电子商务中网络隐私安全保护论文

导语：电子商务中网络隐私安全保护论文一文来源于网友上传，不代表本站观点，若需要原创文章可咨询客服老师，欢迎参考。

一、网络隐私权的定义、特点以及网络空间隐私权的侵权状况

(一)网络隐私权的定义

隐私这个词源于英文private，其愿意为“让我自己呆着”。隐私在不同的国家有不同的称谓，俄罗斯人认为隐私是指个人的生活，英国人则认为隐私是指个人的私生活。在我国，一般认为，隐私是一种与公共利益、群体利益无关的，当事人不愿他人知道或他人不便知道的信息，当事人不愿意他人干涉或他人不便干涉的个人私事和当事人不愿他人侵入或他人不便侵入或他人不便侵入的个人领域。人类的隐私权是人的基本权利之一，它是公民人格权利中最基本、最重要的内容之一，是伴随着人们对自身的尊严、权利、价值的产生而出现的。它的内容包括：隐私的隐瞒权、个人生活不被干扰权和个人资料的支配、控制以及不被非法收集、利用权。

网络隐私权是指公民在网上享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵犯、知悉、搜集、复制、分开和利用的一种人格权；也指禁止在网上泄露某些与个人有关的敏感信息，包括事实、图像以及毁损的意见等。

网络隐私权一般包括以下内容：1、个人资料被收集的知情权。所谓个人资料，即指姓名、年龄、血型、种族、通讯地址、健康状况等，还应包括个人的背景资料，如个人爱好、职业、交易程度、个人信用和财产状况等。2、个人私事和个人领域的保护权（主要包括：对个人计算机的个人资料的保护和对网上通信内容的保密。）以及选择是否进行信息披露的最终决定权。3、个人资料的安全请求权和信息浏览及更正权。主要包括：保护权利主体不受网络的不当干扰，有权浏览自己的被收集的信息并对记录错误的内容进行更正。4、保护权利主体对个人隐私的正当利用，排除他人非法利用，以及对被侵犯隐私所造成损失的求偿权。

(二)网络隐私权的特点

首先，网络隐私权的主体是被收集个人资料的自然人，客体是网络隐私权主体认为不宜分开的个人资料。

其次，网络隐私侵权一般是采取非法手段获取、使用、披露个人资料，并且网络侵害行为随着网络技术的发展逐渐普及化、技术化。

再次，网络隐私权的内容不断拓展，很多在现实社会中不属于隐私的内容在网络中却属于隐私。由于网络具有虚似性和无国界性，使得网络隐私权比传统的隐私权更加容易被侵犯。

最后，网络隐私的内容具有经济价值，侵权者侵犯他人的网络隐私权的主要目的为了获取非法经济利益。

(三)网络空间隐私权的侵权状况

在互联网日益融入人们生活的今天，网络隐私的侵权行为也越来越多。互联网上侵害他人的隐私权的最主要的表现形式是非法获取、利用他人资料。侵权者往往出于各自的目的，运用各种技术手段，对网民的个人资料进行收集或盗取，其表现形式如下：

1、大量收集用户个人资料以用于非法目的的情况在未成年人中尤为重要。很多网站在提供服务时，往往设法从自我防护能力较差的儿童网民那里套取他们的姓名、家庭地址和电子邮件地址、社会安全号码和信用卡号码以及其他他们认为必要的信息。当然，他们取得和使用这些信息根本就不会告诉儿童的监护人，更不用说取得监护人的同意。事实上，受害者在大多数情况下也并不知道自己的隐私权已经被侵犯。有的网站在网民享受网站提供的服务时，通常会要求他们填写很多个人资料，当网站掌握这些资料后，为了获取经济利益，往往跟其它网站分享这些资料或者干脆把获取的网民的个人资料出售给那些需要这些资料的买主。

2、有些软硬件厂商在生产自己的产品时，在产品中加和了能够自动收集消费者隐私的程序，这种程序能把大量的用户的隐密信息记录在计算机中。有些网站使用一种叫“BO”的程序，它可以很轻松的帮助网站采集和传送网民的各种基本资料。此外，一种叫Cookie的程序经常被用来窃取用户的信息，由于Cookie具有强大的网上追踪、目标行销等功能，所以很多网站通常用它来跟踪用户在网上的操作，从而掌握用户的习惯、爱好、消费状况等纯属私人秘密的东西，并将掌握的资料用于非法目的。一些网络广告商还经常使用Cookies来统计广告内容的点击率和点击量，通过分析点击率的高低，来确定他们市场策略。由于广告商收集数据的方法非常隐蔽，一般难抓到他们的把柄。除此之外，当网络使用者在网上搜集和传输信息时，网络本身所具有的强大记录功能适时地搜集记录了上网者的个人信息；而另外一种叫做“特洛伊木马”的程序则常被用来访问客户的电脑，记录客户的行为。

3、一些常见的网络侵权行为，通常表现为向客户发送垃圾邮件、擅自在网上宣扬、公布他人隐私、对个人通讯内容进行非法侵害、监听等形式。一些单位或雇主利用一种名叫“网络神探”的软件，对本单位或雇员在办公室的情况进地监视，这种软件的使用，就好象在未经同意的情况下，私自进入他人住宅，随意窥探他人隐私一样。近几年来，政府在实施对社会安全管理的同时也有可能侵犯网民的网络隐私，如美国联邦调查局经常使用一种叫做“食肉动物”的网上邮件窃读系统来收集和筛选电子邮件。

二、网络隐私权问题产生的原因

网络隐私权问题的产生是当前信息化、网络化的产物，我们不应该对他一概而论，相反更应该仔细分析其问题产生的原因。笔者主要从以下几方面分析问题存在的原因：

1.网络特有的虚拟性、开放性、技术性、数字性和交互性对隐私权的法律保护产生了巨大的影响，给现行的隐私权法律保护制度提出了新的问题和挑战。现有的隐私权法律保护制度相对于网络隐私权法律保护的现实要求已经明显滞后，完善网络隐私权法律保护制度是客观现实的紧迫要求。

虽然我国法律已经开始重视对隐私权的保护，但是迄今为止，却还没有一部法律直接将隐私权写入法律条款中，我国法律还没有把隐私权界定为一项独立的人格权，在隐私权的保护方面没有专门的法律法规，仅在司法实践上确认将隐私权归于名誉权中或作为一般人格利益的内容之一加以保护。目前的立法状况不仅无法解决在传统领域的隐私权保护问题，更无法面对信息技术的高速发展和电子产品的广泛应用对网络空间个人隐私权提出的挑战。法律体制的不完善导致了网络隐私权法律保护的缺陷，使网络隐私权遭受侵害时寻求法律救济成为难题，限制了被侵权人通过法律途径保护自身权益的机会，不利于全面、有效、充分地保障个人网络隐私权。

客观地讲，我国目前在网络隐私权立法和司法保护上的滞后，使得我国的互联网产业有了一个宽松的发展环境，在一定程度上对互联网产业发展是有利的。然而，随着网络技术的进一步发展和社会的全面信息化，围绕网络个人隐私权产生的纠纷将会越来越多，如果不及时制定科学合理的网络隐私权保护法律制度，网络隐私侵权纠纷势必反过来成为互联网络产业健康持续发展的主要障碍之一。互联网产业的发展与网络隐私权的保护不可偏废，构建我国的网络隐私法律保护制度，迫在眉睫。

2.互联网的开放性。从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散,其安全性并不好。互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。

3.网络小甜饼cookie。某些Web站点会在用户的硬盘上用文本文件存储一些信息,这些文件被称为Cookie,包含的信息与用户和用户的爱好有关。现在的许多网站在每个访客进入网站时将cookie放入访客电脑,不仅能知道用户在网站上买了些什么,还能掌握该用户在网站上看过哪些内容,总共逗留了多长时间等,以便了解网站的流量和页面浏览数量。另外,网络广告商也经常用cookie来统计广告条幅的点击率和点击量,从而分析访客的上网习惯,并由此调整广告策略。一些广告公司还进一步将所收集到的这类信息与用户在其他许多网站的浏览活动联系起来。这显然侵犯了他人的隐私。

3.网络服务提供商(ISP)在网络隐私权保护中的责任。ISP对电子商务中隐私权保护的责任,包括：在用户申请或开始使用服务时告知使用因特网可能带来的对个人权利的危害;告知用户可以合法使用的降低风险的技术方法;采取适当的步骤和技术保护个人的权利,特别是保证数据的统一性和秘密性,以及网络和基于网络提供的服务的物理和逻辑上的安全;告知用户匿名访问因特网及参加一些活动的权利;不为促销目的而使用数据,除非得到用户的许可;对适当使用数据负有责任,必须向用户明确个人权利保护措施;在用户开始使用服务或访问ISP站点时告知其所采集、处理、存储的信息内容、方式、目的和使用期限;在网上公布数据应谨慎。

目前,网上的许多服务都是免费的,如免费电子邮箱、免费下载软件、免费登录为用户或会员以接收一些信息以及一些免费的咨询服务等,然而人们发现在接受这些免费服务时,必经的一道程序就是登录个人的一些资料,如姓名、地址、工作、兴趣爱好等,服务提供商会声称这是为了方便管理,但是,也存在着服务商将这些信息挪作他用甚至出卖的可能。

三、对网络隐私权保护的技术支持

(一)电子商务信息安全协议

1.安全套接层协议(SecureSocketsLayer,SSL)。SSL是由NetscapeCommunication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL的整个概念可以被总结为：一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户、服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。

2.安全电子交易公告(SecureElectronicTransactions,SET)。SET是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。

3.安全超文本传输协议(S-HTTP)。依*密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术上发展的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。

4.安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。

5.UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。

(二)P2P技术与网络信息安全

P2P(Peer-to-Peer,即对等网络)是近年来广受IT业界关注的一个概念。P2P是一种分布式网络,最根本的思想,同时它与C/S最显著的区别在于网络中的节点(peer)既可以获取其它节点的资源或服务,同时,又是资源或服务的提供者,即兼具Client和Server的双重身份。一般P2P网络中每一个节点所拥有的权利和义务都是对等的,包括通讯、服务和资源消费。

1.隐私安全性

首先，目前的Internet通用协议不支持隐藏通信端地址的功能。攻击者可以监控用户的流量特征,获得IP地址。甚至可以使用一些跟踪软件直接从IP地址追踪到个人用户。SSL之类的加密机制能够防止其他人获得通信的内容,但是这些机制并不能隐藏是谁发送了这些信息。而在P2P中,系统要求每个匿名用户同时也是服务器,为其他用户提供匿名服务。由于信息的传输分散在各节点之间进行而无需经过某个集中环节,用户的隐私信息被窃听和泄漏的可能性大大缩小。P2P系统的另一个特点是攻击者不易找到明确的攻击目标,在一个大规模的环境中,任何一次通信都可能包含许多潜在的用户。

其次，目前解决Internet隐私问题主要采用中继转发的技术方法,从而将通信的参与者隐藏在众多的网络实体之中。而在P2P中,所有参与者都可以提供中继转发的功能,因而大大提高了匿名通讯的灵活性和可*性,能够为用户提供更好的隐私保护。

2.对等诚信

为使得P2P技术在更多的电子商务中发挥作用,必须考虑到网络节点之间的信任问题。实际上,对等诚信由于具有灵活性、针对性并且不需要复杂的集中管理,可能是未来各种网络加强信任管理的必然选择。

对等诚信的一个关键是量化节点的信誉度。或者说需要建立一个基于P2P的信誉度模型。信誉度模型通过预测网络的状态来提高分布式系统的可*性。一个比较成功的信誉度应用例子是在线拍卖系统eBay。在eBay的信誉度模型中,买卖双方在每次交易以后可以相互提升信誉度,一名用户的总的信誉度为过去6个月中这些信誉度的总和。eBay依*一个中心来管理和存储信誉度。同样,在一个分布式系统中,对等点也可以在每次交易以后相互提升信誉度,就象在eBay中一样。例如,对等点i每次从j下载文件时,它的信誉度就提升(+1)或降低(-1)。如果被下载的文件是不可信的,或是被篡改过的,或者下载被中断等,则对等点i会把本次交易的信誉度记为负值(-1)。就象在eBay中一样,我们可以把局部信誉度定义为对等点i从对等点j下载文件的所有交易的信誉度之和。每个对等点i可以存贮它自身与对等点j的满意的交易数,以及不满意的交易数,则可定义为：

Sij=sat(i,j)-unsat(i,j)

(三)电子商务中的信息安全技术

电子商务的信息安全在很大程度上依赖于安全技术的完善,这些技术包括：密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。

1.加密技术。加密技术是电子商务采取的主要安全保密措施，是最常用的安全保密手段,利用技术手段把重要的数据变为乱码（加密）传送，到达目的地后再用相同或不同的手段还原（解密）。加密技术包括两个元素：算法和密钥。算法是将普通的文本（或者可以理解的信息）与一窜数字（密钥）的结合，产生不可理解的密文的步骤，密钥是用来对数据进行编码和解码的一种算法。在安全保密中，可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地，对数据加密的技术分为两类，即对称加密（私人密钥加密）和非对称加密（公开密钥加密）。对称加密以数据加密标准（DNS，DataEncryptionStandard）算法为典型代表，非对称加密通常以RSA（RivestShamirAd1eman）算法为代表。对称加密的加密密钥和解密密钥相同，而非对称加密的加密密钥和解密密钥不同，加密密钥可以公开而解密密钥需要保密。。

2.数字签名技术就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。普通数字签名算法有RSA、ElGamal、Fiat-Shamir、Guillou-Quisquarter、Schnorr、Ong-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。

3.防火墙技术。防火墙(Firewall)防火墙在你的网络周围创建了一个保护的边界。并且对于公网隐藏了你内部系统的一些信息以增加保密性。当远程节点侦测你的网络时，他们仅仅能看到防火墙。远程设备将不会知道你内部网络的布局以及都有些什么。防火墙提高认证功能和对网络加密来限制网络信息的暴露。通过对所能进来的流量时行源检查，以限制从外部发动的攻击数字签名技术。4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(DigitaTime-stamp)的数字签名方案：验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。

四、电子商务中的隐私安全对策

随着网络技术的发展，世界各国越来越重视网络隐私权的保护，为了有效保护网民的网络隐私权，主要西方发达国家及国家及国家组织都普遍重视在全球电子商务中个人隐私保护问题,并且采取相应的措施。例如,加拿大、欧盟、欧洲理事会及经济合作和发展组织都已采取行动对全球电子商务中的个人隐私保护问题加以调整。各国的作法一般分为两种：一种是通过立法的方式来对全球电子商务中的个人隐私加以保护：另外一种是不采取立法的方式,而鼓励行业自律,例如,美国就一直不提倡通过立法途径解决对全球电子商务中的隐私保护问题,当然,第二种方式也不是绝对的,美国针对少年儿童在网络传输中的隐私保护就采取立法的形式。

通过以上西方国家对网络隐私权的保护可以为我国这方面问题的解决提供有益的帮助和借鉴。我国已经加入了WTO,国内市场和相关行业要陆续开放,加快网络业发展,积极融入全球电子商务市场已是必然。但是,我国公民保护隐私的意识普遍淡薄，网络隐私权问题越来越突出。因此,我们要未雨绸缪,积极采取对策,构筑网络隐私的保护体系,适应国际社会发展的需要。

(一)加快立法保护的进程

目前,我国虽然已有多个法律涉及对个人隐私的保护,但对于一般的隐私权保护缺乏细致的规定,更未形成一个完整的系统化制度,对于网络个人隐私的保护问题更是有涉及。因而在隐私权的法律保护方面存在诸多的问题和漏洞。

从我国现实情况来看,应从以下几个方面做起：第一,借鉴发达国家隐私权保护立法的经验,结合中国的现实情况,适时制定我国的个人隐私数据保护法新的法律要就个人隐私数据的收集、持有、处理、存储、披露和公开、数据主体的知悉和更正权、不正当使用数据的法律责任,法律监督和执法机制等方面作出明确详细的规定要比现有的法律详细、准确、具体,更具有可操作性。法律既要赋予个人对隐私数据的控制权,还应规定政府在使用或公开个人信息方面的权利和义务;既要能保护个人的隐私权,又要兼顾网络服务商的利益。隐私权保护法律应与国际上的相关法律相接轨,与国内的相关法律相衔接。第二,在《民法通则》中增加有关隐私权的条款准确界定隐私权的含义,并把其作为人格权的独立内容加以规范。在刑法、诉讼法、行政法等法律中增加相关的条款,初步建立起以民法为重点、其它法律为辅的公民隐私权保护体系。最后,由于立法和修法的时间较长,远水不解近渴,所以国家有关部门可以先制定隐私权保护的行政规章。

(二)网络服务商要加强行业自律

在当前我国隐私权法律基础与环境还相对薄弱，对网络隐私缺乏有效法律规制的情况之下，行业自律也是不可或缺的。网络的发展日新月异，不断地会出现新事物、新问题，而法律却是僵硬的，倾向于稳定与滞后的，通常落后于社会的实践。法律并非保值百病的良药。完全依*法律的规制会遏制、影响网络快速发展。所以即使制定出相关的法律，行业自律仍不失其价值和作用。

为了推动网络行业的自我规范,建设消费者信任的网络环境,切实保护个人的网络隐私权,当务之急是做好这几个方面的工作：首先，鼓励和发展网络信息中介机构。该机构一方面收集个人的信息资料,并与个人签定个人资料收集、使用和保护的合同;另一方面该机构代表个人,向服务商有选择地披露个人信息资料,为个人提供符合个人品位爱好的个性化服务。其次，由信息产业部和个人隐私保护协会联合成立网络隐私达标认证机构,该机构负责对各个网络运营商隐私权保护的状况进行审计、监督和检查,符合协会保护政策和原则的,再进一步做详细的评估和认证,最后授权认证通过的网络运营商使用达标的标记。最后，网络界应当成立由网站、ISP、服务商、IT公司等组成的行业个人隐私保护协会,该协会负责网络隐私保护的发展规划工作,制定出网络隐私保护的具体政策和原则,并向从事在线活动的商业机构施加压力,促进自我规范。

(三)加强保护网络隐私重要性的宣传力度,全面树立保护意识

充分利用各种新闻媒体广泛宣传,使网络服务商、国家政府机关、企业和公民都明白网络隐私保护的重要意义。首先。有利于公民合法权益的保护,更有利于建立安定、有序的社会环境,提高人们的生活质量,使物质文明与精神文明达到平衡发展。其次，保护个人隐私是对人性自由和尊严的尊重,是一项基本的社会伦理要求,也是人类文明进步的一个重要标志。只有积极保护和尊重他人的隐私权,才能赢得别人对我们隐私的保护和尊重。

(四)加强网络监管

网络监营就是国家运用行政、技术、法律等手段,对网络信息的输入、传播、提取、交流、处理等过程进行监控和管理,包括禁止个人或组织非法收集、篡改、传播、利用他人的隐私资料。首先,网络经营者和服务商应搞好安全管理,网络经营者和服务商有义务配合管理机关做好网络信息安全工作,包括对用户输入信息适当的检查义务,对国内外具有不良内容的站点监察与隔离的义务以及通知、报告、协作义务。再次,要加强对网络信息的的统一管理,重点保护好隐私信息。国家赋予公安部门为网络信息管理的执法机构,各地方公安机关都成立了电子警察,电子警察在对网络信息管理的过程中,应当改变传统的观念,把网上侵害个人隐私信息的案件作为一项新的内容纳入工作范围,在维护网络安全的同时,确保网络用户的隐私不受侵扰。最后,建立网络隐私保护的评估体系。管理部门定期对网络隐私保护环节中涉及的法律政策、网络运营商、中介机构、网站、消费者等方面作出评价,发现问题,及时纠正。

(五)个人应加强自我保护

网上个人隐私遭到侵害,仅仅把责任归咎于网络运营商是不对的。实际上,在大多数的情况下,泄露了个人相关资料的不是别人,正是毫无保护就连接到互联网上的我们自己。因此,网络用户应提高防范意识,采取必要的措施保护个人的隐私资料。

个人可以采取的安全防护措施有：(1)在网上浏览时,使用服务器或匿名浏览方式,此类网站有Anonymizer(http：∥)、proxyMate(http：∥)等,都是免费的。(2)对个人资料进行加密保护。(3)申请免费电子邮箱时,尽量不使用真实姓名和填写相关的真实资料。通过电子邮件通信时,若信中的内容十分重要,应使用有加密功能的邮箱。(4)设立个人多重档案,分别为你访问的不同性质网站以及你在那里的活动而量身订做。(5)不要在网站上留下过多的个人资料。在网上填写一些表格时,可以写一些假资料或半真半假的资料。对于需要保密的资料,应慎重填写。(6)谨慎对待网上购物。在决定参加网上购物以前,要对网上商城的信用和隐私保护情况进行调查,调查的方法有三：实地考察;向其用户询问;查看其网页上是否提供了隐私保护。对于信用不好的,千万不要提供个人资料和参加。

参考文献：

1.梅绍祖著:《网络与隐私》，清华大学出版社，2006年版

,2.屈茂辉，凌立志著:《网络侵权行为法》，湖南大学出版社，2005年版

3.李德成著:《网络隐私权保护制度初论》，中国方止出版社，2001年版

4.孙昌军.郑远民等著:《网络安全法》，湖南大学出版社，2002年版

5.金诚.“从网络执法看网络隐私的保护问题”.网络安全技术与应用,2001(5)

6.刘春燕.“网络时代如何保护个人隐私权”.天津政法管理干部学院学报,2001(2)

7.赵立平.《电子商务概论》.上海:复旦大学出版社,2000.

8.张新宝主编:《互联网上的侵权问题研究》，中国人民大学出版社，2003年版

9.董金华.《关于隐私权的理论探析》，载《理论探索》，2004年第6期

10.姜振颖:《论隐私权及其法律保护》，载《河南大学学报(社科版)》，2004年第5页。