◆贺金兰 罗一民 滕丽萍

（江苏警官学院 江苏 210012）

社交网络用户隐私安全问题及其保护

◆贺金兰 罗一民 滕丽萍

（江苏警官学院 江苏 210012）

社交网络的蓬勃发展，为信息的传播与分享提供了平台，深刻地改变了每一位网民的生活。但当用户在享受社交网络带来的个性化服务的同时，利用网络侵犯用户个人隐私的事件也是屡见不鲜，给用户带来了极大困扰，也阻碍了社交网络的进一步发展。因此，用户隐私保护问题亟待解决。本文通过分析社交网络用户隐私安全问题产生的原因，介绍了社交网络安全问题的种类，重点提出了对于隐私数据安全保护措施与建议。

社交网络；隐私安全；技术方案；法律法规

1 社交网络用户隐私安全产生原因

1.1 用户自身的行为意识与隐私保护之间的矛盾

在社交网络中，一方面，用户对于自身的信息安全感知度低，隐私容易泄露，商业推广及网络诈骗极易发生，在此情况下，用户迫切地希望自身的信息能够被保护；另一方面，为了提高用户体验，用户又乐此不疲地在各类社交网站上注册并填写个人资料。虽然用户也担心着各式各样的个人隐私安全问题，但却并没有因此而节制自己的个人信息披露行为，这种现象被有些学者称作“隐私悖论”。卡内基·梅隆大学曾对其在校本科生做过调查研究，发现大多数学生在其 Facebook上提供的个人信息非常全面，其中还包括自己的感情状况及政治主张，然而，只有相当少的一部分学生进行了隐私设置。同样，据中国互联网络信息中心发布的《2015 年中国手机网民网络安全状况报告》显示，截至2015年底，手机网民中会主动查看手机软件隐私权限的用户仅占35.8%，只有8%的用户会通过手机安全软件的提示留意手机应用的隐私权限，高达 56.2%的用户完全没有注意过手机应用的隐私权限问题。[1]可见，“隐私悖论”现象普遍存在，网民缺乏基本的个人信息保护意识，对于社交网站采取何种措施保护其隐私数据漠不关心，这无疑增加了用户隐私泄露的风险。

1.2 网络服务提供商的盈利需求与隐私保护之间的冲突

社交网络服务提供商的盈利需求与用户隐私安全的矛盾关系是与生俱来的。社交网站服务提供商为了扩大经济效益，加强各网站间的合作，就势必要收集大量的用户个人信息。目前，安卓生态环境令人担忧，据中国互联网数据中心数据显示，在国内各类Android市场下载量前1400位的APP内，有66.9%的智能手机移动应用在抓取用户隐私数据。[2]社交应用打着各式各样的旗号读取用户手机相册、通讯录，并美其名曰提高用户体验。社交网络服务商读取采集到的用户信息越详细，其所蕴含的商业价值也就越高。

1.3 我国网络隐私权立法不完善

我国是世界上社交网络发展最快的国家，然而，截止到目前，我国关于网络隐私权保护的规范性文件只有一部人大常委会通过的《关于加强网络信息保护的决定》及7个部委规章。在此之前，2013年实行的《信息安全技术公共及商用服务信息系统个人信息保护指南》充其量是一部数据信息保护总则，并没有起到实质性的保护作用。[3]较之网络隐私权保护的相对完善的美国来说，不管是规范性文件的数量还是此类文件的效力，都远远超过了我国。另外，我国对于隐私权的立法方面还比较分散，相关立法只是将隐私权归于人格权当中的名誉权进行保护，网络隐私权更是无法可依，对于侵犯他人网络隐私权所应承担的法律责任更是无章可循。

2 社交网络用户隐私安全问题种类

2.1 用户自身的疏忽导致隐私的泄露

（1）社交网站注册账号时，用户填写个人资料信息时总是用真实信息，无意识地增加了社交网络账号间的关联度。

（2）登录密码设置简单，部分用户总是采用较短并简单的数字密码，还有用户为了方便记忆，将自己的大部分社交网站密码设置为同一个，这样加大了密码泄露的风险。

（3）用户将重要的个人隐私数据与生活记录存储在社交空间。如今，几乎所有的社交网站都有个人信息访问权限设置，但是很多用户根本不关心甚至不去设置，使得不法分子只要借助站内的搜索引擎，就可以登录用户个人主页，获取其个人隐私。

（4）用户在使用移动终端或者个人电脑时，随意安装不明插件，有时，登录终端并未安装防火墙等安防设备，使得账号被盗取的风险加大。

（5）手机等便携式终端的普及，使得有相当大比例的用户总是长时间登录各大社交网站，这也给不法分子留下了大量的作案时间[4]。

2.2 社交网站自身原因导致用户隐私的泄露

随着社交网站的快速发展，社交网站掌握了海量的用户信息，因此社交网站本身的安全性对于用户隐私安全保护具有极其重要的意义。

（1）网站之间共享用户隐私数据

不同的社交网站之间，出于对营销、宣传等方面的考量，都会产生用户互补的需求，这就导致了在用户不知情的情况下用户隐私被泄露，共享用户隐私信息的情况是普遍存在的。

（2）社交网站售卖用户隐私数据

一些社交网站出于某些利益，在违背用户本意的情况下，故意泄露用户隐私，将用户邮箱，QQ号，手机号等隐私信息出售，造成隐私信息泄露。例如，MySpace就曾将其用户信息包括用户的各项活动内容出售给第三方，该信息甚至由专门的网络数据公司进行出卖。也就是说，这种用户信息的出售或者公开或者暗地的出卖是非常见的。

（3）社交网站自身漏洞造成用户隐私泄露

与其他网站服务器一样，社交网站在建设的过程中难免会存在各种漏洞。一些不法分子通过检测技术搜寻相关漏洞，进而利用其窃取用户隐私。近几年，利用社交网站漏洞造成造成的隐私泄露案件频频发生。2011年12月CSDN用户数据库被攻击，导致600多万用户邮箱账号和对应明文密码泄露；2012年6月美国职业社交网站Linked In同样造成650多万用户账号泄露；而在国内的一些大型社交网站如人人网、天涯论坛、新浪微博等均有被黑客攻击导致用户密码泄露甚至篡改的情况。不法分子为了寻求用户个人隐私数据信息，加大了对社交网站的攻击力度[5]。

2.3 第三方应用造成的隐私泄露

在社交网络中，用户不可避免地要安装、使用各种类型的第三方应用。一般在使用前，用户需要签署一份隐私协议书，表明用户同意该应用使用其个人信息，然而，大多数隐私说明都是类似的，只要用户希望使用此第三方应用，总是会签署同意，这样，该应用就轻易地获取到了用户的信息。然而，目前大多数的第三方应用使用的都是自己的服务器，其在运行时缺乏权威部门的监管审查，难以保证数据流向，给用户隐私带来极大的安全隐患。

3 社交网络用户隐私安全保护措施

3.1 提高用户隐私保护意识，节制自身数字化行为

（1）用户在注册社交网站并填写个人资料前，要分析其存在的安全风险。尽量不要填写过于详细的个人资料，尤其是家庭及收入情况，这些信息容易在不经意间被不法分子收集，进而发生商业推广和网络诈骗。

（2）用户在使用各类社交网站时，应尽可能的设置复杂密码，最好是既包含数字和字母，又包含符号的密码，这样做可以增强密码的安全级别，抵御穷举攻击的能力也将增强。同时，用户不要为了记忆方便，在多家社交网站上使用同一密码组合，应当对于不同的账号设置不同的密码，减小账号间的关联度。

（3）谨慎添加好友。基于不同社交网站之间的用户互补性，网站之间会共享其拥有的用户的隐私数据。当你无意间添加了某个陌生人为好友之后，你可能会发现他在你的另一个社交网站上也成为了你的好友，甚至更多关联的社交网站，这样，即使是一个你从未谋面的陌生人，都有可能知道你最隐私的信息。

3.2 完善网站建设与防范技术，规范第三方应用

（1）目前社交网站多采用Ajax技术，使得其更易成为被攻击的对象。因此，程序员在进行社交网站的设计时，首先要满足其安全性需求，同时要对跨站脚本攻击进行多次检测，将漏洞隐患降至最低。具体可以进行如下操作：第一，检测用户输入内容的可靠性，将代码输入到测试页面中，检查是否存在系统漏洞；第二，全面检测网站的安全性，此方法需要使用漏洞检测工具；第三，采用自动化检测工具，对网站实时监测，过滤其文本信息，消除潜在漏洞[6]。

（2）积极开发研究网络安全防范技术。例如，采用分布式存储与转发模式分散用户数据信息的储存，降低用户信息储存过于集中引发的安全性问题。同时，可以设计一种群组化的信息共享方式，采取用户自定义的访问控制策略，对用户信息采取群组化管理，授予用户可访问权限及访问范围，保障信息安全。此外，还可以结合新型的身份认证方式，如使用二维码扫描进行身份认证，在信息的传递过程中用以确认用户的合法身份。

（3）加强对第三方应用监查管理。针对第三方应用的防护，我们可以采用应用隐私控制平台XBook。XBook保证了在第三方应用实现其所需功能的前提下，严格监控信息流。在安装应用程序时，用户通过XBook获取该程序所需的用户信息以及信息流向，进而决定是否安装此应用。通过XBook这一方式严格控制信息流，相比于从前直接将用户信息交给第三方应用要可靠得多。XBook通过将应用程序的结构分解，并对其各个部分进行安全性分析，限制客户端与服务器端的功能，根据用户自定义的要求加强信息监控，对数据采取匿名化操作，实时监控对外通信，解决了潜在的数据泄露问题，使得第三方应用只能按照既定的规矩操作，进而避免了数据泄露。然而，XBook只是一个信息安全研究小组自己研发的系统，将其转换整合到到社交网络系统的工作量及其巨大，因此，将这一系统运用到所有的第三方应用上，真正地实现用户隐私数据的保护依然是艰巨的[7]。

3.3 完善隐私保护法律体系，强化国家监督

针对关于网络隐私权法律的不完善现状，国家需要将隐私权作为独立的民事权利，并对隐私权、网络隐私权划定内容及范围，做出明确规定。针对隐私权的特点做出相应立法，详细划分执法部门法律职能，并增强法律的可操作性。

在十八届四中全会上决定完善网络安全保护方面的法律法规后，第十二届全国人大常委会第十五次会议初审通过了《中华人民共和国网络安全法（草案）》，针对网络主权、网络产品和服务安全、网络运行安全、网络数据安全、网络信息安全等方面都进行了具体的制度设计，同时建立了网络安全监督管理体制和监测预警与应急处理机制。此外，《中华人民共和国国家安全法》颁布并实行，将“建设网络与信息安全保障体系，提升网络与信息安全保护能力”作为维护国家安全的重要职责。未来完善互联网络法律法规、加强各部门协作必将是我国未来网络安全保护的大势所趋。

4 结语

要想真正地改善社交网络环境中存在的信息安全隐患，不仅需要依靠国家制定与完善相关的法律法规和监管策略，明确职责，还需要相关执法部门严格执法，加强合作，严厉打击信息安全相关的违法犯罪。同时，在技术层面，社交网站需要对其服务器安全性予以改进，程序员也要加强网站的安全性建设，研究开发先进的安全防范技术。除此之外，提升用户安全防范意识、积极反馈社交网站安全问题也是信息安全保护不可缺少的一环，为用户提供信息安全保护将会是未来网络安全的主要方向。

[1] 2015年中国手机网民网络安全状况报告．

[2] 徐晓露．移动社交网络用户隐私安全问题及保护研究[D]．重庆大学，2014．

[3] 马璇．大数据时代网络隐私权的法律保护[J]．法制与社会，2017．

[4] 孟晓明，贺敏伟．社交网络大数据商业化开发利用中的个人隐私保护[J]．图书馆论坛，2015．

[5] 赵振宇，腾林池，陈强，王浩宇．大数据时代社交网络个人信息安全问题研究[J]．电脑知识与技术，2016．

[6] 冯文明．社交网络安全问题及其解决方案[J]．电子技术与软件工程，2016．

[7] 胡启平，陈震．试析社交网络环境中个人隐私保护[J]． 信息网络安全，2010．

江苏警官学院科学研究重点项目（2015SJYSZ03）；江苏省教育厅高校哲学社会科学基金项目（大数据时代社交网络用户隐私保护问题研究2017SJB0471）；江苏苏警官学院科研创新团队建设项目资助（2015SJYTZ03）。