社交网络隐私安全.

34情报资料工作2012年第6期理论探索社交网络中用户隐私安全问题探究邱均平李艳红(武汉大学信息管理学院湖北430072摘要文章分析了社交网络中用户隐私信息的种类、隐私信息泄露的途径以及保护用户隐私的途径,对社交网络中的信息安全问题进行了全面论述。关键词社交网络服务用户隐私信息安全AStudyofPrivacySecurityIssuesofSocialNetworkUsersQiuJunpingLiYanhong(SchoolofInformationManagement,WuhanUniversity,Hubei,430072AbstractThispaperanalyzesthetypesofusers'privacyinformationinsocialnetworking,privacyinformationleakagechannelsandwaystoprotectuserprivacy.Theseareacomprehensivediscussionofinformationsecurityinthesocialnetworkservicethroughthethreeaspectsinthisarticle.KeywordsSocialNetworkService,userprivacy,informationsecurity在Web2.0的大环境下,社交网络服务(SocialNetworkService,简称SNS已成为当前最具发展前景的互联网应用服务之一。社交网络的出现,使得人们的网络生活与现实生活联系得越来越密切。社交网络已成为人们在互联网上传播信息、进行社会交流活动的重要平台,它具有互动性、开放性、及时性和共享性等特点。在当前网络环境下,社交网络已在全世界得到大范围的普及,国外的社交网站如Facebook、Twitter、LinkedIn、MySpace等,国内如新浪微博、人人网、开心网等都吸引了大量的用户。截止到2012年6月,仅中国社交网站用户的规模就已经达到2.5亿[1]。随着越来越多的用户通过社交网络进行信息交流与传播,安全问题正日益凸显出来,通过社交网络收集和利用用户隐私信息变得更加容易;用户的隐私暴露的风险不断增加,用户个人权益遭受损害的可能性也不断增加。因此,社交网络中用户的隐私安全正成为一个亟待解决的问题。1社交网络用户隐私的种类尽管社交网络的根本目的是提供给用户一个线上互动和交流的平台,但大部分网站的定位、目标和实现方法等都存在很大的不同,如LinkedIn主要是面向商业用户的社交网络,人人网则主要是基于校园关系的实名制社交网络。不同的社交网络有着不同的特点,因此其信息泄露的内容、信息泄露的方式也变得多种多样。社交网络中用户的隐私信息类型主要包括四个方面,分别是用户的个人信息、用户分享的信息、用户的人际关系信息以及通过数据挖掘所获取的信息。1.1用户个人信息社交网络正是在人们日益增长的交友需求中发展起来的,用户在注册之初,就被鼓励提供更多的个人基本信息。以人人网为例,作为国内最大的社交网站之一,人人网拥有真实注册用户超过1亿[2]。在社交网络的个人档案中,包括用户的身份证号、出生日期、电话、即时通讯工具、电子邮件等诸多真实的个人信息,这些信息有可能被网络诈骗者利用,并以用户的名义获得服务或者访问个人网上银行账户等。随着国内网络实名制的发展,越来越多的社交网站要求注册者提交真实的个人信息。除了政策原因以外,社交网站本身的特点也需要用户提供更多的个人信息。例如,要想在社交网站上找到更多的朋友,用户就必须提供更详细的真实资料,如教育背景信息、地理位置信息、个人爱好等信息。通过对这些真实资料进行分析和整理,系统才能更/懂你0,社交网站才能帮助我们找到更多朋友,才能让我们获得更多感兴趣的信息。在这种情况下,用户往往陷入两难的境地,如果全部填写真实信息,用户的个人隐私往往暴露在网络之中。但是,如果填虚假信息,又往往会失去玩社交35情报资料工作2012年第6期理论探索网站的真实感,无法将社交网络与现实生活结合起来。其实,不管用户愿不愿意,社交网站的服务商们总希望用户能提供最详尽的真实资料,从而为用户建立更加紧密的关系网络,让系统显得更加/智能0。1.2用户分享的信息用户每天在维护社交网络的过程中可能透漏出大量的个人信息。例如,很多人乐于随时随地使用/地理位置分享服务0(又称LBS,通过随身携带的手机,将自己的地理坐标分享给社交网站和微博上的好友,这样就将自己的活动轨迹暴露于人前。据调查,在国内大中型城市的15~30岁的网民中,有95%以上会注册一个或几个社交网站[3]。用户在频繁地使用各种信息分享服务时,其所能保留的隐私已经变得越来越少。除文字信息外,用户还在网上发布大量的图片信息和视频信息,通过用户分享在社交网站上的信息碎片,商业公司不但可以收集用户的手机号等普通信息,还可以推测出用户的消费倾向、婚姻情况、工作情况等涉及个人隐私的信息。黑客也可能利用用户分享的一些信息碎片,盗取用户的银行卡、股票和基金等账户。其实,即使不懂黑客技术,只要将某个人在各个社交网站和微博上的碎片信息进行简单拼接,任何人都可以轻松获得其隐私信息,但是国内社交网站的用户并没有意识到分享信息导致的隐私泄露所带来的危害。1.3人际关系信息通过社交网络,我们可以找到现实生活中的朋友,同时系统通过对已有信息的分析,还会为我们/引荐0一些可能认识的好友,可能会为我们找到许久未联系的好友,这正是社交网络的魅力之一。但同时,社交网络也将我们的人际关系网暴露人前。通过用户在社交网络上的互动以及社交网站通过算法所做的好友推荐等功能,可以很容易地了解用户的人际关系网络。2012年3月,Facebook好友推荐功能就曾令一名美国男子的重婚行为败露[4],这从另一侧面也反映了社会网络泄露人际关系信息的风险。有人说过,腾讯在掌握大量用户的同时,也掌握了绝大部分中国人的关系网,2012年3月测试上线的QQ圈子更是深刻地体现了这一点。QQ圈子是基于QQ好友关系、分组名、备注名,通过聚合分类数学算法进行人脉推荐,QQ用户可以实现按照真实生活中的关系自动分圈,并向同一交际圈但仍属陌生人的对象发起对话,拓展人脉。但是,未经用户的允许就获取用户的分组信息和备注名信息是对用户隐私的泄露,用户在拓展人脉的同时也将不断接受陌生人的/骚扰0,因为借助圈子功能,用户的个人信息在一定程度上已经处于公开状态,很多并不是好友的用户也在你QQ圈子分类中[5]。1.4数据挖掘信息社交网络的快速发展产生了超大量的基于互联网的社交网络数据,这些数据的内容包罗万象,形式丰富多样,既包括各种文字信息,也包括应用软件、图片、音频和视频等信息。社交网络中的海量数据隐藏着丰富的知识和巨大的商业价值,为了充分利用这些数据,越来越多的机构和个人开发了各种社交网络分析方法和工具,对社交网站上的各种数据进行挖掘和分析。但是,我们也应该看到,通过社交网络分析方法对社交网络数据进行公开研究会对用户隐私和信息安全构成威胁。例如,通过采取数据挖掘等技术手段从大量注册信息、用户发表的信息中提取有价值的信息,将用户分散于各处的零碎信息整合起来,就有可能获取用户个人在现实生活中的各种隐私信息,甚至能够了解用户的生活轨迹、生活习惯、个人爱好等,一旦这类数据公开或不当使用,将给用户带来难以估量的损失。2社交网络信息泄露的途径社交网络应用的广泛性与多样性使得用户隐私信息泄露的方式也变得多种多样。除了用户自己透漏的信息之外,社交网站以及第三方应用都可能造成用户隐私的泄露。2.1用户泄露随着社交网站、微博和地址分享服务的先后兴起,互联网分享信息的方式变得多样化。人们在互联网上活得越来越真实,尽管个人隐私在社交网站中存在着各种各样的风险,但仍然有越来越多的人乐于在网上分享自己生活中的点点滴滴。这当中存在很多推动信息泄露的因素,例如,对社交网站用户来说,选择性地向陌生人发布一些私人信息所带来的收益可能会大于潜在的信息泄露风险;朋辈压力和集群效应;对个人隐私保护缺乏重视;对社交网络和人群的盲目信任;对潜在风险的短视评估等[6]。有时网站本身的问题也会造成用户忽略或无视其用户隐私设定。以新浪微博为例,用户可以对自己的个人资料进行设置,例如可以将自己的基本信息、教育信息、职业信息等设置成仅自己可见、我关注的人可见或者所有人可见,同时用户还可以对评论、私信以及@提到我以及地理位置信息等根据需要进行设置,还能设置黑名单和进行屏蔽。但是新浪微博的用户基数巨大,其中很多人并不知道这些功能,有些用户可能知道但是不会操作,还有些用户根本没有意识到会有隐私泄露的问题。国内目前虽然缺少相关的统计数据,但这些问题都是可以明显预见的。国外的社交网站用户也存在类似的问题,根据一项研究表明,大约有1300万的Face-book用户表示他们从不设置、或者根本就不知道Facebook有隐私工具。28%的用户与所有用户分享他们的大部分或是全部内容,而不仅仅是朋友们[7]。用户除了泄露自身的隐私之外,很多时候还会通过社交网络泄露他人的隐私。有时一些用户在未经他36情报资料工作2012年第6期理论探索人允许的情况下发表的只言片语或上传的某张图片,都可能在有意或无意间泄露他人的重要隐私,给他人造成困扰甚至是损失。在传统媒体环境下,用户仅仅是信息的接收者,而在社交网络中,每个人都是一个小型的信息接收和传播中心,社交媒体的开放性以及信息传播的自主性,让信息的传播变得更加难以控制,私人领域与公共领域的界限变得愈加模糊。社交网络的自媒体特性,导致有时候本来属于私人领域的言论,通过社交网络的传播,可能形成公共领域的话题。例如郭美美炫富、局长开房等事件因触动大众神经而迅速成为公众热议的话题,目前层出不穷的类似事件表明用户隐私泄漏已经比较严重。2.2社交网站泄露随着社交网站的迅速发展,社交网站掌握了大量用户的信息,而社交网站本身的安全性对用户的隐私安全具有重要的意义。网站泄露用户隐私主要分为两种状况,一种是社交网站出于某些利益因素故意泄露用户的隐私,例如在违背用户本意的情况下使用用户上传的信息,MySpace就曾被爆出将网站信息出售给第三方的事件,包括学术研究者、市场调研机构甚至营销人员[8]。另一种情况则是社交网络可能由于某些技术原因而造成用户隐私泄露,例如社交网站存在安全漏洞,从而遭受到黑客的攻击,导致用户的信息泄露。2011年12月,中国的CSDN网站用户数据库被黑客攻击,导致600多万邮箱账号和与之对应的明文密码泄露,之后又有人人、新浪微博、开心网、天涯等众多知名社交网站的用户称其密码遭到泄露[9]。2012年6月,美国著名的职业社交网站LinkedIn遭受黑客的攻击,导致600万用户的密码泄露。由此可见,为了寻求个人数据,黑客加大了针对社交网站的攻击力度[10]。2.3第三方泄露为了增强社交网络的吸引力,提高用户黏度,很多社交网站都开放平台,为用户提供各种第三方应用程序,同时社交网站作为信息分享的平台,与第三方网站的合作也变得日益密切。例如优酷网的用户可以在该网站上与微博的用户进行互动,在CNN上观看视频的同时还可与其他Facebook用户聊天。随着第三方应用程序的引入,社交网站的内容变得越来越丰富,其娱乐性也变得越来越强,但是用户在社交网络中使用第三方应用程序或者第三方的网站时,用户可能会面临着严重的隐私安全问题。因为此时,用户往往被要求授权提供个人信息、好友关系等,授权之后用户的隐私往往难以保护。有时即便用户在社交网站上设定信息只能被某个群体看见,但是如果另一个用户正在使用社交网站的应用程序,则此人可以将该用户的数据在不知情的情况下,传送给第三方,造成该用户隐私的泄露。Facebook就曾发生过多款应用将Facebook用户的ID数据贩卖给第三方营销公司或数据机构的情况,这给Facebook及其用户均带来了严重的不良影响[11]。3社交网络隐私保护的途径目前很多研究者从技术的角度寻找社交网络的用户隐私保护途径。解决隐私保护的传统技术方法包括简单的匿名保