隐私2.0:Web2.0时代的用户隐私保护研究
作者 :  魏 来 郑 跃

  摘 要:伴随着Web2.0的兴起,网络隐私侵权问题已经引起了国内外学术界和网络用户的普遍关注。文章分析了国内外网络隐私立法保护现状、行业自律模式和技术保护措施,提出适合于我国互联网发展现状的隐私2.0框架体系。Web2.0时代的用户隐私保护应充分发挥国家、网络服务提供商和网络用户三方面的力量,明晰责权,相互制约,提高网络信任度,使互联网向着和谐健康的网络社会发展。
  关键词:Web2.0 隐私2.0 网络隐私 立法保护 技术保护
  中图分类号:D923.8文献标识码:A 文章编号:1003-6938(2010)05-060-05
  Private 2.0: Research on User's Privacy Protect in Web 2.0
  Wei LaiZheng Yue (Academy of Communication Sciences Northeast Normal University, Changchun, Jilin, 130117)
  Abstract:Along with the rise of web2.0, network infringement of privacy has already attracted attention in the academic community and the general concern of Internet users both at home and abroad. This article has analyzed the domestic and international network of privacy legislation, the industry self-regulation model and the technical protection measures, proposed that privacy 2.0 frame system which suits in our country Internet development present situation. In the Web2.0 age, protection of user privacy should be given full play to the country, ISP and Internet users' strength, responsibilities and powers should be clarified, mutual restriction, and enhance the network trust level, make the network turn toward to the harmonious health network society development.
  Key words:Web2.0; Privacy 2.0; Online Privacy; Legislative Protection; Technical Protection
  CLC number:D923.8 Document code:A Article ID:1003-6938(2010)05-060-05
  
  Web2.0时代的快速发展,极大地增加了数字化形式保存的个人数据容量,使用网络获取、处理、存储和传播个人数据的能力得到极大的提升,个人信息及个人在网络上的活动信息日益透明化,网络隐私侵权问题已受到了广大网络用户和专家学者的重视。因此,分析国内外网络隐私立法保护现状、行业自律模式和技术保护措施,以制定有效的Web2.0用户隐私保护体系具有重大的意义。
  1 隐私2.0的界定
  1.1 Web2.0与网络空间的个人隐私权
  隐私威胁伴随着互联网的产生而出现,在传统网络――Web1.0时代,网络一直是一个相对单方面的体验过程,其主要特点在于用户只是通过浏览器获取信息,即用户只是网络的“使用者”。随着Wiki、RSS、Tag等Web2.0工具的兴起,用户逐渐从“使用者”变成“制造者”和“管理者”,Web2.0使“以用户为中心”、“共建共享”的可写可读网络社会得以实现。人人参与、人人贡献、去中心化的理念使得Web2.0在兴起后的短时间内就聚集了大量的个人信息,但由于相关法律技术保护滞后、利益驱动以及个人隐私权保护意识淡薄等诸多因素,广大网民在享受“织网”的乐趣的同时,不断受到隐私权被侵犯的威胁。
  中国人民大学法学院王利明教授在其著作《人格权法》中指出,在网络空间的个人隐私权主要指:“公民在网上享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵犯、知悉、搜集、复制、公开和利用的一种人格权;也指禁止在网上泄露某些与个人有关的敏感信息,包括事实、图象、以及毁损的意见等。”[1 ]传统个人隐私在网络环境中主要表现为个人数据。个人数据就是能够用以识别网络用户个人身份的信息,包括姓名、性别、年龄、身份证号码、家庭住址、电话、电子信箱地址、信用卡号码及上网记录等。在Web2.0时代,用户个人隐私保护除依赖于相关的法律法规、业界自律和技术保护外,更加需要一套完整的以国家、网络服务提供商(Internet Service Provider,ISP)和网络用户所组成的三方面责权分配体系。
  1.2 隐私2.0
  隐私2.0指:为保护Web2.0时代网络用户个人隐私安全,保障用户个人信息和个人网上活动信息不被他人非法侵犯、知悉、搜集、复制、公开和利用,由国家、网络服务提供商(ISP)和网络用户层三方协作组成的责权分配体系(见图1)。
  隐私2.0的主要思想源于Web2.0“人人参与、人人贡献、去中心化”的理念,其主要特点是:摒弃Web1.0时代单纯依靠国家机器维护网络隐私的做法,充分发挥国家、ISP和网络用户三方面的能动性,建构一个和谐的全方位的网络个人隐私安全社会。其主要内容有:由国家投入资金和人力明晰相关法律法规,开发引进相关技术,加强网络监管,宣传教育用户加强自我保护意识;网络经销商以国家政策为依据制定网站隐私保护策略,依靠业界自律模式相互监督、认真履行;网络用户除提高自我保护意识外,积极参与相关法律法规的制定,监督网站隐私保护情况。
  2 Web2.0时代用户隐私保护的认知与诉求
  为了更好的分析Web2.0时代网络用户隐私保护的现状及存在的问题,笔者于2009年4月进行了问卷调查,共回收有效问卷210份。调查结果显示,有55.10%的网络用户或用户的朋友受到过个人信息外泄带来的烦恼,当网络用户的个人信息外泄时42.18%的网民不予理会,29.25%警告对方,只有28.57%会采取法律途径,且绝大多数网民在面临侵权时不知如何维护自身利益。
  2.1 个人信息
  (1)申请注册时填写的个人信息。Web2.0网站是交互式网站,每一个网络用户在网站中都需要有自己的“身份”,在申请注册的过程中姓名(可使用昵称)、邮箱是必填项目,一些网站还要求输入身份证号码、电话和主要经历等。笔者对网络用户会填写哪些真实信息进行了调查,调查结果见图2。
  (2)求职交友过程中的个人信息。据笔者调查,分别有72.11%和43.54%的网络用户会在信息服务类网站(如智联招聘,中介网)和交友类网站(如聚友,校内等)留下真实信息,在求职交友过程中,大部分网络用户为投递简历或联系朋友会填写大量个人真实信息。
  2.2 个人在网络上的活动信息
  (1)日志文件中的个人信息。日志文件是专门用于记录系统操作事件的记录文件或文件集合,为了记录和分析网络站点的服务情况,几乎每个站点服务器上都安装了某种“日志程序(log program)”,这种程序能够记录客户机与服务器之间的业务交易情况。用户每次访问某个站点的网页时,申请和传递网页内容文件的整个过程是由超文本传输协议控制的。每一次申请和传递就构成了一个完整的HTTP业务交易,由服务器上的日志程序完整地记录下来。
  (2)Cookies中的个人信息。Cookies指某些网站为了辨别用户身份、进行跟踪而储存在用户本地终端上的数据。Cookies最典型的应用是判定注册用户是否已经登录网站,用户可能会得到提示,是否在下一次进入此网站时保留用户信息以便简化登录手续。另一个重要应用场合是“购物车”之类处理。用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品,这些信息都会写入Cookies,以便在最后付款时提取信息。尽管Cookie没有病毒那么危险,但它仍包含了一些敏感信息:用户名,计算机名,使用的浏览器和曾经访问的网站。
  3 国内外用户隐私保护的主要方法
  3.1 法律方法
  从20世纪60年代开始,随着计算机技术、网络技术和通信技术的发展,各国政府和民间机构广泛运用计算机收集个人资料,于是一场保护个人权利的立法在全球范围内展开。在个人数据保护领域进行的立法,可以分为两大模式:行业自律模式和统一立法模式。[2 ]
  3.1.1 美国――行业自律模式
  在网络个人隐私权保护问题上,美国政府强调业者自律。美国政府在1996年的《全球电子商务政策框架》中提到,在网络隐私保护问题上的首要原则就是“私营部门应起主导作用”。美国著名的隐私保护组织――在线隐私权联盟,其自律模式主要采取了以下重要手段:(1)建设性的行业指引(suggestive industry guidelines)。如FTC就网络上个人数据及隐私权益的保护问题制定了四项“公平信息准则”,要求网站搜集个人信息时要发出通知;允许用户选择信息并自由使用信息;允许用户查看有关自己的信息并检查其真实性;要求网站采取安全措施保护未经授权的信息;(2)隐私认证计划。如美国电子前线基金会(EFF)与Commerce.net共同发起成立了以倡导网上隐私为主旨的非盈利性机构Truste,对符合不同自律标准的网站颁发认证证书。
  除业界自律外,在美国,关于个人网络隐私保护的立法主要有以下几部:(1)《信息自由法》(Freedom of Information Act of 1967);(2)《隐私权法》(The Pravite Act of 1974),这部法律可视为美国隐私权保护的基本法,它规定了美国联邦政府机构收集和使用个人资料的权限范围,并规定在未经当事人同意的情况下不得使用任何有关当事人的资料;(3)《儿童网上隐私保护法》,要求那些面向12岁以下儿童、或向儿童收集信息的网站和在线服务者,向父母发出有关信息收集的通知,并在向儿童收集个人信息之前得到父母的同意;要求网站保证父母有可能修改和更正这些信息;保证儿童在言论、信息搜索和发表的权利不受到负面影响;(4)格雷姆-里奇-比利雷法(The Gramm-Leach-Bliley Act of 1999),用于控制金融机构处理个人信息的方式。
  行业自律模式的最大优点在于立法目的明确,内容界定清晰。其弊端是无论是从立法角度还是从司法角度,都容易造成法治的不统一。[3 ]
  3.1.2欧盟――统一立法模式
  与美国不同,欧盟十分注重成体系的立法保护,以个人数据作为基础概念,制定了一系列完整的个人数据保护专法。
  (1)《欧盟个人资料保护指令》(EU Data Protection Directive of 1995),规定欧盟各国必须根据该指令调整或制定本国的个人数据保护法。该项指令几乎包括了所有关于个人数据的处理,包括个人数据处理的形式,有关个人数据的收集、记录、储存、修改、使用或销毁等等。欧盟以指令的形式为各国制定了个人数据的法律保护框架,具有很强的执行性,这在世界各国的网络个人隐私保护中是很少见的。
  (2)《电子通讯数据保护指令》(1996)――《欧盟个人资料保护指令》的补充与特别条款。其主要目的是提供成员国电信部门个人信息的处理,并确保区域内数据、电信设备及服务的自由流动,保障用户的权利与自由
  (3)《私有数据保密法》(1998)――《个人数据保护指令》的补充和延续,主要包括输入网络站点、存储于互联网服务器上的以及局域网上传播的私有数据的保护问题。
  (4)《互联网上个人隐私权保护的一般原则》(1999),确立了有关个人数据保护的一般原则,强调立法“既尊重个人的权利,同时保障在互联网上信息交换的保密性,保障这类数据的自由流动”。
   (5)《信息互联网高速公路上个人数据收集、处理构成中个人权利保护指南》(1999),为用户和ISP建立起清晰可循的隐私权保护原则,尤其强调了ISP的责任和用户的个人权利保护的自我意识的培养等 。[4 ]
  3.2 技术方法
  3.2.1基于用户的隐私保护技术
   (1)防火墙。一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。
  (2)Cookies抑制器。这种软件可以自动删除用户机器上的Cookies文件,并改变浏览器的设置,使之不再接受Cookies文件。
  (3)密码技术。密码技术用于隐蔽传输信息、认证用户身份等,使用密码技术可以防止信息被篡改、伪造和假冒。
   (4)网络访问控制技术。访问控制的主要任务是保证网络资源不被非法访问与非法使用。根据用户的身份赋予其相应的权限,规定主体对客体访问的限制。访问控制与用户身份认证密切相关,确定用户在系统中信息有什么样的访问权限。[5 ]
  (5)入侵检测技术(IDS)。一种对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。[6 ]
  3.2.2基于中间代理的隐私保护技术
  (1)基于代理服务器的隐私保护技术。代理服务器是介于客户端和Web服务器之间的另一台服务器,使用代理服务器浏览网页可以隐藏身份,防止攻击。
   (2)基于路由的隐私保护技术。这种技术将用户的请求通过多个路由“转送”到目的地,使得网站和每一个中间主机不能识别用户的身份。
   (3)基于洋葱路由的隐私保护技术。这种技术的基本原理是将来自不同用户或应用的数据分割成固定大小的数据包,这些数据包分别选择随机的路径进行传送,到达目的地以后再重新组合,采用混淆网络的思想来支持匿名连接,从而使黑客不能监测到通信双方的身份。[7 ]
  可见,为了更好的保护网络用户的隐私权,各国都在不遗余力的完善法律法规、研发新的技术手段。但是,我们不能否认:(1)法律永远无法追上技术的脚步,即法律无法预见所有可能出现的侵犯网络用户隐私权的新手段;(2)再完备的技术方法也无法阻挡所有的侵权行为;(3)目前的技术手段还没有彻底实现“平民化”,普通用户使用起来有一定的难度。与此相反,海量的用户个人信息蕴含着丰富的经济效益,利益的驱使使得渴望获得这些信息的个人或商家有着同样的“不遗余力”,电脑犯罪分子在窃取个人资料方面手段越来越多。因此,我们需要一套完整的以国家、ISP和网络用户所组成的三方面责权分配体系,更好的在Web2.0时代保护用户的个人隐私。
  4 隐私2.0框架体系构建
  4.1 国家层
  国家是维护网络个人隐私的基础,是打击电脑犯罪分子的主力军,为了更好的保护用户的个人隐私,政府需要履行以下职责:
   (1)为保护网络用户隐私权立法,制定相应的行政规章。网络隐私权是伴随着互联网的兴起而产生的,因此现有的法律法规并不完全适用于Web2.0时代的用户隐私保护。效仿欧盟的统一立法模式,为网络用户隐私权单独立法是比较适合于我国国情的。目前,我国缺乏统一的与互联网有关的法律,对隐私的法律定义尚不明晰,对隐私权保护的规定也很薄弱。比如《计算机信息网络国际联网安全保护管理办法》第七条,以及《计算机信息网络国际联网管理暂行规定实施办法》第十八条,尽管都分别规定不得利用互联网侵犯公民的通信自由和通信秘密,不得篡改他人信息、散发恶意信息、侵犯他人隐私,但上述规定只体现了对部分网络隐私权进行保护,而且缺乏可操作性。另外,关于网络经营者的责任以及实际侵权者的责任问题也没有明确规定,极不利于规范互联网上的用户行为。
  (2)制定网络用户个人隐私侵权事件应急预案。Web2.0所强调的个体作用和群体互动是一个很重要的方向,随着网络大社区的形成,个体正越来越成为彼此间有紧密联系并相互影响的群落,成为可以充分掌握信息和充分释放信息的个体。有研究表明,网络容易造成群体极端化,当团体成员匿名在网络上相遇并强调团体认同时,极端化的程度会加深,容易发生网络虚拟串联。因此应对网络用户个人隐私侵权事件分类分级,制定应急预案,明确不同侵权事件的救济途径。
   (3)实施网络认证,加强网络监管。成立专门的网络隐私权保护机构――中国网络用户隐私保护委员会,制定统一的网络认证体系,对ISP进行监控,对符合规定的网站颁发“营业执照”。 中国网络用户隐私保护委员会和网络用户对获得执照的网站进行隐私保护程度等级评定,张贴不同等级的徽章或记号,此评定为所有用户清晰可见,表明网站的可信任程度,以作为用户判断是否使用该网站的依据,且可促进网站加强自我管理。
   (4)宣传网络隐私权保护法律法规,教育用户加强自我保护。充分利用各种新闻媒体广泛宣传,使社会各界明晰保护网络隐私权的重要意义,使广大网络用户明白隐私权保护的重要性,了解网络隐私权相关法律法规、常用的技术保护手段等,自觉采取防范措施。
  (5)完善网络基础设施建设。再完善的立法及行业标准都需要先进技术的支持。国家应加大资金和人才的投入,研发相关软件,加强信息安全技术的开发与应用,为各有关方面和用户个人提供实用的保护隐私权的技术手段,为保护个人隐私提供强大的技术后盾。
  4.2 社区层(ISP)
  ISP包括网络技术提供商和服务内容提供商,其主要功能有:提供传输通道、交流空间和技术支持服务。[8 ]据笔者调查28.57%的网民认为现在网络个人信息泄露很严重――几乎所有的网站都有泄露,54.76%的网民认为还行――权威网站应该保护的比较好,41.67%的网民认为个人信息泄露的主要原因是网站出售信息,47.62%的网络用户认为ISP应是构建网络安全环境的主力军。
  (1)依据国家的法律法规制定隐私保护政策。Web2.0网站的隐私权保护已严重影响用户使用网站的安全性和信任度。目前,我国没有针对Web2.0网站隐私保护政策的法律条款,网站上的隐私保护声明是网站根据自身特点发布的,只适用于网站自身的用户,不同网站之间没有统一的格式和法定要求,而且绝大部分的网站以免责声明对用户的个人数据进行保护。[9 ]笔者在国内外知名的Web2.0网站中选择以下8个有代表性的网站,以此来分析目前Web2.0网站隐私保护政策的情况(这8个网站隐私保护政策所包含的隐私保护条款见表1)。
  国外的4个网站均将隐私保护政策(隐私声明)位于首页下方,说明适用范围,方便用户查阅。相比之下,国内只有中文维基和豆瓣将其放于首页下方,而博客大巴需要经过“相关法律―隐私保护”两次链接;天涯论坛没有统一的隐私保护政策,旗下的天涯博客、天涯问答、天涯相册、天涯邮局等均有各自的隐私声明。由表1可知,国内Web2.0网站在隐私保护政策较之国外相比还有一定的差距。首先隐私政策适用范围不明确,对个人信息的收集(收集类型)、真实性、使用和删改没有明确的说明,均无针对儿童的隐私保护条款;其次,均通过免责声明或直接声明政府需要、用户链接其它网站、病毒、黑客攻击、Cookies致使个人信息泄露与本网站无关,难免有逃避责任的嫌疑;最后对于网站破产、出售、合并后的隐私保护情况无详细说明。
  为了更好的保护用户的个人信息,同时促进国内Web2.0网站的健康秩序和平稳发展,我国政府应制定相应的法律法规,使各网站以此为依据制定行之有效的隐私保护政策,同时明确侵权后的赔偿责任,增加网络用户的积极性和对网站的信任程度。
  (2)合法使用用户个人数据。作为在网络上提供信息服务传播的媒介,ISP总不可避免地要对个人信息和个人在网络上的活动信息加以一定保存,ISP应该保证在用户知情的情况下合法使用这些数据。在数据收集前应告知用户,使用户明确其对个人数据的采集目的、数据类型、使用方法、贮存手段、保密措施、违约责任等内容,保持用户个人信息的真实性、完整性,不将用户的个人信息及个人网络上的信息活动泄露或出售与第三方。[10 ]同时,在网站的经营过程中向网络用户隐私保护委员会反馈用户隐私保护情况,为修改相关法律法规和研发新技术做依据。
  (3)行业自律,相互监督。在网络用户隐私保护委员会的统一监管下成立网络隐私保护联盟。自律就是自己约束自己。行业自律包括二个方面:一方面是对国家法律,法律法规的遵守和贯彻;另一方面是行业内的行规行约制约自己的行为。而每一方面都包含对行业内成员的监督和保护。主要责任有:{1}严格执行相关的法律、法规、行业管理办法、合同法、其他相关法律、法规。{2}制定和认真执行行规行约。“行规和行约”是行业内部自我管理,自我约束的一种措施。行规和行约的制定和执行对会员无疑起到一种自我监督的作用,推动本行业规范健康的发展。{3}向客户提供优质、规范服务。行业自律除了能更好的保护用户外,也是维护本行业和企业的利益,避免恶性竞争,维护本行业持续健康的发展。
  4.3 用户层
  毫无疑问,随着Web2.0时代的兴起,网络用户在网络世界中占据着越来越重要的位置。个人隐私信息的泄露,与网络安全制度不够完善相关之外,用户隐私保护意识薄弱也是不可忽视的重要问题之一。据笔者调查,在使用网络的过程中有60.54%的用户根本没有注意网站的隐私政策,只有29.25%的用户会仔细阅读,有10.2%的用户根本不知道有这种文件。用户的网上活动中需要用户申请注册或留下使用痕迹,而这些个人信息很容易利用现有的技术手段进行收集和利用。不了解网络隐私保护的相关法律法规和常用的隐私保护技术,既不利于事前自我保护,也会在侵权后不知如何通过正当手段维护自己的合法权益,更加不利于网络的长远发展。
  (1)学习了解网络隐私保护的相关法律法规。在使用Web2.0网站前,学习了解网络隐私保护的相关法律法规。首先有助于网络用户对网站的隐私保护程度有一个大体的掌握,起到事前预防的作用;其次,了解隐私侵权事件发生后的自救措施;最后约束网络用户的自我行为。
  (2)在私人电脑中安装常用隐私保护软件。在用户的个人电脑上使用防火墙、Cookies抑制器、网络访问控制技术等常用隐私保护技术手段,对重要信息实施加密保护,定期清除缓存、历史记录以及临时文件夹中的内容。
  (3)个人声誉等级评定。Web2.0创建了一个开放、共享的用户界面,只要你有浏览器就能与所有人联系,但是现在面临着很多声誉、授权、隐私的认证孤岛,应该对网络用户的个人声誉等级进行评定,既有利于用户自我行为管理,也是用户ISP的等级评定可信程度的依据。
  (4)协助网络用户隐私保护委员会和网络隐私保护联盟监管网络服务提供商。在网络用户隐私保护委员会和网络隐私保护联盟的指导下,对Web2.0网站的隐私保护程度进行等级评价,以约束和规范网络服务提供商。
  5 结语
  隐私2.0框架体系的构建是为了更好的保护网路用户的隐私权,而不是成为网络发展的束缚。充分发挥国家、ISP和网络用户三方面的力量,明晰责权,相互制约,提高网络信任度。同时关注国外隐私保护的进程,吸取经验教训,使我国的网路隐私保护与国际接轨,向着健康和谐的网络社会发展。
  参考文献:
  [1]王利明等.人格法权[M].北京:法律出版社,1997:149.
  [3]齐爱民.美德个人资料保护立法之比较――兼论我国个人资料保护立法的价值取向与基本立场[J].甘肃社会科学,2004,(3):138-141.
  [4]燕金武等.网络信息政策研究[M].北京:北京图书馆出版社,2006:145-146.
  [5]杨业娟.网络信息安全隐患与防范技术探讨[J].福建电脑,2008,(4):49-50.
  [2][6]入侵检测技术[EB/OL].[2010-01-02].http://bk.baidu.com/view/1148666.htm.
  [7]张军,熊枫.网络隐私保护技术综述[J].计算机应用研究,2005,(7):9-11.
  [8]江虹.论网络环境中网络服务提供商的隐私侵权责任[J].成都行政学院学报,2007,(2):59-61.
  [9]郑嘉楠.Web2.0网站隐私权保护条款研究[J].图书馆学研究,2007,(11):94-97.
  [10]于宁圆.论网络隐私权保护与网络服务提供者之义务[J].法制与经济,2008,(2):21-22.
  
  作者简介:魏来,女,东北师范大学传媒科学学院讲师,中国科学院文献情报中心2005级博士研究生; 郑跃,女,东北师范大学传媒科学学院2005级学生。

文秘写作 期刊发表