刘雪婷，雷军程，刘水强

(邵阳学院，湖南邵阳422000)

随着网络信息产业的发展，电子商务已经形成一种巨大的经济市场，伴随而来的信息安全隐患与法律问题也随之凸现.据2013年“3·15”晚会报道，部分公司涉嫌非法利用Cookie收集用户信息，并据此精准投放广告，其中某公司自称能掌握全国90%的互联网用户信息，包括性别、年龄、职业、身份、收入、受教育程度、邮件注册等个人信息.一时间，使用Cookie是否等于侵犯个人隐私、如何保护网民合法权益等问题引发广泛关注.本文研究了Cookie技术的起源、机制、应用以及存在的缺陷，并从技术和法律两个层面探讨了如何应对由Cookie引发的信息安全问题.

1 Cookie技术及缺陷

HTTP是一种无连接的协议，当一次连接结束以后，服务器和客户端(浏览器)都“忘记”之前做过什么操作，服务器无法知道用户的账号、密码、选购的商品等信息，这个问题严重制约了电子商务等交互式网站的发展，直接导致Cookie技术的诞生.

Cookie是网页为保存某些信息而保存在客户端本地存储的数据［1］，按在客户端中的存储位置，可分为内存Cookie和硬盘Cookie.Cookie具有如下优点:(1)不需要任何服务器资源，Cookie存储在客户端并在发送后由服务器读取;(2)可配置到期规则，当到期后，自动删除.(3)数据持久性，需要保存的信息可在客户端上长时间的保留.Cookie技术被广泛应用于“交互式网站”(如电子商务、社交网站、视频网站等)实现自动登录、购物车等功能.除此之外，Cookie还被用于记录用户访问网站的轨迹信息，为网站主设计出高质量网站提供帮助.

但Cookie技术因自身的局限性也存在一些缺陷:(1)潜在的安全风险，Cookie可能会被篡改.用户可能会操纵其计算机上的Cookie，这意味着会对安全性造成潜在风险或者导致依赖于 Cookie的应用程序失败.(2)大小受到限制，大多数浏览器对Cookie的大小有4096字节的限制.

2 Cookie的安全问题

Cookie文件仅仅记录某些信息的文本文件，它只能由创建它的服务器读取，且不能像可执行文件那样被执行，因此不可能被黑客利用用于病毒、木马的传播.但是由于其本身存在的缺陷，仍会带来一些安全性问题，主要集中在两个方面:隐私信息泄露和Cookie欺骗.

2.1 信息泄露

受电子商务、网络营销等新型商业模式的影响，为拥有详尽而庞大的客户资料，某些网站或机构利用用户的疏忽、系统漏洞和Cookie技术的缺陷，未经用户同意，收集他人资料，造成用户隐私信息泄露.同时，由于Cookie信息传递的开放性以及文本特性，在客户端和服务器间传送Cookie文件如果未经加密也易导致个人信息的泄密.

2.2 Cookie欺骗和截获

Cookie记录了用户的用户名(标识身份的ID)、密码之类的信息.这些信息现在已经很少明文传输了，大多使用MD5方法加密后通过网络传输.虽然经过加密处理后的信息被截获或无法直接被翻译为明文，但利用Cookie欺骗，可以绕过系统验证获得用户的权限.Cookie欺骗，是指伪造或将他人的Cookie向服务器提交，并且能够通过验证，就可以冒充受害人的身份登陆网站的行为.比如，非法用户通过Cookie欺骗登陆可进行金融操作的网站，将会给个人带来经济损失.比较典型的Cookie欺骗是利用跨站脚本攻击从而获得管理员权限登陆网站后台，再利用网站后台进行下一步攻击.例如当用户打开了嵌有如下代码的网页时，用户的信息会被劫.

3 防范Cookie引发的安全问题的措施

3.1 从技术层面防范

3.1.1 加强安全防范意识

保存在 Cookie中的内容，完全有可能是用户的私人数据，利用这些Cookie文件，可以实施Cookie欺骗，给用户造成不可估量的损失.因此要加强安全防范意识，降低因Cookie造成的信息安全风险［3］.

(1)避免在Cookie中保存重要的数据，尽量只保存非敏感信息，如用户首选项或其它对应用程序没有重大影响的信息.如果确实需要在Cookie中保存某些敏感信息，就要对其加密，以防被他人盗用.可以对Cookie的属性进行设置，使其只能在使用安全套接字层(SSL)的连接上传输.(2)安装杀毒软件和防木马间谍系统.(3)及时安装系统补丁，避免被恶意程序利用系统漏洞入侵.(4)不访问存在安全风险的网站，盗版电影、小说网站多数都藏有木马软件，访问后极有可能被植入木马，造成隐私泄露.

3.1.2 配置安全的浏览器

对于IE浏览器，设置“工具》Internet选项”，在“隐私”选项卡拖动滑块选择处理Cookie的方式，从低到高分为接受所有、低、中、中高、高和接受阻止所有Cookie共6个级别.当选择阻止所有Cookie则来自网站的所有Cookie都将被阻止且计算机上所有的Cookie不能被网站读取.个人隐私可以得到有效的保护，但是部分需要Cookie的网站应用将受到影响.

3.1.3 安装Cookie管理工具

养成及时清理Cookie信息的习惯，避免被恶意程序访问本地Cookie信息.熟练掌握电脑操作的用户，可以选择手工清除浏览器的Cookie信息.如IE浏览器的清除的方法是点击“工具》Internet选项”，在常规选项卡点击“删除Cookie(I)”即可.采用手工清理的方式需要一定的电脑操作基础，而且浏览器众多，手工操作一一删除不是很方便.利用第三方Cookie管理工具，如360安全卫士的“电脑清理”功能，可以一键清理电脑上的浏览器 Cookies以及 flash Cookie.

3.1.4 使用替代的解决方案

因为Cookie存在隐私泄露和Cookie欺骗等信息安全问题，选择一种替代的解决方案能够从根源上加以解决.如为解决客户端与服务器端交互的需要，通过在URL地址的后面添加一个加密串来传输交互数据，而不是通过Cookie实现.

3.2 法律层面防范

依照国际惯例，Cookie使用默认同意的方式采集信息，拒绝提供信息则通常需要用户手动进行，但多数服务商及其他技术提供者都有意无意的引导用户接受Cookie的使用和信息采集，乃至以种种手法鼓励用户提供信息，或多或少都侵犯了用户的个人权益.当今各国现行法律对Cookie合理使用的范围限定不一，认定相对混乱，且许多国家(如中国)都无完备的相关法令对其进行限制和保护，这给予了Cookie技术的提供者(服务商或互联网公司)占有、非法使用用户信息，乃至非法采集授权之外的信息，侵犯用户权益的机会，扩大了这些漏洞的危害性.而另一方面，许多用户对Cookie及相关技术、服务并没有一定的认知，甚至没有常识性的相关概念，也给予了钻漏洞者更大的胆量，间接地助长了这种风气的蔓延.如前不久爆出的淘宝买家信息被快递或店家堂而皇之的计价出售，且响者云集.个人信息是用户隐私的一部分，既无价也有价，如果被商家利用，将会给用户带来诸多麻烦，如果落入不法分子手中，更可能危害到用户的切身利益乃至人身安全.久之，更会形成利益链乃至产业链，用户的个人信息被泄露、公开、牟利、非法利用，乃至用于违法之事.如若就此下去，不仅是侵犯个人权益、违背法律法条，社群间的信任危机将进一步深化，将对社会秩序产生巨大的冲击.

在如何规范如Cookie一类商务网络工具对个人信息的采集和使用上，我们认为可以从服务商、技术提供者着手，在一定程度上增加Cookie使用的规范度，同时从立法和监管入手，以达到既合理使用又不损害用户利益的双赢局面.

3.2.1 增加个人信息使用的透明度，保障用户选择权

电子商务发展到今天，Cookie已成为搜索领域、电子商务等网站收集用户习惯、爱好等个人信息并进行机器学习、智能分析，并据此为用户提供个性化服务、完善搜索技术和经营策略的重要依据.按照国际通行默认原则，增加个人信息使用的透明度、更细化的告知消费者个人信息数据采集行为也是目前世界各国在处理网络个人信息保护与商业使用的问题上所体现的一个重要趋势.如Google和百度均在增加个人信息使用透明度的前提下进行信息收集，这一点在其隐私权策略声明或者隐私保护声明中作出了明确提示.但由于立法、监管以及用户认知的缺失，对于透明度，绝大多数服务商和其他技术提供者仍做的远远不够，尤其是在国内，服务商和互联网公司惯用看起来清晰实则模糊的所谓条款糊弄用户，和用户“打太极”、“兜圈子”，到真出问题的一天，推出一番有利于自己的解释便免去责任.在这一点上，需要相关立法和监管的速度跟上，以整顿规范相关行为.

保障用户的选择权，是关于Cookie和个人信息保护问题的另一关键.目前互联网用户行使同意权主要有两种方式，一种是事前的明示同意，是指在收集、使用个人信息之前，应得到信息主体的明示同意，也称“opt-in”模式;另一种是默示同意原则，是指可以在未征得信息主体明示同意情况下收集、使用个人信息，但应保障信息主体的知情权，并提供可拒绝收集和使用的方式，也称“opt-out”模式［5］.为鼓励网络服务商根据用户信息的分析从而提供更加创新和优良的互联网产品及服务，国际上采纳“opt-out”模式日益普遍，即默认用户同意网站搜集Cookie，当用户不同意时再选择拒绝.但在实际执行过程中，因多数用户相关专业知识缺乏，使用计算机的水平不高，即便他们想拒绝网站搜集Cookie也很难做到.而即便是用户懂得拒绝搜集Cookie，从国内近几年爆出的“3Q大战”等一系列的互联网问题来看，许多服务商不仅仅采集了用户授权部分的信息(Cookie采集信息时附带的采集相关信息可能是用户并未授权同意的).就现状而言，少部分用户懂得拒绝 Cookie的搜集，但在后台运行的Cookie到底采集了什么，绝大多数用户是一无所知的，更难于维护自身的合法权益.

“opt-out”模式在一定程度上削弱了用户的选择权，更加依附于服务商的规范、用户和独立机构的监管，在当前国内的大环境下并不太适用.反而会给予一些违法者、牟利者更大的方便，给用户造成更大的损失.我们应当使用更符合我国国情的“optin”模式来更好的维护用户的合法权益，在大环境改善以后的未来，再实行通用的“optout”.

3.2.2 从立法和监管的高度重视和防范

2011年国家“十二五”规划纲要第十三章第三节中，明确提出了健全网络与信息安全法律法规的要求.去年十八大更是提出，要“加强网络社会管理，推进网络依法规范有序进行”.这一要求在技术层次上可以视为对Cookie等涉及用户个人信息的网络技术要加强约束和管理.当前我国个人信息安全保护的现状并不容乐观，“现有法律法规效力等级低、内容零散，缺乏具体、可操作的规定”，缺乏统一的专门性法律已经成为危害个人信息安全的最根本原因［6］.在此状况下，出台相关法律法规，建立完善的个人信息安全法律保护体系已经迫在眉睫.2012年12月24日，人大常委会开始审议关于加强网络信息保护的决定草案，这表明了中国正制定专门法律以保护公民的个人电子信息.草案突出强调了“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，公民对侵害其合法权益的网络信息，有权要求网络服务提供者采取必要措施予以制止［7］”.如此，通过法律可以有效的规范和约束Cookie等涉及公民个人信息，一定程度上保护公民的的电子信息安全.

从现有相关法律法规来看，大范围法律法规多是年代较远(多出台于1994-2001年间)难以跟上日新月异的互联网技术的发展，之后的集中立法阶段(2002年至今)所出台相关法律法规又较为零散分化，难以形成有效的、严密的法律保护网，对于网络信息的监管也较单一，许多地方不够重视，特别是在技术层次［8］.纵观近年相关案例，多为援引参考其他法律法条(如侵权类法条)或以国外案例为蓝本使用国内现有法规.我国为大陆法系国家，采用的是成文法体系，援引其他法律乃至国外案例与程序相左.这使得立法更迫在眉睫.

而立法的近在眼前势必将带来一系列的监管上的加强和完善.一方面，可以根据现有和未来可预见的技术发展趋势，通过设立各种相关监管条例进行进一步的规范约束.同时，完善自国家而下的层层监管，集中力量，有力保证网络信息安全.

当然，任何事都会过犹不及.技术需要法律来规范和约束，监管也不能成为遏止发展、在另一层面损害公民利益的理由.什么该监管该保护，什么不该涉及，是立法过程中需要讨论的进一步问题了.

4 结语

技术的发展是一把双刃剑，在受益的同时，我们也要防范伤害和侵犯.Cookie等技术的出现、成熟、应用广泛决定了我们必须思考怎样在享受技术带来好处的同时，解决伴随而来的一系列问题.当然，Cookie技术只是众多网络基础技术中的一种，它的诞生是为了解决http协议的无连接性问题，它的出现促进了电子商务等网络应用的发展.其本身不存在侵犯个人隐私问题，滥用或利用技术缺陷导致的侵权行为是行为本身的违法问题.我们应通过加强防范意识，改进安全技术以及通过加强立法规范企业行为来防范由Cookie引发的信息安全问题.

［1］胡忠望，刘卫东.Cookie应用与个人信息安全研究［J］.计算机应用与软件，2007，(3):50-53.

［2］卢继恩.解决Web应用中Cookie的安全隐患［J］.考试周刊，2011，(52):158-159.

［3］王淼.个人计算机数据安全防护研究［J］.北京工业职业技术学院学报，2013，(1):34-36.

［4］孙丹，胡勇.浅析XSS漏洞检测利用及防范［J］.信息安全与保密通信，2013，(3):73-74.

［5］中国工商报.从Cookie看网络个人信息保护与利用的平衡［EB/OL］.http://www.cicn.com.cn/content/2013-05/16/content_126696.htm，2013-05-16.

［6］刘玲.我国个人信息安全立法现状分析与立法建议［J］.科教导刊(中旬刊)，2010，(5):120-121.

［7］全国人民代表大会常务委员会.第十一届第三十次会议第一、九项决定:关于加强网络信息保护的决定［R］.北京:第十一届全国人民代表大会常务委员会，2012.12.28.

［8］周汉华，苏苗罕.我国信息化法律法规建设六十年［J］.电子政务，2009，(10):48-58.