電子商務中個人信息保護問題研究

摘 要：近幾年，在中國發(fā)生用戶數(shù)據(jù)泄密事件的次數(shù)越來越多，特別是電子商務中的信息泄露事件是非常嚴重的。大量的數(shù)據(jù)泄露事件的存在直接影響到了電子商務的發(fā)展，也使得電子商務用戶的個人信息安全時刻受到威脅。因此，在電子商務環(huán)境中，怎么保護用戶數(shù)據(jù)的安全成為最熱門的問題。本文從現(xiàn)狀出發(fā)，分析發(fā)現(xiàn)當前電子商務個人信息保護中存在非法搜集、非法使用、非法泄露等諸多問題，基于以上電子商務個人信息保護問題的分析與研究，從加快制定完善相關法律法規(guī)、加強行業(yè)自律、完善信息安全體系建設和提高個人信息安全保護意識四方面提出了電子商務中個人信息保護的應對策略。

關鍵詞：電子商務；個人信息；信息保護；信息安全

一、電子商務中的個人信息保護現(xiàn)狀

在電子商務運作過程中，經(jīng)營者需要收集大量的用戶信息。這些用戶個人信息一方面是完成網(wǎng)絡交易過程必不可少的要素，另一方面對網(wǎng)絡商家而言，這些信息也是一種具有重要潛在價值的資源。通過對這些信息進行開發(fā)利用，網(wǎng)絡經(jīng)營者可以及時準確地發(fā)現(xiàn)潛在客戶，并能夠滿足不同客戶群的多層次需求，有針對性地提供個性化服務，從而提升電子商務的水平。

隨著電子商務的發(fā)展，大數(shù)據(jù)環(huán)境的形成，個人信息的收集與利用已成為促進電子商務發(fā)展的重要手段，但與此同時，個人信息搜集利用與信息保護之間的矛盾日益突出。2011年底中國互聯(lián)網(wǎng)史上出現(xiàn)了規(guī)模最大的泄密事件，以CSDN、天涯社區(qū)等數(shù)據(jù)庫遭黑客攻擊為代表，網(wǎng)絡個人信息泄露事件集中爆發(fā)，上億用戶的注冊信息被公之于眾。

因此，如何解決好個人信息搜集利用與信息保護之間的矛盾，已成為電子商務發(fā)展中需要解決的關鍵問題。

二、電子商務個人信息保護中存在的問題

（一）非法搜集

要保護電子商務客戶的個人信息，首先要管好信息“入口”關一一電子商務企業(yè)的信息采集行為。

然而在很多情況下，客戶個人信息是在不知不覺中被盜走的。比如，一些網(wǎng)站在隱私政策里沒有明確告知用戶的情況下使用了cookies軟件或者默認使用cookies軟件，以此來跟蹤用戶的一系列行為；在進行網(wǎng)上支付時，企業(yè)把客戶提供信用卡卡號存儲下來；不法分子通過Internet發(fā)布虛假信息騙取帳號、現(xiàn)金；或破解儲戶密碼盜取存款； 或侵犯股民帳戶借機炒股；或盜用信用卡密碼惡性透支，實施商務詐騙。還有一種就是木馬軟件。這是純粹的黑客軟件，對這樣的軟件采取的態(tài)度應該是堅決禁止的態(tài)度。

2008年11月，廣東省周建平利用其成立的“廣州市華探調(diào)查有限公司”，搜集信息牟取暴利。周建平非法獲取他人電話清單、手機清單和人員資料，并以每份1200元或1500元不等的價格出售了14份電話清單，從中獲利1.6萬元，最終以非法獲取公民個人信息罪判處有期徒刑1年6個月，并處罰金2000元。

（二）非法使用

除了管好信息“入口”關之外，還應當把好信息“出口”關，也就是電子商務企業(yè)按規(guī)定采集客戶信息后，也不能為所欲為地使用這些信息。

一些信息盜用者或者專業(yè)販賣者，在用戶毫不知情的情況下，將用戶個人信息以營利為目的轉(zhuǎn)讓。在用戶沒有允許信息轉(zhuǎn)讓的情況下，這屬于非法使用客戶個人信息。我們并不反對電子商務企業(yè)間交換客戶信息，但這一過程應當讓客戶知曉并同意，包括信息轉(zhuǎn)讓給何人、轉(zhuǎn)讓的內(nèi)容、轉(zhuǎn)讓的方式等。

還有一些企業(yè)在得打客戶信息之后，給發(fā)送垃圾郵件或垃圾信息，對用戶進行狂轟濫炸，生活造成一定干擾。這也屬于信息的非法使用。

個人信息泄漏已經(jīng)形成了一條產(chǎn)業(yè)鏈，并具有泄密渠道多、范圍廣、程度深等特點。這些都打擊了人們使用網(wǎng)絡消費的信心，在一定程度上阻礙了電子商務的發(fā)展。

（三）非法泄露

信息非法泄露主要以下途徑。第一，名片代印機構(gòu)儲存的大量個人信息，進行轉(zhuǎn)賣。第二，只要你的真實信息從一個渠道被泄露，這些信息就會被作為含金量高的信息四處轉(zhuǎn)賣。第三，黑客盜取客戶個人信息，未經(jīng)允許在互聯(lián)網(wǎng)上進行進行公開。

2013年10月，中國多家連鎖酒店的客人入住信息因為系統(tǒng)漏洞而泄露。黑客竊取了2000萬條酒店開房信息，并放到互聯(lián)網(wǎng)上供其他人下載，還有黑客利用這些泄露數(shù)據(jù)，建立了一些網(wǎng)站，供人們查詢其他人的開房記錄。

2013年10月，中國人壽80萬份保單個人信息泄露。在中國人壽注冊汽車救援卡時，發(fā)現(xiàn)中國人壽的合作網(wǎng)站“眾宜風險管理”搜索信息欄中可以隨意查找出所有投保人的信息，包括險種、手機號、身份證號、密碼等。

這些事件給客戶造成了極大的困擾和安全風險，造成了極壞的社會影響，在一定程度上影響了電子商務的發(fā)展。

三、電子商務個人信息保護的應對策略

（一）加快制定完善相關法律法規(guī)

國外企業(yè)在使用客戶數(shù)據(jù)時，往往不是基于一個人的信息作為分析的依據(jù)，而是將以千人、萬人為基礎的日志信息打包之后進行統(tǒng)計分析，這樣就對個人隱私起到了一定的保護作用。但要真正保護個人隱私，需要有健全的立法和嚴格的執(zhí)法。

針對目前我國個人信息嚴重泄露與法津監(jiān)管空白的現(xiàn)狀，我國缺乏一部專門的個人信息保護法從根本上保護個人信息的安全。個人信息保護法的制定，首先界定個人信息保護主體的義務。比如告知、公開、保存?zhèn)€人信息的義務等；其次需要確立諸如目的明確、利益平衡等個人信息保護的基本原則；還有就是規(guī)定信息主體的權(quán)利，比如決定權(quán)、知情權(quán)、信息獲取權(quán)、更止權(quán)、封鎖權(quán)、刪除權(quán)以及獲得救濟權(quán)等。此外，該法還應當規(guī)定個人信息監(jiān)管機構(gòu)的組成、職責，救濟途徑以及法律責任。同時還應制定嚴厲的處罰措施，增大違法成本，對不法分子進行嚴厲打擊。

（二）加強行業(yè)自律

目前在個人信息保護相關法律法規(guī)尚不完善的情況下，企業(yè)應充分發(fā)揮《中國互聯(lián)網(wǎng)行業(yè)自律公約》以及個人信息保護新國標的作用，同時借鑒美國個人信息保護采用的政府引導下的行業(yè)自律模式，加強電子商務環(huán)境下個人信息安全保護的行業(yè)自津，營造良好的網(wǎng)絡信息安全環(huán)境，保護用戶的個人信息的安全。

美國關于個人信息保護的行業(yè)自律模式主要有以下幾種形式：建議性的行業(yè)指引、網(wǎng)絡隱私認證計劃和技術(shù)保護模式。建議性的行業(yè)指引，一般是行業(yè)組織、公司或產(chǎn)業(yè)實體制定該行業(yè)的行為指引或隱私標準為行業(yè)內(nèi)的隱私保護提供示范，例如，在線隱私聯(lián)盟、直銷協(xié)會和互動服務協(xié)會等，這些指引并不具備強制執(zhí)行的效力。網(wǎng)絡隱私認證計劃，是一種私人行業(yè)實體致力于實現(xiàn)網(wǎng)絡隱私保護的自律形式。該計劃要求那些被許可在其網(wǎng)站上張貼其隱私認證標志的網(wǎng)站必須遵守在線隱私資料收集的行為規(guī)則，并且服從多種形式的監(jiān)督管理。

美國采取的行業(yè)自律，并不是完全放任自流，其與政府有著密切的關系，甚至嚴格說應該是政府引導下的行業(yè)自律模式。迄今為止，美國己有多個行業(yè)建立了自己的網(wǎng)絡網(wǎng)絡信息保護自律組織，盡管不能從根本上解決問題，但這些自律組織所發(fā)揮的作用不可忽視。

（三）企業(yè)應完善信息安全管理體系

1、完善信息安全體系建設

通過設置訪問控制機制以限制個人信息侵犯來達到保護的目的。這是一種被動的保護措施，但是在網(wǎng)絡信息侵犯猖狂的當今，其現(xiàn)實意義十分突出，是我國網(wǎng)絡消費者自身防范意識增強的輔助手段。

技術(shù)手段主要包括使用身份認證、加密、分級管理以及網(wǎng)絡監(jiān)管等模式。使用身份認證技術(shù)的方法己經(jīng)廣泛應用，一般通過訪問控制、身份鑒別等技術(shù)加強對資料訪問的控制管理。加密技術(shù)是通過特殊的算法口令對文件進行鎖定，加強網(wǎng)絡信息資源的保護，防止被非法復制、下載和修改等。分級管理技術(shù)是通過對不同的用戶設置權(quán)限來控制訪問者的訪問或發(fā)表言論，以防止非法用戶的入侵和及時制止信息竊取行為的產(chǎn)生。采用網(wǎng)絡監(jiān)管技術(shù)，隨時記錄每個訪問者的使用記錄、行為，以方便對信息竊取等行為的監(jiān)督和控制。

2、完善信息安全管理制度

電子商務環(huán)境中的用戶個人信息所存在的安全隱患，大部分都是因為管理的原因。這就是“千里之堤，潰于蟻穴”。管理方面出現(xiàn)一個小漏洞，都會給用戶個人信息帶來安全隱患。所以，企業(yè)在管理用戶個人信息的制度中，要做好很多保護策略，確保數(shù)據(jù)的安全性。

首先，建立個人信息保護組織機構(gòu)是實施個人信息保護的首要工作，該組織機構(gòu)在單位領導者的直接領導下，設立個人信息保護負責人和監(jiān)查負責人、培訓教育負責人、窗口負責人等相關責任人，這些責任人負責制定個人信息保護規(guī)章制度、實施對員工的培訓教育、監(jiān)督和檢查管理體系的運行情況、處理來自客戶和社會的意見和建議、提出持續(xù)改進的實施措施。個人信息保護組織機構(gòu)的成員應是單位的精英和骨干，組織機構(gòu)內(nèi)部要有明確的分工和責任，對單位個人信息保護管理體系的運行負全責。

此外，對員工進行個人信息保護的培訓教育也十分重要。這是保證個人信息保護管理體系順利運行的前提條件，個人信息保護管理體系運行的好壞是每一位員工努力的結(jié)果。

（四）提高個人信息安全保護意識

首先，客戶不應隨意泄露個人數(shù)據(jù)。對于個人信息要養(yǎng)成保密的習慣。

其次，客戶應了解如何保護個人計算機，自行采取技術(shù)保密手段，及時安裝個人防火墻、殺毒軟件和反間諜軟件程序。

第三，客戶在進行任何交易或發(fā)送信息之前，應仔細閱讀網(wǎng)站的信息保護政策。

第四，要謹慎對待網(wǎng)上購物。在進行網(wǎng)上購物以前，要對網(wǎng)上商店的信譽和信息保護情況進行調(diào)查。調(diào)查可采取向其他消費者詢問或看其網(wǎng)頁上是否提供了隱私保護等方式。

最后，采用匿名方式瀏覽網(wǎng)頁。例如：針對網(wǎng)站利用Cookie跟蹤用戶在互聯(lián)網(wǎng)上的活動，互聯(lián)網(wǎng)用戶可以在使用瀏覽器的時候在參數(shù)選擇中關閉計算機接受Cookie的選項。

參考文獻：

[1]文燕平.電子商務中個人信息利用與隱私保護研究[J].信息安全，2013，（3）

[2]弓永欽，季瓊.電子商務中個人信息保護問題研究[J].北京勞動保障職業(yè)學院學報，2013，（3）

[3]黃娜.淺談電子商務環(huán)境下個人信息安全問題[J].經(jīng)管視線，2013，（24）

[4]張紫.大數(shù)據(jù)時代個人隱私危機亟待法律破解[J].計算機與網(wǎng)絡，2014，（6）

[5]楊天翔.網(wǎng)絡隱私權(quán)保護：國際比較分析與借鑒[J].上海商學院學報，2007，（4）

作者簡介：許娜（1991.07-），女，河北省任丘人， 現(xiàn)就讀于河北大學管理學院電子商務專業(yè)。