基于Cookie信息安全技術(shù)及其法律規(guī)范管理的研究

劉雪婷，雷軍程，劉水強

(邵陽學(xué)院，湖南邵陽422000)

隨著網(wǎng)絡(luò)信息產(chǎn)業(yè)的發(fā)展，電子商務(wù)已經(jīng)形成一種巨大的經(jīng)濟市場，伴隨而來的信息安全隱患與法律問題也隨之凸現(xiàn).據(jù)2013年“3·15”晚會報道，部分公司涉嫌非法利用Cookie收集用戶信息，并據(jù)此精準投放廣告，其中某公司自稱能掌握全國90%的互聯(lián)網(wǎng)用戶信息，包括性別、年齡、職業(yè)、身份、收入、受教育程度、郵件注冊等個人信息.一時間，使用Cookie是否等于侵犯個人隱私、如何保護網(wǎng)民合法權(quán)益等問題引發(fā)廣泛關(guān)注.本文研究了Cookie技術(shù)的起源、機制、應(yīng)用以及存在的缺陷，并從技術(shù)和法律兩個層面探討了如何應(yīng)對由Cookie引發(fā)的信息安全問題.

1 Cookie技術(shù)及缺陷

HTTP是一種無連接的協(xié)議，當(dāng)一次連接結(jié)束以后，服務(wù)器和客戶端(瀏覽器)都“忘記”之前做過什么操作，服務(wù)器無法知道用戶的賬號、密碼、選購的商品等信息，這個問題嚴重制約了電子商務(wù)等交互式網(wǎng)站的發(fā)展，直接導(dǎo)致Cookie技術(shù)的誕生.

Cookie是網(wǎng)頁為保存某些信息而保存在客戶端本地存儲的數(shù)據(jù)［1］，按在客戶端中的存儲位置，可分為內(nèi)存Cookie和硬盤Cookie.Cookie具有如下優(yōu)點:(1)不需要任何服務(wù)器資源，Cookie存儲在客戶端并在發(fā)送后由服務(wù)器讀取;(2)可配置到期規(guī)則，當(dāng)?shù)狡诤?，自動刪除.(3)數(shù)據(jù)持久性，需要保存的信息可在客戶端上長時間的保留.Cookie技術(shù)被廣泛應(yīng)用于“交互式網(wǎng)站”(如電子商務(wù)、社交網(wǎng)站、視頻網(wǎng)站等)實現(xiàn)自動登錄、購物車等功能.除此之外，Cookie還被用于記錄用戶訪問網(wǎng)站的軌跡信息，為網(wǎng)站主設(shè)計出高質(zhì)量網(wǎng)站提供幫助.

但Cookie技術(shù)因自身的局限性也存在一些缺陷:(1)潛在的安全風(fēng)險，Cookie可能會被篡改.用戶可能會操縱其計算機上的Cookie，這意味著會對安全性造成潛在風(fēng)險或者導(dǎo)致依賴于 Cookie的應(yīng)用程序失敗.(2)大小受到限制，大多數(shù)瀏覽器對Cookie的大小有4096字節(jié)的限制.

2 Cookie的安全問題

Cookie文件僅僅記錄某些信息的文本文件，它只能由創(chuàng)建它的服務(wù)器讀取，且不能像可執(zhí)行文件那樣被執(zhí)行，因此不可能被黑客利用用于病毒、木馬的傳播.但是由于其本身存在的缺陷，仍會帶來一些安全性問題，主要集中在兩個方面:隱私信息泄露和Cookie欺騙.

2.1 信息泄露

受電子商務(wù)、網(wǎng)絡(luò)營銷等新型商業(yè)模式的影響，為擁有詳盡而龐大的客戶資料，某些網(wǎng)站或機構(gòu)利用用戶的疏忽、系統(tǒng)漏洞和Cookie技術(shù)的缺陷，未經(jīng)用戶同意，收集他人資料，造成用戶隱私信息泄露.同時，由于Cookie信息傳遞的開放性以及文本特性，在客戶端和服務(wù)器間傳送Cookie文件如果未經(jīng)加密也易導(dǎo)致個人信息的泄密.

2.2 Cookie欺騙和截獲

Cookie記錄了用戶的用戶名(標(biāo)識身份的ID)、密碼之類的信息.這些信息現(xiàn)在已經(jīng)很少明文傳輸了，大多使用MD5方法加密后通過網(wǎng)絡(luò)傳輸.雖然經(jīng)過加密處理后的信息被截獲或無法直接被翻譯為明文，但利用Cookie欺騙，可以繞過系統(tǒng)驗證獲得用戶的權(quán)限.Cookie欺騙，是指偽造或?qū)⑺说腃ookie向服務(wù)器提交，并且能夠通過驗證，就可以冒充受害人的身份登陸網(wǎng)站的行為.比如，非法用戶通過Cookie欺騙登陸可進行金融操作的網(wǎng)站，將會給個人帶來經(jīng)濟損失.比較典型的Cookie欺騙是利用跨站腳本攻擊從而獲得管理員權(quán)限登陸網(wǎng)站后臺，再利用網(wǎng)站后臺進行下一步攻擊.例如當(dāng)用戶打開了嵌有如下代碼的網(wǎng)頁時，用戶的信息會被劫.

3 防范Cookie引發(fā)的安全問題的措施

3.1 從技術(shù)層面防范

3.1.1 加強安全防范意識

保存在 Cookie中的內(nèi)容，完全有可能是用戶的私人數(shù)據(jù)，利用這些Cookie文件，可以實施Cookie欺騙，給用戶造成不可估量的損失.因此要加強安全防范意識，降低因Cookie造成的信息安全風(fēng)險［3］.

(1)避免在Cookie中保存重要的數(shù)據(jù)，盡量只保存非敏感信息，如用戶首選項或其它對應(yīng)用程序沒有重大影響的信息.如果確實需要在Cookie中保存某些敏感信息，就要對其加密，以防被他人盜用.可以對Cookie的屬性進行設(shè)置，使其只能在使用安全套接字層(SSL)的連接上傳輸.(2)安裝殺毒軟件和防木馬間諜系統(tǒng).(3)及時安裝系統(tǒng)補丁，避免被惡意程序利用系統(tǒng)漏洞入侵.(4)不訪問存在安全風(fēng)險的網(wǎng)站，盜版電影、小說網(wǎng)站多數(shù)都藏有木馬軟件，訪問后極有可能被植入木馬，造成隱私泄露.

3.1.2 配置安全的瀏覽器

對于IE瀏覽器，設(shè)置“工具》Internet選項”，在“隱私”選項卡拖動滑塊選擇處理Cookie的方式，從低到高分為接受所有、低、中、中高、高和接受阻止所有Cookie共6個級別.當(dāng)選擇阻止所有Cookie則來自網(wǎng)站的所有Cookie都將被阻止且計算機上所有的Cookie不能被網(wǎng)站讀取.個人隱私可以得到有效的保護，但是部分需要Cookie的網(wǎng)站應(yīng)用將受到影響.

3.1.3 安裝Cookie管理工具

養(yǎng)成及時清理Cookie信息的習(xí)慣，避免被惡意程序訪問本地Cookie信息.熟練掌握電腦操作的用戶，可以選擇手工清除瀏覽器的Cookie信息.如IE瀏覽器的清除的方法是點擊“工具》Internet選項”，在常規(guī)選項卡點擊“刪除Cookie(I)”即可.采用手工清理的方式需要一定的電腦操作基礎(chǔ)，而且瀏覽器眾多，手工操作一一刪除不是很方便.利用第三方Cookie管理工具，如360安全衛(wèi)士的“電腦清理”功能，可以一鍵清理電腦上的瀏覽器 Cookies以及 flash Cookie.

3.1.4 使用替代的解決方案

因為Cookie存在隱私泄露和Cookie欺騙等信息安全問題，選擇一種替代的解決方案能夠從根源上加以解決.如為解決客戶端與服務(wù)器端交互的需要，通過在URL地址的后面添加一個加密串來傳輸交互數(shù)據(jù)，而不是通過Cookie實現(xiàn).

3.2 法律層面防范

依照國際慣例，Cookie使用默認同意的方式采集信息，拒絕提供信息則通常需要用戶手動進行，但多數(shù)服務(wù)商及其他技術(shù)提供者都有意無意的引導(dǎo)用戶接受Cookie的使用和信息采集，乃至以種種手法鼓勵用戶提供信息，或多或少都侵犯了用戶的個人權(quán)益.當(dāng)今各國現(xiàn)行法律對Cookie合理使用的范圍限定不一，認定相對混亂，且許多國家(如中國)都無完備的相關(guān)法令對其進行限制和保護，這給予了Cookie技術(shù)的提供者(服務(wù)商或互聯(lián)網(wǎng)公司)占有、非法使用用戶信息，乃至非法采集授權(quán)之外的信息，侵犯用戶權(quán)益的機會，擴大了這些漏洞的危害性.而另一方面，許多用戶對Cookie及相關(guān)技術(shù)、服務(wù)并沒有一定的認知，甚至沒有常識性的相關(guān)概念，也給予了鉆漏洞者更大的膽量，間接地助長了這種風(fēng)氣的蔓延.如前不久爆出的淘寶買家信息被快遞或店家堂而皇之的計價出售，且響者云集.個人信息是用戶隱私的一部分，既無價也有價，如果被商家利用，將會給用戶帶來諸多麻煩，如果落入不法分子手中，更可能危害到用戶的切身利益乃至人身安全.久之，更會形成利益鏈乃至產(chǎn)業(yè)鏈，用戶的個人信息被泄露、公開、牟利、非法利用，乃至用于違法之事.如若就此下去，不僅是侵犯個人權(quán)益、違背法律法條，社群間的信任危機將進一步深化，將對社會秩序產(chǎn)生巨大的沖擊.

在如何規(guī)范如Cookie一類商務(wù)網(wǎng)絡(luò)工具對個人信息的采集和使用上，我們認為可以從服務(wù)商、技術(shù)提供者著手，在一定程度上增加Cookie使用的規(guī)范度，同時從立法和監(jiān)管入手，以達到既合理使用又不損害用戶利益的雙贏局面.

3.2.1 增加個人信息使用的透明度，保障用戶選擇權(quán)

電子商務(wù)發(fā)展到今天，Cookie已成為搜索領(lǐng)域、電子商務(wù)等網(wǎng)站收集用戶習(xí)慣、愛好等個人信息并進行機器學(xué)習(xí)、智能分析，并據(jù)此為用戶提供個性化服務(wù)、完善搜索技術(shù)和經(jīng)營策略的重要依據(jù).按照國際通行默認原則，增加個人信息使用的透明度、更細化的告知消費者個人信息數(shù)據(jù)采集行為也是目前世界各國在處理網(wǎng)絡(luò)個人信息保護與商業(yè)使用的問題上所體現(xiàn)的一個重要趨勢.如Google和百度均在增加個人信息使用透明度的前提下進行信息收集，這一點在其隱私權(quán)策略聲明或者隱私保護聲明中作出了明確提示.但由于立法、監(jiān)管以及用戶認知的缺失，對于透明度，絕大多數(shù)服務(wù)商和其他技術(shù)提供者仍做的遠遠不夠，尤其是在國內(nèi)，服務(wù)商和互聯(lián)網(wǎng)公司慣用看起來清晰實則模糊的所謂條款糊弄用戶，和用戶“打太極”、“兜圈子”，到真出問題的一天，推出一番有利于自己的解釋便免去責(zé)任.在這一點上，需要相關(guān)立法和監(jiān)管的速度跟上，以整頓規(guī)范相關(guān)行為.

保障用戶的選擇權(quán)，是關(guān)于Cookie和個人信息保護問題的另一關(guān)鍵.目前互聯(lián)網(wǎng)用戶行使同意權(quán)主要有兩種方式，一種是事前的明示同意，是指在收集、使用個人信息之前，應(yīng)得到信息主體的明示同意，也稱“opt-in”模式;另一種是默示同意原則，是指可以在未征得信息主體明示同意情況下收集、使用個人信息，但應(yīng)保障信息主體的知情權(quán)，并提供可拒絕收集和使用的方式，也稱“opt-out”模式［5］.為鼓勵網(wǎng)絡(luò)服務(wù)商根據(jù)用戶信息的分析從而提供更加創(chuàng)新和優(yōu)良的互聯(lián)網(wǎng)產(chǎn)品及服務(wù)，國際上采納“opt-out”模式日益普遍，即默認用戶同意網(wǎng)站搜集Cookie，當(dāng)用戶不同意時再選擇拒絕.但在實際執(zhí)行過程中，因多數(shù)用戶相關(guān)專業(yè)知識缺乏，使用計算機的水平不高，即便他們想拒絕網(wǎng)站搜集Cookie也很難做到.而即便是用戶懂得拒絕搜集Cookie，從國內(nèi)近幾年爆出的“3Q大戰(zhàn)”等一系列的互聯(lián)網(wǎng)問題來看，許多服務(wù)商不僅僅采集了用戶授權(quán)部分的信息(Cookie采集信息時附帶的采集相關(guān)信息可能是用戶并未授權(quán)同意的).就現(xiàn)狀而言，少部分用戶懂得拒絕 Cookie的搜集，但在后臺運行的Cookie到底采集了什么，絕大多數(shù)用戶是一無所知的，更難于維護自身的合法權(quán)益.

“opt-out”模式在一定程度上削弱了用戶的選擇權(quán)，更加依附于服務(wù)商的規(guī)范、用戶和獨立機構(gòu)的監(jiān)管，在當(dāng)前國內(nèi)的大環(huán)境下并不太適用.反而會給予一些違法者、牟利者更大的方便，給用戶造成更大的損失.我們應(yīng)當(dāng)使用更符合我國國情的“optin”模式來更好的維護用戶的合法權(quán)益，在大環(huán)境改善以后的未來，再實行通用的“optout”.

3.2.2 從立法和監(jiān)管的高度重視和防范

2011年國家“十二五”規(guī)劃綱要第十三章第三節(jié)中，明確提出了健全網(wǎng)絡(luò)與信息安全法律法規(guī)的要求.去年十八大更是提出，要“加強網(wǎng)絡(luò)社會管理，推進網(wǎng)絡(luò)依法規(guī)范有序進行”.這一要求在技術(shù)層次上可以視為對Cookie等涉及用戶個人信息的網(wǎng)絡(luò)技術(shù)要加強約束和管理.當(dāng)前我國個人信息安全保護的現(xiàn)狀并不容樂觀，“現(xiàn)有法律法規(guī)效力等級低、內(nèi)容零散，缺乏具體、可操作的規(guī)定”，缺乏統(tǒng)一的專門性法律已經(jīng)成為危害個人信息安全的最根本原因［6］.在此狀況下，出臺相關(guān)法律法規(guī)，建立完善的個人信息安全法律保護體系已經(jīng)迫在眉睫.2012年12月24日，人大常委會開始審議關(guān)于加強網(wǎng)絡(luò)信息保護的決定草案，這表明了中國正制定專門法律以保護公民的個人電子信息.草案突出強調(diào)了“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，公民對侵害其合法權(quán)益的網(wǎng)絡(luò)信息，有權(quán)要求網(wǎng)絡(luò)服務(wù)提供者采取必要措施予以制止［7］”.如此，通過法律可以有效的規(guī)范和約束Cookie等涉及公民個人信息，一定程度上保護公民的的電子信息安全.

從現(xiàn)有相關(guān)法律法規(guī)來看，大范圍法律法規(guī)多是年代較遠(多出臺于1994-2001年間)難以跟上日新月異的互聯(lián)網(wǎng)技術(shù)的發(fā)展，之后的集中立法階段(2002年至今)所出臺相關(guān)法律法規(guī)又較為零散分化，難以形成有效的、嚴密的法律保護網(wǎng)，對于網(wǎng)絡(luò)信息的監(jiān)管也較單一，許多地方不夠重視，特別是在技術(shù)層次［8］.縱觀近年相關(guān)案例，多為援引參考其他法律法條(如侵權(quán)類法條)或以國外案例為藍本使用國內(nèi)現(xiàn)有法規(guī).我國為大陸法系國家，采用的是成文法體系，援引其他法律乃至國外案例與程序相左.這使得立法更迫在眉睫.

而立法的近在眼前勢必將帶來一系列的監(jiān)管上的加強和完善.一方面，可以根據(jù)現(xiàn)有和未來可預(yù)見的技術(shù)發(fā)展趨勢，通過設(shè)立各種相關(guān)監(jiān)管條例進行進一步的規(guī)范約束.同時，完善自國家而下的層層監(jiān)管，集中力量，有力保證網(wǎng)絡(luò)信息安全.

當(dāng)然，任何事都會過猶不及.技術(shù)需要法律來規(guī)范和約束，監(jiān)管也不能成為遏止發(fā)展、在另一層面損害公民利益的理由.什么該監(jiān)管該保護，什么不該涉及，是立法過程中需要討論的進一步問題了.

4 結(jié)語

技術(shù)的發(fā)展是一把雙刃劍，在受益的同時，我們也要防范傷害和侵犯.Cookie等技術(shù)的出現(xiàn)、成熟、應(yīng)用廣泛決定了我們必須思考怎樣在享受技術(shù)帶來好處的同時，解決伴隨而來的一系列問題.當(dāng)然，Cookie技術(shù)只是眾多網(wǎng)絡(luò)基礎(chǔ)技術(shù)中的一種，它的誕生是為了解決http協(xié)議的無連接性問題，它的出現(xiàn)促進了電子商務(wù)等網(wǎng)絡(luò)應(yīng)用的發(fā)展.其本身不存在侵犯個人隱私問題，濫用或利用技術(shù)缺陷導(dǎo)致的侵權(quán)行為是行為本身的違法問題.我們應(yīng)通過加強防范意識，改進安全技術(shù)以及通過加強立法規(guī)范企業(yè)行為來防范由Cookie引發(fā)的信息安全問題.

［1］胡忠望，劉衛(wèi)東.Cookie應(yīng)用與個人信息安全研究［J］.計算機應(yīng)用與軟件，2007，(3):50-53.

［2］盧繼恩.解決Web應(yīng)用中Cookie的安全隱患［J］.考試周刊，2011，(52):158-159.

［3］王淼.個人計算機數(shù)據(jù)安全防護研究［J］.北京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報，2013，(1):34-36.

［4］孫丹，胡勇.淺析XSS漏洞檢測利用及防范［J］.信息安全與保密通信，2013，(3):73-74.

［5］中國工商報.從Cookie看網(wǎng)絡(luò)個人信息保護與利用的平衡［EB/OL］.http://www.cicn.com.cn/content/2013-05/16/content_126696.htm，2013-05-16.

［6］劉玲.我國個人信息安全立法現(xiàn)狀分析與立法建議［J］.科教導(dǎo)刊(中旬刊)，2010，(5):120-121.

［7］全國人民代表大會常務(wù)委員會.第十一屆第三十次會議第一、九項決定:關(guān)于加強網(wǎng)絡(luò)信息保護的決定［R］.北京:第十一屆全國人民代表大會常務(wù)委員會，2012.12.28.

［8］周漢華，蘇苗罕.我國信息化法律法規(guī)建設(shè)六十年［J］.電子政務(wù)，2009，(10):48-58.