互联网个人隐私权侵害问题研究
学号:05005
互联网个人隐私权侵害问题研究
清华大学 郑晓博
指导教师
摘 要:随着计算机技术和互联网的应用和普及,通过网络侵害隐私权,针对个人信息,尤其是媒体内容信息的侵权问题日益突出。利用个人信息泄漏进行的不道德行为和计算机犯罪逐年攀升。互联网上的个人信息保护问题已经成为网络使用者最为关切的问题。但是,互联网的广泛性、异构性和虚拟性,以及相关法律法规的立法工作的不完善,给个人信息的保护带来了一定的困难。在本文中,作者首先分类介绍了通过互联网对公民个人信息进行侵害的主要方式,然后重点讨论了peer- to-peer对等网络中的媒体信息安全问题,在文章的最后作了小结并展望个人信息保护的前景。
关键词:互联网 隐私权 个人信息保护 媒体信息内容 peer-to-peer
1、引言
随着计算机技术和Internet互联网的迅速普及和蓬勃发展,在生产、生活和消费领域先后出现了形式多样、种类繁多的网络应用,极大地促进了网络经济的繁荣。但是人们在越发体会到互联网为生活和工作带来的种种便利的同时,个人的合法权益也面临着被侵害的可能。无论是在电子商务的购销过程中,还是在网络银行的交易对话中,都存在着个人或用户的隐私问题。隐私权是自然人的一项重要的人格权,作为隐私权客体的隐私包括个人信息、个人活动和个人领域三大类。其中,个人信息是隐私权核心内容之一,互联网环境下对于隐私权的最主要影响是个人信息领域,故本文主要讨论个人信息、尤其是媒体信息内容的侵害问题。
和传统的交流方式不同,借助互联网和电子手段进行沟通的过程中存在着虚拟性、异构性和不可预知性,从而针对个人信息,尤其是媒体内容信息的侵权问题日益突出,利用个人信息泄漏进行的不道德行为和计算机犯罪愈演愈烈。表1总结了包含个人信息的各类网络经济模式。近几年由于信息技术和网络技术的迅猛发展,批量处理和传递个人信息变得越来越容易,个人信息遭到不当收集、恶意使用和篡改的隐患越来越突出,使得网络空间的个人信息安全受到前所未有的严峻挑战。各类非法个人信息制品泛滥,严重地扰乱了正常的网络秩序。消费者的个人资料和个人隐私如何保护,服务商对取得的个人资料应如何使用和保护,成为我国网络和电子商务发展所必须面对的一个重要问题。由此出发,作者结合国务院信息化工作办公室相关软课题研究背景和内容,对个人信息保护中的核心问题——信息侵害方式进行了细致的研究和整理,为相关的技术研究和立法工作提供了所需的技术背景。
本文的第二部分介绍了目前个人信息侵害的各种方式,然后在第三部分重点讨论了一种特殊的信息共享方式,即peer-to-peer对等网络环境下的相关问题,最后小结全文并展望前景。
表1:个人信息的各类网络经济模式
通信技术 | Gmail | 社区平台 | P2P技术 | P2P下载 | |
移动email | P2P搜索 | ||||
邮件安全 | 论坛 | WiKi社区 | |||
ISP | VoIP语音电话 | 游戏 | 手机网游 | ||
网络可视电话 | 交友 |
| |||
IM | 多平台即时通讯 | 同学录 |
| ||
聊天机器人 | 网络金融技术 | 招聘 |
| ||
互联互通 | 旅游 |
| |||
移动即时通讯 | 教育 |
| |||
IDC |
| 支付 | 金融 | ||
发布技术 | 电子媒体 | 电子出版发行 | 手机银行 | ||
门户 | WAP门户 | 交易技术 | C2C |
| |
RSS | B2C | 专卖店 | |||
博客 | 折扣店 | ||||
搜索 | 专业搜索 | 网络MALL | |||
本地搜索 | 海外代购 | ||||
智能搜索 | 网上医疗和保健 | ||||
流媒体 | IPTV | B2B | 国际贸易 | ||
移动流媒体 | 专业市场 |
2、个人信息的侵害方式
在这一部分,作者根据统计分析,将目前互联网上对公民个人信息的侵害主要方式分为以下几种情形:
2.1、网站对个人信息的侵害
目前的网站大多配置有监视用户上网行为的软件或者利用Cookie技术搜集用户信息,甚至在未经授权的情况下制作用户的档案,记录用户的电子邮件地址和网上购物日志;许多网站甚至违背关于合理利用顾客个人资料以及不与任何第三方共享顾客个人信息的承诺,通过出售顾客的隐私资料赚取非法利润;很多商家(ICP、ISP)获得消费者个人信息后,没有获得消费者的同意就非法泄漏和贩卖;另一方面,网站根据用户上网的心态,要求他们填写个人信息,从而达到收集和统计用户个人信息的目的。大部分人为了获取网站的免费服务和商品,往往主动将个人信息泄漏给网站,这会导致许多无法预料的后果,而网站可以以受害人同意为抗辩理由来掩盖其获取个人信息的违法性。
2.2、专门的网络窥探业务
网络经济的兴起带动了对信息的狂热追求,其中蕴含的巨大商机,培植了一大批专门从事信息调查业务的公司。只需支付低廉的费用,任何机构和个人都可以获取他人详细的个人信息资料。网络搜索的兴起也无形中助长了网络窥探的行为。一些别有企图的人专门利用网络搜索工具非法搜集他人信息,再由此牟取暴利。很多网民经常收到的陌生电话、陌生电子邮件严重干扰了个人的私生活。
2.3、设备供应商的侵权行为
有些软硬件厂商在自己销售的产品中设置后门程序,对消费者的数据信息进行收集。部分操作系统厂商在顾客不知晓的情况下,定期将部分个人信息发送到公司数据库中,为个人信息保护带来不安全因素。网民大都只关注计算机应用程序而对相关的底层程序缺乏了解和关心,对于个人信息泄漏毫不知情,也难于发现。
2.4、电子邮件、网络广告中的个人信息和隐私问题
电子邮件系统是现在最流行的电子网络通信方式,使用者可以在瞬间内将媒体内容信息传输给特定的终端接收者,快速便捷。电子邮件从发送到收取需要经过多个服务器。从而,在其中任何一个中转结点,未加密的邮件信息都很容易被截断偷窥。因此,个别喜欢窥探别人隐私的服务提供商就可以轻而易举地截获进入其服务器的邮件包。
2.5、电子商务中的隐私权问题
电子商务的兴起改变了传统的交易方式和客户关系,继而对维护公民隐私权提出了新的挑战。在个人数据收集、个人数据二次开发利用和个人数据交易等环节都有潜在的侵犯公民隐私权的问题。电子商务的载体是网络,对象是客户。为了追究利润最大化,商家潜心研究用户的购买习惯、收入情况等个人信息,作为他们销售方案的参考。这就造成了多数商家利用各种渠道获取用户的个人信息,为贩卖个人信息提供了空间和可能。根据统计,仅在美国就有1万多家机构想通过出租个人信息获利。
2.6、雇主对雇员隐私权的侵犯
工作场所是一个介于私人住所与公共场所之间的空间,雇主的经济利益与雇员的个人利益(隐私权等)常常会产生冲突。雇员网上浏览、聊天、发送电子邮件等行为甚至邮件的内容都有可能被雇主通过监视系统拦截获悉。
2.7、黑客的攻击
黑客通过非授权的登录攻击他人计算机系统,窃取网络用户的私人信息;利用用户在公共场所,例如在网吧使用的计算机,非法窃取他人私人信息,破解密码。木马软件是流行最为广泛的一类窃密软件。通过安装在用户计算机上的木马程序,可以清楚地了解用户的计算机使用情况,个人信息缺乏有效的保护。
2.8、利用即时通讯软件的侵权问题
随着即时通讯IM软件的普及和使用人群的扩大,一些不道德的网民私自将网友的信息告知第三方,使他人遭到骚扰,侵犯了网友的隐私权。在我国,有着大量的人群使用IM软件,由于软件的虚拟性和即时性,很多不负责任的、在现实中不会发生的言论得到链式传播。一些人为了满足偷窥他人隐私的心态,利用IM软件传播个人信息而不需要承担相关的责任。
2.9、通过Internet公布他人隐私
一些网友通过个人主页、论坛、聊天室、电子公告牌BBS、日志Blog等公开宣扬公布个人的商业秘密或相关信息。由于一些论坛、BBS、Blog等服务器设置在境外,所以在制止擅自公布他人个人信息方面有很大困难。论坛等都使用的是虚拟的昵称,也为个人信息泄漏的追查带来了难度。
2.10、部分政府部门或非政府组织的侵权行为
有的时候,部分政府部门或非政府组织可能不经公民许可在网络服务商的设备上安装信息窃取系统,获取公民的个人信息资料。而个人对于有关组织所收集、保存的本人信息无从查询,以至于对于自己的哪些信息为他人所掌握、该信息是否与事实相符等往往无从把握。人们体会信息化便利的同时,也不得不面对个人生活空间逐渐缩小的现实。
3、Peer-to-Peer对等网络的信息安全问题
Peer-to-Peer(P2P)对等网络技术是一种新兴的网络连接技术,是用于不同PC用户之间,不经过中继设备直接交换数据或服务的技术。传统的网络传输文件采用的是服务器/客户端模型(图1),由服务器提供文件共享,服务器下载文件。P2P技术中,任何一个主机既是服务器,又扮演了客户端的角色。(图2)P2P网络中的对等计算机对其他计算机的要求进行响应,每一个用户都可以直接交换共享计算机资源和服务。在P2P网络中,终端的个人电脑不再是被动的客户端,而是兼具服务器和客户端的特征。
图1 传统的S-C模型 图2 P2P网络模型
通常,人们习惯了以服务器为中心的网络应用模式。这种模式需要有足够的带宽,高性能大存储的计算机作为服务器。P2P技术的出现使得所有的电脑平等化,分担了服务器的压力和突破了带宽的瓶颈。但是由于整个网络中信息的随机的流动,这就给信息安全问题提出了严峻的考验。信息和数据如何安全地通过“不安全”的网络,防止个人信息、数据被窃听和盗取,成为P2P用户越来越关心的问题。P2P网络的个人信息尤其是媒体信息内容侵犯主要表现在一下几个方面:
3.1基于P2P的搜索功能
基于P2P技术的搜索引擎不用受服务器的限制,可以同时向多台计算机发出搜索指令,在极短的时间内搜索范围以几何级数迅速增长。虽然搜索的深度和广度和现有的搜索引擎相比有了大幅度的提高,但是也给个人信息的侵害提供了更加便捷的渠道。不法之徒利用基于P2P的搜索引擎可以更加快速地更加丰富地收集到网民遗留在网络中的个人信息,造成网民个人信息大范围泄漏。
3.2 P2P的信息共享
传统的WEB方式,要实现文件的交换,需要服务器的参与。只有将文件和信息上传到某个网站上,用户再到网站上获取所要的资源,然后下载,才能实现信息的共享。但是P2P网络中,每个用户的角色对等,都可以直接发布信息,这样形成的大范围信息交换给信息保护带来了相当的困难。传统的WEB方式中,如果对于网站或者服务器进行严格的管理,可以有效的避免恶意公布他人隐私信息的行为,或者通过严格的认证才能够发布,或者通过及时查看删除个人隐私信息。但是P2P的网络的平等性,使得不法之徒可以没有任何限制的发布他人的隐私信息,也给制止和追究这种行为带来了不便。
3.3 P2P的信息传输
P2P的信息传输相对传统网络,具有一定的不安全性。网络间的通讯可能会被第三方窃听,一些重要的个人隐私信息被拦截;通讯内容可能被篡改,个人隐私信息被破坏;非信任的个人可以利用获取的个人信息伪装成信任用户,以骗取他人达到非法目的。虽然身份认证、网络加密可以解决一部分P2P网络的问题,但是并不能解决所有的问题。
3.4 P2P的防火墙漏洞
传统的网络中,针对个人用户的恶意攻击,很多网民使用了防火墙进行保护,对于收到和发送的网络包进行监控,收到的数据包远远大于发送的数据包,用户不比担心自己的个人信息泄漏。但是在使用P2P网络中,需要防火墙打开一定的端口,在收到其他主机发送的数据包的同时,还需要向其他主机发送数据包。一般没有经验的用户对于防火墙设置不当,就会造成个人隐私信息、尤其是媒体信息内容发送出去,或者外界的恶意攻击绕过防火墙攻击计算机,并窃取用户的个人信息。
4、个人信息侵害的原因及个人信息保护前景展望
不断发生在网络上的侵犯公民个人信息安全和隐私的现象,主要原因在于网络的固有结构特性和电子商务发展导致的利益驱动。电子网络是一个开放的空间,电子网络使用者可以不受任何限制,自由随意地获取网上信息。互联网的虚拟性又给计算机犯罪提供了温床,它模糊了个人和公众的界限,使得一些个人信息随意在网络上传播;电子商务的流行催发了网络经济的发展,在网络经济条件下,商家着眼于研究消费者的消费心态等来指导自己营销策略的制定和修改。网上消费者的个人隐私信息,如资金状况、消费习惯和爱好等,成为商家争相追求和研究的对象。这直接促成了网络上个人信息的被侵害。
此外网民个人隐私权保护意识的缺乏以及相关技术保护措施的滞后也是一个方面的原因。很多个人信息泄漏的例子都是因为网民在无意识的情况下,主动泄漏出去的。针对窃取个人信息的行为,也缺乏足够的技术保护,防护往往落后与犯罪,主动性不强;另外我国也缺乏个人信息保护的相关立法,第一部《个人信息保护法》也在制定中,很多犯罪分子就是抓住立法的漏洞钻空子,牟取暴利。
既然隐私权已经成为消费者和商家共同关心的问题,一些针对隐私权保护的技术研究已经开始了。作为帮助用户对自己的个人信息进行有效控制的重要一步,W3C(互联网联盟)已经提出隐私权选择平台(P3P),P3P允许网站通过一个可以机器理解的格式编码他们的关于隐私权的行为,比如什么样的信息需要收集、谁可以以什么理由获得信息、信息将在网站保存多久。这相当于提出了一个标准,用于企业向网络用户提供一个保护隐私权的保证。
针对信息网络的发展对个人信息安全带来的巨大威胁,各国在加强个人信息的法律保护方面也已取得共识。基于“任何对互联网的规制不应阻碍其发展”这一基本原则,各国因对规范网上个人数据资料的收集使用等行为可能对电子商务和网络发展造成的影响的估计不同,对网络个人信息安全进行法律保护和救济的模式与侧重点也不同。大体上可以分为行业自律与立法规制两类,分别以美国和欧盟为代表。美国在隐私权保护的意识与采取的措施方面都走在了世界的前列。1974年正式制定《隐私权法》,这部法律可视为美国隐私保护的基本法,它规定了美国联邦政府机构收集和使用个人资料的权限范围,并规定不得在未经当事人同意的情况下使用任何有关当事人的资料。但对于网络上个人数据及隐私权益的保护,美国更倾向于业界自律。FTC就该问题制定了四项“公平信息准则”,要求网站搜集个人信息时要发出通知;允许用户选择信息并自由使用信息;允许用户查看有关自己的信息并检查其真实性;要求网站采取安全措施保护未经授权的信息。但民众普遍认为业界自律远远不够,鉴于互联网个人信息被盗取的现象越来越严重,必须有政府立法的介入。与美国相比,欧盟更注重通过立法来保护个人资料的安全。欧盟议会1995年10月24日通过的《欧盟个人资料保护指令》几乎包括了所有关于个人资料处理方面的规定。其目的在于保障个人自由和基本人权,以及确保个人资料在欧盟成员国之间的自由流通。1999年,欧盟委员会先后制定了《Internet上个人隐私权保护的一般原则》、《关于Internet上软件、硬件进行的不可见的和自动化的个人数据处理的建议》、《信息公路上个人数据收集、处理过程中个人权利保护指南》等相关法规,为用户和网络服务商(ISP)提供了清晰可循的隐私权保护原则,从而在成员国内有效建立起有关网络隐私权保护的统一的法律法规体系。
除了上述两种立法保护模式之外,还有一种“技术及消费者自我主导模式”,强调通过加强消费者的权利保护意识和结合使用相关软件、匿名技术等方式达到保护网络隐私权的目的。但由于这类系统或程序本身的安全性和可信度仍值得怀疑,因此这些工具性的技术软件并不能完全取代网络隐私保护的法律框架,而仅具有辅助保护的作用。
法律的武器加上个人信息保护技术的提高和个人保护意识的增强,未来的网上隐私权侵害问题会得到进一步的解决。
参考文献
[1]中华人民共和国个人信息保护法(专家建议稿)及立法研究报告.国务院信息办软课题研究成果
[2]罗冰眉.网上个人隐私信息保护策略.现代情报.2003年11月第11期. P25-27
[3]单国栋等.P2P网络系统中的安全问题.通信技术.2002年第5期.P81-84
[4]赵双红等.P2P通信网络安全问题探析.计算机安全.2003年11月. P6-9
[5]熊太纯等.我国网络信息隐私权保护机制建立与完善研究.现代情报.2005年1月第11期. P79-80
[6]达尼埃尔马丁(法)等.《网络犯罪威胁、风险与反击》.中国大百科全书出版社.ISBN:2-13-051939-31
[7]Dan S. Wallach.A Survey of Peer-to-Peer Security Issues.
[8]JiWon Byun etc.Purpose Based Access Control of Complex Data for Privacy Protection.
