给商家,这就意味着商家掌握了消费者的个人隐私,有时这些隐私信息可能会被商家非法利用或者被黑客非法窃取。
由于个人资料存在着商业价值,在利益的驱使下,可能会被收集、利用甚至买卖。随着互联网巨大商机的出现,部分网站利用Cookie收集大量用户信息,并将这些信息转手卖给其他有商业目的的网站或组织,从中牟利。Cookie加速了电子商务隐私信息的泄露。如果你在某网站进行了注册,等到下次再访问该网站时,你会奇迹般地发现该网站自动“认”出了你。虽然不用每次都输入自己的用户名、密码,然而在方便快捷的同时,用户的个人信息已被电商通过Cookie搜集掌握了。
此外,监守自盗现象也不容忽视。数据显示,电商数据外泄事件中,85%的外泄都是由电商内部人士自己泄露出来的,仅15%是外部黑客通过电商网站的一些技术设计缺陷抓取获得的。
黑客入侵电商计算机系统获取和篡改用户信息,对用户隐私安全造成了极大的威胁。在毫不知情的状态下,被黑客侵入电商计算机获取私人信息,并为己所用。电脑黑客的攻击,使得原本就对电子商务缺乏信心的消费者只能“望网兴叹”了。
个人隐私售卖“产业化”,专门的网络窥探业务令人不寒而栗。大批专门从事网上调查业务的公司牟取窥探业务。非法获取、利用、售卖他人隐私并从中渔利,而电子商务从某种意义上说为隐私贩卖提供了温床。
消费者个人利用软件保护隐私主要是采用技术手段,即在消费者的终端安装某软件。在进行电子商务过程中,由互联网消费者将其个人隐私偏好设定在该软件中,当电商的信息收集行为与用户的个人隐私策略不符时,用户可以修改个人隐私设置或放弃对该网站的访问,通过某些隐私保护的软件,用户可以实现网上个人隐私资料的自我保护。
电商企业做好自身的隐私安全保护更为重要。企业可配备IPS系统(入侵防御系统)对抗暴力破解。IPS系统可以自动识别用户的登录行为,当遇到黑客通过“字典”以及“暴力破解器”不断尝试登录时,IPS系统会自动终止该用户IP的登录行为,最大限度地保证企业信息的安全;另外,企业还可采用内外网分离技术,即将应用端口放在外网中,而用户隐私放在内网中,内外网之间采用保密性极高的私有通道。这样即使黑客侵入外网,也无法触及到内网的用户隐私信息。同时使用MD5不可逆加密算法,就算黑客得到数据库信息,也无法破解;与此同时,电商应加强企业人员管理,设置电商企业隐私官,专门负责处理与用户隐私权相关的事宜;除了依靠软硬件及人力投入外,企业自身也要提升安全意识,定期更换密码,强化技术规范,及时监测漏洞,防止信息泄露。
政府应加强监管,通过立法加大惩罚的力度。只有加强监管力度,提高发现不诚信的概率,才能使交易者诚实守信,重视隐私保护;通过立法明确隐私保护范围,对网上交易涉及的敏感性资料和个人数据给予法律保护;建立电子商务纠纷处理平台,网民可通过此平台进行投拆和维权。这种模式是由国家通过立法手段从法律上确立网络隐私保护的基本原则和各项具体的规定、制度,并在此基础上建立相应的司法或者行政措施。
通过行业自律,建立良好的信用机制,进一步构建并强化网络隐私认证体系。提高电子商务进入门槛,建立电子商务企业诚信档案。从促进电子商务产业发展的角度来说,行业自律是隐私保护模式的首选。通过在该行业组建一个独立的、非营利性的组织,由这个组织对每个申请认证的电商的隐私政策和实施情况进行审查,凡是符合隐私行业要求的电商,可以通过认证,并可在其网站或网页上张贴认证标志。这既有利于提高电商的商业信誉,又可以坚定用户使用互联网的信心,消除消费者对个人隐私保护的疑虑。此外,行业监管部门及行业协会,要定期发布电子商务行业统计数据,及时披露电子商务企业泄露用户隐私的事件及数据,以满足社会各界了解电子商务发展情况的要求。
通过建立政府间组织保护用户隐私。互联网没有空间的限制,但执法却受地域的影响。国际电子商务的兴起催生了越来越多的跨洋网上交易,电子支付和物流全球化已成为必然趋势。随之而来的跨境维权事件也定会发生,建立政府间组织保护用户隐私是越来越多国家的呼声。今年5月,印度提议设立一个政府间组织去制定互联网政策,监管所有互联网标准机构和政策组织,协商互联网相关的条约,对互联网相关争议作出裁决。
诚然,只靠一种措施恐怕很难保全用户的隐私。一旦发生利益矛盾,行业自律极易派生网络侵权行为,而只靠软件和技术,其可靠性还需进一步实践。从宏观上讲,立法既可保护客户的隐私,又规定了电商应尽的义务,这可能影响其工作积极性,因而使方兴未艾的电子商务陷入徘徊的泥潭。因此,欲确保电子商务的隐私不被外泄,我们应采取综合治理的发展模式:以国家立法为主,以行业自律和强化技术为辅。只有这样,才能使电子商务蓬勃发展。